Троян Cutwail прячется и защищается
Cutwail также имеет функции руткита троянца, поэтому его обнаружение и удаление - непростая задача.
A Cutwail Трояны очень много делают, чтобы как можно дольше скрыть его в зараженной системе. Если он обнаружен, он внесет в Windows столько изменений, что его будет сложно удалить. Это связано с тем, что троянец также заражает различные системные файлы Windows и скрывается за различными системными процессами. Он повреждает важные файлы, такие как winlogon.exe.
Троянец может обновляться через Интернет, а также загружать различные вредоносные программы.
При запуске троян Cutwail выполняет следующие действия:
- Создайте следующие файлы в каталоге Windows System32 или Temp:
[случайные числа] .sys
cel90xbe.sys
восстановить.sys - Создает службу Windows с одним из следующих имен:
IP6Fw
NetDetect
Secdrv - В некоторых случаях он копирует файл runtime.sys на диск C: \, а затем загружает его в память.
- В базу данных регистрации добавляются следующие записи:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ ImagePath =
"\ ?? \% Windows% \ System32 \ drivers \\\ untime.sys" - Заражает процесс, связанный с Internet Explorer.
- Он пытается обновляться через Интернет, а также загружать различные вредоносные файлы.
- В базу данных регистрации добавляются следующие записи:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ErrorControl = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
"> \ ?? \% Windows% \ System32 \ drivers \\\ untime2.sys" - Загружает файл runtime2.sys в память.
- Создает следующие записи в базе данных регистрации:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
"\ SystemRoot \ system32 \ drivers \\\ untime2.sys"
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ DependOnGroup = «Файловая система»
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \\\ untime2.sys \
(По умолчанию) = «Драйвер»
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \\\ untime2.sys \
(По умолчанию) = «Драйвер»
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ startdrv
= "% Windows% \ Temp \ startdrv.exe" - Изменяет или удаляет системный файл% Windows% \ System32 \ winlogon.exe.
- Удаляет файл с именем imapi.exe (если он существует).
