VIRUS

Virus Gen Kryptik

Kebanyakan dari virus jaman sekarang memanfaatkan shortcut sebagai media penyebarannya, begitu juga dengan variant virus Gen.Kryptik, selain menghidden data korbannya ia juga menggantinya dengan shortcut virus yang mengarah langsung ke file induk virus yang ada di flashdisk. Karakteristik Virus

Ukuran : 170 Kb (Ukuran berubah-ubah tiap variant) Icon : Image / Gambar Dibuat Menggunakan : .NET

File Induk Virus Saat aktif virus akan menanamkan file induknya disistem, lokasi file induk tersebut berada di %appdata% :

C:\Users\<Nama User>\AppData\Roaming\Server.exe

File induk tersebut akan dijadikan proses utama oleh virus, agar file induk bisa berjalan secara otomatis, virus membuat autorun diregistry berikut :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Virus:= C:\Users\<Nama User>\AppData\Roaming\Server.exe

Virus juga membuat beberapa file teks di lokasi :

C:\Users\Lab\<Nama User>\Local\Temp\melt.txt C:\Users\Lab\<Nama User>\PU.log

Infeksi Removable Disk / Flash Disk

Target infeksi virus ini adalah Removable disk, dengan mencari beberapa file yang menjadi target infeksi virus, yakni dengan menghidden data tersebut dan menggantikanya dengan shortcut virus yang mengarah langsung ke file induk virus ada di Flash disk yang, target file infeksi virus antara lain :

*.mpg *.mp4 *.wav *.rar *.png

*.avi *.wmv *.gif *.zip *.jpg

*.mp3 *.txt *.zip *.bmp *.html

Virus gen autoit fake webcam Beberapa akhir ini kami kembali banyak menerima sampel virus berikon kamera webcam. virus yang dibuat dengan menggunakan Autoit ini sebenarnya sudah pernah dibahas sebelumnya disini Virus Autoit menyamar sebagai webcam. Rupanya pembuat virus ini terus memperbarui virusnya agar tetap eksis. terlihat dari sampelsampel virus yg dikirim virus ini memiliki ukuran yang berbeda-beda tiap variantnya, dari tiap variant virus memiliki penambahan fungsi infeksi tertentu, seperti apakah variant virus ini, baca lebih lanjut.. Karakteristik Virus

Ukuran : 775 Kb (Ukuran berubah-ubah tiap variant) Icon : WebCam File Version : 3.3.6.1 Dibuat Menggunakan : Autoit v3

File Induk Virus Saat aktif virus akan menanamkan file induknya disistem, lokasi file induk tersebut berada di :

C:\Windows\System32\system32_.exe

File induk tersebut akan dijadikan proses utama oleh virus, agar file induk bisa berjalan secara otomatis, virus membuat autorun diregistry berikut :

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell = Explorer.exe C:\windows\system32_.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger = C:\windows\system32\system32_.exe

Search Engine Virus

Saat pertama kali aktif, virus membuat beberapa shortcut yang mengarah langsung ke website search engine yang dibuat oleh pembuat virus, file-file shortcut tersebut berada dilokasi :

C:\Users\<NamaUser>\Desktop\Sioril.lnk C:\ProgramData\Microsoft\Windows\StartMenu\Programs\Startup\Google.lnk C:\Users\<NamaUser>\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\ Startup\Gogle.lnk C:\Users\<NamaUser>\Favorites\Make Friends.lnk C:\Users\<NamaUser>\Documents\New Jobs info.lnk

Dari shortcut tersebut mengarah ke website search engine virus berikut :

www.sioril.com www.todaygoogle.com www.My3.in www.todaygoogle.com www.smsopen.com www.sioril.com

Virus juga merubah search engine dan HomePage browser Internet Explorer & Firefox, serta menambahkan task scheduled yang mengarah pada website search engine virus.

