ntldr.exe是个什么文件？感觉好象是一个病毒，每个盘里都有，删了一会儿又出现，

老病毒新变种的分析之一

一.logogo最新变种soundmno.exe,ntldr.exe的分析

技术细节：
1.病毒运行后，衍生如下副本：
C:\WINDOWS\system\soundmno.exe
在每个磁盘分区根目录下释放ntldr.exe和autorun.inf达到通过移动存储传播的目的

2.创建注册表启动项目
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TBMonEx: "C:\WINDOWS\system\soundmno.exe"
达到开机启动的目的
在HKLM\SOFTWARE下面创建logogo子键，用以记录病毒安装成功的信息。

3.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面创建映像劫持项目，指向病毒本身。
（与之前病毒变种相同）

4.感染exe文件 并跳过部分exe文件
CA.exe
NMCOSrv.exe
CONFIG.exe
Updater.exe
WE8.exe
settings.exe
PES5.exe
PES6.exe...
（与之前病毒变种相同）
和某些文件夹中的文件
windows
winnt
recycler
system volume information
Common Files
Internet Explorer
Windows NT

并跳过感染有exe文件中有ani区段的文件

被感染文件尾部被加入一个名为.ani的节。

5.连接网络下载木马