特洛伊病毒Win32.Cutwail.GE--中文百科全书

感染方式

Cutwail运行时，生成一个驱动程式档案%Windows%\System32\main.sys，并生成以下注册表键值：

HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\Start = 0x1

HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\Type = 0x1

HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\ErrorControl = 0x1

HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\ImagePath = \??\%Windows%\System32\main.sys

一些变体使用以下键值替代上面这些键值：

HKLM\SYSTEM\CurrentControlSet\Services\main1\

一些变体生成一个档案%Windows%\System32\reg.sys，并作为一个驱动程式载入到kernel memory中。

一旦完成这个过程，原始生成的档案就会被删除。

系统下一次重启时，main.sys 档案会生成%Windows%\System32\wsys.dll档案，还会修改系统档案%Windows%\System32\winlogon.exe，随后main.sys 档案被删除。

在运行正常的winlogon.exe代码之前，修改winlogon.exe档案会引起它在用户登入或者winlogon.exe重启时访问到wsys.dll的一个功能。这个命令会生成%Temp%\imapi.exe档案并运行它。一些变体将这个档案生成到%Windows%\System32\drivers目录，也可能使用svchost.exe档案名称，或者两个都用。

注：Cutwail 有时作为同一可运行程式存在，例如imapi.exe，可能使用不同的档案名称。

病毒档案imapi.exe 在%Temp%或Windows%\System32\drivers 目录生成一个或者两个档案。

第一个档案可能是以下档案名称：

.sys

cel90xbe.sys

restore.sys

ip6fw.sys

netdtect.sys

这些实例的前3个档案，在被删除之前，档案载入到kernel memory中。后两个档案作为一个服务被安装，服务名称为Ip6Fw 或 NetDetect respectively。

第二个档案，如果存在，就被命名为runtime.sys，并作为一个驱动程式载入到kernel memory 中，还会生成以下注册表键值：

HKLM\SYSTEM\CurrentControlSet\Services\Runtime\Start = 0x1

HKLM\SYSTEM\CurrentControlSet\Services\Runtime\Type = 0x1

HKLM\SYSTEM\CurrentControlSet\Services\Runtime\ErrorControl = 0x1

HKLM\SYSTEM\CurrentControlSet\Services\Runtime\ImagePath = \??\%Windows%\System32\drivers\runtime.sys

还有一个下载器的代码，在危害中有此描述。早期的变体将这个档案写入%Temp%目录，档案名称一般为wuauclt.exe。使用过的档案名称包括services.exe 和 systems_.exe。很多变体不将这个代码保存到磁碟，但是会注入到Internet Explorer程式中。

一旦imapi.exe （和如果存在的下载器档案）已经完成运行，它们也会被删除，但是会在下次登入时通过wsys.dll档案再次生成并运行。

注：'%System%'是一个可变的路径。病毒通过查询作业系统来决定System资料夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。