Kill Process Berikut beberapa program dan tools windows yang akan ditutup paksa oleh virus :

game_y.exe Bkav2006 System Configuration (Caption) Registry (Caption) [FireLion] (Caption) cmd.exe

Infeksi seluruh drive & Network share

Virus ini mencoba menyebarkan dirinya secara menyeluruh pada setiap drive yang ada dikomputer korban, dengan membuat duplikat virus diroot drive dan sub folder yang ada didalam drive tersebut, jadi berapa banyak folder yang ada disetiap drive, maka segitu juga banyaknya duplikat virus :

New Folder.exe (Attribut Normal) system32_.exe (Attribut Hidden) <NamaFolder> \ <NamaFolder>.exe

Virus ini juga mencoba menginfeksi data / folder yang tersharing dijaringan, jika drive / folder sharing tersebut memiliki akses Full Access, maka virus akan membuat satu duplikat disana dengan nama New Folder.exe

Menyebar Via Instan Messaging Sama seperti variant terdahulu virus ini mentargetkan beberapa aplikasi instan messaging yang biasa digunakan orang untuk chating, berikut ini daftar aplikasi yang menjadi target penyebaran virus :

Yahoo Messenger Google Talk Skype

Dengan mengirimkan pesan berbahasa inggris disertai link bervirus :

"Hey what are you doing Please test my new webcam using private application %UrlVirus%" "Hey Please help me to test my new cam, (use deepika213 as passcode) %UrlVirus%" "The wisest mind has something yet to learn %UrlVirus%" "Hey Please help me to test my new cam application %UrlVirus%" "I was checking out yahoo members ENTER and i saw your page yahoo says you are my top match view my private cam via secured connection Luse password pass %UrlVirus% Waiting for you, view my private cam via secured connection BIN" "Happiness is not a destination. It is a method of life %UrlVirus%" "View my private cam via secured connection %UrlVirus%"

"If you want truly to understand something, try to change it %UrlVirus%" "asl please I am 21 Female, Mumbai (India) and you Hey View my private cam via secured connection %UrlVirus%"

Virus juga akan menambahkan akun si pembuat virus dengan ID foxjones9 didaftar kontak YM. jika ada permintaan dengan id tersebut segera tolak dan hapus dari list pertemanan anda.

Auto Update Virus Pada variant baru ini, pembuat virus menambahkan fungsi otomatis update variant virus, jika virus menemukan variant baru maka virus akan mendownload dan mengganti virus yang lama dengan variant terbarunya, hal ini dibuat tentunya untuk menghindari deteksi scaner Antivirus. Link yg digunakan virus untuk mengupdate variantnya :

http://h1.ripway.com/ssecuremycam (##Sensor ##)

Dari analisa kami virus ini ada kemiripan dengan virus terdahulu yakni virus Sohanad, yang sempat membuat heboh dengan aksinya menyebar melalui YahooMessenger, Virus sohanad juga dibuat menggunakan Autoit, jadi ada kemungkinan variant virus Gen Autoit webcam ini hasil modifikasi dari virus Sohanad.

TROJAN

Xps Trojan dari oriontronproject Dengan modal nekat, trojan yang satu ini memanfaatkan layanan webhosting gratis untuk melancarkan aksinya, entah untuk mencuri data apa dia (virus trojan) dengan mengirimkan sejumlah sedikit paket data ke alamat situs (yang sekarang sudah tidak bisa digunakan) dengan formatan username & machine name & datetime: http://www.oriontronproject.site11.com/post.php?files=&user=Administrator&machine=SM ADAV-BA9B1F20&datetime=02-15-2014*17:55:02

Karakteristik Virus

Dibuat menggunakan: Microsoft Visual Basic v5.0/v6.0 Ukuran file: 140 KB (143,360 bytes) Aksi Tidak banyak aksinya, karena memang tujuan dibuatnya sepertinya hanya untuk menjadi trojan, bukan virus yang suka menggandakan diri dengan banyak pada data storage seperti flashdisk misalnya dengan penggandaan sebanyak file atau folder yang ada, bukan.

Saat virus ini aktif pada komputer, maka akan meng-copy-kan dirinya ke direktori Administrator dengan nama file yang acak.

Tak lupa meng-copy-kan pada flashdisk yang ada dengan nama file Hot fotos.exe dan My Musik(2013).exe.

Virus ini juga membuat sebuah file shortcut pada Startup, yang nantinya akan memanggil file virus yang ada pada direktori Administrator tadi.

Sedikit kesalahan dalam proses pengiriman data, seharusnya dia menyembunyikan proses tersebut dari munculnya browser pada layar Desktop, hal ini tentu menjadi hal yang riskan jika ingin menjalankan aksi, khususnya jika user sadar kalau dia (user) tidak pernah mengakses ke alamat situs yang demikian.

