病毒名称： Backdoor.Win32.Sheldor.l
病毒类型： 后门类
文件 MD5： D19A46E804D01284A4414CC64A3F8763
公开范围： 完全公开
危害等级： 4
文件长度： 69,121 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： 未知壳

　　该病毒运行后，衍生病毒副本到系统目录下，修改系统文件explorer.exe
以跟随系统引导病毒体。将病毒程序衍生的dll文件载入系统进程中，开放本地
后门等待接受远程控制。该病毒通过移动设备传播。

本地行为：

1、文件运行后会衍生副本：

　　　　%System32%\msime.exe 　　　　　　　69,121 字节
　　　　%System32%\SysIdt0.dll 　　　　　　92,160 字节
　　　　%System32%\dirvers\usbk1.sys 　　 2,816 字节
　　　　%WinDir%\explorer.exe.img 　　　　正常文件
　　　　%WinDir%\explorer.exe.idx 　　　　正常文件
　　
2、病毒体通过在系统文件explorer.exe文件后添加一个与病毒启动相关的节，
　 继而将病毒体衍生dll文件加载进系统进程中。

3、连接如下地址等待控制：

　　　　Silencegl.51vip.biz
　　　 （202.103.248.**:8959）

4、从下列地址读取IP：

　　　　http://www.your****.net(69.46.226.***)/ip.txt
　　
注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　　　　　　 　　　　　　　　

1 、使用安天防线2008可彻底清除此病毒(推荐)，
　 　请到安天网站下载：www.antiy.com 。　
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　推荐使用ATool（安天安全管理工具），ATool下载地址:
　 　www.antiy.com或http://www.antiy.com/download/index.htm 。
　 　 (1)使用Atool：工具=》搜索DLL功能，输入SysIdt0.dll，
　 　 　 查找到后卸载：

　

　 　 (2)删除下列文件：
　 　 　%System32%\msime.exe 69,121 字节
　 　 　%System32%\SysIdt0.dll 92,160 字节
　 　 　%System32%\dirvers\usbk1.sys 2,816 字节
　 　 　%Windir%\Font\(本机MAC地址)\system\wdfmgr.exe
　 　 (3)点击“开始”=>“运行”=>输入“CMD”=>输入指令到
　 　 　 下图状态：
　 　 　
　 　

　 　 (4)使用Atool结束Explorer.EXE进程。
　 　 (5)快速切换到第四步的窗口，按回车键，删除explorer.exe，
　 　 　 命令成功执行郊果应该是不能显示桌面为准，
　 　 　 否则重复第4到第6步。
　 　 (6)在第四步的窗口中执行下列指令，重新启动后，病毒清除完毕。
　 　 　 ren explorer.exe.img explorer.exe
　 　 　 或者下列指令:
　 　 　 ren explorer.exe.idx explorer.exe　 　

点击此处下载安天防线2008

病毒上报信箱: submit@virusview.net