Trojan Cutwail ukrywa się i broni się
Cutwail posiada również funkcje rootkita trojana, więc wykrycie i usunięcie go nie jest łatwym zadaniem.
A Cutwail Trojany robią wiele, aby jak najdłużej utrzymać go w ukryciu w zainfekowanym systemie. Jeśli zostanie wykryty, wprowadzi tak wiele zmian w systemie Windows, że możesz mieć trudności z jego usunięciem. Dzieje się tak, ponieważ trojan infekuje również różne pliki systemowe w systemie Windows i ukrywa się za różnymi procesami systemowymi. Niszczy ważne pliki, takie jak winlogon.exe.
Trojan potrafi aktualizować się przez Internet, a także pobierać różne złośliwe oprogramowanie.
Po uruchomieniu trojan Cutwail wykonuje następujące działania:
- Utwórz następujące pliki w katalogu Windows System32 lub Temp:
[liczby losowe] .sys
cel90xbe.sys
przywróć.sys - Tworzy usługę Windows o jednej z następujących nazw:
IP6Fw
Wykrywanie sieci
Secdrv - W niektórych przypadkach kopiuje plik runtime.sys na dysk C: \, a następnie ładuje go do pamięci.
- Do bazy danych rejestracyjnych dodawane są następujące wpisy:
HKLM \ SYSTEM \ CurrentControlSet \ Usługi \\\ untime \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Usługi \\\ untime \ ImagePath =
"\ ?? \% Windows% \ System32 \ drivers \\\ untime.sys" - Infekuje proces związany z Internet Explorerem.
- Próbuje aktualizować się przez Internet, a także pobierać różne złośliwe pliki.
- Do bazy danych rejestracyjnych dodawane są następujące wpisy:
HKLM \ SYSTEM \ CurrentControlSet \ Usługi \\\ untime2 \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Usługi \\\ untime2 \ ErrorControl = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Usługi \\\ untime2 \ ImagePath =
"> \ ?? \% Windows% \ System32 \ sterowniki \\\ untime2.sys" - Ładuje plik runtime2.sys do pamięci.
- Tworzy następujące wpisy w bazie danych rejestracji:
HKLM \ SYSTEM \ CurrentControlSet \ Usługi \\\ untime2 \ ImagePath =
"\ SystemRoot \ system32 \ drivers \\\ untime2.sys"
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Usługi \\\ untime2 \ Start = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ DependOnGroup = „System plików”
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\\\untime2.sys\
(Domyślnie) = „Kierowca”
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ \ \ untime2.sys \
(Domyślnie) = „Kierowca”
HKLM \ OPROGRAMOWANIE \ Microsoft \ Windows \ Bieżąca wersja \ Run \ startdrv
= "% Windows% \ Temp \ startdrv.exe" - Modyfikuje lub usuwa plik systemowy %Windows%\System32\winlogon.exe.
- Usuwa plik o nazwie imapi.exe (jeśli istnieje).