科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道修复艾妮(NTLDR.EXE)感染

修复艾妮(NTLDR.EXE)感染

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

“艾妮”会在各磁盘分区的根目录下生成AUTO病毒文件ntldr.exe;和对应的autorun.inf,只要用户在中毒电脑上使用U盘等移动存储设备,“艾妮”就可以传染到这些设备上。

作者:zdnet安全频道 来源:论坛整理 2008年6月19日

关键字: 病毒 NTLDR.EXE

  • 评论
  • 分享微博
  • 分享邮件

凝逸反毒.修复NTLDR.EXE感染

“艾妮”感染型病毒下载器行为分析

/downloader_bingdu/200805073042.html

救援编号: 0001
样本提供: 爱丄爱
启始时间: 20080509 16:00
完成时间: 20080509 21:00

感染引擎: 修复艾妮(NTLDR.EXE)感染
引擎作者: 凝逸
病毒名: 艾妮.irus.Win32.AutoRun.aik,NTLDR.EXE病毒变种
    功能: 修复NTLDR.EXE感染的EXE
    防御: 防御与杀除NTLDR.EXE


主页:http://hi.baidu.com/503165656
     http://202.a.gg
     http://ccc0.111n.com/
凝逸BBS:http://nyav.uu1001.com/
技术支持QQ:503165656
反病毒QQ群:31168828
(创建于:2007-01)

 

---
修复方法:
   [系统]
       ->进程
          把NTLDR.EXE 暂停
[专杀]
      ->修复艾妮
          先点[防御]可不让NTLDR.EXE运行
          再修复所有exe

[扫描]
       ->扫描病毒
          把 c:\ 下的木马杀了

从开机 在把凝逸反毒在解出来,在扫一次
---
如有 ghost或一键还原,可用
[扫描]
       ->黑洞
          把 把木马杀了, 从开机时在还原系,
---

-----病毒资料------
“艾妮”会在各磁盘分区的根目录下生成AUTO病毒文件ntldr.exe;和对应的autorun.inf,只要用户在中毒电脑上使用U盘等移动存储设备,“艾妮”就可以传染到这些设备上。

NTLDR.EXE病毒文件为网游盗号木马程序(irus.Win32.AutoRun.aik病毒变种)释放的,感染exe文件,

该病毒还能在每个盘符中产生隐藏文件autorun.inf ,ntldr.exe,

使用映像劫持对抗安全软件的病毒很多,这个艾妮除劫持主流安全软件之外,还会把很多病毒的程序也劫持掉,达到独占系统资源的目的。

----------

  这个艾妮病毒下载器和去年流行的艾妮(ANI)蠕虫有很大不同,这里的艾妮是一个木马下载器。

  病毒特点:

  1.更强的感染能力

  该病毒会感染所有体积从40k到4M之间的.exe文件,针对这些体积小的文件进行感染有一个好处,就是能尽可能的捕获那些小巧的绿色型应用程序,利用这些小程序受人们喜欢、经常得到传播的优点,病毒可以实现更快的扩散。

  2.在各磁盘分区生成自动运行的病毒文件

  “艾妮”会在各磁盘分区的根目录下生成AUTO病毒文件ntldr.exe;和对应的autorun.inf,只要用户在中毒电脑上使用U盘等移动存储设备,“艾妮”就可以传染到这些设备上。

  注意:将病毒生成的NTLDR.EXE是Windows引导文件NTLDR区分开,后者没有扩展名,只存在于C盘根目录,是windows启动时的引导文件,NTLDR丢失,将会造成系统不可启动。

  3.劫持安全软件,同时黑吃黑劫持其它病毒

  使用映像劫持对抗安全软件的病毒很多,这个艾妮除劫持主流安全软件之外,还会把很多病毒的程序也劫持掉,达到独占系统资源的目的。

  详细分析作案流程:

  1.复制自身到%windir%\fonts\system\ati2evxx.exe并运行

  2.创建自启动加载项

  在”SoftWare\Microsoft\Windows\CurrentVersion\Run”下,创建

  ”TBMonEx”;字串,指向病毒程序c:\windows\fonts\system\ati2evxx.exe,实现开机自动加载。

  3.创建安装信息

  添加[HKEY_LOCAL_MACHINE\SOFTWARE\logogo]

  ”setup”=”yes”;

  4.劫持主流安全软件和部分流行病毒

  ”SOFTWARE\Microsoft\Windows;NT\CurrentVersion\Image;File;Execution;Options\”;下创建

  Logo1_.exe;Navapw32.exe;Navapsvc.exe;NMain.exe;navw32.EXE;KVFW.EXE;KAVSvcUI.exe

  KAVPFW.EXE;KAV32.exe;KvXP.kxp;KVSrvXP.exe;KVMonXP.kxp;KVwsc.exe;KAVsvc.exe

  KWatchUI.EXE;360Safe.exe;360rpt.exe;修复工具.exe;RAVmonD.exe;RAVmon.exe

  RAVtimer.exe;Rising.exe;Rav.exe;RavMon.exe;Ravtimer.exe;Iparmor.exe;TrojanHunter.exe

