Троянецът Cutwail се крие и защитава
Cutwail също има функции на троянски руткит, така че откриването и премахването му не е лесна задача.
A Cutwail Троянците правят много, за да го запазят скрит в заразената система възможно най-дълго. Ако бъде открит, той ще направи толкова много промени в Windows, че може да е трудно да се премахне. Това е така, защото троянецът също заразява различни системни файлове в Windows и се крие зад различни системни процеси. Той уврежда важни файлове като winlogon.exe.
Троянецът може да се актуализира през интернет, както и да изтегля различен зловреден софтуер.
Когато троянецът Cutwail стартира, той извършва следните действия:
- Създайте следните файлове в директорията на Windows System32 или Temp:
[случайни числа] .sys
cel90xbe.sys
Restore.sys - Създава услуга на Windows с едно от следните имена:
Ip6Fw
NetDetect
Secdrv - В някои случаи той копира файл runtime.sys в устройството C: \ и след това го зарежда в паметта.
- Следните записи се добавят към базата данни за регистрация:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ ImagePath =
"\ ?? \% Windows% \ System32 \ drivers \\\ untime.sys" - Заразява процеса, свързан с Internet Explorer.
- Той се опитва да се актуализира през интернет, както и да изтегли различни злонамерени файлове.
- Следните записи се добавят към базата данни за регистрация:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ErrorControl = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
"> \ ?? \% Windows% \ System32 \ drivers \\\ untime2.sys" - Зарежда файла runtime2.sys в паметта.
- Създава следните записи в базата данни за регистрация:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
"\ SystemRoot \ system32 \ drivers \\\ untime2.sys"
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ DependOnGroup = “Файлова система”
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \\\ untime2.sys \
(По подразбиране) = „Шофьор“
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \\\ untime2.sys \
(По подразбиране) = „Шофьор“
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ startdrv
= "% Windows% \ Temp \ startdrv.exe" - Променя или изтрива системния файл% Windows% \ System32 \ winlogon.exe.
- Изтрива файла с име imapi.exe (ако съществува).