1.GEN.MatrixInj
Untuk saat ini, musuh utama user (penguna komputer) pada umumnya adalah virus, program yang dirancang dari rangkaian bahasa pemrograman yang bertujuan untuk menggandakan diri pada komputer user, bisa beraksi dengan tindakan menyembunyikan file, mengenkripsi dan menelan file atau bahkan merusak file user.
Itu adalah musuh utama pada umumnya, yang mana masa kejayaan virus sudah dimulai sejak sekitar tahun 2008-2012, namun masa setelahnya entah kenapa virus sudah mulai sedikit berkurang, mengingat sekarang adalah zaman dimana akses internet mudah didapat, maka tidak dipungkiri jika ini adalah zamannya Trojan/Spyware yang bertujuan mencuri data user melalui akses internet.
Karakteristik Virus/Trojan
Dibuat menggunakan: Tidak diketahui, diduga menggunakan C++
Nama file: minerd.exe, (acak).exe
Ukuran file: 100 KB (102,400 bytes)
Aksi Virus/Trojan
Saat proses virus (Trojan) ini aktif di komputer, maka ia akan mengcopykan diri atau file pendukung ke folder:
- StartUp: (dengan penamaan file acak).exe
- Application Data atau %appdata%: (dengan penamaan file acak).exe
- Application Data\(nama folder acak): minerd.exe, libcurl.dll (ukuran: 312 KB (319,488 bytes)), pthreadGC2.dll (ukuran: 92.0 KB (94,300 bytes))
Mengepost data yang sudah dienkripnya menggunakan cURL, adapun isi
datanya (entah data apa yang sebenarnya dia curi itu) adalah sebagai
berikut:
- Data terenkripsi: 0=074AAA671A&1=0&2=7429B21C1B2F6C9A988C8A&3=6329BF084F1435C0C1CDD5B407AA0B3F6C2AC45C39E4DDD347&4=7C0AEB2C47500CD1C6D6D2B24AD971567178F55665B8D295013DBE4EDFD
Situs-situs sarangnya antara lain:
- www.dwklfiypyj.org
- www.ynwme8.com
- www.xsrbwzemow.com
- www.0ikrrlyx.com
2.GEN.VB.C
Karakteristik Virus
Ukuran : 256Kb
Icon : Microsoft Word
Dibuat Menggunakan : Visual Basic 6
nfeksi All Drive
Hasil dari analisa kami virus ini tidak terlalu
banyak merusak sistem, ini terlihat dari aksinya yang biasa-biasa saja
seperti kebanyakan virus lainnya, yaitu mentargetkan semua drive untuk
memuat duplikat virus. Virus ini cukup aneh, dimana setelah berhasil
infeksi sistem, virus akan membuat folder baru dengan nama “z” disetiap
drive yang ditemuinya, dan didalam folder itu virus membuat dupikatnya
dengan nama “csrss.exe”. agar folder menjadi tidak terlihat, virus
membuatnya attributnya menjadi super hidden dan merubah ikon foldernya
menjadi ikon blank.
Lokasi duplikat virus yg ada disetia drive :
-
<All Drive>\z
-
<All Drive>\z\csrss.exe
-
<All Drive>\z\Desktop.ini
Biasanya virus berikon microsoft word akan menghidden
file berektensi *.doc & *.docx dan membuat duplikat dengan nama
yang sama dengan file yang dihiddennya. tetapi tidak dengan virus ini,
dari analisa singkat kami, virus hanya menghidden data tersebut tapi
tidak membuat dupikat, virus lebih memilih membuat folder baru dengan
nama “z” dan menaruh duplikatnya disana.
3.Autoit D
Karakteristik Virus
Ukuran : 2 Mb (Ukuran berubah-ubah tiap variant)Icon : FolderDibuat Menggunakan : Autoit
File Induk Virus
Saat aktif virus akan menanamkan file induknya pada lokasi windows, lokasi file induk tersebut berada di :
-
C:\Windows\Killer.exe
-
C:\Windows\YahooMessenger.exe
-
C:\Windows\myloveever.exe
File induk tersebut akan aktif secara otomatis saat
komputer dihidupkan, untuk melakukan hal itu virus memanipulasi registry
dilokasi berikut :
-
HKCU\Software\Microsoft\Windows\CurrentVersion\Run "Runonce"
-
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Infeksi Flash Disk
Target utama penyebaran virus ini adalah dengan
menyebarkan dirinya pada semua drive yang ada dikomputer korbannya,
termasuk flashdisk dan hardisk eksternal, dalam penyebarannya virus akan
membuat 3 buah file induk disetiap drive yang ditemukannya, file-file
virus tersebut antara lain :
- autorun.inf
- myloveever.exe
- New Folder (2).exe
- New Folder.exe
Untuk mempercepat penyebaran virus juga menggunakan
teknik klasik dengan memanfaatkan file autorun.inf, untuk menghindari
bahaya dari autorun.inf anda tinggal mematikan semua fitur autorun agar
tidak dapat berjalan secara otomatis.
