Trojan cứng đầu ẩn nấp trong tệp trợ giúp cài đặt trong Windows

Stubborntrojan stashes install file in Windows help

Can't muster rejection

By DanGoodin in San Francisco • Getmore f-rom this author

Posted in Security,3rd February 2010 06:02 GMT

Lờingười dịch: Một kiểu lây nhiễm mới của phần mềmđộc hại trên Windows. Phần mềm độc hại tự sao chépvào một tệp trợ giúp trên Windows và đảm bảo là dùphần mềm độc hại đó có bị loại bỏ đi chăng nữathì bản sao kia sẽ tự cài đặt lại vào máy của nạnnhân. Đây là một hình thức lây nhiễm mới của cácphần mềm độc hại trên Windows, làm cho máy của nạnnhân luôn ở trong tình trạng bị lây nhiễm.

Các nhà nghiên cứuđã dò được phần mềm độc hại mà nó giấu một bảnsao của chính nó trong một tệp trợ giúp của Windows đểđảm bảo các máy tính của nạn nhân vẫn bị lây nhiễm.

Trojan này, được đặttên là Muster.e bởi nhà cung cấp chống virus McAfee, lâycho một tệp Windows được gọi là imepaden.hlp sao cho nólưu trữ các thành phần chính của phần mềm độc hạiở dạng được mã hóa. Trong trường hợp phần mềm độchại được cài đặt bị loại bỏ, thì việc tải lênmột cách bí mật được giải mã trong một tệp có thểchạy được có tên là upgraderUI.exe và chạy bởi mộttệp cài đặt bầu bạn mà nó tự động chạy như mộtdịch vụ của Windows.

“Đây là việc ẩndấu trong một site rõ ràng”, Craig Schmugar, một nhànghiên cứu các mối đe dọa của McAfee Labs, nói. “Mẹocủa tệp trợ giúp này là khá mới đối với chúng tôi.Thường thì trên máy trạm, chúng tôi không thường thấyđiều này”.

Kỹ thuật này đảmbảo cho Muster.e vẫn cài đặt được trên một máy PC bịlây nhiễm nếu hầu hết các tệp có liên quan với phầnmềm độc hại đã bị loại bỏ. Không nghi ngờ gì điềunày cũng làm bối rối cho sự chia sẻ của những ngườisử dụng mà suốt đời họ không thể chỉ ra được làmthế nào mà các máy tính cá nhân PC lại cứ bị lâynhiễm lại.

McAfee có nhiều hơnthế ởđây.

Securityresearchers have spied malware that stashes a copy of itself in aWindows help file to ensure victim computers remain infected.

Thetrojan, dubbed Muster.e by anti-virus provider McAfee, infects aWindows file called imepaden.hlp so it stores the main components ofthe malware in encrypted form. In the event the installed malware isremoved, the secret payload is decrypted into an executable filecalled upgraderUI.exe and run by a companion installation file thatautomatically runs as a Windows service.

"Thisis hiding in plain site," said Craig Schmugar, a threatresearcher at McAfee Labs. "The help file trick is pretty new tous. Usually on the client, we don't see this very often."

Thetechnique ensures Muster.e remains installed on an infected PC evenif most of the files associated with the malware are removed. Nodoubt it's also perplexed its share of users who for the life of themcan't figure out how their PCs keep getting reinfected.

McAfeehas more here.®

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com