A Muster névre hallgató backdoor-típusú kártevőcsalád rendre a hlp kiterjesztésű ún. helpfájlokat használja rejtekhelyül. Ezeket az állományokat a Microsoft WinHelp böngészője nyitja meg akkor, ha éppen (online) segítség után kutatunk egy adott alkalmazással kapcsolatban. Korábban a kártékony komponenseket egy újonnan létrehozott helpfájlba pakolta bele kódoltan a vírus, később a Microsoft CryptoAPI utasításra feloldotta a tikosítást, így a kód futtathatóvá vált. (A McAfee alább hivatkozott anyagában nem kerül említésre, de egyik olvasónktól megtudtuk: a hlp kiterjesztésű fájlokat már nem lehet megnyitni Vista és Windows 7 alatt a WinHelppel, ehhez az alkalmazás külön letöltése szükséges.)

Az új Muster-variáns azonban a már létező imepaden.hlp állományba injektál kártékony kódot. A fájlt továbbra is megnyitja a WinHelp, a felhasználó gyakorlatilag semmit sem vesz észre a fertőzésből. Ugyanekkor a vírus egy sys kiterjesztésű állományt is kipakol a gépre, amely a rendszer újraindításkor egyszerűen egy külön szolgáltatásként tölti be magát. A ravasz trükk mögött az áll, hogy a sys fájl kicsomagolja a rejtett kódot a korábban megfertőzött imepaden.hlp-ből, és upgraderUI.exe néven egy futtatható állományt készít belőle saját rendszerleíró kulccsal (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run AutoPatch). A közel tökéletes megtévesztéshez a sys fájlban olyan kulcsszavakat helyeztek el a vírus írói, amelyekre a weben rákeresve főként programozási fórumok és tudástárak jelennek meg, így a felhasználó azt hiheti, egy teljesen ártalmatlan, legitim állományba botlott bele – írja a McAfee biztonságtechnikai cég egyik mérnöke.

Forrás: McAfee

A kártevő manuális megsemmisítésére tett kísérletek könnyedén macska-egér játékhoz vezethetnek. Hiába törli ugyanis a felhasználó a upgraderUI.exe-t vagy a rendszerleíróban létrehozott kulcsot, minden egyes újraindításkor kezdődhet elölről az egész, hiszen a folyamat mozgatórugója az állandóan betöltődő sys fájl, az imepaden.hlp pedig fertőzött.