Trojanec Cutwail se skriva in brani
Cutwail ima tudi funkcije trojanskega rootkita, zato odkrivanje in odstranjevanje ni lahka naloga.
A Cutwail Trojanci veliko naredijo, da bodo čim dlje skriti v okuženem sistemu. Če ga zazna, bo v sistemu Windows naredil toliko sprememb, da jih bo morda težko odstraniti. To je zato, ker trojanec okuži tudi različne sistemske datoteke v sistemu Windows in se skriva za različnimi sistemskimi procesi. Poškoduje pomembne datoteke, kot je winlogon.exe.
Trojanec se lahko posodobi prek interneta in prenese različne zlonamerne programske opreme.
Ko se trojanec Cutwail zažene, izvede naslednja dejanja:
- V imeniku Windows System32 ali Temp ustvarite te datoteke:
[naključne številke] .sys
cel90xbe.sys
obnoviti.sys - Ustvari storitev Windows z enim od naslednjih imen:
Ip6Fw
NetDetect
Secdrv - V nekaterih primerih kopira datoteko runtime.sys na pogon C: \ in jo nato naloži v pomnilnik.
- V bazo podatkov o registraciji se dodajo naslednji vnosi:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ unetime \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ unetime \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ unetime \ ImagePath =
"\ ?? \% Windows% \ System32 \ drivers \\\ untime.sys" - Okuži proces, povezan z Internet Explorerjem.
- Poskuša se posodobiti prek interneta in prenesti različne zlonamerne datoteke.
- V bazo podatkov o registraciji se dodajo naslednji vnosi:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ErrorControl = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
"> \ ?? \% Windows% \ System32 \ drivers \\\ untime2.sys" - Naloži datoteko runtime2.sys v pomnilnik.
- Ustvari naslednje vnose v registracijski bazi:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
"\ SystemRoot \ system32 \ drivers \\\ untime2.sys"
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ DependOnGroup = “Datotečni sistem”
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \\\ untime2.sys \
(Privzeto) = "Gonilnik"
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \\\ untime2.sys \
(Privzeto) = "Gonilnik"
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ startdrv
= "% Windows% \ Temp \ startdrv.exe" - Spremeni ali izbriše sistemsko datoteko% Windows% \ System32 \ winlogon.exe.
- Izbriše datoteko imapi.exe (če obstaja).