Trojan.Mdropper.Z

Троянец, созданый для скрытой установки в систему пользователя других троянских программ.

Обнаружен: 10 октября 2007 года.
Тип: Троян
Уязвимые системы: Windows 2000, Windows Server 2003, Windows Vista, Windows XP
CVE: CVE-2007-3899
Описание уязвимости:
Уровень распространения: Низкий
Количество заражений: 0 – 49
Количество сайтов: 0 - 2
Географическая распространенность: Низкая
Сложность удаления: Низкая
Trojan.Mdropper.Z является троянским приложением, сохраняющим злонамеренные файлы на уязвимой системе. После установки на систему скачивает дополнительное злонамеренное ПО.
Техническое описание
Троянец может быть доставлен письмом с вложенным файлом hope see again.doc.
После запуска троянец эксплуатирует уязвимость повреждения памяти в Microsoft Word для Microsoft Word 2000 и XP для получения контроля над уязвимой системой. MS Word 2003 может аварийно завершить свою работу при открытии такого файла.
Троянец создает следующий файл:
%Temp%\csrse.exe (Trojan.Dropper)
Вышеописанные троян копирует себя в %System%\msmsgs.exe (Trojan.Dropper).
Затем создает следующие файлы:

  • %Temp%\drv.tak (Hacktool.Rootkit)
  • %Windir%\bus675.sys (Hacktool.Rootkit)
  • %Windir%\tmp.drv (Hacktool.Rootkit)
  • C:\Documents and Settings\All Users\Application Data\Microsoft\Comon\ctfmon.exe (Backdoor.Trojan)

Затем троян создает следующий ключ реестра:
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folder\"Startup" = "C:\Documents and Settings\All Users\Application Data\Microsoft\Comon\ctfmon.exe"

Троян использует технологию руткитов и может отключить программное обеспечение, ориентированные на защиту.
Троянец также создает и открывает следующий файл, который является обычным документом Word, с содержимым на китайском языке.
%Temp%\hope see again.doc
Затем запускается бекдор на скомпрометированной системе и подключается на порт 80/TCP к хосту roudan.3322.org.