特洛伊病毒Win32.Cutwail.GE

Win32/Cutwail.GE是一種帶有rootkit功能的特洛伊病毒,能夠修改系統的winlogon.exe檔案。它可能用來下載並運行任意檔案,將它們保存到磁碟或者注入其它的程式。同時,這些檔案被用來傳送大量的郵件和更新Cutwail的最新變體。

基本介紹

  • 中文名:特洛伊病毒Win32.Cutwail.GE
  • 其他名稱:W32.Sality.AE (Symantec),等
  • 病毒屬性:特洛伊木馬
  • 危害程度:中等危害
感染方式,危害,下載並運行任意檔案,傳送大量的郵件,Rootkit 功能,清除:,

感染方式

Cutwail運行時,生成一個驅動程式檔案%Windows%\System32\main.sys,並生成以下註冊表鍵值
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\Start = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\Type = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\ErrorControl = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\ImagePath = "\??\%Windows%\System32\main.sys"
一些變體使用以下鍵值替代上面這些鍵值:
HKLM\SYSTEM\CurrentControlSet\Services\main1\
一些變體生成一個檔案%Windows%\System32\reg.sys,並作為一個驅動程式載入到kernel memory中。
一旦完成這個過程,原始生成的檔案就會被刪除。
系統下一次重啟時,main.sys 檔案會生成%Windows%\System32\wsys.dll檔案,還會修改系統檔案%Windows%\System32\winlogon.exe,隨後main.sys 檔案被刪除。
在運行正常的winlogon.exe代碼之前,修改winlogon.exe檔案會引起它在用戶登入或者winlogon.exe重啟時訪問到wsys.dll的一個功能。這個命令會生成%Temp%\imapi.exe檔案並運行它。一些變體將這個檔案生成到%Windows%\System32\drivers目錄,也可能使用svchost.exe檔案名稱,或者兩個都用。
註:Cutwail 有時作為同一可運行程式存在,例如imapi.exe,可能使用不同的檔案名稱。
病毒檔案imapi.exe 在%Temp%或Windows%\System32\drivers 目錄生成一個或者兩個檔案。
第一個檔案可能是以下檔案名稱:
<number>.sys
cel90xbe.sys
restore.sys
ip6fw.sys
netdtect.sys
這些實例的前3個檔案,在被刪除之前,檔案載入到kernel memory中。後兩個檔案作為一個服務被安裝,服務名稱為Ip6Fw 或 NetDetect respectively。
第二個檔案,如果存在,就被命名為runtime.sys,並作為一個驅動程式載入到kernel memory 中,還會生成以下註冊表鍵值
HKLM\SYSTEM\CurrentControlSet\Services\Runtime\Start = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\Runtime\Type = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\Runtime\ErrorControl = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\Runtime\ImagePath = "\??\%Windows%\System32\drivers\runtime.sys"
還有一個下載器的代碼,在危害中有此描述。早期的變體將這個檔案寫入%Temp%目錄,檔案名稱一般為wuauclt.exe。使用過的檔案名稱包括services.exe 和 systems_.exe。很多變體不將這個代碼保存到磁碟,但是會注入到Internet Explorer程式中。
一旦imapi.exe (和如果存在的下載器檔案) 已經完成運行,它們也會被刪除,但是會在下次登入時通過wsys.dll檔案再次生成並運行。
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。

危害

下載並運行任意檔案

Cutwail 傳送很多信息到以下4個伺服器中的一個,並嘗試下載一個檔案:
66.246.252.213
67.18.114.98
74.52.122.130
208.66.194.221
如果失敗,它就會嘗試列表中的其它伺服器。一些變體連線managed.unexpand.com上的伺服器。
下載的檔案包含一個或者更多的編碼運行程式。每個可運行程式可能保存到%Temp%/<number>.exe,並運行,或者注入Internet Explorer程式中,並不寫入磁碟。
Cutwail一般被最近的變體下載、保存和運行。它還會注入到3個可運行程式中並不保存它們。這些檔案通常允許傳送大量的郵件,但是能夠改變下載變化的內容。

傳送大量的郵件

一個可運行程式從%UserProfile%目錄和所有子目錄中的檔案獲取郵件地址。它搜尋帶有以下擴展名的檔案:
.txt
.adb
.asp
.dbx
.eml
.fpt
.htm
.inb
.mbx
.php
.pmr
.sht
.tbb
.wab
獲取的地址保存到C:\as.txt,並傳送到208.66.195.169。
第二個運行程式連線216.195.58.17伺服器,返回一個web伺服器列表,搜尋信息,用來生成郵件主題和內容。
第三個可運行程式連線208.66.195.162伺服器,可能提供郵件的收件人和郵件的其它信息,隨後嘗試傳送郵件給這些收件人。

Rootkit 功能

Cutwail的 rootkit 功能顯示為防止安全和監控程式修改註冊表,可能監控一個正在運行的程式列表。

清除:

KILL防病毒軟體最新版本可檢測/清除此病毒。

相關詞條

熱門詞條

聯絡我們