Rejtőzik és védekezik a Cutwail trójai

A Cutwail trójai rootkit funkciókkal is rendelkezik, ezért a felismerése és az eltávolítása sem egyszerű feladat.

A Cutwail trójai sok mindent elkövet azért, hogy a fertőzött rendszerben minél tovább tudjon rejtve maradni. Ha mégis felismerésre kerül, akkor olyan sok módosítást végez a Windowsban, hogy az eltávolítása nehézségekbe ütközhet. A trójai ugyanis a Windows különféle rendszerfájljait is megfertőzi, és különböző rendszerfolyamatok mögé rejtőzik el. Olyan fontos állományokat károsít, mint például a winlogon.exe.

A trójai az Interneten keresztül képes saját maga frissítésére, valamint különféle kártékony programok letöltésére.

Amikor a Cutwail trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat a Windows System32 vagy a Temp könyvtárába:
   [véletlenszerű számok].sys
   cel90xbe.sys
   restore.sys
2. Windowsos szolgáltatást hoz létre a következő nevek valamelyikével:
   Ip6Fw
   NetDetect
   Secdrv 
3. Egyes esetekben bemásol egy runtime.sys fájlt a C:\ meghajtóra, majd betölti azt a memóriába.
4. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
   HKLM\SYSTEM\CurrentControlSet\Services\\\untime\Start = 0x3
   HKLM\SYSTEM\CurrentControlSet\Services\\\untime\Type = 0x1
   HKLM\SYSTEM\CurrentControlSet\Services\\\untime\ImagePath =
   “\??\%Windows%\System32\drivers\\\untime.sys”
5. Megfertőzi az Internet Explorerhez tartozó folyamatot.
6. Interneten keresztül megpróbálja frissíteni saját magát, valamint különböző kártékony fájlokat letölteni.
7. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
   HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\Start = 0x3
   HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\Type = 0x1
   HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\ErrorControl = 0x1
   HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\ImagePath =
   “>\??\%Windows%\System32\drivers\\\untime2.sys”
8. Betölti a runtime2.sys állományt a memóriába.
9. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
   HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\ImagePath =
   “\SystemRoot\system32\drivers\\\untime2.sys”
   HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\Type = 0x1
   HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\Start = 0x1
   HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\DependOnGroup = “File System”
   HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\\\untime2.sys\
   (Default) = “Driver”
   HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\\\untime2.sys\
   (Default) = “Driver”
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\startdrv
   = “%Windows%\Temp\startdrv.exe”
10. Módosítja vagy letörli a %Windows%\System32\winlogon.exe rendszerfájlt.
11. Letörli az imapi.exe nevű állományt (amennyiben az létezik).