De Acdropper Trojan is verborgen in gecomprimeerde bestanden

De Acdropper.C Trojan verspreidt zich in de vorm van gecomprimeerde bestanden en maakt gebruik van een softwarekwetsbaarheid.

De Acdropper.C Trojan arriveert voornamelijk in mailboxen als bijlage bij e-mail. Zodra de gebruiker het .zip-bestand in de bijlage opent, start het Trojaanse paard onmiddellijk en probeert het de kwetsbaarheid in de Microsoft Jet DataBase Engine te misbruiken. Dit is een kwetsbaarheid als gevolg van een bufferoverloopfout waardoor een Trojaans paard verschillende kwaadaardige codes kan uitvoeren en vervolgens kwaadaardige acties kan uitvoeren.

Acdropper.C extraheert automatisch het zip-bestand dat een bestand bevat met de extensie .doc en .jpg. Dit laatste is echter eigenlijk een MDB-databasebestand.

De trojan maakt een Windows-service op geïnfecteerde computers, verbergt deze met rootkit-componenten en opent vervolgens een achterdeur voor aanvallers.

Wanneer de Acdropper.C Trojan start, voert het de volgende acties uit:

1. Maak de volgende bestanden:
   % Systeem% uiops.dll
   % Systeem% uiops.exe
   % Systeem% winlogo.dll
   % Systeem% ietest.log
   % Systeem% driversuiops.sys
   % Systeem% uiops.dlx
2. Creëert een Windows-service genaamd "Transfer Service".
3. Het gebruikt rootkit-componenten om zichzelf te verbergen.
4. Het downloadt schadelijke bestanden via internet.
5. Open een achterdeur op geïnfecteerde computers.