Trojan Cutwail ukrywa się i broni się

Cutwail posiada również funkcje rootkita trojana, więc wykrycie i usunięcie go nie jest łatwym zadaniem.

A Cutwail Trojany robią wiele, aby jak najdłużej utrzymać go w ukryciu w zainfekowanym systemie. Jeśli zostanie wykryty, wprowadzi tak wiele zmian w systemie Windows, że możesz mieć trudności z jego usunięciem. Dzieje się tak, ponieważ trojan infekuje również różne pliki systemowe w systemie Windows i ukrywa się za różnymi procesami systemowymi. Niszczy ważne pliki, takie jak winlogon.exe.

Trojan potrafi aktualizować się przez Internet, a także pobierać różne złośliwe oprogramowanie.

Po uruchomieniu trojan Cutwail wykonuje następujące działania:

1. Utwórz następujące pliki w katalogu Windows System32 lub Temp:
   [liczby losowe] .sys
   cel90xbe.sys
   przywróć.sys
2. Tworzy usługę Windows o jednej z następujących nazw:
   IP6Fw
   Wykrywanie sieci
   Secdrv 
3. W niektórych przypadkach kopiuje plik runtime.sys na dysk C: \, a następnie ładuje go do pamięci.
4. Do bazy danych rejestracyjnych dodawane są następujące wpisy:
   HKLM \ SYSTEM \ CurrentControlSet \ Usługi \\\ untime \ Start = 0x3
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Type = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Usługi \\\ untime \ ImagePath =
   "\ ?? \% Windows% \ System32 \ drivers \\\ untime.sys"
5. Infekuje proces związany z Internet Explorerem.
6. Próbuje aktualizować się przez Internet, a także pobierać różne złośliwe pliki.
7. Do bazy danych rejestracyjnych dodawane są następujące wpisy:
   HKLM \ SYSTEM \ CurrentControlSet \ Usługi \\\ untime2 \ Start = 0x3
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Usługi \\\ untime2 \ ErrorControl = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Usługi \\\ untime2 \ ImagePath =
   "> \ ?? \% Windows% \ System32 \ sterowniki \\\ untime2.sys"
8. Ładuje plik runtime2.sys do pamięci.
9. Tworzy następujące wpisy w bazie danych rejestracji:
   HKLM \ SYSTEM \ CurrentControlSet \ Usługi \\\ untime2 \ ImagePath =
   "\ SystemRoot \ system32 \ drivers \\\ untime2.sys"
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Usługi \\\ untime2 \ Start = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ DependOnGroup = „System plików”
   HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\\\untime2.sys\
   (Domyślnie) = „Kierowca”
   HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ \ \ untime2.sys \
   (Domyślnie) = „Kierowca”
   HKLM \ OPROGRAMOWANIE \ Microsoft \ Windows \ Bieżąca wersja \ Run \ startdrv
   = "% Windows% \ Temp \ startdrv.exe"
10. Modyfikuje lub usuwa plik systemowy %Windows%\System32\winlogon.exe.
11. Usuwa plik o nazwie imapi.exe (jeśli istnieje).