病毒名称: Backdoor.Win32.Sheldor.l
病毒类型: 后门类
文件MD5: D19A46E804D01284A4414CC64A3F8763
文件长度: 69,121 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: 未知壳
病毒描述:
该病毒运行后,衍生病毒副本到系统目录下,修改系统文件explorer.exe以跟随系统引导病毒体。将病毒程序衍生的dll文件载入系统进程中,开放本地后门等待接受远程控制。该病毒通过移动设备传播。
行为分析:
本地行为:
1、文件运行后会衍生副本
| %System32%\msime.exe 69,121 字节 %System32%\SysIdt0.dll 92,160 字节 %System32%\dirvers\usbk1.sys 2,816 字节 %WinDir%\explorer.exe.img 正常文件 %WinDir%\explorer.exe.idx 正常文件 |
2、病毒体通过在系统文件explorer.exe文件后添加一个与病毒启动相关的节,继而将病毒体衍生dll文件加载进系统进程中。
3、连接如下地址等待控制:
Silencegl.51vip.biz (202.103.248.65:8959)
4、从下列地址读取IP
http://www.yoursite.net(69.46.226.170)/ip.txt
代码分析
1、从自身资源中衍生病毒dll文件:
2、设置衍生文件属性:
3、创建进程,执行病毒衍生文件:
更多内容请看QQ病毒、手机病毒揭密、病毒专栏专题,或进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- 资深网管谈ARP欺骗类病毒的防治思路 (62次浏览)
- 拒绝当前“流行”的魔兽盗号木马进门来 (10次浏览)
- Ati2evxx logogogo最新变种分析及专杀工具 (7次浏览)
- 学学网络安全小命令 拒绝木马大病毒 (5次浏览)
- Trojan-Dropper.Win32.Agent.bgc分析清除 (1次浏览)
- 木马Backdoor.Win32.VanBot.az分析与清除 (0次浏览)
- “灰鸽子变种ZYV”远程监听控制受害电脑 (0次浏览)
- 恶意广告飘游戏公告 警惕系统已遭感染 (0次浏览)
- 警惕“黑客遥控器9728”遥控你的电脑 (0次浏览)
- Trojan.Win32.Agent.zl 分析与手动清除 (0次浏览)
