El troyano Cutwail se esconde y se defiende
Cutwail también tiene funciones de rootkit troyano, por lo que detectarlo y eliminarlo no es una tarea fácil.
A Cutwail Los troyanos hacen mucho para mantenerlo oculto en el sistema infectado durante el mayor tiempo posible. Si se detecta, realiza tantos cambios en Windows que es posible que tenga dificultades para eliminarlo. Esto se debe a que el troyano también infecta varios archivos del sistema en Windows y se esconde detrás de varios procesos del sistema. Daña archivos importantes como winlogon.exe.
El troyano puede actualizarse a sí mismo a través de Internet y descargar varios programas maliciosos.
Cuando se inicia el troyano Cutwail, realiza las siguientes acciones:
- Cree los siguientes archivos en el directorio de Windows System32 o Temp:
[números aleatorios] .sys
cel90xbe.sys
restaurar.sys - Crea un servicio de Windows con uno de los siguientes nombres:
ip6fw
NetDetect
Secdrv - En algunos casos, copia un archivo runtime.sys en la unidad C: \ y luego lo carga en la memoria.
- Las siguientes entradas se agregan a la base de datos de registro:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ ImagePath =
"\ ?? \% Windows% \ System32 \ drivers \\\ untime.sys" - Infecta el proceso asociado con Internet Explorer.
- Intenta actualizarse a sí mismo a través de Internet y descargar varios archivos maliciosos.
- Las siguientes entradas se agregan a la base de datos de registro:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x3
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ErrorControl = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
"> \ ?? \% Windows% \ System32 \ drivers \\\ untime2.sys" - Carga el archivo runtime2.sys en la memoria.
- Crea las siguientes entradas en la base de datos de registro:
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
"\ SystemRoot \ system32 \ drivers \\\ untime2.sys"
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x1
HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ DependOnGroup = "Sistema de archivos"
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \\\ untime2.sys \
(Predeterminado) = "Conductor"
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \\\ untime2.sys \
(Predeterminado) = "Conductor"
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ startdrv
= "% Windows% \ Temp \ startdrv.exe" - Modifica o elimina el archivo de sistema% Windows% \ System32 \ winlogon.exe.
- Elimina el archivo llamado imapi.exe (si existe).