Seleccionar página

El troyano Cutwail se esconde y se defiende

Escrito por: | 2008 de junio de 03 | | 0 |

Cutwail también tiene funciones de rootkit troyano, por lo que detectarlo y eliminarlo no es una tarea fácil.

A Cutwail Los troyanos hacen mucho para mantenerlo oculto en el sistema infectado durante el mayor tiempo posible. Si se detecta, realiza tantos cambios en Windows que es posible que tenga dificultades para eliminarlo. Esto se debe a que el troyano también infecta varios archivos del sistema en Windows y se esconde detrás de varios procesos del sistema. Daña archivos importantes como winlogon.exe.

El troyano puede actualizarse a sí mismo a través de Internet y descargar varios programas maliciosos.

El troyano Cutwail se esconde y se defiende

Cuando se inicia el troyano Cutwail, realiza las siguientes acciones:

  1. Cree los siguientes archivos en el directorio de Windows System32 o Temp:
    [números aleatorios] .sys
    cel90xbe.sys
    restaurar.sys
  2. Crea un servicio de Windows con uno de los siguientes nombres:
    ip6fw
    NetDetect
    Secdrv 
  3. En algunos casos, copia un archivo runtime.sys en la unidad C: \ y luego lo carga en la memoria.
  4. Las siguientes entradas se agregan a la base de datos de registro:
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Start = 0x3
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Type = 0x1
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ ImagePath =
    "\ ?? \% Windows% \ System32 \ drivers \\\ untime.sys"
  5. Infecta el proceso asociado con Internet Explorer.
  6. Intenta actualizarse a sí mismo a través de Internet y descargar varios archivos maliciosos.
  7. Las siguientes entradas se agregan a la base de datos de registro:
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x3
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ErrorControl = 0x1
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
    "> \ ?? \% Windows% \ System32 \ drivers \\\ untime2.sys"
  8. Carga el archivo runtime2.sys en la memoria.
  9. Crea las siguientes entradas en la base de datos de registro:
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
    "\ SystemRoot \ system32 \ drivers \\\ untime2.sys"
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x1
    HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ DependOnGroup = "Sistema de archivos"
    HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \\\ untime2.sys \
    (Predeterminado) = "Conductor"
    HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \\\ untime2.sys \
    (Predeterminado) = "Conductor"
    HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ startdrv
    = "% Windows% \ Temp \ startdrv.exe"
  10. Modifica o elimina el archivo de sistema% Windows% \ System32 \ winlogon.exe.
  11. Elimina el archivo llamado imapi.exe (si existe).
Lectura: 1 819

Medida:

Sobre el Autor

Clingers

Artículos Relacionados

Hay disponible una segunda vista previa de Internet Explorer 9

Hay disponible una segunda vista previa de Internet Explorer 9

2010-05-06

Actualizado uno de los mejores clientes FTP, Filezilla

Actualizado uno de los mejores clientes FTP, Filezilla

2017-06-02

¿Podemos iniciar sesión en Windows con una cuenta de Google pronto?

¿Podemos iniciar sesión en Windows con una cuenta de Google pronto?

2018-08-30

Durante un breve período de tiempo, Opera puede haber distribuido aplicaciones maliciosas.

Durante un breve período de tiempo, Opera puede haber distribuido aplicaciones maliciosas.

2013-06-27

bandera

comprarmejorequipo

Anuncio

ranvee

Electrodomésticos Ranvee