SPYWARE
Gen xero aka winwebsec perangkat mata-mata dari areal raksasa teknologi silicon valley Posted in internet, Rogue, Smadav, Spyware, Trojan, Virus Asing on May 15, 2013 Silicon Valley atau Lembah Silicon adalah julukan bagi daerah selatan dari San Francisco Bay Area, California Amerika Serikat. Julukan ini diraih karena daerah ini memiliki banyak perusahaan yang bergerak dalam bidang komputer dan semikonduktor. Perusahaan-perusahaan yang sekarang menghuni Lembah Silicon, antara lain adalah: Adobe Systems, Apple Computer, Cisco Systems, eBay, Google, Hewlett-Packard, Intel, dan Yahoo!, dan sebagainya. Di Silicon Valley-lah diciptakan rangkaian terpadu berbasis silikon, mikroprosesor, salah satu teknologi kunci bagi revolusi teknologi industri. Sillicon Valley mempunyai kira-kira seperempat miliar pekerja teknologi informasi. Silicon Valley terbentuk sebagai habitat untuk inovasi dengan berkumpulnya berbagai pihak dalam satu tempat baru bagi teknologi; insinyur berketerampilan tinggi dan ilmuwan dari universitas utama di daera tersebut; pendanaan dari Defense Department; berkembangnya network dari perusahaan venture capital yang efisien; dan, pada tahap yang sangat awal, kepemimpinan institusional dari Universitas Stanford.

Ya, itu lah perkiraan habitat tempat tinggal Spyware kali, sebuah habitat yang penuh dengan sumber daya. Tentu Spyware ini tidak dibuat sembarangan orang, ada tujuan khusus dibaliknya tentu bukan sekedar tujuan iseng saja bergerayang pada komputer, melainkan untuk mencuri data komputer korban.

Adapun data tersebut didapat dari jejak yang dibawa Spyware ini, yakni alamat yang bernilai 64.13.172.42, yang jika ditrace maka ditemuilah sebuah data lengkap berisi:

IP country code: US IP address country: United States IP address state: California IP address city: Mountain View IP postcode: 94039 IP address latitude: 37.3860 IP address longitude: -122.0838 ISP of this IP [?]: Silicon Valley Colocation Organization: Silicon Valley Colocation Host of this IP: [?]: r*v*getal*n.net

Karakteristik Spyware Icon: Seperti icon PDF dari Adobe Reader Ukuran: 131 KB (134,144 bytes) Bahasa Pemrograman yang Digunakan: Tidak diketahui, diperkirakan menggunakan bahasa C++

Aksi Spyware Membuka jalur akses untuk menuju 64.13.172.42, yang nantinya akan dikirimkan paket data berisi sesuai perintah yang telah diprogramkan oleh sang pembuatnya, bisa jadi berisi data alamat Email korban, data yang ada pada komputer korban, dan lain sebagainya.

Tapi untuk kali ini, dicurigai hanya mengambil data alamat Email korban untuk dikirimkannya paket pesan yang berbunyi: <!DOCTYPE html PUBLIC -//W3C//DTD XHTML 1.0 Transitional//EN http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd> <!$Id: imerr503.html,v 1.2 2007/11/29 09:34:56 gcattell Exp $> <html xmlns=http://www.w3.org/1999/xhtml> <head> <meta http-equiv=content-type content=text/html; charset=UTF-8 /> <title>Service unavailable</title></head> <body text=#000000 bgcolor=#FFFFFF link=#770000 vlink=#050505 alink=#111111> <! DELETE THIS LINE <center> <h1>&lt;your organization here&gt; WORLD WIDE WEB SITE</h1> </center> DELETE THIS LINE > <hr/> <center> <h2>HTTP Error 503: The requested service is unavailable</h2> <br/> <h3>The service you requested is temporarily unavailable</h3> The service may be unavailable because the server has reached the limit of the number of requests it is willing to serve in parallel. This number depends on the type of request you were submitting. If the document you requested was a dynamic document it may be that the application generating these documents is currently not running.

</center> <hr/> <! DELETE THIS LINE <p>If you think this server is not responding properly or if you have question or suggestions please send mail to <a href=mailto:&lt;your webmasters e-mail address here&gt;>&lt;your webmasters e-mail address here&gt;</a> </p> DELETE THIS LINE > </body></html>

