Acdropper-troijalainen on piilotettu pakatuissa tiedostoissa

Acdropper.C-troijalainen leviää pakattujen tiedostojen muodossa ja hyödyntää ohjelmistohaavoittuvuutta.

Acdropper.C-troijalainen saapuu postilaatikoihin ensisijaisesti liitteenä postille. Heti kun käyttäjä avaa .zip-tiedoston liitteenä, troijalainen käynnistyy välittömästi ja yrittää hyödyntää Microsoft Jet DataBase Enginen haavoittuvuutta. Tämä on haavoittuvuus, joka johtuu puskurin ylivuotovirheestä, jonka avulla troijalainen voi suorittaa erilaisia ​​haitallisia koodeja ja suorittaa sitten haitallisia toimia.

Acdropper.C purkaa automaattisesti zip-tiedoston, joka sisältää tiedoston, jonka tiedostotunniste on .doc ja .jpg. Jälkimmäinen on kuitenkin MDB-tietokantatiedosto.

Troijalainen luo Windows-palvelun tartunnan saaneille tietokoneille, piilottaa sen rootkit-komponenttien avulla ja avaa sitten takaoven hyökkääjille.

Kun Acdropper.C-troijalainen käynnistyy, se suorittaa seuraavat toimet:

1. Luo seuraavat tiedostot:
   % System% uiops.dll
   % System% uiops.exe
   % System% winlogo.dll
   % System% ietest.log
   % System% driversuiops.sys
   % System% uiops.dlx
2. Luo Windows-palvelun nimeltä ”Siirtopalvelu”.
3. Se käyttää rootkit-komponentteja piilottaakseen itsensä.
4. Se lataa haitalliset tiedostot Internetin kautta.
5. Avaa takaovi tartunnan saaneilla tietokoneilla.