Menurut pengamatan dari perusahaan keamanan McAfee Labs telah menemukan malware yang dapat meng-copy dirinya sendiri dalam sebuah file help di Windows untuk membuat infeksi komputer korban. Trojan tersebut dinamakan Muster.e oleh penyedia antivirus McAfee, dimana Trojan tersebut dapat menginfeksi sebuah file Windows yang bernama imepaden.hlp yang menjadi salah satu file help untuk Microsoft IME. File imepaden.hlp bertugas sebagai penyimpan komponen utama malware dalam form terenkripsi. Namun, file help yang sudah terinfeksi tersebut masih dapat dilihat dengan browser WinHelp, sama halnya dengan file help yang asli, dan user cukup sulit menemukan infeksi yang telah terjadi dari melihat file tersebut. Ketika malware yang terinstal dihapus, maka muatan rahasia di dalamnya atau yang disebut sys file akan didekripsi ke dalam sebuah file executable bernama upgraderUI.exe dengan registry HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVe rsion\Run AutoPatch, dan akan menjalankan file instalasi yang secara otomatis menjalankan sebuah layanan Windows.
Muster merupakan family dari backdoor yang telah menggunakan file help untuk menyembunyikan dirinya. File help atau .hlp merupakan file data yang didesain untuk dapat dilihat dengan browser Microsoft WinHelp untuk menyediakan bantuan secara online untuk aplikasi yang digunakan user. File .hlp tersebut didekripsi dengan Microsoft CryptAPI dengan kunci yang sulit dan dieksekusi oleh pemuat file. “Semua aksinya terjadi secara tersembunyi. File help Windows tesebut cukup cerdik untuk menipu user. Biasanya Trojan ini akan lebih mudah bekerja di komputer client.” ungkap Craig Schmugar, pengamat ancaman McAfee Labs.
Sementara itu dari pihak McAfee, telah melakukan update dengan McAfee VirusScan DATs 5861 atau yang lebih baru, yang dapat mendeteksi dan membersihkan infeksi file help dan file backdoor ini.
0 Komentar