机器狗变种(ctfmon.exe,NtfdDisk.sys)病毒分析与解决方案

 Trojan-Downloader.Win32.Agent.qtx释放NtfdDisk.sys文件到%SystemRoot%\System32\driver文件夹下，创建服务加载驱动，利用磁盘驱动技术穿透还原卡保护。此恶意程序会下载并运行30多个恶意程序，这些恶意程序主要用来盗取用户游戏账号。超级巡警团队提醒广大用户，要经常使用超级巡警进行全盘扫描，以保证系统不受恶意程序困扰。
一、病毒相关分析：
      病毒标签：
        病毒名称：Trojan-Downloader.Win32.Agent.qtx
        病毒别名：机器狗变种
        病毒类型：木马下载者
        危害级别：3
        感染平台：Windows
        病毒大小：14,508(字节)
        SHA1　　：6DF4B5001073C10DC2B8E97A032A29525E9FBB42
        加壳类型：Upack

     病毒行为：
        1、病毒运行以后释放文件：
           %SystemDrive%\rmeslf.bat
           %SystemDrive%\mahtesf.bat
           %System32%\drivers\NtfdDisk.sys
           %SystemRoot%\ctfmon.exe

        2、添加注册表创建名为NtfdDisk的服务、加载驱动并删除驱动文件                                              [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtfdDisk]

        3、利用释放的BAT文件，删除病毒释放到各个文件下的文件

        4、下载文件：http://jqm.htitm***.cn/1.txt
           根据该文件下载并运行以下文件
           http://xxx.dfasdaqwd.cn/***/aa1.exe
           http://xxx.dfasdaqwd.cn/***/aa2.exe
           http://xxx.dfasdaqwd.cn/***/aa3.exe
           http://xxx.dfasdaqwd.cn/***/aa4.exe
           http://xxx.dfasdaqwd.cn/***/aa5.exe
           http://xxx.dfasdaqwd.cn/***/aa6.exe
           http://xxx.dfasdaqwd.cn/***/aa7.exe
           http://xxx.dfasdaqwd.cn/***/aa8.exe
           http://111.dfasdaqwd.cn/***/aa9.exe
           http://111.dfasdaqwd.cn/***/aa10.exe
           http://111.dfasdaqwd.cn/***/aa11.exe
           http://111.dfasdaqwd.cn/***/aa12.exe
           http://111.dfasdaqwd.cn/***/aa13.exe
           http://111.dfasdaqwd.cn/***/aa14.exe
           http://111.dfasdaqwd.cn/***/aa15.exe
           http://222.dfasdaqwd.cn/***/aa16.exe
           http://222.dfasdaqwd.cn/***/aa17.exe
           http://222.dfasdaqwd.cn/***/aa18.exe
           http://222.dfasdaqwd.cn/***/aa19.exe
           http://222.dfasdaqwd.cn/***/aa20.exe
           http://222.dfasdaqwd.cn/***/aa21.exe
           http://222.dfasdaqwd.cn/***/aa22.exe
           http://333.dfasdaqwd.cn/***/aa23.exe
           http://333.dfasdaqwd.cn/***/aa24.exe
           http://333.dfasdaqwd.cn/***/aa25.exe【链接已失效】
           http://333.dfasdaqwd.cn/***/aa26.exe【链接已失效】
           http://333.dfasdaqwd.cn/***/aa27.exe【链接已失效】
           http://333.dfasdaqwd.cn/***/aa28.exe【链接已失效】
           http://444.dfasdaqwd.cn/***/aa29.exe【链接已失效】
           http://444.dfasdaqwd.cn/***/aa30.exe【链接已失效】
           http://444.dfasdaqwd.cn/***/aa31.exe【链接已失效】
           http://444.dfasdaqwd.cn/***/aa32.exe
           http://444.dfasdaqwd.cn/***/aa33.exe【链接已失效】
           http://444.dfasdaqwd.cn/***/aa34.exe【链接已失效】
           http://444.dfasdaqwd.cn/***/aa35.exe【链接已失效】

        5、利用磁盘驱动技术，穿透还原卡保护



二、解决方案
    推荐方案：            
              下载超级巡警机器狗专杀工具，查杀病毒。
              下载地址：http://www.dswlab.com/d2.html
    手工清除方法：
　　         1、删除病毒下载的文件：
　　            %Temporary Internet Files%\aa（*）.exe
　　         2、删除病毒添加的注册表：
　　            [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtfdDisk]
　　        注：*为1-35的数字
www.newjian.com