Troj/Mdropper.Z

Infecta a Windows 2000/XP/Vista y Server 2003 y está esarrollado con el generador  Hacktool Rootkit, con 117KB de extensión.

Explota una vulnerabilidad de corrupción de memoria en el area de trabajo de ejecución de código remoto en MS Word 2000 y XP que permite descargar y ejecutar un archivo con código arbitrario, lo cual ocasiona que MS Word 2003 colisione y termine su proceso en forma automática.

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3899
• http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-3899

Esta vulnerabilidad habría sido parcialmente corregida en el boletín:

Microsoft Security Bulletin MS07-060

Luego el troyano crea en %Temp% el archivo: 

%Temp%\csrse.exe, que es un "dropper"

el cual libera otro "dropper" en:

%System%\msmsgs.exe

el cual libera los siguientes archivos en las rutas:

• %Temp%\drv.tak (Rootkit)
• %Windir%\bus675.sys (Rootkit)
• %Windir%\tmp.drv (Rootkit)
• C:\Documents and Settings\All Users\Application Data\Microsoft\Comon\ctfmon.exe (troyano)

Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folder]
"Startup" = "C:\Documents and Settings\All Users\Application Data\Microsoft\Comon\ctfmon.exe"

Al siguiente inicio del equipo, el troyano ejecuta sus archivos Rootkit para deshabilitar en forma oculta los antivirus y firewalls que se encuentren instalados en el sistema infectado.

Crea y ejecuta en la carpeta %Temp% el archivo "hope see again.doc" que es un documento MS Word inocuo, escrito en idioma chino.

Finalmente a través del puerto TCP 80 (HTTP) activa un Backdoor y se conecta al sub-dominio ubicado en Beijing, China:

http://www.roudan.3322.org

al cual enviará la información extraída del sistema, pudiendo ejecutar comandos arbitrarios en forma remota. 

PER ANTIVIRUS® versiones 10.2 y 10.3 con registro de virus al 11 de Octubre del 2007 detectan y eliminan este troyano/bakdoor.