提醒广大用户谨防最新感染系统文件explorer.exe的病毒Backdoor.Win32.Sheldor.l。该病毒可以感染系统文件explorer.exe，在explore.exe尾部加入一个新节，大小为4096个字节，来加载病毒衍生的SysIdt0.dll文件。由于explorer.exe是系统文件，随系统的启动而加载，所以被感染的系统很难清除该病毒。Backdoor.Win32.Sheldor.l是一个后门类程序，中此病毒后，用户系统会连接指定地址行等待控制。
        
一、病毒标签：
病毒名称： Backdoor.Win32.Sheldor.l
病毒类型： 后门类
公开范围： 完全公开
感染系统： Windows98以上版本

二、病毒描述：
该病毒运行后，衍生病毒副本到系统目录下，修改系统文件explorer.exe以跟随系统引导病毒体。将病毒程序衍生的dll文件载入系统进程中，开放本地后门等待接受远程控制。该病毒通过移动设备传播。

三、行为分析：
本地行为:
1、文件运行后会衍生副本
%System32%\msime.exe        69,121 字节
%System32%\SysIdt0.dll       92,160 字节
%System32%\dirvers\usbk1.sys      2,816 字节
%WinDir%\explorer.exe.img      正常文件
%WinDir%\explorer.exe.idx      正常文件
2、病毒体通过在系统文件explorer.exe文件后添加一个与病毒启动相关的节，继而将病毒体衍生dll文件加载进系统进程中。
3、连接如下地址等待控制：
   Silencegl.51vip.biz （202.103.248.65:8959）
4、从下列地址读取IP
http://www.your***site.net(69.46.226.170)/ip.txt

四、代码分析(因为是图片，太麻烦，就不贴了)
1、从自身资源中衍生病毒dll文件.
2、设置衍生文件属性：
3、创建进程，执行病毒衍生文件：
4、连接远程控制端：
5、创建的服务信息：
6、创建的互斥体：
7、感染后的exploer.exe。首先加载病毒dll文件,而后JMP语句即跳到正常的入口点执行。

四、 清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、使用Atool：工具=》搜索DLL功能，输入SysIdt0.dll，查找到后卸载

3、删除下列文件：
%System32%\msime.exe        69,121 字节
%System32%\SysIdt0.dll       92,160 字节
%System32%\dirvers\usbk1.sys      2,816 字节
4、点击“开始”=>“运行”=>输入“CMD”=>输入指令到下图状态
   
5、使用Atool结束Explorer.EXE进程
6、快速切换到第四步的窗口，按回车键，删除explorer.exe，命令成功执行郊果应该是不能显示桌面为准，否则重复第4到第6步。
7、在第四步的窗口中执行下列指令，重新启动后，病毒清除完毕。
ren explorer.exe.img explorer.exe
或者下列指令:
ren explorer.exe.idx explorer.exe