Cutwail 特洛伊木马正在隐藏和防御自己
Cutwail 还具有 Trojan rootkit 功能,因此检测和删除它并非易事。
A Cutwail 特洛伊木马做了很多工作,以使其尽可能长时间地隐藏在受感染的系统中。 如果检测到它,它将对 Windows 进行大量更改,可能难以删除。 这是因为该木马还会感染Windows中的各种系统文件,并隐藏在各种系统进程后面。 它会损坏重要文件,例如 winlogon.exe。
该特洛伊木马能够通过 Internet 进行自我更新以及下载各种恶意软件。
当 Cutwail 木马启动时,它会执行以下操作:
- 在 Windows System32 或 Temp 目录中创建以下文件:
[随机数] .sys
cel90xbe.sys
恢复文件 - 使用以下名称之一创建 Windows 服务:
ip6fw
网络检测
驱动程序 - 在某些情况下,它会将 runtime.sys 文件复制到 C:\ 驱动器,然后将其加载到内存中。
- 以下条目将添加到注册数据库中:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ ImagePath =
“\??\%Windows%\System32\drivers\\\untime.sys” - 感染与 Internet Explorer 关联的进程。
- 它会尝试通过 Internet 进行自我更新并下载各种恶意文件。
- 以下条目将添加到注册数据库中:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ErrorControl = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
“>\??\%Windows%\System32\drivers\\\untime2.sys” - 将 runtime2.sys 文件加载到内存中。
- 在注册数据库中创建以下条目:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
“\SystemRoot\system32\drivers\\untime2.sys”
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\DependOnGroup = “文件系统”
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \\\ untime2.sys \
(默认)=“驱动程序”
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \\\ untime2.sys \
(默认)=“驱动程序”
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\startdrv
=“%Windows%\Temp\startdrv.exe” - 修改或删除%Windows%\System32\winlogon.exe 系统文件。
- 删除名为 imapi.exe 的文件(如果存在)。