Virus.Win32.AutoRun.aik(C0NIME.EXE,ntldr.exe)

                           专杀工具
1 @% |0 G- i6 |, |2 u8 _3 f, [- U# ~) T( v& ^% `5 R
====病毒新变种的分析================================4 E+ v/ k. B/ h! m$ C* e; {# ]
一.logogo最新变种soundmno.exe,ntldr.exe的分析. L! v, J. Y- V) o8 V
技术细节：
% H3 y- O% B/ D# {% o1.病毒运行后，衍生如下副本：- |* O+ G" b) c  d: a5 y) P1 M
C:\WINDOWS\system\soundmno.exe4 |% Q  z7 }* \! ~, L. `( X( [/ `4 j
在每个磁盘分区根目录下释放ntldr.exe和autorun.inf达到通过移动存储传播的目的
+ P/ D% c, x* H2.创建注册表启动项目7 D) v3 f/ G. C$ T6 |( a0 |4 q
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TBMonEx: ' b7 c7 l. w  q5 _7 A
"C:\WINDOWS\system\soundmno.exe"
" x0 j* n% S$ w达到开机启动的目的
, D- j0 @; f. }! W, A8 `) a3 p! r在HKLM\SOFTWARE下面创建logogo子键，用以记录病毒安装成功的信息。
/ f4 i% c% K4 d  U3.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
- O1 q2 Z. K& s/ y; N" g, _Options下面创建映像劫持项目，指向病毒本身。6 ?5 \, W) r; c$ L
（与之前病毒变种相同）) t: z  G; }9 N
4.感染exe文件 并跳过部分exe文件
- i2 \* _! l8 {' M( uCA.exe
9 g4 a; g  R& d6 o( I( jNMCOSrv.exe
4 X  f0 u$ g  {  @# B" Q$ QCONFIG.exe
+ S) n9 x. j8 y9 D; \5 v$ L, cUpdater.exe & x+ b0 X! h+ a. G: u0 P/ ^
WE8.exe & ~1 F0 x2 P& D3 p2 a
settings.exe 7 {, [9 S4 R7 a! g
PES5.exe   P, c8 n* U8 p' [9 r
PES6.exe...
8 g6 n. `! E+ |7 {% M; C（与之前病毒变种相同）5 F+ g. d6 x3 ?' q4 i+ e
和某些文件夹中的文件
' J; m  f% G7 V3 F, g$ c. {7 vwindows
( O$ E& n6 r0 i9 Y. v% Hwinnt & ^4 o+ T' k; A9 P8 V
recycler
" J  ]3 n& P( ~system volume information
4 I; m% r( U  x% \7 T& }Common Files 7 o) w/ e* \# W" b0 y. w% x( q6 G
Internet Explorer
0 }5 j/ Y( V2 a2 P! Y! MWindows NT* X8 B- Q7 s7 ^' O. M
并跳过感染有exe文件中有ani区段的文件
/ n+ ]9 v% y- Z8 i被感染文件尾部被加入一个名为.ani的节。6 p- Q  ]7 u% N' k0 n/ U
5.连接网络下载木马/ i4 J' }$ R6 m0 L0 }" S) W" \
读取http://*:1433/xin.jpg的下载列表+ {  c9 }% g2 y, T" m) H
然后下载http://*:1433/mylm.exe
! j5 Z& D" B' M/ m0 A7 M8 q2 Uhttp://*:1433/mhlm.exe& |; [- r9 Z5 M- n
[url=http://l.6u6.biz/00001.exe~http://l.6u6.biz/00010.exe]http://l.6u6.biz/00001.exe~http://l.6u6.biz/00010.exe[/url]+ p; _( m) ?2 C. y7 C
http://*:1433/00011.exe~http://*:1433/00014.exe, t) D6 ]& L) Q- }8 p, }* T
到%systemroot%\system下面
  a4 Z5 _" W1 i6 P并以SYSTEM128.tmp作为下载文件过程中的临时文件1 i% g( P2 O1 W7 Q; [2 |
