Tömörített állományokban lapul az Acdropper trójai

Az Acdropper.C trójai tömörített fájlok formájában terjed, és egy szoftveres sebezhetőséget használ ki.

Az Acdropper.C trójai elsősorban levelek mellékleteként érkezik meg a postafiókokba. Amint a felhasználó megnyitja a levél csatolmányában szereplő, .zip kiterjesztésű fájlt, akkor a trójai azonnal elindul, és megpróbálja kihasználni a Microsoft Jet DataBase Engine sérülékenységét. Ez egy puffertúlcsordulási hibára visszavezethető sebezhetőség, amely a trójai számára alkalmas arra, hogy különféle rosszindulatú kódokat futtasson le, majd kártékony műveleteket hajtson végre.

Az Acdropper.C automatikusan kibontja a zip fájlt, amelyben egy .doc és egy .jpg kiterjesztésű állomány található. Az utóbbi azonban a valóságban egy MDB adatbázisfájl.

A trójai a fertőzött számítógépeken létrehoz egy windowsos szolgáltatást, rootkit komponensek segítségével elrejtőzik, majd nyit egy hátsó kaput a támadók számára.

Amikor az Acdropper.C trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
   %System%uiops.dll
   %System%uiops.exe
   %System%winlogo.dll
   %System%ietest.log
   %System%driversuiops.sys
   %System%uiops.dlx
2. Létrehoz egy “Transfer Service” nevű windowsos szolgáltatást.
3. Rootkit komponensek segítségével elrejti saját magát.
4. Interneten keresztül kártékony fájlokat tölt le.
5. Nyit egy hátsó kaput a fertőzött számítógépeken.