Win32/Cutwail.GF是一種帶有rootkit功能的特洛伊病毒,能夠修改系統的winlogon.exe檔案。它可能用來下載並運行任意檔案,將它們保存到磁碟或者注入其它的程式。同時,這些檔案被用來傳送大量的郵件和更新Cutwail的最新變體。
基本介紹
- 中文名:特洛伊病毒Win32.Cutwail.GF
- 外文名:Troj/Cutwail (McAfee)
- 病毒屬性:特洛伊木馬
- 危害性:中等危害
簡介,感染方式,
簡介
病毒名稱:特洛伊病毒Win32.Cutwail.GF
其它名稱:Troj/Cutwail (McAfee), TROJ_DLOADER.AMT (Trend), W32/Downldr2.BXDR (exact) (F-Secure), Troj/DownLD-Z (Sophos), Troj/Downloader (Symantec), Troj/TrojanDownloader:Win32/Cutwail.S (MS OneCare)
流行程度:
具體介紹:
感染方式
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\Start = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\Type = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\ErrorControl = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\ImagePath = "\??\%Windows%\System32\main.sys"
一些變體使用以下鍵值替代上面這些鍵值:
HKLM\SYSTEM\CurrentControlSet\Services\main1\
一些變體生成一個檔案%Windows%\System32\reg.sys,並作為一個驅動程式載入到kernel memory中。
一旦完成這個過程,原始生成的檔案就會被刪除。
系統下一次重啟時,main.sys 檔案會生成%Windows%\System32\wsys.dll檔案,還會修改系統檔案%Windows%\System32\winlogon.exe,隨後main.sys 檔案被刪除。
在運行正常的winlogon.exe代碼之前,修改winlogon.exe檔案會引起它在用戶登入或者winlogon.exe重啟時訪問到wsys.dll的一個功能。這個命令會生成%Temp%\imapi.exe檔案並運行它。一些變體將這個檔案生成到%Windows%\System32\drivers目錄,也可能使用svchost.exe檔案名稱,或者兩個都用。
註:Cutwail 有時作為同一可運行程式存在,例如imapi.exe,可能使用不同的檔案名稱。
病毒檔案imapi.exe 在%Temp%或Windows%\System32\drivers 目錄生成一個或者兩個檔案。
第一個檔案可能是以下檔案名稱:
<number>.sys
cel90xbe.sys
restore.sys
ip6fw.sys
netdtect.sys
這些實例的前3個檔案,在被刪除之前,檔案載入到kernel memory中。後兩個檔案作為一個服務被安裝,服務名稱為Ip6Fw 或 NetDetect respectively。
第二個檔案,如果存在,就被命名為runtime.sys,並作為一個驅動程式載入到kernel memory 中,還會生成以下註冊表鍵值:
HKLM\SYSTEM\CurrentControlSet\Services\Runtime\Start = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\Runtime\Type = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\Runtime\ErrorControl = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\Runtime\ImagePath = "\??\%Windows%\System32\drivers\runtime.sys"
還有一個下載器的代碼,在危害中有此描述。早期的變體將這個檔案寫入%Temp%目錄,檔案名稱一般為wuauclt.exe。使用過的檔案名稱包括services.exe 和 systems_.exe。很多變體不將這個代碼保存到磁碟,但是會注入到Internet Explorer程式中。
一旦imapi.exe (和如果存在的下載器檔案) 已經完成運行,它們也會被刪除,但是會在下次登入時通過wsys.dll檔案再次生成並運行。
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
危害:
下載並運行任意檔案
Cutwail 傳送很多信息到以下4個伺服器中的一個,並嘗試下載一個檔案:
66.246.252.213
67.18.114.98
74.52.122.130
208.66.194.221
如果失敗,它就會嘗試列表中的其它伺服器。一些變體連線managed.unexpand.com上的伺服器。
下載的檔案包含一個或者更多的編碼運行程式。每個可運行程式可能保存到%Temp%/<number>.exe,並運行,或者注入Internet Explorer程式中,並不寫入磁碟。
Cutwail一般被最近的變體下載、保存和運行。它還會注入到3個可運行程式中並不保存它們。這些檔案通常允許傳送大量的郵件,但是能夠改變下載變化的內容。
傳送大量的郵件
一個可運行程式從%UserProfile%目錄和所有子目錄中的檔案獲取郵件地址。它搜尋帶有以下擴展名的檔案:
.txt
.adb
.asp
.dbx
.eml
.fpt
.htm
.inb
.mbx
.php
.pmr
.sht
.tbb
.wab
獲取的地址保存到C:\as.txt,並傳送到208.66.195.169。
第二個運行程式連線216.195.58.17伺服器,返回一個web伺服器列表,搜尋信息,用來生成郵件主題和內容。
第三個可運行程式連線208.66.195.162伺服器,可能提供郵件的收件人和郵件的其它信息,隨後嘗試傳送郵件給這些收件人。
Rootkit 功能
Cutwail的 rootkit 功能顯示為防止安全和監控程式修改註冊表,可能監控一個正在運行的程式列表。
清除:
KILL防病毒軟體最新版本可檢測/清除此病毒。