Backdoor.Win32.Sheldor.l后门病毒分析

　　病毒类型： 后门类

　　文件MD5： D19A46E804D01284A4414CC64A3F8763

　　文件长度： 69,121 字节

　　感染系统： Windows98以上版本

　　开发工具： Microsoft Visual C++ 6.0

　　加壳类型： 未知壳

　　病毒描述：

　　该病毒运行后，衍生病毒副本到系统目录下，修改系统文件explorer.exe以跟随系统引导病毒体。将病毒程序衍生的dll文件载入系统进程中，开放本地后门等待接受远程控制。该病毒通过移动设备传播。

　　行为分析：

　　本地行为:

　　1、文件运行后会衍生副本

%System32%\msime.exe 69,121 字节 　　%System32%\SysIdt0.dll 92,160 字节 　　%System32%\dirvers\usbk1.sys 2,816 字节 　　%WinDir%\explorer.exe.img 正常文件 　　%WinDir%\explorer.exe.idx 正常文件

　　2、病毒体通过在系统文件explorer.exe文件后添加一个与病毒启动相关的节，继而将病毒体衍生dll文件加载进系统进程中。

　　3、连接如下地址等待控制：

　　Silencegl.51vip.biz (202.103.248.65:8959)

　　4、从下列地址读取IP

　　http://www.yoursite.net(69.46.226.170)/ip.txt

　　代码分析

　　1、从自身资源中衍生病毒dll文件:

　　2、设置衍生文件属性：

　　3、创建进程，执行病毒衍生文件：