Acdropper-troijalainen on piilotettu pakatuissa tiedostoissa
Acdropper.C-troijalainen leviää pakattujen tiedostojen muodossa ja hyödyntää ohjelmistohaavoittuvuutta.
Acdropper.C-troijalainen saapuu postilaatikoihin ensisijaisesti liitteenä postille. Heti kun käyttäjä avaa .zip-tiedoston liitteenä, troijalainen käynnistyy välittömästi ja yrittää hyödyntää Microsoft Jet DataBase Enginen haavoittuvuutta. Tämä on haavoittuvuus, joka johtuu puskurin ylivuotovirheestä, jonka avulla troijalainen voi suorittaa erilaisia haitallisia koodeja ja suorittaa sitten haitallisia toimia.
Acdropper.C purkaa automaattisesti zip-tiedoston, joka sisältää tiedoston, jonka tiedostotunniste on .doc ja .jpg. Jälkimmäinen on kuitenkin MDB-tietokantatiedosto.
Troijalainen luo Windows-palvelun tartunnan saaneille tietokoneille, piilottaa sen rootkit-komponenttien avulla ja avaa sitten takaoven hyökkääjille.
Kun Acdropper.C-troijalainen käynnistyy, se suorittaa seuraavat toimet:
- Luo seuraavat tiedostot:
% System% uiops.dll
% System% uiops.exe
% System% winlogo.dll
% System% ietest.log
% System% driversuiops.sys
% System% uiops.dlx - Luo Windows-palvelun nimeltä ”Siirtopalvelu”.
- Se käyttää rootkit-komponentteja piilottaakseen itsensä.
- Se lataa haitalliset tiedostot Internetin kautta.
- Avaa takaovi tartunnan saaneilla tietokoneilla.