Mdropper.z Troyano/backdoor Explota Vulnerabilidad Ms Word Con Roootkits Deshabilita Antivirus Firew
Mdropper.Z es un troyano/backdoor de origen chino, reportado el 11 de Octubre del 2007, residente en memoria, que se propaga a través de diversos servicios de Internet, incluyendo mensajes de correo electrónico con el Asunto hope see again.doc
Infecta a Windows 2000/XP/Vista y Server 2003 y está esarrollado con el generador Hacktool Rootkit, con 117KB de extensión.
Explota una vulnerabilidad de corrupción de memoria en el area de trabajo de ejecución de código remoto en MS Word 2000 y XP que permite descargar y ejecutar un archivo con código arbitrario, lo cual ocasiona que MS Word 2003 colisione y termine su proceso en forma automática.
* http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3899
* http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-3899
Esta vulnerabilidad habría sido parcialmente corregida en el boletín:
Microsoft Security Bulletin MS07-060
Luego el troyano crea en %Temp% el archivo:
%Temp%\csrse.exe, que es un "dropper"
el cual libera otro "dropper" en:
%System%\msmsgs.exe
el cual libera los siguientes archivos en las rutas:
* %Temp%\drv.tak (Rootkit)
* %Windir%\bus675.sys (Rootkit)
* %Windir%\tmp.drv (Rootkit)
* C:\Documents and Settings\All Users\Application Data\Microsoft\Comon\ctfmon.exe (troyano)
%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:
[HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folder]
"Startup" = "C:\Documents and Settings\All Users\Application Data\Microsoft\Comon\ctfmon.exe"
Al siguiente inicio del equipo, el troyano ejecuta sus archivos Rootkit para deshabilitar en forma oculta los antivirus y firewalls que se encuentren instalados en el sistema infectado.
Crea y ejecuta en la carpeta %Temp% el archivo "hope see again.doc" que es un documento MS Word inocuo, escrito en idioma chino.
Finalmente a través del puerto TCP 80 (HTTP) activa un Backdoor y se conecta al sub-dominio ubicado en Beijing, China:
al cual enviará la información extraída del sistema, pudiendo ejecutar comandos arbitrarios en forma remota.
FUENTE PERU21
Lideres de Todos los Tiempos
Categorías
- Todas las Categorías
- 819 Protección para usuarios domésticos autónomos y micro empresas
- 72 Soluciones bitdefender 2020
- 1 Soluciones bitdefender 2019
- Soluciones bitdefender 2018
- 17 Soluciones bitdefender 2017
- 54 Soluciones bitdefender 2016
- 71 Soluciones bitdefender 2015
- 70 Soluciones bitdefender 2014
- 119 Soluciones bitdefender 2013
- 88 Soluciones bitdefender 2012
- 90 Soluciones bitdefender 2011
- 65 Soluciones bitdefender 2010
- 71 Soluciones bitdefender 2009
- 7 Soluciones bitdefender 2008
- 3 Soluciones anteriores
- 29 Otros productos y servicios de bitdefender
- 1 Bitdefender para mac
- 354 Temas antiguos
- 246 Discusión general
- 92 Discusión sobre virus y malware
- 24 Noticias
- 4 Discusión sobre spam y phishing
- 12 Productos
- 2 Puestos de trabajo
- Unix
- Servidores windows
- 4 Protección corporativa
- 6 Móvil