特洛伊病毒Win32.Cutwail.C

病毒名称：特洛伊病毒Win32.Cutwail.C

其它名称：Spy-Agent.bv.dr (McAfee), Cutwail C (CA Antispyware), Trojan.Pandex (Symantec), W32/Trojan.YKL (F-Secure), Trojan.Win32.Agent.ady (Kaspersky)

病毒属性：特洛伊木马 危害性：中等危害 流行程度：

具体介绍：

病毒特性：

Win32/Cutwail.C是一种带有rootkit功能的特洛伊病毒，能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件，将它们保存到磁盘或者注入其它的程序。同时，这些文件被用来发送大量的邮件和更新Cutwail的最新变体。

感染方式：

Cutwail.C生成两个驱动程序文件%Windows%System32main.sys 和 %Windows%System32

eg.sys，reg.sys 文件作为一个驱动程序加载到kernel memory中，并生成以下注册表键值：

HKLMSYSTEMCurrentControlSetServicesEXAMPLEStart = 1x1

HKLMSYSTEMCurrentControlSetServicesEXAMPLEType = 2x1

HKLMSYSTEMCurrentControlSetServicesEXAMPLEErrorControl = 3x1

HKLMSYSTEMCurrentControlSetServicesEXAMPLEImagePath = "??\%Windows%System32main.sys"

当这个过程完成时，原始生成的文件就会被删除。

系统下一次重启时，main.sys 文件会生成%Windows%System32wsys.dll文件，还会修改系统文件%Windows%System32winlogon.exe，随后main.sys 文件被删除。

修改winlogon.exe文件会引起它在用户登陆或者winlogon.exe重启时访问到wsys.dll的一个功能。这个命令会生成%Temp%imapi.exe文件并运行它。

注：Cutwail.M有时作为同一可运行程序存在，例如imapi.exe，可能使用不同的文件名。

病毒文件imapi.exe 会生成以下文件%Temp%<number >.sys 和 %Temp%services.exe。<number> 依据系统最后重启的时间。

<number>.sys文件被删除前作为一个驱动程序加载到kernel memory 中。

随后运行services.exe，这是一个下载器程序。当imapi.exe 和 services.exe 运行完，它们也会被删除，但是会在下次重启时通过wsys.dll 再次生成。

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。

危害：

下载并运行任意文件

Cutwail.C发送很多参数到以下4个服务器的任一服务器，并尝试下载文件：

67.18.114.98

74.52.122.130

208.66.194.179

208.66.194.241

如果失败，它就会尝试另一个服务器。

下载的文件包含一个或者更多的编码运行程序。每个可运行程序可能保存到%Temp%/<number>.exe，并运行，或者注入Internet Explorer程序中，并不写入磁盘。

Cutwail.C一般被最近的变体下载、保存和运行。它还会注入到一个可运行程序中并不保存它们。这些文件通常允许发送大量的邮件，但是能够改变下载变化的内容。

Rootkit 功能

Cutwail.C的 rootkit 功能显示为防止安全和监控程序修改注册表，可能监控一个正在运行的程序列表。

清除：

KILL安全胄甲Vet 30.6.3452版本可检测/清除此病毒。