基本内容

病毒名称：特洛伊病毒Win32.Cutwail.GE

其它名称：W32.Sality.AE (Symantec), W32/Sality.AJ (F-Secure), W32.Virus:Win32/Sality.AM (MS OneCare)

病毒属性：特洛伊木马 危害性：中等危害 流行程度：

具体介绍：

病毒特性：

Win32/Cutwail.GE是一种带有rootkit功能的特洛伊病毒，能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件，将它们保存到磁盘或者注入其它的程序。同时，这些文件被用来发送大量的邮件和更新Cutwail的最新变体。

感染方式：

Cutwail运行时，生成一个驱动程序文件%Windows%\System32\main.sys，并生成以下注册表键值：

HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\Start = 0x1

HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\Type = 0x1

HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\ErrorControl = 0x1

HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\ImagePath = "\??\%Windows%\System32\main.sys"

一些变体使用以下键值替代上面这些键值：

HKLM\SYSTEM\CurrentControlSet\Services\main1\

一些变体生成一个文件%Windows%\System32\reg.sys，并作为一个驱动程序加载到kernel memory中。

一旦完成这个过程，原始生成的文件就会被删除。

系统下一次重启时，main.sys 文件会生成%Windows%\System32\wsys.dll文件，还会修改系统文件%Windows%\System32\winlogon.exe，随后main.sys 文件被删除。

在运行正常的winlogon.exe代码之前，修改winlogon.exe文件会引起它在用户登陆或者winlogon.exe重启时访问到wsys.dll的一个功能。这个命令会生成%Temp%\imapi.exe文件并运行它。一些变体将这个文件生成到%Windows%\System32\drivers目录，也可能使用svchost.exe文件名，或者两个都用。