Trojský kôň Cutwail sa skrýva a bráni

Cutwail má tiež funkcie trójskeho rootkitu, takže jeho odhalenie a odstránenie nie je ľahká úloha.

A Cutwail Trójske kone robia veľa pre to, aby ho čo najdlhšie skryli v infikovanom systéme. Ak je zistený, vykoná v systéme Windows toľko zmien, že odstránenie bude pravdepodobne ťažké. Trójsky kôň totiž infikuje aj rôzne systémové súbory vo Windows a skrýva sa za rôznymi systémovými procesmi. Poškodzuje dôležité súbory, ako napríklad winlogon.exe.

Trojan sa dokáže sám aktualizovať cez internet, ako aj sťahovať rôzny malware.

Keď sa Trojan Cutwail spustí, vykoná nasledujúce akcie:

1. V adresári Windows System32 alebo Temp vytvorte nasledujúce súbory:
   [náhodné čísla] .sys
   cel90xbe.sys
   restore.sys
2. Vytvorí službu Windows s jedným z nasledujúcich názvov:
   IP6Fw
   NetDetect
   Secdrv 
3. V niektorých prípadoch skopíruje súbor runtime.sys na jednotku C: \ a potom ho načíta do pamäte.
4. Do registračnej databázy sa pridávajú tieto položky:
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Start = 0x3
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ime time \ Type = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ ImagePath =
   “\??\%Windows%\System32\drivers\\\untime.sys”
5. Infikuje proces spojený s programom Internet Explorer.
6. Snaží sa aktualizovať sám cez internet, ako aj sťahovať rôzne škodlivé súbory.
7. Do registračnej databázy sa pridávajú tieto položky:
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x3
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ErrorControl = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
   „>\??\%Windows%\System32\drivers\\\untime2.sys“
8. Načíta súbor runtime2.sys do pamäte.
9. Vytvorí nasledujúce záznamy v registračnej databáze:
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
   "\SystemRoot\system32\drivers\\\untime2.sys"
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x1
   HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\DependOnGroup = „Systém súborov“
   HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \\\ untime2.sys \
   (Predvolené) = „Ovládač“
   HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \\\ untime2.sys \
   (Predvolené) = „Ovládač“
   HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ startdrv
   = "%Windows%\Temp\startdrv.exe"
10. Upraví alebo odstráni systémový súbor% Windows% \ System32 \ winlogon.exe.
11. Odstráni súbor s názvom imapi.exe (ak existuje).