-
VIRUS
Virus Gen Kryptik
Kebanyakan dari virus jaman sekarang memanfaatkan shortcut
sebagai media
penyebarannya, begitu juga dengan variant virus Gen.Kryptik,
selain menghidden data
korbannya ia juga menggantinya dengan shortcut virus yang
mengarah langsung ke file induk
virus yang ada di flashdisk.
Karakteristik Virus
Ukuran : 170 Kb (Ukuran berubah-ubah tiap variant)
Icon : Image / Gambar
Dibuat Menggunakan : .NET
File Induk Virus
Saat aktif virus akan menanamkan file induknya disistem, lokasi
file induk tersebut berada di
%appdata% :
C:\Users\\AppData\Roaming\Server.exe
File induk tersebut akan dijadikan proses utama oleh virus, agar
file induk bisa berjalan
secara otomatis, virus membuat autorun diregistry berikut :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Virus:=
C:\Users\\AppData\Roaming\Server.exe
Virus juga membuat beberapa file teks di lokasi :
-
C:\Users\Lab\\Local\Temp\melt.txt
C:\Users\Lab\\PU.log
Infeksi Removable Disk / Flash Disk
Target infeksi virus ini adalah Removable disk, dengan mencari
beberapa file yang menjadi
target infeksi virus, yakni dengan menghidden data tersebut dan
menggantikanya dengan
shortcut virus yang mengarah langsung ke file induk virus ada di
Flash disk yang, target file
infeksi virus antara lain :
*.mpg
*.mp4
*.wav
*.rar
*.png
*.avi
*.wmv
*.gif
*.zip
*.jpg
*.mp3
*.txt
*.zip
*.bmp
*.html
-
Virus gen autoit fake webcam
Beberapa akhir ini kami kembali banyak menerima sampel virus
berikon kamera webcam.
virus yang dibuat dengan menggunakan Autoit ini sebenarnya sudah
pernah dibahas
sebelumnya disini Virus Autoit menyamar sebagai webcam.
Rupanya pembuat virus ini terus memperbarui virusnya agar tetap
eksis. terlihat dari sampel-
sampel virus yg dikirim virus ini memiliki ukuran yang
berbeda-beda tiap variantnya, dari
tiap variant virus memiliki penambahan fungsi infeksi tertentu,
seperti apakah variant virus
ini, baca lebih lanjut..
Karakteristik Virus
Ukuran : 775 Kb (Ukuran berubah-ubah tiap variant)
Icon : WebCam
File Version : 3.3.6.1
Dibuat Menggunakan : Autoit v3
File Induk Virus
Saat aktif virus akan menanamkan file induknya disistem, lokasi
file induk tersebut berada di
:
C:\Windows\System32\system32_.exe
File induk tersebut akan dijadikan proses utama oleh virus, agar
file induk bisa berjalan
secara otomatis, virus membuat autorun diregistry berikut :
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell
=
Explorer.exe C:\windows\system32_.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger
=
C:\windows\system32\system32_.exe
-
Search Engine Virus
Saat pertama kali aktif, virus membuat beberapa shortcut yang
mengarah langsung ke website
search engine yang dibuat oleh pembuat virus, file-file shortcut
tersebut berada dilokasi :
C:\Users\\Desktop\Sioril.lnk
C:\ProgramData\Microsoft\Windows\StartMenu\Programs\Startup\Google.lnk
C:\Users\\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\
Startup\Gogle.lnk
C:\Users\\Favorites\Make Friends.lnk
C:\Users\\Documents\New Jobs info.lnk
Dari shortcut tersebut mengarah ke website search engine virus
berikut :
www.sioril.com
www.todaygoogle.com
www.My3.in
www.todaygoogle.com
www.smsopen.com
www.sioril.com
Virus juga merubah search engine dan HomePage browser Internet
Explorer & Firefox, serta
menambahkan task scheduled yang mengarah pada website search
engine virus.
