词条 | 特洛伊病毒Win32.Cutwail.C |
释义 | 病毒名称特洛伊病毒Win32.Cutwail.C 其它名称:Spy-Agent.bv.dr (McAfee), Cutwail C (CA Antispyware), Trojan.Pandex (Symantec), W32/Trojan.YKL (F-Secure), Trojan.Win32.Agent.ady (Kaspersky) 病毒属性特洛伊木马 危害性:中等危害 流行程度: 中等 病毒特性Win32/Cutwail.C是一种带有rootkit功能的特洛伊病毒,能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件,将它们保存到磁盘或者注入其它的程序。同时,这些文件被用来发送大量的邮件和更新Cutwail的最新变体。 危害下载并运行任意文件 Cutwail.C发送很多参数到以下4个服务器的任一服务器,并尝试下载文件: 67.18.114.98 74.52.122.130 208.66.194.179 208.66.194.241 如果失败,它就会尝试另一个服务器。 下载的文件包含一个或者更多的编码运行程序。每个可运行程序可能保存到%Temp%/<number>.exe,并运行,或者注入Internet Explorer程序中,并不写入磁盘。 Cutwail.C一般被最近的变体下载、保存和运行。它还会注入到一个可运行程序中并不保存它们。这些文件通常允许发送大量的邮件,但是能够改变下载变化的内容。 Rootkit 功能 Cutwail.C的 rootkit 功能显示为防止安全和监控程序修改注册表,可能监控一个正在运行的程序列表。 感染方式Cutwail.C生成两个驱动程序文件%Windows%\\System32\\main.sys 和 %Windows%\\System32\\reg.sys,reg.sys 文件作为一个驱动程序加载到kernel memory中,并生成以下注册表键值: HKLM\\SYSTEM\\CurrentControlSet\\Services\\EXAMPLE\\Start = 1x1 HKLM\\SYSTEM\\CurrentControlSet\\Services\\EXAMPLE\\Type = 2x1 HKLM\\SYSTEM\\CurrentControlSet\\Services\\EXAMPLE\\ErrorControl = 3x1 HKLM\\SYSTEM\\CurrentControlSet\\Services\\EXAMPLE\\ImagePath = "\\??\\%Windows%\\System32\\main.sys" 当这个过程完成时,原始生成的文件就会被删除。 系统下一次重启时,main.sys 文件会生成%Windows%\\System32\\wsys.dll文件,还会修改系统文件%Windows%\\System32\\winlogon.exe,随后main.sys 文件被删除。 修改winlogon.exe文件会引起它在用户登陆或者winlogon.exe重启时访问到wsys.dll的一个功能。这个命令会生成%Temp%\\imapi.exe文件并运行它。 注:Cutwail.M有时作为同一可运行程序存在,例如imapi.exe,可能使用不同的文件名。 病毒文件imapi.exe 会生成以下文件%Temp%\\<number >.sys 和 %Temp%\\services.exe。<number> 依据系统最后重启的时间。 <number>.sys文件被删除前作为一个驱动程序加载到kernel memory 中。 随后运行services.exe,这是一个下载器程序。当imapi.exe 和 services.exe 运行完,它们也会被删除,但是会在下次重启时通过wsys.dll 再次生成。 注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。 清除KILL安全胄甲Vet 30.6.3452版本可检测/清除此病毒。 各大杀毒软件都可以清除。 |
随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。