6.病毒同时会获得当前机器名，操作系统版本，MAC地址等信息 并把信息发送给指定地址! z) |5 t6 i) D& [. {9 z
==================================; P& I2 @* b( j! p8 X7 V0 `# ~
浏览器加载项& X! y7 d3 e; l- y7 F
[]& ~9 _, x& c6 X% h' Y
{9963387B-212E-4643-B207-82DAEA0E713D} {C:\Program Files\Internet * p  k  T; K; v9 z3 S, j/ e
Explorer\PLUGINS\Wn_Sys8x.Sys, N/A}
, b( e6 p( U/ J* B( u/ r( o3 k( e==================================& c0 h' t" _- W  A4 r8 H! p& D( c( t
正在运行的进程
3 ]0 a2 O0 |/ N1 r5 ]. @& z3 N[PID: 1500][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 0 R6 B( A+ a5 k5 y
(xpsp_sp2_rtm.040803-2158)]
3 D6 W6 z" t. G  t5 u6 @! }    [C:\WINDOWS\system\inudhya.dll] [N/A, ]7 u3 `7 a, ^; b3 J" F* r8 W
    [C:\WINDOWS\system32\WinForm.dll] [N/A, ]: V7 V; I, u4 K- q
    [\\?\C:\WINDOWS\system32\myad.nls] [N/A, ]
5 U; [7 ]; J+ x, f2 w7 L    [C:\WINDOWS\system32\kvdxsjma.dll] [N/A, ]
8 _% C7 ~+ V) k) f) d    [C:\WINDOWS\system32\rsmyipm.dll] [N/A, ]
& L2 P" J" f, f9 m' m    [C:\WINDOWS\system32\wsmsezx.dll] [N/A, ]
4 {- `7 c- K; d    [C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys] [N/A, ]
. r/ P) A$ @+ x# U) c' Y: u1 k, X    [C:\WINDOWS\system32\rarjepi.dll] [N/A, ]
! x5 C. K; c2 r    [C:\WINDOWS\system32\hursax.dll] [N/A, ]
0 R2 g) A$ c& {( q    [C:\WINDOWS\system32\avwghmn.dll] [N/A, ]2 B7 Y5 g0 W  g4 ], @) h: f3 _
    [C:\WINDOWS\system32\kvdxjma.dll] [N/A, ]# u1 F( A0 d, |' A5 D$ v& r
    [C:\WINDOWS\system32\rsztmpm.dll] [N/A, ], T9 t: l6 O4 n1 y+ q1 w8 w
    [C:\WINDOWS\system32\avzxjmn.dll] [N/A, ]
  C2 x; [4 x# m    [C:\WINDOWS\system32\raqjfpi.dll] [N/A, ]  ]* T* x; O6 F- O( o
==================================- J6 d2 G% {) F" F* u- {, e
Autorun.inf文件内容：) C1 y3 A) D+ e0 Q8 N) O5 B
[C:\]
- m( r  U* h5 m4 [[AutoRun]4 K2 v) o; A1 b) y
OPEN=ntldr.exe- }/ n% o* I  W6 a
shellexecute=ntldr.exe9 k% O0 a& e" c) @
shell\打开(&O)\command=ntldr.exe...: _" ^! P2 d9 l9 A& `
二.sos最新变种TxHMoU.Exe的分析
$ o+ |* K& ]7 O4 z0 o$ d1 w技术细节：
- G0 D0 G1 q' \3 @( K5 U+ b1.病毒运行后，衍生如下副本：7 j6 s2 E! l8 j( O7 C0 q$ }
%systemroot%\system32\AUToRUN.Inf
& X8 S6 e7 j' [. t7 n  {/ y%systemroot%\system32\TxHMoU.Exe" O4 U: s  d3 |
在每个分区根目录下面生成AUToRUN.Inf和soS.Exe，达到通过U盘等移动存储传播的目的。
