TROJ_ARTIEF
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.
TECHNICAL DETAILS
Detalles de entrada
Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam.
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Instalación
Este malware infiltra el siguiente archivo no malicioso:
- %User Temp%\{random}.doc - opened by the malware to trick users into thinking that the document is non-malicious
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Rutina de infiltración
Infiltra los archivos siguientes:
- %User Temp%\{random}.exe
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Se aprovecha de las siguientes vulnerabilidades de software para crear archivos maliciosos:
- (MS10-087) Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (2423930)
- RTF Stack Buffer Overflow Vulnerability (CVE-2010-3333)
A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.