也是来自某省会城市网站服务器，检测的时候，已经被植入了shv4后门程序，从系统日志来看，应该是通过猜测root密码登录系统后植入的。

shv4植入后，将会替代ls,login,ifconfig,netstat,grep,ps等基本命令，并透过自带的sshd服务创建一个后门，便于以后登录。

同时它覆盖正常的ssh指令，将所有ssh指令的使用记录下来，并发送给之前设定好的邮箱，这和键盘监控差不多。

另外，他还会在/etc/rc.d/rc.sysinit脚本里加入/usr/sbin/xntps -q的指令，并还煞有其事的增加了一行介绍# Xntps (NTPv3 daemon) startup..，这个xntps实际上就是shv4自带的sshd程序。

更详细的描述，请看下面的这个pdf文档，来自赛门铁克的分析 shv4的脚本可以从下面两个地址获取： http://www.geocities.com/santumadron/shv4.tar.gz
http://dl.getdropbox.com/u/220586/shv4.tar.gz

另外还有一个升级版本shv5，演示代码可以从下面的地址下载：

http://downloads.ziddu.com/downloadfile/1888304/shv5.tar.gz.html http://dl.getdropbox.com/u/220586/shv5.tar.gz