王朝百科
分享
 
 
 

特洛伊病毒Win32.Cutwail.GE

王朝百科·作者佚名  2010-04-20  
宽屏版  字体: |||超大  

病毒名称:特洛伊病毒Win32.Cutwail.GE

其它名称:W32.Sality.AE (Symantec), W32/Sality.AJ (F-Secure), W32.Virus:Win32/Sality.AM (MS OneCare)

病毒属性:特洛伊木马 危害性:中等危害 流行程度:

具体介绍:

病毒特性:

Win32/Cutwail.GE是一种带有rootkit功能的特洛伊病毒,能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件,将它们保存到磁盘或者注入其它的程序。同时,这些文件被用来发送大量的邮件和更新Cutwail的最新变体。

感染方式:

Cutwail运行时,生成一个驱动程序文件%Windows%System32main.sys,并生成以下注册表键值:

HKLMSYSTEMCurrentControlSetServicesEXAMPLEStart = 0x1

HKLMSYSTEMCurrentControlSetServicesEXAMPLEType = 0x1

HKLMSYSTEMCurrentControlSetServicesEXAMPLEErrorControl = 0x1

HKLMSYSTEMCurrentControlSetServicesEXAMPLEImagePath = "??\%Windows%System32main.sys"

一些变体使用以下键值替代上面这些键值:

HKLMSYSTEMCurrentControlSetServicesmain1

一些变体生成一个文件%Windows%System32

eg.sys,并作为一个驱动程序加载到kernel memory中。

一旦完成这个过程,原始生成的文件就会被删除。

系统下一次重启时,main.sys 文件会生成%Windows%System32wsys.dll文件,还会修改系统文件%Windows%System32winlogon.exe,随后main.sys 文件被删除。

在运行正常的winlogon.exe代码之前,修改winlogon.exe文件会引起它在用户登陆或者winlogon.exe重启时访问到wsys.dll的一个功能。这个命令会生成%Temp%imapi.exe文件并运行它。一些变体将这个文件生成到%Windows%System32drivers目录,也可能使用svchost.exe文件名,或者两个都用。

注:Cutwail 有时作为同一可运行程序存在,例如imapi.exe,可能使用不同的文件名。

病毒文件imapi.exe 在%Temp%或Windows%System32drivers 目录生成一个或者两个文件。

第一个文件可能是以下文件名:

<number>.sys

cel90xbe.sys

restore.sys

ip6fw.sys

netdtect.sys

这些实例的前3个文件,在被删除之前,文件加载到kernel memory中。后两个文件作为一个服务被安装,服务名称为Ip6Fw 或 NetDetect respectively。

第二个文件,如果存在,就被命名为runtime.sys,并作为一个驱动程序加载到kernel memory 中,还会生成以下注册表键值:

HKLMSYSTEMCurrentControlSetServicesRuntimeStart = 0x1

HKLMSYSTEMCurrentControlSetServicesRuntimeType = 0x1

HKLMSYSTEMCurrentControlSetServicesRuntimeErrorControl = 0x1

HKLMSYSTEMCurrentControlSetServicesRuntimeImagePath = "??\%Windows%System32drivers

untime.sys"

还有一个下载器的代码,在危害中有此描述。早期的变体将这个文件写入%Temp%目录,文件名一般为wuauclt.exe。使用过的文件名包括services.exe 和 systems_.exe。很多变体不将这个代码保存到磁盘,但是会注入到Internet Explorer程序中。

一旦imapi.exe (和如果存在的下载器文件) 已经完成运行,它们也会被删除,但是会在下次登陆时通过wsys.dll文件再次生成并运行。

注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。

危害:

下载并运行任意文件

Cutwail 发送很多信息到以下4个服务器中的一个,并尝试下载一个文件:

66.246.252.213

67.18.114.98

74.52.122.130

208.66.194.221

如果失败,它就会尝试列表中的其它服务器。一些变体连接managed.unexpand.com上的服务器。

下载的文件包含一个或者更多的编码运行程序。每个可运行程序可能保存到%Temp%/<number>.exe,并运行,或者注入Internet Explorer程序中,并不写入磁盘。

Cutwail一般被最近的变体下载、保存和运行。它还会注入到3个可运行程序中并不保存它们。这些文件通常允许发送大量的邮件,但是能够改变下载变化的内容。

发送大量的邮件

一个可运行程序从%UserProfile%目录和所有子目录中的文件获取邮件地址。它搜索带有以下扩展名的文件:

.txt

.adb

.asp

.dbx

.eml

.fpt

.htm

.inb

.mbx

.php

.pmr

.sht

.tbb

.wab

获取的地址保存到C:as.txt,并发送到208.66.195.169。

第二个运行程序连接216.195.58.17服务器,返回一个web服务器列表,搜索信息,用来生成邮件主题和内容。

第三个可运行程序连接208.66.195.162服务器,可能提供邮件的收件人和邮件的其它信息,随后尝试发送邮件给这些收件人。

Rootkit 功能

Cutwail的 rootkit 功能显示为防止安全和监控程序修改注册表,可能监控一个正在运行的程序列表。

清除:

KILL防病毒软件最新版本可检测/清除此病毒。

 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
如何用java替换看不见的字符比如零宽空格&#8203;十六进制U+200B
 干货   2023-09-10
网页字号不能单数吗,网页字体大小为什么一般都是偶数
 干货   2023-09-06
java.lang.ArrayIndexOutOfBoundsException: 4096
 干货   2023-09-06
Noto Sans CJK SC字体下载地址
 干货   2023-08-30
window.navigator和navigator的区别是什么?
 干货   2023-08-23
js获取referer、useragent、浏览器语言
 干货   2023-08-23
oscache遇到404时会不会缓存?
 干货   2023-08-23
linux下用rm -rf *删除大量文件太慢怎么解决?
 干货   2023-08-08
刀郎新歌破世界纪录!
 娱乐   2023-08-01
js实现放大缩小页面
 干货   2023-07-31
生成式人工智能服务管理暂行办法
 百态   2023-07-31
英语学习:过去完成时The Past Perfect Tense举例说明
 干货   2023-07-31
Mysql常用sql命令语句整理
 干货   2023-07-30
科学家复活了46000年前的虫子
 探索   2023-07-29
英语学习:过去进行时The Past Continuous Tense举例说明
 干货   2023-07-28
meta name="applicable-device"告知页面适合哪种终端设备:PC端、移动端还是自适应
 干货   2023-07-28
只用css如何实现打字机特效?
 百态   2023-07-15
css怎么实现上下滚动
 干货   2023-06-28
canvas怎么画一个三角形?
 干货   2023-06-28
canvas怎么画一个椭圆形?
 干货   2023-06-28
canvas怎么画一个圆形?
 干货   2023-06-28
canvas怎么画一个正方形?
 干货   2023-06-28
中国河南省郑州市金水区蜘蛛爬虫ip大全
 干货   2023-06-22
javascript简易动态时间代码
 干货   2023-06-20
感谢员工的付出和激励的话怎么说?
 干货   2023-06-18
 
>>返回首页<<
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
© 2005- 王朝网络 版权所有