Kill Process
Berikut beberapa program dan tools windows yang akan ditutup
paksa oleh virus :
game_y.exe
Bkav2006
System Configuration (Caption)
Registry (Caption)
[FireLion] (Caption)
cmd.exe
Infeksi seluruh drive & Network share
-
Virus ini mencoba menyebarkan dirinya secara menyeluruh pada
setiap drive yang ada
dikomputer korban, dengan membuat duplikat virus diroot drive
dan sub folder yang ada
didalam drive tersebut, jadi berapa banyak folder yang ada
disetiap drive, maka segitu juga
banyaknya duplikat virus :
New Folder.exe (Attribut Normal)
system32_.exe (Attribut Hidden)
\ .exe
Virus ini juga mencoba menginfeksi data / folder yang tersharing
dijaringan, jika drive /
folder sharing tersebut memiliki akses Full Access, maka virus
akan membuat satu duplikat
disana dengan nama New Folder.exe
Menyebar Via Instan Messaging
Sama seperti variant terdahulu virus ini mentargetkan beberapa
aplikasi instan messaging
yang biasa digunakan orang untuk chating, berikut ini daftar
aplikasi yang menjadi target
penyebaran virus :
Yahoo Messenger
Google Talk
Skype
Dengan mengirimkan pesan berbahasa inggris disertai link
bervirus :
"Hey what are you doing Please test my new webcam using private
application
%UrlVirus%"
"Hey Please help me to test my new cam, (use deepika213 as
passcode) %UrlVirus%"
"The wisest mind has something yet to learn %UrlVirus%"
"Hey Please help me to test my new cam application
%UrlVirus%"
"I was checking out yahoo members ENTER and i saw your page
yahoo says you
are my top match view my private cam via secured connection Luse
password
pass %UrlVirus% Waiting for you, view my private cam via secured
connection
BIN"
"Happiness is not a destination. It is a method of life
%UrlVirus%"
"View my private cam via secured connection %UrlVirus%"
-
"If you want truly to understand something, try to change it
%UrlVirus%"
"asl please I am 21 Female, Mumbai (India) and you Hey View my
private cam via
secured connection %UrlVirus%"
Virus juga akan menambahkan akun si pembuat virus dengan ID
foxjones9 didaftar kontak
YM. jika ada permintaan dengan id tersebut segera tolak dan
hapus dari list pertemanan
anda.
Auto Update Virus
Pada variant baru ini, pembuat virus menambahkan fungsi otomatis
update variant virus, jika
virus menemukan variant baru maka virus akan mendownload dan
mengganti virus yang
lama dengan variant terbarunya, hal ini dibuat tentunya untuk
menghindari deteksi scaner
Antivirus.
Link yg digunakan virus untuk mengupdate variantnya :
http://h1.ripway.com/ssecuremycam (##Sensor ##)
Dari analisa kami virus ini ada kemiripan dengan virus terdahulu
yakni virus Sohanad, yang
sempat membuat heboh dengan aksinya menyebar melalui
YahooMessenger, Virus sohanad
juga dibuat menggunakan Autoit, jadi ada kemungkinan variant
virus Gen Autoit webcam ini
hasil modifikasi dari virus Sohanad.
TROJAN
-
Xps Trojan dari oriontronproject
Dengan modal nekat, trojan yang satu ini memanfaatkan layanan
webhosting gratis untuk
melancarkan aksinya, entah untuk mencuri data apa dia (virus
trojan) dengan mengirimkan
sejumlah sedikit paket data ke alamat situs (yang sekarang sudah
tidak bisa digunakan)
dengan formatan username & machine name & datetime:
http://www.oriontronproject.site11.com/post.php?files=&user=Administrator&machine=SM
ADAV-BA9B1F20&datetime=02-15-2014*17:55:02
Karakteristik Virus
Dibuat menggunakan: Microsoft Visual Basic v5.0/v6.0
Ukuran file: 140 KB (143,360 bytes)
Aksi
Tidak banyak aksinya, karena memang tujuan dibuatnya sepertinya
hanya untuk menjadi
trojan, bukan virus yang suka menggandakan diri dengan banyak
pada data storage seperti
flashdisk misalnya dengan penggandaan sebanyak file atau folder
yang ada, bukan.
Saat virus ini aktif pada komputer, maka akan meng-copy-kan
dirinya ke direktori
Administrator dengan nama file yang acak.
-
Tak lupa meng-copy-kan pada flashdisk yang ada dengan nama file
Hot fotos.exe dan My Musik(2013).exe.
Virus ini juga membuat sebuah file shortcut pada Startup, yang
nantinya akan memanggil file
virus yang ada pada direktori Administrator tadi.
Sedikit kesalahan dalam proses pengiriman data, seharusnya dia
menyembunyikan proses
tersebut dari munculnya browser pada layar Desktop, hal ini
tentu menjadi hal yang riskan
jika ingin menjalankan aksi, khususnya jika user sadar kalau dia
(user) tidak pernah
mengakses ke alamat situs yang demikian.
