标签:
贴这个呢,有点不好意思,但是也是加分项。1分也是分。
这里要做一个简单介绍。
这篇报告呢:
1、分析的病毒样本是感染型的。但是呢,它同时又是个后门型的,比较有意思。
2、这篇也算是代码级的分析,毕竟用了ollydbg嘛,F7跟了,还手动把壳脱了。大牛别笑话我啊。
3、我本人倾向于应用。做过三年的CERT的工作,对于一般的病毒啊啥的还能应付。
4、对病毒了解的话呢,要求对整个系统有个比较系统的了解,所以呢,一般的应用问题,即使没遇到过,也是可以通过思考解决的。这点请注意。
这篇文章是当年张晓兵经理推荐的,当时只是说投稿,我就写了,投了。这里后来才发现的,这也是公开的唯一能证明我干过这行的证据了。
因为病毒技术更新快,安天网站早已改版。当年写的几百篇分析报告也都不复存在了。
这是链接:恐怕过一段时间,这篇也没有了,赶紧移过来吧。
http://security.ctocio.com.cn/tips/203/7793203.shtml
【IT专家网独家】病毒名称: Backdoor.Win32.Sheldor.l
病毒类型: 后门类
文件MD5: D19A46E804D01284A4414CC64A3F8763
文件长度: 69,121 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: 未知壳
病毒描述:
该病毒运行后,衍生病毒副本到系统目录下,修改系统文件explorer.exe以跟随系统引导病毒体。将病毒程序衍生的dll文件载入系统进程中,开放本地后门等待接受远程控制。该病毒通过移动设备传播。
行为分析:
本地行为:
1、文件运行后会衍生副本
%System32%\msime.exe 69,121 字节 %System32%\SysIdt0.dll 92,160 字节 %System32%\dirvers\usbk1.sys 2,816 字节 %WinDir%\explorer.exe.img 正常文件 %WinDir%\explorer.exe.idx 正常文件 |
2、病毒体通过在系统文件explorer.exe文件后添加一个与病毒启动相关的节,继而将病毒体衍生dll文件加载进系统进程中。
3、连接如下地址等待控制:
Silencegl.51vip.biz (202.103.248.65:8959)
4、从下列地址读取IP
http://www.yoursite.net(69.46.226.170)/ip.txt
代码分析
1、从自身资源中衍生病毒dll文件:
2、设置衍生文件属性:
3、创建进程,执行病毒衍生文件:
4、连接远程控制端:
5、创建的服务信息:
6、创建的互斥体:
7、感染后的exploer.exe。首先加载病毒dll文件,而后JMP语句即跳到正常的入口点执行。
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区\
%Documents and Settings%\ 当前用户文档根目录
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、使用Atool:工具=》搜索DLL功能,输入SysIdt0.dll,查找到后卸载
3、删除下列文件:
%System32%\msime.exe 69,121 字节 %System32%\SysIdt0.dll 92,160 字节 %System32%\dirvers\usbk1.sys 2,816 字节 |
4、点击“开始”=>“运行”=>输入“CMD”=>输入指令到下图状态
5、使用Atool结束Explorer.EXE进程
6、快速切换到第四步的窗口,按回车键,删除explorer.exe,命令成功执行郊果应该是不能显示桌面为准,否则重复第4到第6步。
7、在第四步的窗口中执行下列指令,重新启动后,病毒清除完毕。
ren explorer.exe.img explorer.exe
或者下列指令:
ren explorer.exe.idx explorer.exe
标签:
原文地址:http://www.cnblogs.com/hrbadmin/p/4278239.html