Enciclopedia voce
Aggiornato: 2 GIUGNO 2010 | Pubblicato: Nov 29, 2007
Alias
Non disponibile
Livello d'allarme
Alto
Protezione antimalware dettagli
Microsoft consiglia di scaricare le ultime definizioni per ottenere protezione.
Riepilogo
Win32/Cutwail è un Trojan che scarica ed esegue file arbitrari. I file scaricati possono essere eseguiti dal disco o iniettati direttamente in altri processi. Mentre la funzionalità dei file che vengono scaricati è variabile, Cutwail di solito scarica un Trojan in grado di inviare spam. Cutwail impiega anche un rootkit e altre tecniche difensive per evitare il rilevamento e la rimozione.
Sintomi
Sistema cambia
Win32/Cutwail utilizza funzionalità stealth avanzate (rootkit), al fine di nascondere la sua presenza. Quindi, è improbabile che alcuni sintomi di una infezione Win32/Cutwail sarebbe ovvia (o anche accertabile) ad un utente interessato.
Installazione
Quando viene eseguito Cutwail, tenta di eliminare un driver di dispositivo a disco, sovrascrivendo l'originale legittimo. Il nome del file è diverso a seconda della versione del sistema operativo del computer interessato Il nome del file può essere utilizzato uno dei seguenti.:
% SystemRoot% \ System32 \ drivers \ ip6fw.sys
% SystemRoot% \ System32 \ drivers \ secdrv.sys
% SystemRoot% \ System32 \ drivers \ netdtect.sys
Cutwail quindi tenta di avviare il relativo driver del kernel per nome:
Ip6Fw
Secdrv
NetDetect
Questo driver tenta di ripristinare il sistema vari ganci al loro stato originale sganciato. Ad esempio, ogni System Service Descriptor Table (SSDT) gancio sarà ripristinato. In questo modo, Cutwail può essere in grado di eludere le applicazioni di sicurezza o anche altri tipi di malware che possono essere installati sul sistema.
Carico utile
Cutwail si installa attraverso le modifiche del Registro di sistema (per esempio):
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ runtime \ ImagePath = "\ \ \ \ C:? \ \ WINDOWS \ \ System32 \ drivers \ \ runtime.sys"
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ runtime \ Type = 0x1
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ runtime \ Start = 0x3
E 'quindi carica il driver. Questo driver è in grado di effettuare processi ad azione furtiva manipolando direttamente la struttura EPROCESS.
Cutwail tenta di avviare una copia di Internet Explorer dal seguente percorso:
% ProgramFiles% \ Internet Explorer \ iexplore.exe
Tenta di connettersi ad uno dei seguenti host remoto per scaricare un pacchetto software.
66.246.72.173
67.18.114.98
208.66.194.241
66.246.252.213
66.246.252.215
208.66.194.234
Cutwail crea un file durante il processo di download, selezionando il nome a caso dall'elenco seguente:
% Windir% \ system32 \ 9_exception.nls
% Windir% \ system32 \ 8_exception.nls
% Windir% \ system32 \ 7_exception.nls
% Windir% \ system32 \ 6_exception.nls
% Windir% \ system32 \ 5_exception.nls
% Windir% \ system32 \ 4_exception.nls
% Windir% \ system32 \ 3_exception.nls
% Windir% \ system32 \ 2_exception.nls
% Windir% \ system32 \ 1_exception.nls
% Windir% \ system32 \ 0_exception.nls
Cutwail può anche creare il valore del Registro di sistema seguente chiave:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Themes \ LastTheme \ Ultimo
Executables all'interno del bundle software scaricati possono essere scritti su disco o iniettati direttamente in Internet Explorer. Coloro che sono scritti su disco, viene dato un nome di file casuale numerico e sono scritti nella directory% temp%, ad esempio,% temp% \ 1193135.exe
Nessun commento:
Posta un commento