作者：清新阳光                   ( http://hi.baidu.com/newcenturysun)
     日期：2007/06/09          (转载请保留此申明)

这两天收到一些木马下载器的样本
测试了几个 发现了一个叫netdde32.exe比较特殊 他会通过IFEO劫持Explorer.exe
而且不会写入任何启动项目，（都劫持了explorer了 就不需要什么启动项目了吧，呵呵 explorer是天然的开机自启

动项目哦）
这样更增加了单单通过sreng日志找可疑项目的难度！

病毒主要特征：
1.劫持Explorer 释放dll监控IFEO项目
2.下载木马
3.下载流氓软件

分析报告：
File: netdde32.exe
Size: 57252 bytes
MD5: AF990B41A94109499981E4E94A5AEC4B
SHA1: 1B3561194D663F2ECC305F8A08C02F6259C8F022
CRC32: 07A5F410

文件运行后
释放如下文件
C:\WINDOWS\KB9269O9.log
C:\WINDOWS\system32\netdde32.exe

试图向带有下列字符的窗口发送允许或者跳过的信息
注册表警告
金山毒霸 - 可疑文件扫描工具
mcafee personal firewall plus 警报
virusscan 按访问扫描消息
瑞星注册表监控提示

添加 IFEO劫持项目
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe\Debugger:

"C:\WINDOWS\system32\netdde32.exe"

无其他自启动项目

C:\WINDOWS\KB9269O9.log注入到Explorer进程中 监控HKLM\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\Explorer.exe\Debugger: "C:\WINDOWS\system32

\netdde32.exe" 如果一旦被删除 则立即恢复

控制IE连接网络218.93.16.65:80
下载http://up.xxxxd.cn/software/update.txt获取文件下载地址
通过http://up.xxxxd.cn/software/netdde32.exe更新自身
下载http://up.xxxxd.cn/software/QQIEHelper.dll
http://up.xxxxd.cn/software/d039.exe到系统文件夹

d039.exe是一个多个流氓软件的安装包 包括搜狗直通车 CNNIC中文上网等
http://up.xxxxd.cn/software/QQIEHelper.dll是IE插件 插入IE
使IE不断读取http://sm.xxxxd.cn/data/adurllist.ini这个文件里面的内容（一些网址）
用于弹出网页

机器启动后 由于explorer被劫持所以首先启动netdde32.exe 由他把KB9269O9.log注入到Explorer进程中 再由netdde32.exe启动Explorer 此后netdde32.exe的工作即告完成

所有木马植入完毕后
增加如下文件
C:\WINDOWS\system32\netdde32.exe
C:\WINDOWS\d039.exe
C:\WINDOWS\KB9269O9.log
C:\WINDOWS\netdde32.exe
C:\WINDOWS\QQIEHelper.dll
C:\Program Files\Common Files\CPUSH
被安装了 搜狗直通车和CNNIC中文上网插件

sreng日志如下
浏览器加载项
[CAdLogic Object]
     {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, >
[腾讯QQ]
     {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>
[CAdLogic Object]
     {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, >
[腾讯QQ]
     {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>
进程
[PID: 1540][C:\WINDOWS\Explorer.EXE]     [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-

2158)]
       [C:\WINDOWS\KB9269O9.log]     [N/A, ]

解决方法：
问题：木马劫持了Explorer 而且发现那个C:\WINDOWS\KB9269O9.log会时刻监视被劫持的IFEO项目
考虑出两种解决方法 一种是结束explorer 删除C:\WINDOWS\system32\netdde32.exe和C:\WINDOWS\KB9269O9.log
重启按ctrl+alt+del进入注册表 恢复IFEO

不过感觉那个IFEO的注册表键太长了 重启以后还得一通狂找，所以推荐下面的方法

还是用Process explorer 下载地址
http://dl.pconline.com.cn/html_2/1/59/id=6395&pn=0.html

1.双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件

（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
删除C:\WINDOWS\system32\netdde32.exe
2.打开Process explorer
双击Explorer进程
单击 Threads
找到KB9269O9.log
分别选中Threads中的各个KB9269O9.log 单击下面的suspend
直到选中每个KB9269O9.log时 原先那个suspend都变成了resume
不要关闭process explorer
3.恢复IFEO
这里我们使用autoruns这个软件 http://www.skycn.com/soft/17567.html
打开这个软件后 找到Image hijack (映像劫持)
删除
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe\Debugger:

"C:\WINDOWS\system32\netdde32.exe"
4.打开任务管理器
结束Explorer进程
单击任务管理器 上方菜单栏的文件－新建任务－浏览 找到C:\WINDOWS\KB9269O9.log 右键将其删除
至此 主程序netdde32.exe已经被干掉了

下面收拾其他的木马和流氓软件

重启计算机进入安全模式(开机后不断 按F8键     然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
在“系统修复”-“浏览器加载项”中删除
[CAdLogic Object]
     {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, >
[腾讯QQ]
     {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>
[CAdLogic Object]
     {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, >
[腾讯QQ]
     {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>
删除文件C:\Program Files\Common Files\CPUSH
C:\WINDOWS\QQIEHelper.dll

重启后下载卡卡安全助手或者金山的毒霸清理专家
清理剩余的CNNIC等流氓软件

通过这个例子可以看出如今的木马启动方式逐渐多样化，智能化。手动杀毒的过程有时就是一个与病毒作者斗智的过

程，所以我们在手动杀毒的过程中要多结合一些方法查找这些“隐藏的更深”的病毒。