-
SPYWARE
Gen xero aka winwebsec perangkat mata-mata dari areal raksasa
teknologi silicon valley
Posted in internet, Rogue, Smadav, Spyware, Trojan, Virus Asing
on May 15, 2013
Silicon Valley atau Lembah Silicon adalah julukan bagi daerah
selatan dari San Francisco
Bay Area, California Amerika Serikat. Julukan ini diraih karena
daerah ini memiliki banyak
perusahaan yang bergerak dalam bidang komputer dan
semikonduktor.
Perusahaan-perusahaan yang sekarang menghuni Lembah Silicon,
antara lain adalah:
Adobe Systems, Apple Computer, Cisco Systems, eBay, Google,
Hewlett-Packard, Intel, dan
Yahoo!, dan sebagainya.
Di Silicon Valley-lah diciptakan rangkaian terpadu berbasis
silikon, mikroprosesor, salah
satu teknologi kunci bagi revolusi teknologi industri. Sillicon
Valley mempunyai kira-kira
seperempat miliar pekerja teknologi informasi. Silicon Valley
terbentuk sebagai habitat
untuk inovasi dengan berkumpulnya berbagai pihak dalam satu
tempat baru bagi teknologi;
insinyur berketerampilan tinggi dan ilmuwan dari universitas
utama di daera tersebut;
pendanaan dari Defense Department; berkembangnya network dari
perusahaan venture
capital yang efisien; dan, pada tahap yang sangat awal,
kepemimpinan institusional dari
Universitas Stanford.
Ya, itu lah perkiraan habitat tempat tinggal Spyware kali,
sebuah habitat yang penuh dengan
sumber daya. Tentu Spyware ini tidak dibuat sembarangan orang,
ada tujuan khusus
dibaliknya tentu bukan sekedar tujuan iseng saja bergerayang
pada komputer, melainkan
untuk mencuri data komputer korban.
Adapun data tersebut didapat dari jejak yang dibawa Spyware ini,
yakni alamat yang bernilai
64.13.172.42, yang jika ditrace maka ditemuilah sebuah data
lengkap berisi:
IP country code: US
IP address country: United States
-
IP address state: California
IP address city: Mountain View
IP postcode: 94039
IP address latitude: 37.3860
IP address longitude: -122.0838
ISP of this IP [?]: Silicon Valley Colocation
Organization: Silicon Valley Colocation
Host of this IP: [?]: r*v*getal*n.net
Karakteristik Spyware Icon: Seperti icon PDF dari Adobe
Reader
Ukuran: 131 KB (134,144 bytes)
Bahasa Pemrograman yang Digunakan: Tidak diketahui, diperkirakan
menggunakan bahasa
C++
Aksi Spyware
Membuka jalur akses untuk menuju 64.13.172.42, yang nantinya
akan dikirimkan paket data
berisi sesuai perintah yang telah diprogramkan oleh sang
pembuatnya, bisa jadi berisi data
alamat Email korban, data yang ada pada komputer korban, dan
lain sebagainya.
Tapi untuk kali ini, dicurigai hanya mengambil data alamat Email
korban untuk
dikirimkannya paket pesan yang berbunyi:
-
Service unavailable
WORLD WIDE WEB SITE
DELETE THIS LINE >
HTTP Error 503: The requested service is unavailable
The service you requested is temporarily unavailable The service
may
be unavailable because the server has reached the limit of the
number of
requests it is willing to serve in parallel. This number depends
on the type of
request you were submitting. If the document you requested was a
dynamic
document it may be that the application generating these
documents is currently
not running.
-
If you think this server is not responding properly or if
you
have question or suggestions please send mail to
DELETE THIS LINE >
Perangkat ini oleh beberapa antivirus dikategorikan sebagai
Trojan dengan nama
TR/Winwebsec.403456, tepatnya begitu seperti yang dikatakan
Avira antivirus pada penamaan database virusnya. Trojan adalah
penamaan untuk perangkat yang mampu
melakukan komunikasi dengan membuka port tertentu untuk secara
tanpa
sepengetahuan korban lalu membuka jalan agar perangkat lainnya
juga bisa ikut
masuk pada komputer yang berhasil ia tanamkan dirinya di
dalamnya.
Adapun oleh Wiki-Security, perangkat ini dikatakan sebagai
Spyware, lantaran
memang perangkat ini melakukan komunikasi data secara seenaknya,
yang mana hal
itu dapat dikatakan sebagai tindakan Spyware atau perangkat
mata-mata.
