Trojský kůň Cutwail se skrývá a brání
Cutwail má také funkce Trojan rootkit, takže jeho detekce a odstranění není snadný úkol.
A Cutwail Trojské koně dělají hodně pro to, aby zůstaly co nejdéle skryty v infikovaném systému. Pokud je detekován, provede v systému Windows tolik změn, že odstranění bude pravděpodobně obtížné. Důvodem je, že Trojan také infikuje různé systémové soubory ve Windows a skrývá se za různými systémovými procesy. Poškozuje důležité soubory, jako například winlogon.exe.
Trojan je schopen se sám aktualizovat přes internet a také stahovat různý malware.
Když Trojan Cutwail spustí, provede následující akce:
- V adresáři Windows System32 nebo Temp vytvořte následující soubory:
[náhodná čísla] .sys
cel90xbe.sys
obnovit.sys - Vytvoří službu Windows s jedním z následujících názvů:
IP6Fw
NetDetect
Secdrv - V některých případech zkopíruje soubor runtime.sys na jednotku C: \ a poté jej načte do paměti.
- Do registrační databáze se přidávají následující položky:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ nečas \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ ImagePath =
"\ ?? \% Windows% \ System32 \ drivers \\\ untime.sys" - Infikuje proces spojený s aplikací Internet Explorer.
- Snaží se aktualizovat sám přes internet a také stahovat různé škodlivé soubory.
- Do registrační databáze se přidávají následující položky:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ErrorControl = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
"> \ ?? \% Windows% \ System32 \ drivers \\\ untime2.sys" - Načte soubor runtime2.sys do paměti.
- Vytvoří následující záznamy v registrační databázi:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
"\ SystemRoot \ system32 \ drivers \\\ untime2.sys"
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ DependOnGroup = „Systém souborů“
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \\\ untime2.sys \
(Výchozí) = „Ovladač“
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \\\ untime2.sys \
(Výchozí) = „Ovladač“
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ startdrv
= "% Windows% \ Temp \ startdrv.exe" - Upraví nebo odstraní systémový soubor% Windows% \ System32 \ winlogon.exe.
- Odstraní soubor s názvem imapi.exe (pokud existuje).