病毒名稱
特洛伊病毒Win32.Cutwail.C
其它名稱:Spy-Agent.bv.dr (McAfee), Cutwail C (CA Antispyware), Trojan.Pandex (Symantec), W32/Trojan.YKL (F-Secure), Trojan.Win32.Agent.ady (Kaspersky)
病毒特性
Win32/Cutwail.C是一種帶有rootkit功能的特洛伊病毒,能夠修改系統的winlogon.exe檔案。它可能用來下載並運行任意檔案,將它們保存到磁碟或者注入其它的程式。同時,這些檔案被用來傳送大量的郵件和更新Cutwail的最新變體。
危害
下載並運行任意檔案
Cutwail.C傳送很多參數到以下4個伺服器的任一伺服器,並嘗試下載檔案:
67.18.114.98
74.52.122.130
208.66.194.179
208.66.194.241
如果失敗,它就會嘗試另一個伺服器。
下載的檔案包含一個或者更多的編碼運行程式。每個可運行程式可能保存到%Temp%/<number>.exe,並運行,或者注入Internet Explorer程式中,並不寫入磁碟。
Cutwail.C一般被最近的變體下載、保存和運行。它還會注入到一個可運行程式中並不保存它們。這些檔案通常允許傳送大量的郵件,但是能夠改變下載變化的內容。
Rootkit 功能
Cutwail.C的 rootkit 功能顯示為防止安全和監控程式修改註冊表,可能監控一個正在運行的程式列表。
感染方式
Cutwail.C生成兩個驅動程式檔案%Windows%\System32\main.sys 和 %Windows%\System32\reg.sys,reg.sys 檔案作為一個驅動程式載入到kernel memory中,並生成以下註冊表鍵值:
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\Start = 1x1
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\Type = 2x1
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\ErrorControl = 3x1
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\ImagePath = "\??\%Windows%\System32\main.sys"
當這個過程完成時,原始生成的檔案就會被刪除。
系統下一次重啟時,main.sys 檔案會生成%Windows%\System32\wsys.dll檔案,還會修改系統檔案%Windows%\System32\winlogon.exe,隨後main.sys 檔案被刪除。
修改winlogon.exe檔案會引起它在用戶登入或者winlogon.exe重啟時訪問到wsys.dll的一個功能。這個命令會生成%Temp%\imapi.exe檔案並運行它。
註:Cutwail.M有時作為同一可運行程式存在,例如imapi.exe,可能使用不同的檔案名稱。
病毒檔案imapi.exe 會生成以下檔案%Temp%\<number >.sys 和 %Temp%\services.exe。<number> 依據系統最後重啟的時間。
<number>.sys檔案被刪除前作為一個驅動程式載入到kernel memory 中。
隨後運行services.exe,這是一個下載器程式。當imapi.exe 和 services.exe 運行完,它們也會被刪除,但是會在下次重啟時通過wsys.dll 再次生成。
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
清除
KILL安全胄甲Vet 30.6.3452版本可檢測/清除此病毒。
各大防毒軟體都可以清除。