病毒名称
特洛伊病毒Win32.Cutwail.C其它名称:Spy-Agent.bv.dr (McAfee), Cutwail C (CA Antispyware), Trojan.Pandex (Symantec), W32/Trojan.YKL (F-Secure), Trojan.Win32.Agent.ady (Kaspersky)
病毒特性
Win32/Cutwail.C是一种带有rootkit功能的特洛伊病毒,能够修改系统的winlogon.exe档案。它可能用来下载并运行任意档案,将它们保存到磁碟或者注入其它的程式。同时,这些档案被用来传送大量的邮件和更新Cutwail的最新变体。
危害
下载并运行任意档案
Cutwail.C传送很多参数到以下4个伺服器的任一伺服器,并尝试下载档案:
67.18.114.98
74.52.122.130
208.66.194.179
208.66.194.241
如果失败,它就会尝试另一个伺服器。
下载的档案包含一个或者更多的编码运行程式。每个可运行程式可能保存到%Temp%/
Cutwail.C一般被最近的变体下载、保存和运行。它还会注入到一个可运行程式中并不保存它们。这些档案通常允许传送大量的邮件,但是能够改变下载变化的内容。
Rootkit 功能
Cutwail.C的 rootkit 功能显示为防止安全和监控程式修改注册表,可能监控一个正在运行的程式列表。
感染方式
Cutwail.C生成两个驱动程式档案%Windows%\System32\main.sys 和 %Windows%\System32\reg.sys,reg.sys 档案作为一个驱动程式载入到kernel memory中,并生成以下注册表键值:
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\Start = 1x1
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\Type = 2x1
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\ErrorControl = 3x1
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\ImagePath = \??\%Windows%\System32\main.sys
当这个过程完成时,原始生成的档案就会被删除。
系统下一次重启时,main.sys 档案会生成%Windows%\System32\wsys.dll档案,还会修改系统档案%Windows%\System32\winlogon.exe,随后main.sys 档案被删除。
修改winlogon.exe档案会引起它在用户登入或者winlogon.exe重启时访问到wsys.dll的一个功能。这个命令会生成%Temp%\imapi.exe档案并运行它。
注:Cutwail.M有时作为同一可运行程式存在,例如imapi.exe,可能使用不同的档案名称。
病毒档案imapi.exe 会生成以下档案%Temp%\
随后运行services.exe,这是一个下载器程式。当imapi.exe 和 services.exe 运行完,它们也会被删除,但是会在下次重启时通过wsys.dll 再次生成。
注:'%System%'是一个可变的路径。病毒通过查询作业系统来决定System资料夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
清除
KILL安全胄甲Vet 30.6.3452版本可检测/清除此病毒。
各大防毒软体都可以清除。
