基本介紹
- 中文名:特洛伊病毒Win32.Cutwail.GE
- 其他名稱:W32.Sality.AE (Symantec),等
- 病毒屬性:特洛伊木馬
- 危害程度:中等危害
感染方式,危害,下載並運行任意檔案,傳送大量的郵件,Rootkit 功能,清除:,
感染方式
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\Start = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\Type = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\ErrorControl = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\ImagePath = "\??\%Windows%\System32\main.sys"
一些變體使用以下鍵值替代上面這些鍵值:
HKLM\SYSTEM\CurrentControlSet\Services\main1\
一些變體生成一個檔案%Windows%\System32\reg.sys,並作為一個驅動程式載入到kernel memory中。
一旦完成這個過程,原始生成的檔案就會被刪除。
系統下一次重啟時,main.sys 檔案會生成%Windows%\System32\wsys.dll檔案,還會修改系統檔案%Windows%\System32\winlogon.exe,隨後main.sys 檔案被刪除。
在運行正常的winlogon.exe代碼之前,修改winlogon.exe檔案會引起它在用戶登入或者winlogon.exe重啟時訪問到wsys.dll的一個功能。這個命令會生成%Temp%\imapi.exe檔案並運行它。一些變體將這個檔案生成到%Windows%\System32\drivers目錄,也可能使用svchost.exe檔案名稱,或者兩個都用。
註:Cutwail 有時作為同一可運行程式存在,例如imapi.exe,可能使用不同的檔案名稱。
病毒檔案imapi.exe 在%Temp%或Windows%\System32\drivers 目錄生成一個或者兩個檔案。
第一個檔案可能是以下檔案名稱:
<number>.sys
cel90xbe.sys
restore.sys
ip6fw.sys
netdtect.sys
這些實例的前3個檔案,在被刪除之前,檔案載入到kernel memory中。後兩個檔案作為一個服務被安裝,服務名稱為Ip6Fw 或 NetDetect respectively。
第二個檔案,如果存在,就被命名為runtime.sys,並作為一個驅動程式載入到kernel memory 中,還會生成以下註冊表鍵值:
HKLM\SYSTEM\CurrentControlSet\Services\Runtime\Start = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\Runtime\Type = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\Runtime\ErrorControl = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\Runtime\ImagePath = "\??\%Windows%\System32\drivers\runtime.sys"
還有一個下載器的代碼,在危害中有此描述。早期的變體將這個檔案寫入%Temp%目錄,檔案名稱一般為wuauclt.exe。使用過的檔案名稱包括services.exe 和 systems_.exe。很多變體不將這個代碼保存到磁碟,但是會注入到Internet Explorer程式中。
一旦imapi.exe (和如果存在的下載器檔案) 已經完成運行,它們也會被刪除,但是會在下次登入時通過wsys.dll檔案再次生成並運行。
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
危害
下載並運行任意檔案
Cutwail 傳送很多信息到以下4個伺服器中的一個,並嘗試下載一個檔案:
66.246.252.213
67.18.114.98
74.52.122.130
208.66.194.221
如果失敗,它就會嘗試列表中的其它伺服器。一些變體連線managed.unexpand.com上的伺服器。
下載的檔案包含一個或者更多的編碼運行程式。每個可運行程式可能保存到%Temp%/<number>.exe,並運行,或者注入Internet Explorer程式中,並不寫入磁碟。
Cutwail一般被最近的變體下載、保存和運行。它還會注入到3個可運行程式中並不保存它們。這些檔案通常允許傳送大量的郵件,但是能夠改變下載變化的內容。
傳送大量的郵件
一個可運行程式從%UserProfile%目錄和所有子目錄中的檔案獲取郵件地址。它搜尋帶有以下擴展名的檔案:
.txt
.adb
.asp
.dbx
.eml
.fpt
.htm
.inb
.mbx
.php
.pmr
.sht
.tbb