Perangkat ini oleh beberapa antivirus dikategorikan sebagai Trojan dengan nama TR/Winwebsec.403456, tepatnya begitu seperti yang dikatakan Avira antivirus pada penamaan database virusnya. Trojan adalah penamaan untuk perangkat yang mampu melakukan komunikasi dengan membuka port tertentu untuk secara tanpa sepengetahuan korban lalu membuka jalan agar perangkat lainnya juga bisa ikut masuk pada komputer yang berhasil ia tanamkan dirinya di dalamnya. Adapun oleh Wiki-Security, perangkat ini dikatakan sebagai Spyware, lantaran memang perangkat ini melakukan komunikasi data secara seenaknya, yang mana hal itu dapat dikatakan sebagai tindakan Spyware atau perangkat mata-mata. Oh iya, satu lagi, Rogue:Win32/Winwebsec is a family of programs that claim to scan for malware and display fake warnings of malicious programs and viruses. They then inform the user that they need to pay money to register the software in order to remove these non-existent threats. Win32/Winwebsec has been distributed with several different names. The user interface varies to reflect each variants individual branding. Perangkat ini juga dibilang sebagai Rogue, lantaran mencoba melakukan tindak penipuan karena menginformasikan agar korban melakukan pembayaran sejumlah uang untuk perangkat yang mereka/ia tawarkan. Begitu seperti yang dikatakan pada situs Microsoft pada portal Malware Protection Center-nya.

WORM
Worm VideoBangka worm yang bandel Dari sekian banyak ulah virus, seperti menyebar ke USB flashdisk dengan jumlah yang banyak melalui penggandaan sebanyak folder yang ada, merusak dokumen, dan lain sebagainya, namun beda dengan worm satu ini. Walaupun worm ini hanya membuat dua buah file indukan, tetapi kekuatan bertahannya memang kuat, bandel untuk dibersihkan dengan mudah.

Karakteristik Worm

Icon: Windows Media Player Dibuat menggunakan: MS Visual Basic 5.0-6.0 EXE Nama asli file: KJfiles Ukuran: 444 KB (454,656 bytes) Tak ada yang baru dan unik dari tampilan karakter virus ini, tapi siapa yang tau dengan aksinya? Aksi Walau kita punya banyak drive aktif, maupun banyak flashdisk yang tertancap ke port USB, hal itu bukan menjadi santapan worm ini. Adapun yang menjadi aksi serangan worm ini adalah pada Registry:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] HKCU=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,\

00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,00,\ 69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,65,\ 00,72,00,2e,00,65,00,78,00,65,00,00,00

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer \Run] Policies=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,\ 72,00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,\ 00,69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,\ 65,00,72,00,2e,00,65,00,78,00,65,00,00,00

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n] HKLM=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,\ 00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,00,\ 69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,65,\ 00,72,00,2e,00,65,00,78,00,65,00,00,00

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\E xplorer\Run] Policies=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,\ 72,00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,\ 00,69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,\ 65,00,72,00,2e,00,65,00,78,00,65,00,00,00

Sedangkan untuk peletakan lokasi induk file pada harddisk yaitu pada: 1. C:\directory\CyberGate\install\server.exe 2. C:\Document and Settings\User\Application Data\install\server.exe

Saat virus sudah berhasil meletakkan indukannya pada lokasi yang aman (yang bahkan pada lokasi tersebut ternyata kita tidak bisa menghapus folder yang dibuat oleh virus/worm), virus akan memanggil iexplore.exe untuk dijalankan dan berjalan dibalik layar, entah ini semacam sistem remot kuda Trojan, tak dapat diselidiki dengan mudah. Namun entah kenapa harus ada pemanggilan Dr. Watson (yang mengakibatkan muncunya kotak pesan adanya kerusakan dari IE) dengan parameter:

C:\WINDOWS\system32\drwtsn32 -p 320 -e 364 g

Cobalah untuk mengkill IE! Jika IE atau Internet Explorer ini tidak dapat dikill berarti indukan virus (worm) ini memang masih aktif, belum benar-benar terhapus. Walaupun dari laporan hasil Scanning Smadav menyatalkan Sudah dikarantina, namun ternyata setelah dilihat pada proses, jika IE masih aktif, dan dicoba dikill, lalu IE aktif kembali, berarti worm ini memang bandel untuk dibersihkan.

MALWARE
DirtyDecrypt.Exe (Dirty Decrypt) Namanya virus/malware : DirtyDecrypt.Exe (Dirty Decrypt). Virus/malware ini menginfeksi semua file (image, MS Office, PDF). File yang terinfeksi akan berubah tampilannya seperti yang ak sertakan dalam lampiran. Notebook saya pakai Windows 7 Professional. Pada waktu virus/malware ini masuk di notebook udah terpasang anti virus Smadav & Avast. Setelah notebook ak install ulang, ketika ak nyimpan file image (jpeg) baru ga ikut terinfeksi (aman2 saja). Kata temanku, virus/malware udah ilang pas di instal ulang, tp efek/infeksi dr virus/malware tsb masih nempel.