TROJ_ARTIEF

Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.

Detalles de entrada

Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Instalación

Este malware infiltra el siguiente archivo no malicioso:

• %User Temp%\{random}.doc - opened by the malware to trick users into thinking that the document is non-malicious

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Rutina de infiltración

Infiltra los archivos siguientes:

• %User Temp%\{random}.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Se aprovecha de las siguientes vulnerabilidades de software para crear archivos maliciosos:

• (MS10-087) Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (2423930)
• RTF Stack Buffer Overflow Vulnerability (CVE-2010-3333)

A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.