Trojan.Mdropper.Z

Обнаружен: 10 октября 2007 года.
Тип: Троян
Уязвимые системы: Windows 2000, Windows Server 2003, Windows Vista, Windows XP
CVE: CVE-2007-3899
Описание уязвимости:
Уровень распространения: Низкий
Количество заражений: 0 – 49
Количество сайтов: 0 - 2
Географическая распространенность: Низкая
Сложность удаления: Низкая
Trojan.Mdropper.Z является троянским приложением, сохраняющим злонамеренные файлы на уязвимой системе. После установки на систему скачивает дополнительное злонамеренное ПО.
Техническое описание
Троянец может быть доставлен письмом с вложенным файлом hope see again.doc.
После запуска троянец эксплуатирует уязвимость повреждения памяти в Microsoft Word для Microsoft Word 2000 и XP для получения контроля над уязвимой системой. MS Word 2003 может аварийно завершить свою работу при открытии такого файла.
Троянец создает следующий файл:
%Temp%csrse.exe (Trojan.Dropper)
Вышеописанные троян копирует себя в %System%msmsgs.exe (Trojan.Dropper).
Затем создает следующие файлы:

• %Temp%drv.tak (Hacktool.Rootkit)
• %Windir%bus675.sys (Hacktool.Rootkit)
• %Windir%tmp.drv (Hacktool.Rootkit)
• C:Documents and SettingsAll UsersApplication DataMicrosoftComonctfmon.exe (Backdoor.Trojan)

Затем троян создает следующий ключ реестра:
HKEY_USERSSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folder"Startup" = "C:Documents and SettingsAll UsersApplication DataMicrosoftComonctfmon.exe"

Троян использует технологию руткитов и может отключить программное обеспечение, ориентированные на защиту.
Троянец также создает и открывает следующий файл, который является обычным документом Word, с содержимым на китайском языке.
%Temp%hope see again.doc
Затем запускается бекдор на скомпрометированной системе и подключается на порт 80/TCP к хосту roudan.3322.org.

// Zserver: защита сервера
Защита корпоративного сервера. Шифрование информации на дисках.
Источник: securitylab.ru