请输入您要查询的百科知识:

 

词条 特洛伊病毒Win32.Cutwail.GH
释义

病毒名称:特洛伊病毒Win32.Cutwail.GH

其它名称:TROJ_DLOADER.AMT (Trend), TROJ_Hacktool.Rootkit (Symantec)

病毒属性:特洛伊木马 危害性:中等危害 流行程度:

具体介绍:

病毒特性:

Win32/Cutwail.GH是一种带有rootkit功能的特洛伊病毒,能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件,将它们保存到磁盘或者注入其它的程序。同时,这些文件被用来发送大量的邮件和更新Cutwail的最新变体。

感染方式:

Cutwail运行时,生成一个驱动程序文件%Windows%\\System32\\main.sys,并生成以下注册表键值:

HKLM\\SYSTEM\\CurrentControlSet\\Services\\EXAMPLE\\Start = 0x1

HKLM\\SYSTEM\\CurrentControlSet\\Services\\EXAMPLE\\Type = 0x1

HKLM\\SYSTEM\\CurrentControlSet\\Services\\EXAMPLE\\ErrorControl = 0x1

HKLM\\SYSTEM\\CurrentControlSet\\Services\\EXAMPLE\\ImagePath = "\\??\\%Windows%\\System32\\main.sys"

一些变体使用以下键值替代上面这些键值:

HKLM\\SYSTEM\\CurrentControlSet\\Services\\main1\\

一些变体生成一个文件%Windows%\\System32\\reg.sys,并作为一个驱动程序加载到kernel memory中。

一旦完成这个过程,原始生成的文件就会被删除。

系统下一次重启时,main.sys 文件会生成%Windows%\\System32\\wsys.dll文件,还会修改系统文件%Windows%\\System32\\winlogon.exe,随后main.sys 文件被删除。

在运行正常的winlogon.exe代码之前,修改winlogon.exe文件会引起它在用户登陆或者winlogon.exe重启时访问到wsys.dll的一个功能。这个命令会生成%Temp%\\imapi.exe文件并运行它。一些变体将这个文件生成到%Windows%\\System32\\drivers目录,也可能使用svchost.exe文件名,或者两个都用。

注:Cutwail 有时作为同一可运行程序存在,例如imapi.exe,可能使用不同的文件名。

病毒文件imapi.exe 在%Temp%或Windows%\\System32\\drivers 目录生成一个或者两个文件。

第一个文件可能是以下文件名:

<number>.sys

cel90xbe.sys

restore.sys

ip6fw.sys

netdtect.sys

这些实例的前3个文件,在被删除之前,文件加载到kernel memory中。后两个文件作为一个服务被安装,服务名称为Ip6Fw 或 NetDetect respectively。

第二个文件,如果存在,就被命名为runtime.sys,并作为一个驱动程序加载到kernel memory 中,还会生成以下注册表键值:

HKLM\\SYSTEM\\CurrentControlSet\\Services\\Runtime\\Start = 0x1

HKLM\\SYSTEM\\CurrentControlSet\\Services\\Runtime\\Type = 0x1

HKLM\\SYSTEM\\CurrentControlSet\\Services\\Runtime\\ErrorControl = 0x1

HKLM\\SYSTEM\\CurrentControlSet\\Services\\Runtime\\ImagePath = "\\??\\%Windows%\\System32\\drivers\\runtime.sys"

还有一个下载器的代码,在危害中有此描述。早期的变体将这个文件写入%Temp%目录,文件名一般为wuauclt.exe。使用过的文件名包括services.exe 和 systems_.exe。很多变体不将这个代码保存到磁盘,但是会注入到Internet Explorer程序中。

一旦imapi.exe (和如果存在的下载器文件) 已经完成运行,它们也会被删除,但是会在下次登陆时通过wsys.dll文件再次生成并运行。

注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。

危害:

下载并运行任意文件

Cutwail 发送很多信息到以下4个服务器中的一个,并尝试下载一个文件:

66.246.252.213

67.18.114.98

74.52.122.130

208.66.194.221

如果失败,它就会尝试列表中的其它服务器。一些变体连接managed.unexpand.com上的服务器。

下载的文件包含一个或者更多的编码运行程序。每个可运行程序可能保存到%Temp%/<number>.exe,并运行,或者注入Internet Explorer程序中,并不写入磁盘。

Cutwail一般被最近的变体下载、保存和运行。它还会注入到3个可运行程序中并不保存它们。这些文件通常允许发送大量的邮件,但是能够改变下载变化的内容。

发送大量的邮件

一个可运行程序从%UserProfile%目录和所有子目录中的文件获取邮件地址。它搜索带有以下扩展名的文件:

.txt

.adb

.asp

.dbx

.eml

.fpt

.htm

.inb

.mbx

.php

.pmr

.sht

.tbb

.wab

获取的地址保存到C:\\as.txt,并发送到208.66.195.169。

第二个运行程序连接216.195.58.17服务器,返回一个web服务器列表,搜索信息,用来生成邮件主题和内容。

第三个可运行程序连接208.66.195.162服务器,可能提供邮件的收件人和邮件的其它信息,随后尝试发送邮件给这些收件人。

Rootkit 功能

Cutwail的 rootkit 功能显示为防止安全和监控程序修改注册表,可能监控一个正在运行的程序列表。

清除:

KILL防病毒软件最新版本可检测/清除此病毒。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/11/16 0:50:16