Sebuah trojan dilaporkan mengancam komputer pengguna yang menggunakan pengecas baterai USB Energizer Duo. Keberadaan trojan itu berhasil dideteksi berkat analisa dari perusahaan keamanan komputer Symantec.
Menurut Symantec, trojan ini mulai ada sejak 10 Mei 2007, dan telah aktif selama sekitar tiga tahun menginfeksi komputer-komputer Windows. Trojan itu dapat masuk ke komputer melalui software yang digunakan untuk pengecas baterai Energizer tersebut.
Trojan adalah program yang beroperasi secara sembunyi-sembunyi dalam sebuah komputer, dan memberikan celah kepada komputer lain untuk bisa mengakses komputer yang terkontaminasi secara remote.
Temuan trojan ini membuat Energizer untuk mengumumkan penghentian pemasaran produk pengecas baterai dan memindahkan situs yang menyediakan unduhan software bagi pengecas baterai. Energizer bahkan menghimbau kepada konsumen untuk meng-uninstal software versi Windows yang telah mereka unduh.
Energizer tidak menjelaskan bagaimana backdoor trojan bisa masuk ke dalam software. Namun, menurut US-CERT (badan keamanan komputer resmi AS), software installer untuk pengecas baterai Energizer Duo menempatkan file UsbCharger.dll pada direktori aplikasi dan file Arucer.dll pada direktori Windows system32.
Ketika software UsbCharger mengeksekusi, maka software memanfaatkan komponen UsbCharge.dll, UsbCharger.dll mengeksekusi Arucer.dll, dan mengkonfigurasi Arucer.dll untuk mengekskusi secara otomatis, saat Windows mulai dinyalakan.
Masalahnya, Arucer.dll adalah backdoor (pintu masuk) yang membolehkan sistem remote yang tak berwenang, mengakses ke ddalam komputer melalui TCP port 7777.
"Penyerang akan mampu mengendalikan sistem dari jarak jauh, termasuk kemampuan untuk mengumpulkan daftar direktori, mengirim dan menerima file, dan mengeksekusi program," kata US-CERT.
Untuk menangkal trojan ini, pengguna dapat masuk ke direktori Windows system32, kemudian menghapus Arucer.dll. Namun sistem perlu direstart sebelum file secara resmi dihapus. Cara lain, pengguna bisa mengenyahkan software UsbCharger secara keseluruhan.
Arucer.dll akan tetap tersimpan pada direktori system32, tapu mekanisme untuk mengeksekusi kode di DLL tidak akan ada lagi. Cara terakhir, adalah memblok akses [port] 7777/tcp agar koneksi luar ke backdoor bisa dihindari.
0 comment:
Post a Comment