Backdoor.Win32.sheldor.j 后门程序

Backdoor.Win32.sheldor.j

捕获时间

2007-9-24

病毒症状

该病毒是一个使用VC编写的后门程序，长度为159,744 字节，图标为常规exe文件图标但可能会被后门使用者用于迷惑而修改，主要通过、文件欺骗、网页木马等多种方式传播。

病毒分析

该后门激活后，释放dnscript4653.dll文件到%SystemRoot%\\system32\\目录下，添加注册表启动项在winlogon.exe初始化时候加载；获取系统特权打开winlogon.exe进程将自身模块注入，使用端口复用技术接收黑客指令，使得黑客可.以对被控制主机进行远程文件管理、远程shell、注册表管理等典型黑客操作。

中毒现象

基本无迹象产生

病毒注册表启动项：

项：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows

键值：APPInit_DLLs

指向文件：%SystemRoot%\\system32\\dnscript4653.dll

感染对象

Windows NT/Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑

安全提示

已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主.动防御都能够有效防御该后门程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍”，请直接选择删除处理（如图1）；

图1

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Backdoor.Win32.sheldor.j”，请直接选择删除（如图2）。

图2

使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

www.newjian.com