特洛伊病毒Win32.Cutwail.GI

Win32/Cutwail.GI也叫Trojan.Pandex (Symantec), Trojan.TrojanDropper:Win32/Cutwail.AA (MS OneCare)是一种带有rootkit功能的特洛伊病毒，能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件，将它们保存到磁盘或者注入其它的程序。同时，这些文件被用来发送大量的邮件和更新Cutwail的最新变体。

病毒名称：特洛伊病毒Win32/Cutwail.GI

病毒属性：特洛伊木马 危害性：中等危害 流行程度：

感染方式：

Cutwail运行时，生成一个驱动程序文件%Windows%\\System32\\main.sys，并生成以下注册表键值：

HKLM\\SYSTEM\\CurrentControlSet\\Services\\EXAMPLE\\Start = 0x1

HKLM\\SYSTEM\\CurrentControlSet\\Services\\EXAMPLE\\Type = 0x1

HKLM\\SYSTEM\\CurrentControlSet\\Services\\EXAMPLE\\ErrorControl = 0x1

HKLM\\SYSTEM\\CurrentControlSet\\Services\\EXAMPLE\\ImagePath = "\\??\\%Windows%\\System32\\main.sys"

一些变体使用以下键值替代上面这些键值：

HKLM\\SYSTEM\\CurrentControlSet\\Services\\main1\\

一些变体生成一个文件%Windows%\\System32\\reg.sys，并作为一个驱动程序加载到kernel memory中。

一旦完成这个过程，原始生成的文件就会被删除。

系统下一次重启时，main.sys 文件会生成%Windows%\\System32\\wsys.dll文件，还会修改系统文件%Windows%\\System32\\winlogon.exe，随后main.sys 文件被删除。

在运行正常的winlogon.exe代码之前，修改winlogon.exe文件会引起它在用户登陆或者winlogon.exe重启时访问到wsys.dll的一个功能。这个命令会生成%Temp%\\imapi.exe文件并运行它。一些变体将这个文件生成到%Windows%\\System32\\drivers目录，也可能使用svchost.exe文件名，或者两个都用。

注：Cutwail 有时作为同一可运行程序存在，例如imapi.exe，可能使用不同的文件名。

病毒文件imapi.exe 在%Temp%或Windows%\\System32\\drivers 目录生成一个或者两个文件。

第一个文件可能是以下文件名：

<number>.sys

cel90xbe.sys

restore.sys

ip6fw.sys

netdtect.sys

这些实例的前3个文件，在被删除之前，文件加载到kernel memory中。后两个文件作为一个服务被安装，服务名称为Ip6Fw 或 NetDetect respectively。

第二个文件，如果存在，就被命名为runtime.sys，并作为一个驱动程序加载到kernel memory 中，还会生成以下注册表键值：

HKLM\\SYSTEM\\CurrentControlSet\\Services\\Runtime\\Start = 0x1

HKLM\\SYSTEM\\CurrentControlSet\\Services\\Runtime\\Type = 0x1

HKLM\\SYSTEM\\CurrentControlSet\\Services\\Runtime\\ErrorControl = 0x1

HKLM\\SYSTEM\\CurrentControlSet\\Services\\Runtime\\ImagePath = "\\??\\%Windows%\\System32\\drivers\\runtime.sys"

还有一个下载器的代码，在危害中有此描述。早期的变体将这个文件写入%Temp%目录，文件名一般为wuauclt.exe。使用过的文件名包括services.exe 和 systems_.exe。很多变体不将这个代码保存到磁盘，但是会注入到Internet Explorer程序中。

一旦imapi.exe （和如果存在的下载器文件） 已经完成运行，它们也会被删除，但是会在下次登陆时通过wsys.dll文件再次生成并运行。

注：''%System%''是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。

危害：

下载并运行任意文件

Cutwail 发送很多信息到以下4个服务器中的一个，并尝试下载一个文件：

66.246.252.213

67.18.114.98

74.52.122.130

208.66.194.221

如果失败，它就会尝试列表中的其它服务器。一些变体连接managed.unexpand.com上的服务器。

下载的文件包含一个或者更多的编码运行程序。每个可运行程序可能保存到%Temp%/<number>.exe，并运行，或者注入Internet Explorer程序中，并不写入磁盘。

Cutwail一般被最近的变体下载、保存和运行。它还会注入到3个可运行程序中并不保存它们。这些文件通常允许发送大量的邮件，但是能够改变下载变化的内容。

发送大量的邮件

一个可运行程序从%UserProfile%目录和所有子目录中的文件获取邮件地址。它搜索带有以下扩展名的文件：

.txt

.adb

.asp

.dbx

.eml

.fpt

.htm

.inb

.mbx

.php

.pmr

.sht

.tbb

.wab

获取的地址保存到C:\\as.txt，并发送到208.66.195.169。

第二个运行程序连接216.195.58.17服务器，返回一个web服务器列表，搜索信息，用来生成邮件主题和内容。

第三个可运行程序连接208.66.195.162服务器，可能提供邮件的收件人和邮件的其它信息，随后尝试发送邮件给这些收件人。

Rootkit 功能

Cutwail的 rootkit 功能显示为防止安全和监控程序修改注册表，可能监控一个正在运行的程序列表。

清除：

KILL防病毒软件最新版本可检测/清除此病毒。