特洛伊病毒Win32.Cutwail.C

Win32/Cutwail.GE是一種帶有rootkit功能的特洛伊病毒,能夠修改系統的winlogon.exe檔案。它可能用來下載並運行任意檔案,將它們保存到磁碟或者注入其它的程式。同時,這些檔案被用來傳送大量的郵件和更新Cutwail的最新變體。

病毒名稱

特洛伊病毒Win32.Cutwail.C

其它名稱:Spy-Agent.bv.dr (McAfee), Cutwail C (CA Antispyware), Trojan.Pandex (Symantec), W32/Trojan.YKL (F-Secure), Trojan.Win32.Agent.ady (Kaspersky)

病毒特性

Win32/Cutwail.C是一種帶有rootkit功能的特洛伊病毒,能夠修改系統的winlogon.exe檔案。它可能用來下載並運行任意檔案,將它們保存到磁碟或者注入其它的程式。同時,這些檔案被用來傳送大量的郵件和更新Cutwail的最新變體。

危害

下載並運行任意檔案

Cutwail.C傳送很多參數到以下4個伺服器的任一伺服器,並嘗試下載檔案:

67.18.114.98

74.52.122.130

208.66.194.179

208.66.194.241

如果失敗,它就會嘗試另一個伺服器。

下載的檔案包含一個或者更多的編碼運行程式。每個可運行程式可能保存到%Temp%/<number>.exe,並運行,或者注入Internet Explorer程式中,並不寫入磁碟。

Cutwail.C一般被最近的變體下載、保存和運行。它還會注入到一個可運行程式中並不保存它們。這些檔案通常允許傳送大量的郵件,但是能夠改變下載變化的內容。

Rootkit 功能

Cutwail.C的 rootkit 功能顯示為防止安全和監控程式修改註冊表,可能監控一個正在運行的程式列表。

感染方式

Cutwail.C生成兩個驅動程式檔案%Windows%\System32\main.sys 和 %Windows%\System32\reg.sys,reg.sys 檔案作為一個驅動程式載入到kernel memory中,並生成以下註冊表鍵值:

HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\Start = 1x1

HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\Type = 2x1

HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\ErrorControl = 3x1

HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\ImagePath = "\??\%Windows%\System32\main.sys"

當這個過程完成時,原始生成的檔案就會被刪除。

系統下一次重啟時,main.sys 檔案會生成%Windows%\System32\wsys.dll檔案,還會修改系統檔案%Windows%\System32\winlogon.exe,隨後main.sys 檔案被刪除。

修改winlogon.exe檔案會引起它在用戶登入或者winlogon.exe重啟時訪問到wsys.dll的一個功能。這個命令會生成%Temp%\imapi.exe檔案並運行它。

註:Cutwail.M有時作為同一可運行程式存在,例如imapi.exe,可能使用不同的檔案名稱。

病毒檔案imapi.exe 會生成以下檔案%Temp%\<number >.sys 和 %Temp%\services.exe。<number> 依據系統最後重啟的時間。

<number>.sys檔案被刪除前作為一個驅動程式載入到kernel memory 中。

隨後運行services.exe,這是一個下載器程式。當imapi.exe 和 services.exe 運行完,它們也會被刪除,但是會在下次重啟時通過wsys.dll 再次生成。

註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。

清除

KILL安全胄甲Vet 30.6.3452版本可檢測/清除此病毒。

各大防毒軟體都可以清除。

相關詞條

相關搜尋

熱門詞條

聯絡我們