Le cheval de Troie Cutwail se cache et se défend

Cutwail possède également des fonctionnalités de rootkit Trojan, donc le détecter et le supprimer n'est pas une tâche facile.

A Cutwail Les chevaux de Troie font beaucoup pour le garder caché dans le système infecté aussi longtemps que possible. S'il est détecté, il apportera tellement de modifications à Windows qu'il peut être difficile à supprimer. En effet, le cheval de Troie infecte également divers fichiers système de Windows et se cache derrière divers processus système. Il endommage des fichiers importants tels que winlogon.exe.

Le cheval de Troie est capable de se mettre à jour sur Internet et de télécharger divers logiciels malveillants.

Lorsque le cheval de Troie Cutwail démarre, il effectue les actions suivantes :

1. Créez les fichiers suivants dans le répertoire Windows System32 ou Temp :
   [nombres aléatoires] .sys
   cel90xbe.sys
   restaurer.sys
2. Crée un service Windows avec l'un des noms suivants :
   IP6Fw
   Détection réseau
   Secdrv 
3. Dans certains cas, il copie un fichier runtime.sys sur le lecteur C:\, puis le charge en mémoire.
4. Les entrées suivantes sont ajoutées à la base de données d'enregistrement :
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Start = 0x3
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Type = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ ImagePath =
   "\??\%Windows%\System32\drivers\\\untime.sys"
5. Infecte le processus associé à Internet Explorer.
6. Il essaie de se mettre à jour sur Internet et de télécharger divers fichiers malveillants.
7. Les entrées suivantes sont ajoutées à la base de données d'enregistrement :
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x3
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ErrorControl = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
   ">\??\%Windows%\System32\drivers\\\untime2.sys"
8. Charge le fichier runtime2.sys en mémoire.
9. Crée les entrées suivantes dans la base de données d'enregistrement :
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
   "\SystemRoot\system32\drivers\\\untime2.sys"
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x1
   HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\DependOnGroup = « Système de fichiers »
   HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \\\ untime2.sys \
   (Par défaut) = « Pilote »
   HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \\\ untime2.sys \
   (Par défaut) = « Pilote »
   HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ startdrv
   = « %Windows%\Temp\startdrv.exe »
10. Modifie ou supprime le fichier système % Windows% \ System32 \ winlogon.exe.
11. Supprime le fichier nommé imapi.exe (s'il existe).