Sobre la eliminacion del CUTWAIL.BE, mas facil si se elimina el .SYS que lo proteje

El Cutwail.BE es un downloader que al instalarse o actualizarse se proteje con un driver que, mientras esté, impide eliminar el CUTWAIL de \Documents and Settings\… salvo que se arranque con otro medio, y como que no cuelga de windows, no puede utilizarse la Consola de Recuperacion para acceder al mismo (arrancando con el CD de instalacion) y se había de proceder a colocar el disco infectado como esclavo en otro ordenador, o arrancar con un LIVE CD o un Pilitos o BART PE.

Pero hemos descubierto que este protector se ubica en la carpeta drivers que cuelga de \windows…, y por ello este se puede eliminar arrancando con el CD de instalacion y pulsando R para entrar en la COnsola de Recuperacion, desde donde acceder a C:\windows\system32\drivers\ y allí eliminar el fichero protector.

La cuestion es saber cual es dicho fichero, ya que salvo que se arranque como esclavo u otro windows y se detecte con el VirusScan o con el ELISTARA, el fichero es inaccesible para lectura/escritura, y en consecuencia tambien para cualquier escaneo. Pero llegado a dicha carpeta desde la consola veremos que habrá un solo fichero .SYS con 16 digitos hexadecimales, pues si a este le añadimos .VIR a su extension, ya no será lanzado al reiniciar, y sin él en marcha, ya podremos detectarlo y eliminarlo con el ELISTARA, como tambien al CUTWAIL propiamente dicho, si bien ello aconsejamos hacerlo sin conexion a internet, para que no se descargue de nuevo en una actualizacion de las que tiene programado hacer continuamente.

Así pues, un logro mas de nuestro servicio técnico a lograr romper la barrera de protección de este CUTWAIL.BE, si bien la operacion de limpieza requerirá una ayuda manual, pero siempre es menos costoso arrancar con el CD de instalacion y acceder a la consola, y hacer lo indicado de añadir .VIR al fichero, que sacar el disco duro y colacarlo como esclavo de otro ordenador…

El preanalisis de este driver protector del CUTWAIL, que impide el acceso al mismo, ofrece este informe:
Nombre del fichero : 3e65e46098c6baf1.sys (aleatorio)
SHA256: 247a454d4ef8b8c91ad4ec674cf505df83b6667fe45e563681c7c879beaabf00
SHA1: 914ccb650670482392229b4dafb72552a288103d
MD5: ed8a2b1018f0b3e846b088b7bbe51585
File size: 42.0 KB ( 43008 bytes )
File type: Win32 EXE
Detection ratio: 19 / 43
Analysis date: 2012-01-24 15:17:22 UTC ( 0 minutes ago )

01
Antivirus Result Update
AhnLab-V3 Trojan/Win32.Gen 20120122
AntiVir TR/Agent.43008.30 20120123
Antiy-AVL – 20120123
Avast Win32:Malware-gen 20120123
AVG Generic26.BORM 20120123
BitDefender – 20120124
ByteHero – 20120123
CAT-QuickHeal Trojan.Necurs 20120123
ClamAV – 20120123
Commtouch – 20120123
Comodo – 20120123
DrWeb – 20120124
Emsisoft Trojan.WinNT.Necurs!IK 20120123
eSafe – 20120123
eTrust-Vet – 20120123
F-Prot – 20120123
F-Secure – 20120123
Fortinet – 20120124
GData Win32:Malware-gen 20120123
Ikarus Trojan.WinNT.Necurs 20120123
Jiangmin – 20120123
K7AntiVirus Riskware 20120123
Kaspersky – 20120124
McAfee Generic PUP.z!iz 20120123
McAfee-GW-Edition Generic PUP.z!iz 20120123
Microsoft Trojan:WinNT/Necurs.A 20120123
NOD32 Win32/Rootkit.Agent.NVS 20120123
Norman – 20120123
nProtect – 20120123
Panda Adware/XpHomeSecurity 20120123
PCTools Trojan.Gen 20120124
Prevx – 20120124
Rising – 20120118
Sophos – 20120123
SUPERAntiSpyware – 20120123
Symantec Trojan.Gen.2 20120123
TheHacker – 20120123
TrendMicro RTKT_NECURS.AD 20120123
TrendMicro-HouseCall RTKT_NECURS.AD 20120124
VBA32 – 20120123
VIPRE Trojan.Win32.Generic!BT 20120123
ViRobot – 20120123
VirusBuster – 20120123

En cualquier caso se implemente su control a partir del ELISTARA 24.72 de hoy, pero recordar lo arriba indicado de añadir .VIR a su extension, para que se pueda acceder a él y a su “protegido”

saludos

ms, 24-1-2012