Trojanec Cutwail se skriva in brani

Cutwail ima tudi funkcije trojanskega rootkita, zato odkrivanje in odstranjevanje ni lahka naloga.

A Cutwail Trojanci veliko naredijo, da bodo čim dlje skriti v okuženem sistemu. Če ga zazna, bo v sistemu Windows naredil toliko sprememb, da jih bo morda težko odstraniti. To je zato, ker trojanec okuži tudi različne sistemske datoteke v sistemu Windows in se skriva za različnimi sistemskimi procesi. Poškoduje pomembne datoteke, kot je winlogon.exe.

Trojanec se lahko posodobi prek interneta in prenese različne zlonamerne programske opreme.

Ko se trojanec Cutwail zažene, izvede naslednja dejanja:

1. V imeniku Windows System32 ali Temp ustvarite te datoteke:
   [naključne številke] .sys
   cel90xbe.sys
   obnoviti.sys
2. Ustvari storitev Windows z enim od naslednjih imen:
   Ip6Fw
   NetDetect
   Secdrv 
3. V nekaterih primerih kopira datoteko runtime.sys na pogon C: \ in jo nato naloži v pomnilnik.
4. V bazo podatkov o registraciji se dodajo naslednji vnosi:
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ unetime \ Start = 0x3
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ unetime \ Type = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ unetime \ ImagePath =
   "\ ?? \% Windows% \ System32 \ drivers \\\ untime.sys"
5. Okuži proces, povezan z Internet Explorerjem.
6. Poskuša se posodobiti prek interneta in prenesti različne zlonamerne datoteke.
7. V bazo podatkov o registraciji se dodajo naslednji vnosi:
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x3
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ErrorControl = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
   "> \ ?? \% Windows% \ System32 \ drivers \\\ untime2.sys"
8. Naloži datoteko runtime2.sys v pomnilnik.
9. Ustvari naslednje vnose v registracijski bazi:
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
   "\ SystemRoot \ system32 \ drivers \\\ untime2.sys"
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ DependOnGroup = “Datotečni sistem”
   HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \\\ untime2.sys \
   (Privzeto) = "Gonilnik"
   HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \\\ untime2.sys \
   (Privzeto) = "Gonilnik"
   HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ startdrv
   = "% Windows% \ Temp \ startdrv.exe"
10. Spremeni ali izbriše sistemsko datoteko% Windows% \ System32 \ winlogon.exe.
11. Izbriše datoteko imapi.exe (če obstaja).