Stubborn trojan stashes install file in Windows help
Can't muster rejection
By Dan Goodin in San Francisco • Get more from this author
Posted in Security, 3rd February 2010 06:02 GMT
Lời người dịch: Một kiểu lây nhiễm mới của phần mềm độc hại trên Windows. Phần mềm độc hại tự sao chép vào một tệp trợ giúp trên Windows và đảm bảo là dù phần mềm độc hại đó có bị loại bỏ đi chăng nữa thì bản sao kia sẽ tự cài đặt lại vào máy của nạn nhân. Đây là một hình thức lây nhiễm mới của các phần mềm độc hại trên Windows, làm cho máy của nạn nhân luôn ở trong tình trạng bị lây nhiễm.
Các nhà nghiên cứu đã dò được phần mềm độc hại mà nó giấu một bản sao của chính nó trong một tệp trợ giúp của Windows để đảm bảo các máy tính của nạn nhân vẫn bị lây nhiễm.
Trojan này, được đặt tên là Muster.e bởi nhà cung cấp chống virus McAfee, lây cho một tệp Windows được gọi là imepaden.hlp sao cho nó lưu trữ các thành phần chính của phần mềm độc hại ở dạng được mã hóa. Trong trường hợp phần mềm độc hại được cài đặt bị loại bỏ, thì việc tải lên một cách bí mật được giải mã trong một tệp có thể chạy được có tên là upgraderUI.exe và chạy bởi một tệp cài đặt bầu bạn mà nó tự động chạy như một dịch vụ của Windows.
“Đây là việc ẩn dấu trong một site rõ ràng”, Craig Schmugar, một nhà nghiên cứu các mối đe dọa của McAfee Labs, nói. “Mẹo của tệp trợ giúp này là khá mới đối với chúng tôi. Thường thì trên máy trạm, chúng tôi không thường thấy điều này”.
Kỹ thuật này đảm bảo cho Muster.e vẫn cài đặt được trên một máy PC bị lây nhiễm nếu hầu hết các tệp có liên quan với phần mềm độc hại đã bị loại bỏ. Không nghi ngờ gì điều này cũng làm bối rối cho sự chia sẻ của những người sử dụng mà suốt đời họ không thể chỉ ra được làm thế nào mà các máy tính cá nhân PC lại cứ bị lây nhiễm lại.
McAfee có nhiều hơn thế ở đây.
Security researchers have spied malware that stashes a copy of itself in a Windows help file to ensure victim computers remain infected.
The trojan, dubbed Muster.e by anti-virus provider McAfee, infects a Windows file called imepaden.hlp so it stores the main components of the malware in encrypted form. In the event the installed malware is removed, the secret payload is decrypted into an executable file called upgraderUI.exe and run by a companion installation file that automatically runs as a Windows service.
"This is hiding in plain site," said Craig Schmugar, a threat researcher at McAfee Labs. "The help file trick is pretty new to us. Usually on the client, we don't see this very often."
The technique ensures Muster.e remains installed on an infected PC even if most of the files associated with the malware are removed. No doubt it's also perplexed its share of users who for the life of them can't figure out how their PCs keep getting reinfected.
McAfee has more here. ®
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.