Hati-hati, Trojan Pintar Bisa Infeksi File di Windows

Menurut pengamatan dari perusahaan keamanan McAfee Labs telah menemukan malware yang dapat meng-copy dirinya sendiri dalam sebuah file help di Windows untuk membuat infeksi komputer korban. Trojan tersebut dinamakan Muster.e oleh penyedia antivirus McAfee, dimana Trojan tersebut dapat menginfeksi sebuah file Windows yang bernama imepaden.hlp yang menjadi salah satu file help untuk Microsoft IME. File imepaden.hlp bertugas sebagai penyimpan komponen utama malware dalam form terenkripsi. Namun, file help yang sudah terinfeksi tersebut masih dapat dilihat dengan browser WinHelp, sama halnya dengan file help yang asli, dan user cukup sulit menemukan infeksi yang telah terjadi dari melihat file tersebut. Ketika malware yang terinstal dihapus, maka muatan rahasia di dalamnya atau yang disebut sys file akan didekripsi ke dalam sebuah file executable bernama upgraderUI.exe dengan registry HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVe rsion\Run AutoPatch, dan akan menjalankan file instalasi yang secara otomatis menjalankan sebuah layanan Windows.


Muster merupakan family dari backdoor yang telah menggunakan file help untuk menyembunyikan dirinya. File help atau .hlp merupakan file data yang didesain untuk dapat dilihat dengan browser Microsoft WinHelp untuk menyediakan bantuan secara online untuk aplikasi yang digunakan user. File .hlp tersebut didekripsi dengan Microsoft CryptAPI dengan kunci yang sulit dan dieksekusi oleh pemuat file. “Semua aksinya terjadi secara tersembunyi. File help Windows tesebut cukup cerdik untuk menipu user. Biasanya Trojan ini akan lebih mudah bekerja di komputer client.” ungkap Craig Schmugar, pengamat ancaman McAfee Labs.
Salah satu scenario dari teknik malware ini adalah korban tidak menyadari adanya file aneh UpgraderUI.exe dan registry-nya, dan kemudian user akan menghapus file dan registry tersebut. Mereka akan berpikir telah menghapus backdoor tersebut dengan sukses. Bahkan, ketika file file tersebut dan registry yang sama kembali lagi dan lagi di setiap reboot computer, maka user tetap tidak bisa mengetahui file mencurigakan lainnya. User tidak akan pernah tahu bahwa sys file telah terinfeksi, berikut pula file imepaden.hlp.
Karakteristik dari muster.e adalah sebagai berikut:
the trojan drops the followig file.

* %System%\drivers\vstor.sys

[Where %System% is the default System folder for example C:\Windows\System32, and
%Windows% is the default Windows directory for example C:\WINDOWS ]
The following registry keys are added:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vstor
"DisplayName" = Vstor Virtual Storage Driver
"ErrorControl" = 0
"ImagePath" = \??\%System%\drivers\vstor.sys
"Start" = 2
"Type" = 1
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vstor
"DisplayName" = Vstor Virtual Storage Driver
"ErrorControl" = 0
"ImagePath" = \??\%System%\drivers\vstor.sys
"Start" = 2
"Type" = 1

The trojan appends a backdoor executable file to the following file.

* %Windows%\ime\SHARED\imepaden.hlp

The vstor.sys is reponsible for extracting the appended executable file from imepaden.hlp and
copies to the following path upon each reboot.

* %System%\UpgradeUI.exe

The sys file also adds the following registry key.

* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
AutoPatch = %System%\UpgradeUI.exe

The trojan injects a thread into explorer.exe connects the "www.google.com" to check if there is a valid network connection. Once the trojan established the connection, it attemps to access the following site and waits commands.

* 202.215.{removed}

Backdoor tersebut memiliki fungsi sebagai berikut:

* gather system information
disk information
hostname/ip
* list files/directories
* change directories
* upload/download files
* provide remote shell (cmd.exe)
* list/kill processes

Sementara itu dari pihak McAfee, telah melakukan update dengan McAfee VirusScan DATs 5861 atau yang lebih baru, yang dapat mendeteksi dan membersihkan infeksi file help dan file backdoor ini.