giovedì 18 novembre 2010

W32 / Cutwail







Enciclopedia voce
Aggiornato: 2 GIUGNO 2010 | Pubblicato: Nov 29, 2007

Alias
Non disponibile

Livello d'allarme
Alto

Protezione antimalware dettagli
Microsoft consiglia di scaricare le ultime definizioni per ottenere protezione.

Riepilogo
Win32/Cutwail è un Trojan che scarica ed esegue file arbitrari. I file scaricati possono essere eseguiti dal disco o iniettati direttamente in altri processi. Mentre la funzionalità dei file che vengono scaricati è variabile, Cutwail di solito scarica un Trojan in grado di inviare spam. Cutwail impiega anche un rootkit e altre tecniche difensive per evitare il rilevamento e la rimozione.

Sintomi
Sistema cambia

Win32/Cutwail utilizza funzionalità stealth avanzate (rootkit), al fine di nascondere la sua presenza. Quindi, è improbabile che alcuni sintomi di una infezione Win32/Cutwail sarebbe ovvia (o anche accertabile) ad un utente interessato.

Installazione

Quando viene eseguito Cutwail, tenta di eliminare un driver di dispositivo a disco, sovrascrivendo l'originale legittimo. Il nome del file è diverso a seconda della versione del sistema operativo del computer interessato Il nome del file può essere utilizzato uno dei seguenti.:

% SystemRoot% \ System32 \ drivers \ ip6fw.sys
% SystemRoot% \ System32 \ drivers \ secdrv.sys
% SystemRoot% \ System32 \ drivers \ netdtect.sys

Cutwail quindi tenta di avviare il relativo driver del kernel per nome:
Ip6Fw
Secdrv
NetDetect

Questo driver tenta di ripristinare il sistema vari ganci al loro stato originale sganciato. Ad esempio, ogni System Service Descriptor Table (SSDT) gancio sarà ripristinato. In questo modo, Cutwail può essere in grado di eludere le applicazioni di sicurezza o anche altri tipi di malware che possono essere installati sul sistema.

Carico utile

Cutwail si installa attraverso le modifiche del Registro di sistema (per esempio):

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ runtime \ ImagePath = "\ \ \ \ C:? \ \ WINDOWS \ \ System32 \ drivers \ \ runtime.sys"
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ runtime \ Type = 0x1
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ runtime \ Start = 0x3

E 'quindi carica il driver. Questo driver è in grado di effettuare processi ad azione furtiva manipolando direttamente la struttura EPROCESS.

Cutwail tenta di avviare una copia di Internet Explorer dal seguente percorso:
% ProgramFiles% \ Internet Explorer \ iexplore.exe

Tenta di connettersi ad uno dei seguenti host remoto per scaricare un pacchetto software.
66.246.72.173
67.18.114.98
208.66.194.241
66.246.252.213
66.246.252.215
208.66.194.234

Cutwail crea un file durante il processo di download, selezionando il nome a caso dall'elenco seguente:
% Windir% \ system32 \ 9_exception.nls
% Windir% \ system32 \ 8_exception.nls
% Windir% \ system32 \ 7_exception.nls
% Windir% \ system32 \ 6_exception.nls
% Windir% \ system32 \ 5_exception.nls
% Windir% \ system32 \ 4_exception.nls
% Windir% \ system32 \ 3_exception.nls
% Windir% \ system32 \ 2_exception.nls
% Windir% \ system32 \ 1_exception.nls
% Windir% \ system32 \ 0_exception.nls

Cutwail può anche creare il valore del Registro di sistema seguente chiave:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Themes \ LastTheme \ Ultimo

Executables all'interno del bundle software scaricati possono essere scritti su disco o iniettati direttamente in Internet Explorer. Coloro che sono scritti su disco, viene dato un nome di file casuale numerico e sono scritti nella directory% temp%, ad esempio,% temp% \ 1193135.exe

Fonte: Microsoft

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...