科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Backdoor.Win32.Sheldor.l后门病毒分析

Backdoor.Win32.Sheldor.l后门病毒分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

病毒名称: Backdoor.Win32.Sheldor.l   病毒类型: 后门类  文件MD5: D19A46E804D01284A4414CC64A3F8763   文件长度: 69,121 字节  感染系统: Windows98以上版本  开发工具: ...

作者:论坛整理 来源:zdnet网络安全 2008年2月16日

关键字: 病毒 病毒查杀 后门

  • 评论
  • 分享微博
  • 分享邮件
病毒名称: Backdoor.Win32.Sheldor.l

  病毒类型: 后门类

  文件MD5: D19A46E804D01284A4414CC64A3F8763

  文件长度: 69,121 字节

  感染系统: Windows98以上版本

  开发工具: Microsoft Visual C++ 6.0

  加壳类型: 未知壳

  病毒描述:

  该病毒运行后,衍生病毒副本到系统目录下,修改系统文件explorer.exe以跟随系统引导病毒体。将病毒程序衍生的dll文件载入系统进程中,开放本地后门等待接受远程控制。该病毒通过移动设备传播。

  行为分析:

  本地行为:

  1、文件运行后会衍生副本

      %System32%\msime.exe 69,121 字节
  %System32%\SysIdt0.dll 92,160 字节
  %System32%\dirvers\usbk1.sys 2,816 字节
  %WinDir%\explorer.exe.img 正常文件
  %WinDir%\explorer.exe.idx 正常文件

  2、病毒体通过在系统文件explorer.exe文件后添加一个与病毒启动相关的节,继而将病毒体衍生dll文件加载进系统进程中。

  3、连接如下地址等待控制:

  Silencegl.51vip.biz (202.103.248.65:8959)

  4、从下列地址读取IP

  http://www.yoursite.net(69.46.226.170)/ip.txt

  代码分析

  1、从自身资源中衍生病毒dll文件:

  衍生病毒dll文件

  2、设置衍生文件属性:

  设置衍生文件属性

  3、创建进程,执行病毒衍生文件:

  执行病毒文件
 4、连接远程控制端:

  连接远程控制端

  5、创建的服务信息:

  创建服务信息

  6、创建的互斥体:

  创建互斥体

  7、感染后的exploer.exe。首先加载病毒dll文件,而后JMP语句即跳到正常的入口点执行。

  感染后的explorer文件

  :%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。

  %Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量

  %Windir%\ WINDODWS所在目录

  %DriveLetter%\ 逻辑驱动器根目录

  %ProgramFiles%\ 系统程序默认安装目录

  %HomeDrive% = C:\ 当前启动的系统的所在分区\

  %Documents and Settings%\ 当前用户文档根目录

  清除方案

  1、使用安天木马防线可彻底清除此病毒(推荐)。

  2、使用Atool:工具=》搜索DLL功能,输入SysIdt0.dll,查找到后卸载

      ATool

  3、删除下列文件:

      %System32%\msime.exe 69,121 字节
  %System32%\SysIdt0.dll 92,160 字节
  %System32%\dirvers\usbk1.sys 2,816 字节

  4、点击“开始”=>“运行”=>输入“CMD”=>输入指令到下图状态

      命令行

  5、使用Atool结束Explorer.EXE进程

  6、快速切换到第四步的窗口,按回车键,删除explorer.exe,命令成功执行郊果应该是不能显示桌面为准,否则重复第4到第6步。

  7、在第四步的窗口中执行下列指令,重新启动后,病毒清除完毕。

  ren explorer.exe.img explorer.exe

  或者下列指令:

  ren explorer.exe.idx explorer.exe

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章