Trojan Bersembunyi Dibalik Rootkit

Jakarta - Para peneliti keamanan di Sana Security menemukan sebuah software jahat yang didalamnya ada trojan dan rootkit 'liar'. Konon keduanya secara aktif telah menginfeksi komputer sejak 16 Maret lalu.Menurut mereka (para peneliti-red), software jahat tersebut bisa mencuri username dan password para penjelajah web, tanpa memerlukan keylogging. Di dalam rootkit tersembunyi trojan yang tak akan bisa dilihat pengguna pada disk mereka.Dijuluki "rootkit.hearse", malware tersebut menggunakan teknik rootkit cloaking. Teknik serangan ini disinyalir sangat sulit dideteksi, bahkan oleh antivirus ternama sekalipun."Teknik cloaking yang dipakai rootkit.hearse sama seperti yang dipakai Sony BMG Music di rootkit XCP (Extended Copy Protection), dan sangat sukar dideteksi," kata Vlad Gorelik, Chief Technology Officer Sana.Cara KerjanyaUntuk bisa mencuri informasi penting, penyerang akan memperdaya pengguna untuk men-download software jahat atau menginfeksi komputer dengan malware lain. Ada dua komponen yang terkandung di dalam software itu, yakni sebuah aplikasi trojan horse yang terhubung ke server di Rusia, dan rootkit yang menyembunyikan software jahat dari system tools dan program antivirus.Untuk diketahui saja, trojan dan rootkit itu ditemukan selama Sana menginvestigasi worm Win32.Alcra. Worm tersebut, jika tidak dihentikan, akan menghubungi berbagai situs lain dan akan men-download payload tambahan. Salah satu situs diantaranya merupakan installer rootkit dan trojan.Jika terinstal, trojan secara diam-diam akan berkomunikasi dengan web server yang berlokasi di Rusia, yang telah beroperasi sejak 16 Maret silam. Nah, web server inilah yang bertindak sebagai 'gudang' untuk mencuri username dan password pengguna.Sejak Senin (20/3/2006), dari 24 produk keamanan yang diuji Sana terkait "rootkit.hearse", hanya lima produk yang bisa mendeteksi malware tersebut. Saat ini, menurut Gorelik, server Rusia menyimpan sekitar 35.000 username dan login yang bisa digunakan pada 7.000 situs yang berbeda, termasuk situs perbankan, situs lelang dan situs jaringan sosial."Internet service provider (ISP) Rusia untuk situs tersebut sedang diselidiki," kata Gorelik. Namun Gorelik menolak memberitahu nama ISP tersebut. Sampai berita ini diturunkan, situs Rusia itu masih beroperasi. Demikian diberitakan pcworld dan dikutip detikINET Rabu (22/3/2006). (dwn) (ien/)