08年写的感染类病毒分析报告

标签：

贴这个呢，有点不好意思，但是也是加分项。1分也是分。

这里要做一个简单介绍。

这篇报告呢:

1、分析的病毒样本是感染型的。但是呢，它同时又是个后门型的，比较有意思。

2、这篇也算是代码级的分析，毕竟用了ollydbg嘛，F7跟了，还手动把壳脱了。大牛别笑话我啊。

3、我本人倾向于应用。做过三年的CERT的工作，对于一般的病毒啊啥的还能应付。

4、对病毒了解的话呢，要求对整个系统有个比较系统的了解，所以呢，一般的应用问题，即使没遇到过，也是可以通过思考解决的。这点请注意。

这篇文章是当年张晓兵经理推荐的，当时只是说投稿，我就写了，投了。这里后来才发现的，这也是公开的唯一能证明我干过这行的证据了。

因为病毒技术更新快，安天网站早已改版。当年写的几百篇分析报告也都不复存在了。

这是链接：恐怕过一段时间，这篇也没有了，赶紧移过来吧。

http://security.ctocio.com.cn/tips/203/7793203.shtml

【IT专家网独家】病毒名称： Backdoor.Win32.Sheldor.l

　　病毒类型： 后门类

　　文件MD5： D19A46E804D01284A4414CC64A3F8763

　　文件长度： 69,121 字节

　　感染系统： Windows98以上版本

　　开发工具： Microsoft Visual C++ 6.0

　　加壳类型： 未知壳

　　病毒描述：

　　该病毒运行后，衍生病毒副本到系统目录下，修改系统文件explorer.exe以跟随系统引导病毒体。将病毒程序衍生的dll文件载入系统进程中，开放本地后门等待接受远程控制。该病毒通过移动设备传播。

　　行为分析：

　　本地行为:

　　1、文件运行后会衍生副本

　　2、病毒体通过在系统文件explorer.exe文件后添加一个与病毒启动相关的节，继而将病毒体衍生dll文件加载进系统进程中。

　　3、连接如下地址等待控制：

　　Silencegl.51vip.biz (202.103.248.65:8959)

　　4、从下列地址读取IP

　　http://www.yoursite.net(69.46.226.170)/ip.txt

　　代码分析

　　1、从自身资源中衍生病毒dll文件:

　　2、设置衍生文件属性：

　　3、创建进程，执行病毒衍生文件：

　　4、连接远程控制端：

　　5、创建的服务信息：

　　6、创建的互斥体：

　　7、感染后的exploer.exe。首先加载病毒dll文件,而后JMP语句即跳到正常的入口点执行。

　　注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

　　%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量

　　%Windir%\ WINDODWS所在目录

　　%DriveLetter%\ 逻辑驱动器根目录

　　%ProgramFiles%\ 系统程序默认安装目录

　　%HomeDrive% = C:\ 当前启动的系统的所在分区\

　　%Documents and Settings%\ 当前用户文档根目录

　　清除方案：

　　1、使用安天木马防线可彻底清除此病毒(推荐)。

　　2、使用Atool：工具=》搜索DLL功能，输入SysIdt0.dll，查找到后卸载

　　3、删除下列文件：

　　4、点击“开始”=>“运行”=>输入“CMD”=>输入指令到下图状态

　　5、使用Atool结束Explorer.EXE进程

　　6、快速切换到第四步的窗口，按回车键，删除explorer.exe，命令成功执行郊果应该是不能显示桌面为准，否则重复第4到第6步。

　　7、在第四步的窗口中执行下列指令，重新启动后，病毒清除完毕。

　　ren explorer.exe.img explorer.exe

　　或者下列指令:

　　ren explorer.exe.idx explorer.exe

08年写的感染类病毒分析报告

标签：

原文地址：http://www.cnblogs.com/hrbadmin/p/4278239.html