A Cutwail trójai rootkit funkciókkal is rendelkezik, ezért a felismerése és az eltávolítása sem egyszerű feladat.
A Cutwail trójai sok mindent elkövet azért, hogy a fertőzött rendszerben minél tovább tudjon rejtve maradni. Ha mégis felismerésre kerül, akkor olyan sok módosítást végez a Windowsban, hogy az eltávolítása nehézségekbe ütközhet. A trójai ugyanis a Windows különféle rendszerfájljait is megfertőzi, és különböző rendszerfolyamatok mögé rejtőzik el. Olyan fontos állományokat károsít, mint például a winlogon.exe.
A trójai az Interneten keresztül képes saját maga frissítésére, valamint különféle kártékony programok letöltésére.
Amikor a Cutwail trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat a Windows System32 vagy a Temp könyvtárába:
[véletlenszerű számok].sys
cel90xbe.sys
restore.sys - Windowsos szolgáltatást hoz létre a következő nevek valamelyikével:
Ip6Fw
NetDetect
Secdrv - Egyes esetekben bemásol egy runtime.sys fájlt a C:\ meghajtóra, majd betölti azt a memóriába.
- A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKLM\SYSTEM\CurrentControlSet\Services\\\untime\Start = 0x3
HKLM\SYSTEM\CurrentControlSet\Services\\\untime\Type = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\\\untime\ImagePath =
“\??\%Windows%\System32\drivers\\\untime.sys” - Megfertőzi az Internet Explorerhez tartozó folyamatot.
- Interneten keresztül megpróbálja frissíteni saját magát, valamint különböző kártékony fájlokat letölteni.
- A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\Start = 0x3
HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\Type = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\ErrorControl = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\ImagePath =
“>\??\%Windows%\System32\drivers\\\untime2.sys” - Betölti a runtime2.sys állományt a memóriába.
- A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\ImagePath =
“\SystemRoot\system32\drivers\\\untime2.sys”
HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\Type = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\Start = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\DependOnGroup = “File System”
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\\\untime2.sys\
(Default) = “Driver”
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\\\untime2.sys\
(Default) = “Driver”
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\startdrv
= “%Windows%\Temp\startdrv.exe” - Módosítja vagy letörli a %Windows%\System32\winlogon.exe rendszerfájlt.
- Letörli az imapi.exe nevű állományt (amennyiben az létezik).