特洛伊病毒Win32.Cutwail.C
病毒名称:特洛伊病毒Win32.Cutwail.C
其它名称:Spy-Agent.bv.dr (McAfee), Cutwail C (CA Antispyware), Trojan.Pandex (Symantec), W32/Trojan.YKL (F-Secure), Trojan.Win32.Agent.ady (Kaspersky)
病毒属性:特洛伊木马 危害性:中等危害 流行程度:
具体介绍:
病毒特性:
Win32/Cutwail.C是一种带有rootkit功能的特洛伊病毒,能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件,将它们保存到磁盘或者注入其它的程序。同时,这些文件被用来发送大量的邮件和更新Cutwail的最新变体。
感染方式:
Cutwail.C生成两个驱动程序文件%Windows%System32main.sys 和 %Windows%System32
eg.sys,reg.sys 文件作为一个驱动程序加载到kernel memory中,并生成以下注册表键值:
HKLMSYSTEMCurrentControlSetServicesEXAMPLEStart = 1x1
HKLMSYSTEMCurrentControlSetServicesEXAMPLEType = 2x1
HKLMSYSTEMCurrentControlSetServicesEXAMPLEErrorControl = 3x1
HKLMSYSTEMCurrentControlSetServicesEXAMPLEImagePath = "??\%Windows%System32main.sys"
当这个过程完成时,原始生成的文件就会被删除。
系统下一次重启时,main.sys 文件会生成%Windows%System32wsys.dll文件,还会修改系统文件%Windows%System32winlogon.exe,随后main.sys 文件被删除。
修改winlogon.exe文件会引起它在用户登陆或者winlogon.exe重启时访问到wsys.dll的一个功能。这个命令会生成%Temp%imapi.exe文件并运行它。
注:Cutwail.M有时作为同一可运行程序存在,例如imapi.exe,可能使用不同的文件名。
病毒文件imapi.exe 会生成以下文件%Temp%<number >.sys 和 %Temp%services.exe。<number> 依据系统最后重启的时间。
<number>.sys文件被删除前作为一个驱动程序加载到kernel memory 中。
随后运行services.exe,这是一个下载器程序。当imapi.exe 和 services.exe 运行完,它们也会被删除,但是会在下次重启时通过wsys.dll 再次生成。
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。
危害:
下载并运行任意文件
Cutwail.C发送很多参数到以下4个服务器的任一服务器,并尝试下载文件:
67.18.114.98
74.52.122.130
208.66.194.179
208.66.194.241
如果失败,它就会尝试另一个服务器。
下载的文件包含一个或者更多的编码运行程序。每个可运行程序可能保存到%Temp%/<number>.exe,并运行,或者注入Internet Explorer程序中,并不写入磁盘。
Cutwail.C一般被最近的变体下载、保存和运行。它还会注入到一个可运行程序中并不保存它们。这些文件通常允许发送大量的邮件,但是能够改变下载变化的内容。
Rootkit 功能
Cutwail.C的 rootkit 功能显示为防止安全和监控程序修改注册表,可能监控一个正在运行的程序列表。
清除:
KILL安全胄甲Vet 30.6.3452版本可检测/清除此病毒。