  m' f+ ^: Q# ?7 e5 M2.调用reg.exe进行一些注册表的操作. @  R: b/ @5 I4 r" p1 x
与之前的变种相同
4 `# y  \" q: `主要执行的操作为：% Z# K$ b. M% U$ P* n& b7 m6 X
添加自启动项目
  b+ x/ D5 P2 z禁用windows自动更新, i3 J8 q8 D" I# g& Y
禁用任务管理器* r( l8 A6 g. n1 d
破坏显示隐藏文件的功能7 T. @: e6 }& K; ?- P( A/ Q3 N
不显示文件的扩展名* B% E6 X# ~( e! ?( |
锁定主页，并使得IE的主页设定选项不可选
* X% @( w6 Q, L( Z3.遍历所有磁盘分区删除*.gho文件, `2 T5 m; ~& q. F8 P
4.遍历所有磁盘分区的INDEX.ASP，.HTM，INDEX.PHP，DEFAULT.ASP，DEFAULT.PHP，CONN.ASP文件
2 P& J4 _' N! F6 y并在其尾部加入iframe代码
. C+ w6 W, l2 t, e5.关闭指定窗口7 k: }4 p# A! O) J: x7 _$ o
病毒! v- g3 [! u6 b' V5 B+ I( Q
木马* Q$ c: F$ @6 a4 l* O/ h
检测5 D0 E+ R3 {& |: M  B
wpe7 s! P/ F" h! Y4 v( p
以及包含下面的table.txt中的指定关键字窗口
2 u. \1 O3 Q/ Y+ `, t6.连接网络下载http://www.*/url.txt
3 ]& c. p3 [" B( \http://www.*/IE.txt7 j( ^+ p0 ]( ?+ G: W3 S
http://www.*/table.txt
+ L- l4 J2 I0 e  a  A" v# j) b到%systemroot%\system32下面命名为FSEc.COM,FSEb.COM,FSEx.COM6 R7 n% n6 A! q# a& ^1 X" m2 J
其中table.txt和IE.txt每几秒钟便重新下载一次
- o2 B. `/ d4 p2 w7 u2 _" X其中url.txt为下载的木马列表8 }- v- O  ]( b% P/ O
IE.txt为锁定的主页的名称
& R$ i6 ?1 v2 k  K8 ]3 @$ p( w( ltable.txt为关闭指定窗口的名称
' Z3 ^4 Q( c5 H8 Z3 e目前为：8 k% F, @0 B1 O
360safe
* T& U; t2 y$ c3 W1 g- j7 q木马
/ P1 K$ i8 X$ s, |2 R* D木馬; n% }5 I! Q# F! p! T, @( m
病毒
# N; y8 E' s  n2 v) C杀毒
6 t$ z, O$ k4 G+ }1 g0 }* u殺毒8 O- E( g" [" j$ I: f
查毒" c- @& u* z/ q! o1 F# s% D
防毒( U/ X( D! N: a7 t# \! b
反病毒
5 K$ ?; N2 f5 S* V4 t$ u8 P5 _专杀
# T- N1 {1 H, `1 m5 C. E- M- X0 \專殺! U9 h) l8 l9 M" I
卡巴
0 \* i" r& j2 D9 H# q) s* |江民
# J0 x; V  m# Y: t& H瑞星
' p: v  J$ n! q卡卡社区
6 v* ]" M5 O5 m1 q. h* N金山毒霸
& D. x3 M  M% p% I$ d# ^毒霸
# O. E- M3 C! n+ `$ H5 L金山
% D1 W# E7 y8 X* |社区
. ^* B3 }/ Q% {* Y, A2 }, P& F360安全
! D( V0 k9 L( r0 n% f4 e恶意软件
' J: L- \: [1 A流氓软件
( R, |0 y; d+ \) ?- T举报, ^7 z% n* v, d* \# o! y( h, e
报警7 K# S9 B! w( N2 H) x5 N, ?3 a
杀软
0 W9 ?  C7 M: `4 u  |* C: r殺軟/ N; f- U4 C+ M
防駭. C2 k" E! g' \0 M8 d9 {5 S
微点4 B8 v$ o! v% l/ C% B, ?' A7 P
卡巴斯基+ N' w6 M% @8 t1 B6 H
kaspersky/ D1 n0 Q) T- s' g+ u- @
rising
+ C' J$ ~; E6 G$ R瑞星
  E- q9 U3 @" y# r诺顿5 ]6 Z+ {+ ~: J
之后会根据url.txt中的内容下载木马到%systemroot%\system32并运行& P& s7 b2 `' j9 B
2 P3 ^" T5 ^6 G, N8 O
  