Bisa kita lihat pada gambar diatas virus ini tidak menghidden folder
yang ditemukannya, sebagai gantinya virus mencoba mengecoh user dengan
membuat file virus dengan nama New Folder, untuk mengetahui ciri-ciri
mana folder asli dengan file virus, yakni dengan mengatur view pada
explorer ke detils, dengan begitu kita dapat mengenali bahwa folder asli
tidak memiiki info pada ukuran, dan tipenya adalah File Folder.
Untuk mempertahankan dirinya, virus berusaha memblok
beberapa caption yang mengandung kata-kata yang dianggap virus berbahaya
bagi kelangsungan hidupnya, apabila virus menemukan caption tersebut
maka window yang mengandung kata tersebut akan di hidden dari desktop,
caption yang diblok oleh virus antara lain
- Avira
- avast
- AVG
- Bitdefender
- Kaspersky
- Virus
- McAfee
- NOD32
- Symantec
- Antivirus
- virusscan
- malware scan
- Folder Options
- Alfa Autorun Killer 3.exe
- AutorunRemover.exe
- Autorun Virus Remover.exe
- USBGuard.exe
Menyebar via Yahoo Messenger
Yahoo Messenger juga tak luput dari incaran virus
ini, apabila user aktif menggunakan aplikasi Yahoo Messenger, virus akan
mengendalikan aplikasi tersebut dengan mencoba mengirimkan dirinya
sendiri pada chat yang aktif saat itu, untuk memperlancar virus juga
menambahkan teks agar korbannya tertarik untuk membuka kiriman virus.
teks yang digunakan virus antara lain :
- open dis ganda nakakatawa
- sino gusto funny scandal ust pm nio ko
Dari teks tersebut sepertinya virus ini berasal dari Filipina.
4.GEN.InjectorNero
ensei (先生?) adalah sufiks yang digunakan oleh orang-orang Jepang
sebagai panggilan untuk orang yang dihormati karena posisinya. Biasanya
yang mendapatkan gelar ini adalah seorang guru.
Sen pada kata Sensei berasal dari kata sakidatsu (先立って?, lebih dulu di depan), sedangkan sei berarti murid. Gelar sensei biasanya diberikan kepada orang yang menekuni pekerjaan yang memerlukan pengetahuan khusus seperti anggota parlemen, dokter, pengacara, seniman, musisi, mangaka, kritikus, guru ilmu bela diri, guru agama, guru sekolah, guru les, guru bimbingan tes dan sebagainya).
Entah apa sebenarnya tujuan dari penggunaan Sensei dan Master pada informasi yang ada didetail file program trojan ini.
Mari kita simak saja detail profil dan aksinya.
Kararteristik Virus (Trojan)
FileDescription: Master
CompanyName: Sensei
FileVersion: 5.7.2.2
Ukuran: 186 KB (190,976 bytes)
Dibuat Menggunakan: Borland Delphi 4.0
Aksi Virus
1. Efek pada Sistem Komputer
Saat virus (trojan) ini aktif, akan menyalin dirinya pada sistem dengan alamat direktori / folder:
Juga membuat parameter / perintah ‘Run’ agar virus dijalankan otomatis saat komputer dihidupkan pada Registry dengan nilai parameter:
2. Efek pada Flashdisk
Tak hanya menyalinkan diri pada sistem, virus ini juga menyalinkan diri pada flashdisk dan bersembunyi pada folder “RECYCLER”, juga membuat file shortcut (*.lnk) setiap dia menemui folder yang ada pada direktori utama (root) dan menghidden / menyembunyikan direktori utama tersebut. Pada file shortcut tersebut dibuatnya parameter untuk menjalankan virus, juga menjalankan ‘explorer.exe’ agar jendela direktori atau folder asli terbuka yang membuat user kadang tidak sadar bahwa sebenarnya virus juga ikutan berjalan pada sistem komputer.
Alamat Situs yang Dicurigai
Sebagai trojan, tentunya memiliki markasrahasia
pada website atau IP tertentu, tempat dimana data yang ia perlukan
dikumpulkan. Berikut alamat-alamat yang dicurigai adalah markasnya:
Mencuri Password
Infeksi Flash Disk
Sen pada kata Sensei berasal dari kata sakidatsu (先立って?, lebih dulu di depan), sedangkan sei berarti murid. Gelar sensei biasanya diberikan kepada orang yang menekuni pekerjaan yang memerlukan pengetahuan khusus seperti anggota parlemen, dokter, pengacara, seniman, musisi, mangaka, kritikus, guru ilmu bela diri, guru agama, guru sekolah, guru les, guru bimbingan tes dan sebagainya).
