A Cutwail trójai rootkit funkciókkal is rendelkezik, ezért a felismerése és az eltávolítása sem egyszerű feladat.

A Cutwail trójai sok mindent elkövet azért, hogy a fertőzött rendszerben minél tovább tudjon rejtve maradni. Ha mégis felismerésre kerül, akkor olyan sok módosítást végez a Windowsban, hogy az eltávolítása nehézségekbe ütközhet. A trójai ugyanis a Windows különféle rendszerfájljait is megfertőzi, és különböző rendszerfolyamatok mögé rejtőzik el. Olyan fontos állományokat károsít, mint például a winlogon.exe.

A trójai az Interneten keresztül képes saját maga frissítésére, valamint különféle kártékony programok letöltésére.

Rejtőzik és védekezik a Cutwail trójai

Amikor a Cutwail trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat a Windows System32 vagy a Temp könyvtárába:
    [véletlenszerű számok].sys
    cel90xbe.sys
    restore.sys
  2. Windowsos szolgáltatást hoz létre a következő nevek valamelyikével:
    Ip6Fw
    NetDetect
    Secdrv 
  3. Egyes esetekben bemásol egy runtime.sys fájlt a C:\ meghajtóra, majd betölti azt a memóriába.
  4. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
    HKLM\SYSTEM\CurrentControlSet\Services\\\untime\Start = 0x3
    HKLM\SYSTEM\CurrentControlSet\Services\\\untime\Type = 0x1
    HKLM\SYSTEM\CurrentControlSet\Services\\\untime\ImagePath =
    “\??\%Windows%\System32\drivers\\\untime.sys”
  5. Megfertőzi az Internet Explorerhez tartozó folyamatot.
  6. Interneten keresztül megpróbálja frissíteni saját magát, valamint különböző kártékony fájlokat letölteni.
  7. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
    HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\Start = 0x3
    HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\Type = 0x1
    HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\ErrorControl = 0x1
    HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\ImagePath =
    “>\??\%Windows%\System32\drivers\\\untime2.sys”
  8. Betölti a runtime2.sys állományt a memóriába.
  9. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
    HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\ImagePath =
    “\SystemRoot\system32\drivers\\\untime2.sys”
    HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\Type = 0x1
    HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\Start = 0x1
    HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\DependOnGroup = “File System”
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\\\untime2.sys\
    (Default) = “Driver”
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\\\untime2.sys\
    (Default) = “Driver”
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\startdrv
    = “%Windows%\Temp\startdrv.exe”
  10. Módosítja vagy letörli a %Windows%\System32\winlogon.exe rendszerfájlt.
  11. Letörli az imapi.exe nevű állományt (amennyiben az létezik).