Kindly be advised we cannot cancel subscriptions or issue refunds on the forum.
You may cancel your Bitdefender subscription from Bitdefender Central or by contacting Customer Support at: https://www.bitdefender.com/consumer/support/help/

Thank you for your understanding.

Mdropper.z Troyano/backdoor Explota Vulnerabilidad Ms Word Con Roootkits Deshabilita Antivirus Firew

Opciones
BigSax
BigSax
en Noticias

Mdropper.Z es un troyano/backdoor de origen chino, reportado el 11 de Octubre del 2007, residente en memoria, que se propaga a través de diversos servicios de Internet, incluyendo mensajes de correo electrónico con el Asunto hope see again.doc


Infecta a Windows 2000/XP/Vista y Server 2003 y está esarrollado con el generador Hacktool Rootkit, con 117KB de extensión.


Explota una vulnerabilidad de corrupción de memoria en el area de trabajo de ejecución de código remoto en MS Word 2000 y XP que permite descargar y ejecutar un archivo con código arbitrario, lo cual ocasiona que MS Word 2003 colisione y termine su proceso en forma automática.


* http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3899


* http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-3899


Esta vulnerabilidad habría sido parcialmente corregida en el boletín:


Microsoft Security Bulletin MS07-060


Luego el troyano crea en %Temp% el archivo:


%Temp%\csrse.exe, que es un "dropper"


el cual libera otro "dropper" en:


%System%\msmsgs.exe


el cual libera los siguientes archivos en las rutas:


* %Temp%\drv.tak (Rootkit)


* %Windir%\bus675.sys (Rootkit)


* %Windir%\tmp.drv (Rootkit)


* C:\Documents and Settings\All Users\Application Data\Microsoft\Comon\ctfmon.exe (troyano)


%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.


%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.


Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:


[HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folder]


"Startup" = "C:\Documents and Settings\All Users\Application Data\Microsoft\Comon\ctfmon.exe"


Al siguiente inicio del equipo, el troyano ejecuta sus archivos Rootkit para deshabilitar en forma oculta los antivirus y firewalls que se encuentren instalados en el sistema infectado.


Crea y ejecuta en la carpeta %Temp% el archivo "hope see again.doc" que es un documento MS Word inocuo, escrito en idioma chino.


Finalmente a través del puerto TCP 80 (HTTP) activa un Backdoor y se conecta al sub-dominio ubicado en Beijing, China:


http://www.roudan.3322.org


al cual enviará la información extraída del sistema, pudiendo ejecutar comandos arbitrarios en forma remota.


FUENTE PERU21

Lideres de Todos los Tiempos

Categorías

Defenders of the month