Tömörített állományokban lapul az Acdropper trójai
Az Acdropper.C trójai tömörített fájlok formájában terjed, és egy szoftveres sebezhetőséget használ ki.
Az Acdropper.C trójai elsősorban levelek mellékleteként érkezik meg a postafiókokba. Amint a felhasználó megnyitja a levél csatolmányában szereplő, .zip kiterjesztésű fájlt, akkor a trójai azonnal elindul, és megpróbálja kihasználni a Microsoft Jet DataBase Engine sérülékenységét. Ez egy puffertúlcsordulási hibára visszavezethető sebezhetőség, amely a trójai számára alkalmas arra, hogy különféle rosszindulatú kódokat futtasson le, majd kártékony műveleteket hajtson végre.
Az Acdropper.C automatikusan kibontja a zip fájlt, amelyben egy .doc és egy .jpg kiterjesztésű állomány található. Az utóbbi azonban a valóságban egy MDB adatbázisfájl.
A trójai a fertőzött számítógépeken létrehoz egy windowsos szolgáltatást, rootkit komponensek segítségével elrejtőzik, majd nyit egy hátsó kaput a támadók számára.
Amikor az Acdropper.C trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%System%uiops.dll
%System%uiops.exe
%System%winlogo.dll
%System%ietest.log
%System%driversuiops.sys
%System%uiops.dlx - Létrehoz egy “Transfer Service” nevű windowsos szolgáltatást.
- Rootkit komponensek segítségével elrejti saját magát.
- Interneten keresztül kártékony fájlokat tölt le.
- Nyit egy hátsó kaput a fertőzött számítógépeken.