Oh iya, satu lagi, Rogue:Win32/Winwebsec is a family of programs
that claim to scan for malware and display fake warnings of
malicious programs and viruses. They then inform the user that they
need to pay money to register the software in
order to remove these non-existent threats. Win32/Winwebsec has
been distributed
with several different names. The user interface varies to
reflect each variants individual branding. Perangkat ini juga
dibilang sebagai Rogue, lantaran mencoba melakukan tindak penipuan
karena menginformasikan agar korban melakukan
pembayaran sejumlah uang untuk perangkat yang mereka/ia
tawarkan. Begitu seperti
yang dikatakan pada situs Microsoft pada portal Malware
Protection Center-nya.
-
WORM
Worm VideoBangka worm yang bandel
Dari sekian banyak ulah virus, seperti menyebar ke USB flashdisk
dengan jumlah yang
banyak melalui penggandaan sebanyak folder yang ada, merusak
dokumen, dan lain
sebagainya, namun beda dengan worm satu ini. Walaupun worm ini
hanya membuat dua
buah file indukan, tetapi kekuatan bertahannya memang kuat,
bandel untuk dibersihkan
dengan mudah.
Karakteristik Worm
Icon: Windows Media Player
Dibuat menggunakan: MS Visual Basic 5.0-6.0 EXE
Nama asli file: KJfiles
Ukuran: 444 KB (454,656 bytes)
Tak ada yang baru dan unik dari tampilan karakter virus ini,
tapi siapa yang tau dengan
aksinya?
Aksi
Walau kita punya banyak drive aktif, maupun banyak flashdisk
yang tertancap ke port USB,
hal itu bukan menjadi santapan worm ini.
Adapun yang menjadi aksi serangan worm ini adalah pada
Registry:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
HKCU=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,\
00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,00,\
69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,65,\
00,72,00,2e,00,65,00,78,00,65,00,00,00
-
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
\Run]
Policies=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,\
72,00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,\
00,69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,\
65,00,72,00,2e,00,65,00,78,00,65,00,00,00
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru
n]
HKLM=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,\
00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,00,\
69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,65,\
00,72,00,2e,00,65,00,78,00,65,00,00,00
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\E
xplorer\Run]
Policies=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,\
72,00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,\
00,69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,\
65,00,72,00,2e,00,65,00,78,00,65,00,00,00
-
Sedangkan untuk peletakan lokasi induk file pada harddisk yaitu
pada:
1. C:\directory\CyberGate\install\server.exe 2. C:\Document and
Settings\User\Application Data\install\server.exe
Saat virus sudah berhasil meletakkan indukannya pada lokasi yang
aman (yang bahkan pada
lokasi tersebut ternyata kita tidak bisa menghapus folder yang
dibuat oleh virus/worm), virus
akan memanggil iexplore.exe untuk dijalankan dan berjalan
dibalik layar, entah ini semacam sistem remot kuda Trojan, tak
dapat diselidiki dengan mudah. Namun entah kenapa
harus ada pemanggilan Dr. Watson (yang mengakibatkan muncunya
kotak pesan adanya
kerusakan dari IE) dengan parameter:
C:\WINDOWS\system32\drwtsn32 -p 320 -e 364 g
Cobalah untuk mengkill IE! Jika IE atau Internet Explorer ini
tidak dapat dikill berarti
indukan virus (worm) ini memang masih aktif, belum benar-benar
terhapus.
Walaupun dari laporan hasil Scanning Smadav menyatalkan Sudah
dikarantina, namun ternyata setelah dilihat pada proses, jika IE
masih aktif, dan dicoba dikill, lalu IE aktif
kembali, berarti worm ini memang bandel untuk dibersihkan.
-
MALWARE
DirtyDecrypt.Exe (Dirty Decrypt)
Namanya virus/malware : DirtyDecrypt.Exe (Dirty Decrypt).
Virus/malware ini menginfeksi semua file
(image, MS Office, PDF). File yang terinfeksi akan berubah
tampilannya seperti yang ak sertakan dalam
lampiran. Notebook saya pakai Windows 7 Professional. Pada waktu
virus/malware ini masuk di
notebook udah terpasang anti virus Smadav & Avast. Setelah
notebook ak install ulang, ketika ak
nyimpan file image (jpeg) baru ga ikut terinfeksi (aman2 saja).
Kata temanku, virus/malware udah ilang
pas di instal ulang, tp efek/infeksi dr virus/malware tsb masih
nempel.
