Trojan gömmer kopia av sig själv


Recommended Posts

Säkerhetsforskare anställda hos McAfee har upptäckt en envis trojan som de har valt att kalla för Muster.e. När den väl har infekterat en dator skapar den en krypterad kopia av sig själv som placeras i Windows hjälpfil imepaden.hlp, och om den ordinarie trojanen rensas bort från ett system dekrypteras och aktiveras istället kopian. Därmed kommer trojanen hela tiden tillbaka även om man söker upp och raderar den med ett antivirusprogram. Tyvärr finns det i dagsläget ingen information om hur man gör för att bli av med Muster.e.

Källa: The Register

Description

Muster.e trojan provides remote access capabilities to an attacker by opening a backdoor on the compromised machine.

Methods of Infection

Trojans do not self-replicate. They are spread manually, often under the premise that the executable is something beneficial. Distribution channels include IRC, peer-to-peer networks, newsgroup postings, email, etc.

Link to comment
Share on other sites

The register har utelämnat en del information. McAfee skriver om Munster.e på http://www.avertlabs.com/research/blog/index.php/2010/02/02/be-careful-on-help-files/ Till infektionen hör en skadlig tjänst/drivrutin (något.sys) och det är den som extraherar programmet från imepaden.hlp. Om man tar bort "något.sys" (förhindrar att den startar) så är man av med infektionen, även om imepaden.hlp fortfarande är infekterad (kan förstås bytas ut mot originalet t ex från en installationsskiva).

Står om den här också: http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=253405 I exemplet där heter tjänsten/drivrutinen vstor.sys men det kan tydligen variera enligt bloginlägget.

Link to comment
Share on other sites

Återstår väl att se om det som McAfee TROR kommer att stämma då,känns lite för nytt för att veta det fullständiga beteendet! Och eftersom dom flesta infektioner kommer in ihop med andra så misstänker iallafall jag att detta otyg kommer att ställa till med trassel för en del :P

"One of the likely scenarios planned by the malware authors is this. Victims may notice the existences of this suspicious file UpgraderUI.exe and the registry key, and then they will delete the file and registry key. Then they would think they have removed this backdoor successfully. Even if they find the file and the registry key is coming back again and again on each reboot, users will not able to find any other suspicious files. Users will never imagine that the sys file is malicious or the infection to the file imepaden.hlp."

Link to comment
Share on other sites

Visst kommer det att ställa till elände om de kriminella har ett effektivt sätt att få in det i många datorer. Alla skadliga program som involverar drivrutiner är besvärliga. Det som ditt citat tar upp är just att folk inte upptäcker drivrutinen utan bara den vanliga run-nyckeln. Däremot egentligen inget problem för ett bra antivirus- och antimalwareprogram.

Så ny är den ju inte heller eftersom McAfee beskrev den redan 14 januari.

http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=253405

Däremot så är det först nu som de har skrivit om den i bloggen och det beror väl på att det har dykt upp flera varianter och blivit mer spridd.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share