Der Cutwail-Trojaner versteckt sich und verteidigt sich
Cutwail verfügt auch über Trojaner-Rootkit-Funktionen, sodass es keine leichte Aufgabe ist, es zu erkennen und zu entfernen.
A Cutwail Trojaner tun viel, um es so lange wie möglich im infizierten System versteckt zu halten. Wenn es erkannt wird, nimmt es so viele Änderungen an Windows vor, dass es schwierig sein kann, es zu entfernen. Denn der Trojaner infiziert auch diverse Systemdateien in Windows und versteckt sich hinter diversen Systemprozessen. Es beschädigt wichtige Dateien wie winlogon.exe.
Der Trojaner ist in der Lage, sich über das Internet zu aktualisieren und verschiedene Malware herunterzuladen.
Wenn der Cutwail-Trojaner startet, führt er die folgenden Aktionen aus:
- Erstellen Sie die folgenden Dateien im Windows System32- oder Temp-Verzeichnis:
[Zufallszahlen] .sys
cel90xbe.sys
Wiederherstellung.sys - Erstellt einen Windows-Dienst mit einem der folgenden Namen:
IP6Fw
NetDetect
secdrv - In einigen Fällen kopiert es eine runtime.sys-Datei auf das Laufwerk C:\ und lädt sie dann in den Arbeitsspeicher.
- Folgende Einträge werden in die Registrierungsdatenbank aufgenommen:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ ImagePath =
"\ ?? \%Windows%\System32\Treiber\\\untime.sys" - Infiziert den mit Internet Explorer verbundenen Prozess.
- Es versucht, sich über das Internet zu aktualisieren und verschiedene schädliche Dateien herunterzuladen.
- Folgende Einträge werden in die Registrierungsdatenbank aufgenommen:
HKLM \ SYSTEM \ CurrentControlSet \ Dienste \\\ untime2 \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Dienste \\\ untime2 \ Typ = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ErrorControl = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
"> \ ?? \% Windows% \ System32 \ Treiber \\\ untime2.sys" - Lädt die Datei runtime2.sys in den Arbeitsspeicher.
- Erstellt die folgenden Einträge in der Registrierungsdatenbank:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
"\SystemRoot\system32\Treiber\\\untime2.sys"
HKLM \ SYSTEM \ CurrentControlSet \ Dienste \\\ untime2 \ Typ = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Dienste \\\ untime2 \ Start = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ DependOnGroup = „Dateisystem“
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \\\ untime2.sys \
(Standard) = „Treiber“
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \\\ untime2.sys \
(Standard) = „Treiber“
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ startdrv
= "%Windows%\Temp\startdrv.exe" - Ändert oder löscht die Systemdatei % Windows% \ System32 \ winlogon.exe.
- Löscht die Datei namens imapi.exe (sofern vorhanden).