Az Acdropper.C trójai elsősorban levelek mellékleteként érkezik meg a postafiókokba. Amint a felhasználó megnyitja a levél csatolmányában szereplő, zip kiterjesztésű fájlt, akkor a trójai azonnal elindul, és megpróbálja kihasználni a Microsoft Jet DataBase Engine sérülékenységét. Ez egy puffertúlcsordulási hibára visszavezethető sebezhetőség, amely a trójai számára alkalmas arra, hogy különféle rosszindulatú kódokat futtasson le, majd kártékony műveleteket hajtson végre.
Az Acdropper.C automatikusan kibontja a zip fájlt, amelyben egy .doc és egy .jpg kiterjesztésű állomány található. Az utóbbi azonban a valóságban egy MDB adatbázisfájl.
A trójai a fertőzött számítógépeken létrehoz egy windowsos szolgáltatást, rootkit komponensek segítségével elrejtőzik, majd nyit egy hátsó kaput nyit a támadók számára.
Amikor az Acdropper.C trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%uiops.dll
%System%uiops.exe
%System%winlogo.dll
%System%ietest.log
%System%driversuiops.sys
%System%uiops.dlx
2. Létrehoz egy "Transfer Service" nevű windowsos szolgáltatást.
3. Rootkit komponensek segítségével elrejti saját magát.
4. Interneten keresztül kártékony fájlokat tölt le
5. Nyit egy hátsó kaput a fertőzött számítógépeken.
1 hozzászólás
Nos, "lelki szemeimmel" elképzelem, hogy mennyi maradna a windows már most is "relatív biztonság"ából, ha a forráskódja "közkéz"-re kerülne. Ugyanis már most is a legtámadottabb rendszer. Nem is ok nélkül!