  THGUARD.EXE;PFW.EXE;EGHOST.EXE;MAILMON.EXE;ZONEALARM.EXE;WFINDV32.EXE

  360tray.exe;WEBSCANX.EXE;VSSTAT.EXE;VSHWIN32.EXE;VSECOMR.EXE;VSCAN40.EXE

  VETTRAY.EXE;VET95.EXE;TDS2-NT.EXE;TDS2-98.EXE;TCA.EXE;TBSCAN.EXE

  SWEEP95.EXE;SPHINX.EXE;SMC.EXE;SERV95.EXE;SCRSCAN.EXE;SCANPM.EXE

  SCAN95.EXE;SCAN32.EXE;SAFEWEB.EXE;FESCUE.EXE;RAV7WIN.EXE;RAV7.EXE

  PERSFW.EXE;PCFWALLICON.EXE;PCCWIN98.EXE;PAVW.EXE;PAVSCHED.EXE

  PAVCL.EXE;NVC95.EXE;NUPGRADE.EXE;NORMIST.EXE

  NMAIN.EXE;NISUM.EXE;NAVWNT.EXE;NAVW32.EXE;NAVNT.EXE;NAVLU32.EXE

  NAVAPW32.EXE;N32SCANW.EXE;MPFTRAY.EXE;MOOLIVE.EXE;LUALL.EXE

  LOOKOUT.EXE;LOCKDOWN2000.EXE;JEDI.EXE;IOMON98.EXE;IFACE.EXE

  ICSUPPNT.EXE;ICSUPP95.EXE;ICMON.EXE;ICLOADNT.EXE;ICLOAD95.EXE

  IBMAVSP.EXE;IBMASN.EXE;IAMSERV.EXE;IAMAPP.EXE;FRW.EXE;FPROT.EXE

  FP-WIN.EXE;FINDVIRU.EXE;F-STOPW.EXE;F-PROT95.EXE;F-PROT.EXE;F-AGNT95.EXE

  EXPWATCH.EXE;ESAFE.EXE;ECENGINE.EXE;DVP95_0.EXE;DVP95.EXE;CLEANER3.EXE

  CLEANER.EXE;CLAW95CF.EXE;CLAW95.EXE;CFINET32.EXE;CFINET.EXE;CFIAUDIT.EXE

  CFIADMIN.EXE;BLACKICE.EXE;BLACKD.EXE;AVWUPD32.EXE;AVWIN95.EXE

  AVSCHED32.EXE;AVPUPD.EXE.AVPTC32.EXE;AVPM.EXE;AVPDOS32.EXE;AVPCC.EXE

  AVP32.EXE;AVP.EXE;AVNT.EXE;AVKSERV.EXE;AVGCTRL.EXE;AVE32.EXE

  AVCONSOL.EXE;AUTODOWN.EXE;APVXDWIN.EXE;ANTI-TROJAN.EXE;ACKWIN32.EXE

  _AVPM.EXE;_AVPCC.EXE;_AVP32.EXE;PFW.exe;KAVsvcUI.exe;rising.exe;rav.exe;KVsrvXP.exe;KVMonXP.exe

  5.感染部分40KB-4MB之间的EXE文件

  6.从特定地址读取下载列表,下载大量木马

  7.获取染毒机器的mac、pcname、当前病毒的版本号,md5等信息至远程服务器,该信息可能供木马传播者统计感染量或其它用途。

  8.当在非%windir%\fonts\system\和驱动器下运行病毒母体后,病毒会在当前目录创建一个当前文件名的.bat删除自身。给人的感觉就是执行了某程序后,这个程序文件闪一下,就消失了。

  解决办法:

  因该病毒是感染型病毒,可能感染大量EXE文件,手工彻底修复有一定难度。

  手工查杀病毒的用户来说,清除“艾妮”可按一下步骤进行操作:

  1、我们首先要找到“艾妮”隐藏在%WINDOWS%\fonts\system\目录下的主文件ati2evxx.exe,结束它已启动的进程,并删除文件。(可以使用360自带进程管理器和文件粉碎器来完成)

  2、接着,清除每一个磁盘分区根目录下的ntldr.exe和autorun.inf。(注意,不要把C盘根目录下的NTLDR文件误删除,一旦删除,你的系统就无法启动了)

  3、清理注册表的RUN键值和镜象劫持,修复感染文件。(可以使用清理专家修复残留加载项,百宝箱中的系统修复插件可以修复映像劫持)

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章