% [6 ^! ~( E) a3 s+ B1 S
: \2 r2 E2 [! e===================================================================================. q" K  J5 \) t1 `* I5 W9 u; E

1 N3 C6 d  k2 @. y* |7 K" ]专杀软件下载:
( u( A. p% z. q- L* D' I[attach]2872[/attach]

       那个014.exe是近期流行的一个木马群的主体。中毒后，系统中的病毒文件较多。一旦中了，杀毒软件难以处理干净。原因在于那堆病毒DLL动态插入系统核心进程与用户运行的所有应用程序进程。. Y) z1 _7 X7 J2 z5 H2 c) k
       用SRENG扫日志，配合使用XDELBOX，删除日志中见到的病毒文件并不困难。困难的是：这样也难彻底清除这堆病毒。原因是：, I# g  P& _6 _9 F
      1、SRENG日志并不能显示所有病毒文件。图1是根据SRENG日志以及自己按规律寻找，用XDELBOX删除的病毒文件（操作时丢了一个MSDEG32.DLL，重启后手工删除了。）1 ?6 D6 k' i- {4 q2 N4 `
      2、IE浏览器临时文件夹中有大量病毒.exe程序残留（图2）。不少用户没有清空IE临时文件夹的习惯。因此，尽管用XDELBOX删除了所有病毒文件，下次再用IE上网浏览时，病毒又卷土重来。造成病毒永远杀不净的假象。
6 R3 E6 Y4 N% v& A- H6 A: C5 S, x      关于SRENG日志不显示的病毒文件，可以根据这堆病毒的文件命名规律去找。找到后，添加到XDELBOX的“待删除文件列表”，与SRENG日志中可见到的病毒文件一并删除即可。: o% G( q. ?8 t: I% v* p
      目前为止，这堆病毒文件命名的规律依然是：病毒文件成簇；每簇中的病毒文件名“前4个字母相同”；各簇病毒文件均位于%system%文件夹中。即：如果SRENG日志中可见“avwgcmn.dll”，那么avwgcmn.dll还有两个同伙，其文件名也以avwg开头，一个是.exe，另一个是.dll，路径均与avwgcmn.dll相同（位于%system%）。' G0 k! z' n8 h8 V3 s% m6 y- c2 L6 ?
       另外，当前用户临时文件夹Temp中也可能存在病毒文件，用XDELBOX删除病毒文件时请一并删除。2 U3 h" }  K) ]+ p" a( P+ B
       这堆病毒添加的注册表项就不再详述。想必这些日子大家在求助者的SRENG日志中已经见的多了去了。如果有autoruns的基础日志，通过compare可以轻易找到这些货色，一一删除就是了。3 x# d- ~* `/ v6 U; K3 C* s
       另：中招者除了删除SRENG日志中见到的病毒加载项外，还须删除注册表     HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\分支下的AU。
% O. o3 P, l+ ]       此AU子键为病毒添加。其中的"NoAutoUpdate"=dword:00000001禁止WINDOWS自动更新。
  [5 L0 a9 E; Y( h7 S
; Y- Z" F" J' V, v3 ~       另请注意：本帖只是以这类病毒的一个样本作为例子，说明手工查杀这类病毒的注意事项。大家可以参考，但不要生搬硬套帖子中提到的具体病毒文件名称。非系统分区根目录下的autorun.inf及其指向的.exe病毒文件，同样不要忽视。

万分感谢,真是及时啊

原来中的是这个病毒！

事实上4 q% n3 ?+ Y; b( m8 `5 C6 i* h
我侃侃而谈

不能下郁闷中

引用:

原帖由 yyphzc 于 2008-2-28 11:05 发表 5 K" f3 _+ z+ G- l6 }/ W& m; L
不能下郁闷中

* |4 j; \) I" n这位朋友, 欢迎你.......
9 [4 h3 R$ u9 ?/ \: Y6 {       经试下载能下呀,是不是你网络或电脑有问题?

万分感谢,真是及时啊

:'(

谢谢~~ 但我下载不了，我就是中了这个病毒  m7 c, ]$ u/ [% |
这位朋友能下载的,如果不行还有另一个专杀,试试下另一个:" O0 ~  I# L9 f' k4 C% Q
/ E5 ]/ y/ N4 {" q; c0 W
网址:http://www.esui.net.cn/thread-3746-1-1.html