Cutwail Trojan gemmer sig og forsvarer sig
Cutwail har også trojanske rootkit -funktioner, så det er ingen let opgave at opdage og fjerne det.
A Cutwail Trojanere gør meget for at holde det skjult i det inficerede system så længe som muligt. Hvis det opdages, vil det foretage så mange ændringer i Windows, at det kan være svært at fjerne. Dette skyldes, at trojaneren også inficerer forskellige systemfiler i Windows og gemmer sig bag forskellige systemprocesser. Det skader vigtige filer, såsom winlogon.exe.
Trojaneren er i stand til at opdatere sig selv over internettet samt downloade forskellige malware.
Når Cutwail Trojan starter, udfører den følgende handlinger:
- Opret følgende filer i Windows System32 eller Temp -biblioteket:
[tilfældige tal] .sys
cel90xbe.sys
restore.sys - Opretter en Windows -tjeneste med et af følgende navne:
Ip6Fw
NetDetect
Secdrv - I nogle tilfælde kopierer den en runtime.sys -fil til C: \ -drevet og indlæser den derefter i hukommelsen.
- Følgende poster tilføjes til registreringsdatabasen:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ ImagePath =
"\ ?? \% Windows% \ System32 \ drivers \\\ untime.sys" - Inficerer processen forbundet med Internet Explorer.
- Det forsøger at opdatere sig selv over internettet samt downloade forskellige ondsindede filer.
- Følgende poster tilføjes til registreringsdatabasen:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ErrorControl = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
"> \ ?? \% Windows% \ System32 \ drivers \\\ untime2.sys" - Indlæser runtime2.sys -filen i hukommelsen.
- Opretter følgende poster i registreringsdatabasen:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
"\ SystemRoot \ system32 \ drivers \\\ untime2.sys"
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ DependOnGroup = "Filsystem"
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \\\ untime2.sys \
(Standard) = "Driver"
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \\\ untime2.sys \
(Standard) = "Driver"
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ startdrv
= "% Windows% \ Temp \ startdrv.exe" - Ændrer eller sletter systemfilen% Windows% \ System32 \ winlogon.exe.
- Sletter filen med navnet imapi.exe (hvis den findes).