Entah apa sebenarnya tujuan dari penggunaan Sensei dan Master pada informasi yang ada didetail file program trojan ini.
Mari kita simak saja detail profil dan aksinya.
Kararteristik Virus (Trojan)
FileDescription: Master
CompanyName: Sensei
FileVersion: 5.7.2.2
Ukuran: 186 KB (190,976 bytes)
Dibuat Menggunakan: Borland Delphi 4.0
Aksi Virus
1. Efek pada Sistem Komputer
Saat virus (trojan) ini aktif, akan menyalin dirinya pada sistem dengan alamat direktori / folder:
- %AppData%\<Nama_Acak.exe>
Juga membuat parameter / perintah ‘Run’ agar virus dijalankan otomatis saat komputer dihidupkan pada Registry dengan nilai parameter:
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- <Nama_Acak>= “%AppData%\<Nama_Acak.exe>”
2. Efek pada Flashdisk
Tak hanya menyalinkan diri pada sistem, virus ini juga menyalinkan diri pada flashdisk dan bersembunyi pada folder “RECYCLER”, juga membuat file shortcut (*.lnk) setiap dia menemui folder yang ada pada direktori utama (root) dan menghidden / menyembunyikan direktori utama tersebut. Pada file shortcut tersebut dibuatnya parameter untuk menjalankan virus, juga menjalankan ‘explorer.exe’ agar jendela direktori atau folder asli terbuka yang membuat user kadang tidak sadar bahwa sebenarnya virus juga ikutan berjalan pada sistem komputer.
Alamat Situs yang Dicurigai
Sebagai trojan, tentunya memiliki markas
a. dcool.suPenulis kurang tau pasti tentang apa saja yang ia kirimkan ke markasnya itu, karena memang tidak dapat penulis lihat akan adanya aktifitas ‘post’ maupun ‘get’ data pada alamat-alamat markas tujuannya itu.
b. x3x4.su
c. x6au.su
d. n0ur.org
e. xcool.su
f. m4r4.org
g. rgsw.us
h. x1x2.su
i. api.wipmania.com (markas utama, IP: 116.251.214.147, port: 80)
5.GEN.Autoit NJW0rm
Pernahkan anda menyimpan password di browser google chrome? berhati-hatilah sekarang sudah banyak ditemukan virus-virus yang
mampu mencuri data yg tersimpan dibrowser, salah satunya adalah virus
NjW0rm mampu mencuri password yang tersimpan di browser Google Chrome
dan FTP Client seperti FileZilla.
Karakteristik Virus
Ukuran : 683 KbIcon : Bola biruDibuat Menggunakan : Autoit
File Induk Virus
Saat aktif virus akan menanamkan file induknya disistem, lokasi file induk tersebut berada di :
-
C:\Users\<NamaUser>\AppData\Local\Temp\njw0rm.exe
-
C:\Users\<NamaUser>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\njw0rm.exe
File induk tersebut akan dijadikan proses utama oleh
virus, agar file induk bisa berjalan secara otomatis, virus juga membuat
beberapa autorun di registry
Bypass Windows Firewall
Virus mencoba menambahkan daftar baru di windows
firewall dengan hak akses Public, hal ini virus lakukan agar virus dapat
dengan bebas mengirim data tanpa dihalangi oleh firewall windows. virus
juga mengupdate dirinya melalui url mody2014.no-ip.biz
Saat aktif virus mencoba mendeteksi keberadaan
software browser Google Chrome dan Filezilla, apabila terinstall
dikmuter korban, maka virus akan menjalankan aksinya untuk mencuri
password yg tersimpan dikedua software tersebut dan mengirimkan hasilnya
kepada sipembuat virus.
Dengan adanya pencurian password seperti itu, tidak
disarankan menyimpan password di browser yg anda gunakan, apapun browser
yg anda gunakan tetap tidak aman, karena bisa saja pembuat virus
mentargetkan browser-browser lainnya. Sebagai pengganti anda bisa
menggunakan plugin Extention /Addon seperti LastPass yg keamanannya lebih baik
Infeksi Flash Disk
Sama seperti kebanyakan virus, virus ini juga
mentargetkan Flashdisk sebagai media utama penyebarannya, Virus akan
menghidden seluruh folder yang terdapat diflashdisk dan menggantikanya
dengan shortcut yang mengarah langsung ke file induk virus. :
- njw0rm.exe
- <Folder>.lnk
- *.vbs
- *.lnk
- *.scr
Tidak ada komentar:
Posting Komentar