Artief.SM

Az Artief.SM trójai a számítógépek megfertőzése során egy olyan sebezhetőséget igyekszik kihasználni, amely az Office szoftvercsomaghoz tartozó alkalmazásokat érinti.
 

Az Artief.SM trójai készítői egy RTF-kezelési sérülékenységet szemeltek ki maguknak annak érdekében, hogy minél több számítógépre tudják feljuttatni a kártékony programjukat. A trójai elsősorban akkor képes a tevékenységének elvégzésére, illetve a zökkenőmentes terjedésre, ha a kiszemelt számítógépen található Office alkalmazás, viszont a vírusvédelem nem naprakész, illetve egyes rendszerfrissítések hiányoznak. Az Artief.SM ugyanis azt a hibát igyekszik a saját javára fordítani, amelyről a Microsoft novemberben, az MS10-087-es biztonsági közleményének keretében számolt be, illetve tett elérhetővé javítást. A sérülékenység speciálisan szerkesztett RTF-dokumentumok révén válhat kihasználhatóvá, amelyek akár elektronikus levelek mellékleteként is kockázatot jelenthetnek.

Az Artief.SM elsősorban ártalmas weboldalakról kerülhet rá a számítógépekre. Emellett már olyan spamek is terjedésnek indultak, amelyek mellékletében a trójai található meg. Amennyiben a károkozó elindul, akkor mindössze egy állományt hoz létre a számítógépeken, majd azonnal nekilát további kártékony programok letöltésének és telepítésének.

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%User Temp%\{véletlenszerű karakterek}.tmp

2. Megpróbál kihasználni egy RTF-kezelési sebezhetőséget, amely az Office szoftvercsomaghoz tartozó alkalmazásokat érinti.

3. Előre meghatározott távoli szerverekről fájlokat tölt le.

4. A letöltött fájlokat elindítja, és ezzel további kártékony programok telepítését segíti elő.