Il Trojan Cutwail si nasconde e si difende
Cutwail ha anche funzionalità di rootkit di Trojan, quindi rilevarlo e rimuoverlo non è un compito facile.
A Cutwail I trojan fanno molto per tenerlo nascosto nel sistema infetto il più a lungo possibile. Se viene rilevato, apporterà così tante modifiche a Windows che potresti avere difficoltà a rimuoverlo. Questo perché il Trojan infetta anche vari file di sistema in Windows e si nasconde dietro vari processi di sistema. Danneggia file importanti come winlogon.exe.
Il Trojan è in grado di aggiornarsi su Internet e di scaricare vari malware.
Quando il Cutwail Trojan si avvia, esegue le seguenti azioni:
- Crea i seguenti file nella directory System32 o Temp di Windows:
[numeri casuali] .sys
cel90xbe.sys
ripristino.sys - Crea un servizio Windows con uno dei seguenti nomi:
IP6Fw
NetDetect
secdrv - In alcuni casi, copia un file runtime.sys nell'unità C: \ e quindi lo carica in memoria.
- Le seguenti voci vengono aggiunte al database di registrazione:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ ImagePath =
“\??\%Windows%\System32\drivers\\\untime.sys” - Infetta il processo associato a Internet Explorer.
- Cerca di aggiornarsi su Internet e di scaricare vari file dannosi.
- Le seguenti voci vengono aggiunte al database di registrazione:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ErrorControl = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
“>\??\%Windows%\System32\drivers\\\untime2.sys” - Carica il file runtime2.sys in memoria.
- Crea le seguenti voci nel database di registrazione:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
“\SystemRoot\system32\drivers\\\untime2.sys”
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\DependOnGroup = "File system"
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \\\ untime2.sys \
(Predefinito) = “Driver”
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \\\ untime2.sys \
(Predefinito) = “Driver”
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ startdrv
= “%Windows%\Temp\startdrv.exe” - Modifica o elimina il file di sistema % Windows% \ System32 \ winlogon.exe.
- Elimina il file denominato imapi.exe (se esiste).