特洛伊病毒Win32.Cutwail.GE
病毒名称:特洛伊病毒Win32.Cutwail.GE
其它名称:W32.Sality.AE (Symantec), W32/Sality.AJ (F-Secure), W32.Virus:Win32/Sality.AM (MS OneCare)
病毒属性:特洛伊木马 危害性:中等危害 流行程度:
具体介绍:
病毒特性:
Win32/Cutwail.GE是一种带有rootkit功能的特洛伊病毒,能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件,将它们保存到磁盘或者注入其它的程序。同时,这些文件被用来发送大量的邮件和更新Cutwail的最新变体。
感染方式:
Cutwail运行时,生成一个驱动程序文件%Windows%System32main.sys,并生成以下注册表键值:
HKLMSYSTEMCurrentControlSetServicesEXAMPLEStart = 0x1
HKLMSYSTEMCurrentControlSetServicesEXAMPLEType = 0x1
HKLMSYSTEMCurrentControlSetServicesEXAMPLEErrorControl = 0x1
HKLMSYSTEMCurrentControlSetServicesEXAMPLEImagePath = "??\%Windows%System32main.sys"
一些变体使用以下键值替代上面这些键值:
HKLMSYSTEMCurrentControlSetServicesmain1
一些变体生成一个文件%Windows%System32
eg.sys,并作为一个驱动程序加载到kernel memory中。
一旦完成这个过程,原始生成的文件就会被删除。
系统下一次重启时,main.sys 文件会生成%Windows%System32wsys.dll文件,还会修改系统文件%Windows%System32winlogon.exe,随后main.sys 文件被删除。
在运行正常的winlogon.exe代码之前,修改winlogon.exe文件会引起它在用户登陆或者winlogon.exe重启时访问到wsys.dll的一个功能。这个命令会生成%Temp%imapi.exe文件并运行它。一些变体将这个文件生成到%Windows%System32drivers目录,也可能使用svchost.exe文件名,或者两个都用。
注:Cutwail 有时作为同一可运行程序存在,例如imapi.exe,可能使用不同的文件名。
病毒文件imapi.exe 在%Temp%或Windows%System32drivers 目录生成一个或者两个文件。
第一个文件可能是以下文件名:
<number>.sys
cel90xbe.sys
restore.sys
ip6fw.sys
netdtect.sys
这些实例的前3个文件,在被删除之前,文件加载到kernel memory中。后两个文件作为一个服务被安装,服务名称为Ip6Fw 或 NetDetect respectively。
第二个文件,如果存在,就被命名为runtime.sys,并作为一个驱动程序加载到kernel memory 中,还会生成以下注册表键值:
HKLMSYSTEMCurrentControlSetServicesRuntimeStart = 0x1
HKLMSYSTEMCurrentControlSetServicesRuntimeType = 0x1
HKLMSYSTEMCurrentControlSetServicesRuntimeErrorControl = 0x1
HKLMSYSTEMCurrentControlSetServicesRuntimeImagePath = "??\%Windows%System32drivers
untime.sys"
还有一个下载器的代码,在危害中有此描述。早期的变体将这个文件写入%Temp%目录,文件名一般为wuauclt.exe。使用过的文件名包括services.exe 和 systems_.exe。很多变体不将这个代码保存到磁盘,但是会注入到Internet Explorer程序中。
一旦imapi.exe (和如果存在的下载器文件) 已经完成运行,它们也会被删除,但是会在下次登陆时通过wsys.dll文件再次生成并运行。
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。
危害:
下载并运行任意文件
Cutwail 发送很多信息到以下4个服务器中的一个,并尝试下载一个文件:
66.246.252.213
67.18.114.98
74.52.122.130
208.66.194.221
如果失败,它就会尝试列表中的其它服务器。一些变体连接managed.unexpand.com上的服务器。
下载的文件包含一个或者更多的编码运行程序。每个可运行程序可能保存到%Temp%/<number>.exe,并运行,或者注入Internet Explorer程序中,并不写入磁盘。
Cutwail一般被最近的变体下载、保存和运行。它还会注入到3个可运行程序中并不保存它们。这些文件通常允许发送大量的邮件,但是能够改变下载变化的内容。
发送大量的邮件
一个可运行程序从%UserProfile%目录和所有子目录中的文件获取邮件地址。它搜索带有以下扩展名的文件:
.txt
.adb
.asp
.dbx
.eml
.fpt
.htm
.inb
.mbx
.php
.pmr
.sht
.tbb
.wab
获取的地址保存到C:as.txt,并发送到208.66.195.169。
第二个运行程序连接216.195.58.17服务器,返回一个web服务器列表,搜索信息,用来生成邮件主题和内容。
第三个可运行程序连接208.66.195.162服务器,可能提供邮件的收件人和邮件的其它信息,随后尝试发送邮件给这些收件人。
Rootkit 功能
Cutwail的 rootkit 功能显示为防止安全和监控程序修改注册表,可能监控一个正在运行的程序列表。
清除:
KILL防病毒软件最新版本可检测/清除此病毒。