Vælg side

Cutwail Trojan gemmer sig og forsvarer sig

Skrevet af: | 2008. juni 03 | | 0 |

Cutwail har også trojanske rootkit -funktioner, så det er ingen let opgave at opdage og fjerne det.

A Cutwail Trojanere gør meget for at holde det skjult i det inficerede system så længe som muligt. Hvis det opdages, vil det foretage så mange ændringer i Windows, at det kan være svært at fjerne. Dette skyldes, at trojaneren også inficerer forskellige systemfiler i Windows og gemmer sig bag forskellige systemprocesser. Det skader vigtige filer, såsom winlogon.exe.

Trojaneren er i stand til at opdatere sig selv over internettet samt downloade forskellige malware.

Cutwail Trojan gemmer sig og forsvarer sig

Når Cutwail Trojan starter, udfører den følgende handlinger:

  1. Opret følgende filer i Windows System32 eller Temp -biblioteket:
    [tilfældige tal] .sys
    cel90xbe.sys
    restore.sys
  2. Opretter en Windows -tjeneste med et af følgende navne:
    Ip6Fw
    NetDetect
    Secdrv 
  3. I nogle tilfælde kopierer den en runtime.sys -fil til C: \ -drevet og indlæser den derefter i hukommelsen.
  4. Følgende poster tilføjes til registreringsdatabasen:
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Start = 0x3
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Type = 0x1
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ ImagePath =
    "\ ?? \% Windows% \ System32 \ drivers \\\ untime.sys"
  5. Inficerer processen forbundet med Internet Explorer.
  6. Det forsøger at opdatere sig selv over internettet samt downloade forskellige ondsindede filer.
  7. Følgende poster tilføjes til registreringsdatabasen:
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x3
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ErrorControl = 0x1
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
    "> \ ?? \% Windows% \ System32 \ drivers \\\ untime2.sys"
  8. Indlæser runtime2.sys -filen i hukommelsen.
  9. Opretter følgende poster i registreringsdatabasen:
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
    "\ SystemRoot \ system32 \ drivers \\\ untime2.sys"
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x1
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ DependOnGroup = "Filsystem"
    HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \\\ untime2.sys \
    (Standard) = "Driver"
    HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \\\ untime2.sys \
    (Standard) = "Driver"
    HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ startdrv
    = "% Windows% \ Temp \ startdrv.exe"
  10. Ændrer eller sletter systemfilen% Windows% \ System32 \ winlogon.exe.
  11. Sletter filen med navnet imapi.exe (hvis den findes).
Læsning: 1

Måle:

Om forfatteren

Clingers

Relaterede indlæg

En anden forhåndsvisning af Internet Explorer 9 er tilgængelig

En anden forhåndsvisning af Internet Explorer 9 er tilgængelig

2010-05-06

Opdateret en af ​​de bedste FTP-klienter, Filezilla

Opdateret en af ​​de bedste FTP-klienter, Filezilla

2017-06-02

Kan vi snart logge ind på Windows med en Google -konto?

Kan vi snart logge ind på Windows med en Google -konto?

2018-08-30

I kort tid har Opera muligvis distribueret ondsindede applikationer

I kort tid har Opera muligvis distribueret ondsindede applikationer

2013-06-27

banner

KøbBestGear

Ad

ranvee

Ranvee Hvidevarer