Backdoor.Win32.Sheldor.l后门病毒分析
作者: 安天CERT 张宇城, 出处:IT专家网, 责任编辑: 张帅,
2008-01-28 17:32
Backdoor.Win32.Sheldor.l病毒,衍生病毒副本到系统目录下,修改系统文件explorer.exe以跟随系统引导病毒体,在系统进程中插入病毒DLL文件,通过移动设备传播……
【IT专家网独家】病毒名称: Backdoor.Win32.Sheldor.l
病毒类型: 后门类
文件MD5: D19A46E804D01284A4414CC64A3F8763
文件长度: 69,121 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: 未知壳
病毒描述:
该病毒运行后,衍生病毒副本到系统目录下,修改系统文件explorer.exe以跟随系统引导病毒体。将病毒程序衍生的dll文件载入系统进程中,开放本地后门等待接受远程控制。该病毒通过移动设备传播。
行为分析:
本地行为:
1、文件运行后会衍生副本
| %System32%\msime.exe 69,121 字节 %System32%\SysIdt0.dll 92,160 字节 %System32%\dirvers\usbk1.sys 2,816 字节 %WinDir%\explorer.exe.img 正常文件 %WinDir%\explorer.exe.idx 正常文件 |
2、病毒体通过在系统文件explorer.exe文件后添加一个与病毒启动相关的节,继而将病毒体衍生dll文件加载进系统进程中。
3、连接如下地址等待控制:
Silencegl.51vip.biz (202.103.248.65:8959)
4、从下列地址读取IP
http://www.yoursite.net(69.46.226.170)/ip.txt
代码分析
1、从自身资源中衍生病毒dll文件:
2、设置衍生文件属性:
3、创建进程,执行病毒衍生文件:
4、连接远程控制端:
5、创建的服务信息:
6、创建的互斥体:
7、感染后的exploer.exe。首先加载病毒dll文件,而后JMP语句即跳到正常的入口点执行。
- 本文关键词:
