Hati-Hati, Trojan Pintar Bisa Infeksi File di Windows

Posted: February 7, 2010 in Uncategorized

Menurut pengamatan dari perusahaan keamanan McAfee Labs telah menemukan malware yang dapat meng-copy dirinya sendiri dalam sebuah file help di Windows untuk membuat infeksi komputer korban. Trojan tersebut dinamakan Muster.e oleh penyedia antivirus McAfee, dimana Trojan tersebut dapat menginfeksi sebuah file Windows yang bernama imepaden.hlp yang menjadi salah satu file help untuk Microsoft IME. File imepaden.hlp bertugas sebagai penyimpan komponen utama malware dalam form terenkripsi. Namun, file help yang sudah terinfeksi tersebut masih dapat dilihat dengan browser WinHelp, sama halnya dengan file help yang asli,

dan user cukup sulit menemukan infeksi yang telah terjadi dari melihat file tersebut. Ketika malware yang terinstal dihapus, maka muatan rahasia di dalamnya atau yang disebut sys file akan didekripsi ke dalam sebuah file executable bernama upgraderUI.exe dengan registry HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVe rsion\Run AutoPatch, dan akan menjalankan file instalasi yang secara otomatis menjalankan sebuah layanan Windows.

Muster merupakan family dari backdoor yang telah menggunakan file help untuk menyembunyikan dirinya. File help atau .hlp merupakan file data yang didesain untuk dapat dilihat dengan browser Microsoft WinHelp untuk menyediakan bantuan secara online untuk aplikasi yang digunakan user. File .hlp tersebut didekripsi dengan Microsoft CryptAPI dengan kunci yang sulit dan dieksekusi oleh pemuat file. “Semua aksinya terjadi secara tersembunyi. File help Windows tesebut cukup cerdik untuk menipu user. Biasanya Trojan ini akan lebih mudah bekerja di komputer client.” ungkap Craig Schmugar, pengamat ancaman McAfee Labs.

Salah satu scenario dari teknik malware ini adalah korban tidak menyadari adanya file aneh UpgraderUI.exe dan registry-nya, dan kemudian user akan menghapus file dan registry tersebut. Mereka akan berpikir telah menghapus backdoor tersebut dengan sukses. Bahkan, ketika file file tersebut dan registry yang sama kembali lagi dan lagi di setiap reboot computer, maka user tetap tidak bisa mengetahui file mencurigakan lainnya. User tidak akan pernah tahu bahwa sys file telah terinfeksi, berikut pula file imepaden.hlp.

Sementara itu dari pihak McAfee, telah melakukan update dengan McAfee VirusScan DATs 5861 atau yang lebih baru, yang dapat mendeteksi dan membersihkan infeksi file help dan file backdoor ini.(h_n)

sumber : beritanet

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s