VIRUS

Virus Gen Kryptik

Kebanyakan dari virus jaman sekarang memanfaatkan shortcut sebagai media
penyebarannya, begitu juga dengan variant virus Gen.Kryptik, selain menghidden data
korbannya ia juga menggantinya dengan shortcut virus yang mengarah langsung ke file induk
virus yang ada di flashdisk.
Karakteristik Virus

Ukuran : 170 Kb (Ukuran berubah-ubah tiap variant)
Icon : Image / Gambar
Dibuat Menggunakan : .NET

File Induk Virus
Saat aktif virus akan menanamkan file induknya disistem, lokasi file induk tersebut berada di
%appdata% :
C:\Users\<Nama User>\AppData\Roaming\Server.exe
File induk tersebut akan dijadikan proses utama oleh virus, agar file induk bisa berjalan
secara otomatis, virus membuat autorun diregistry berikut :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Virus:= C:\Users\<Nama
User>\AppData\Roaming\Server.exe
Virus juga membuat beberapa file teks di lokasi :
C:\Users\Lab\<Nama User>\Local\Temp\melt.txt
C:\Users\Lab\<Nama User>\PU.log

Infeksi Removable Disk / Flash Disk

Target infeksi virus ini adalah Removable disk, dengan mencari beberapa file yang menjadi
target infeksi virus, yakni dengan menghidden data tersebut dan menggantikanya dengan
shortcut virus yang mengarah langsung ke file induk virus ada di Flash disk yang, target file
infeksi virus antara lain :
*.mpg
*.mp4
*.wav
*.rar
*.png
*.avi
*.wmv
*.gif
*.zip
*.jpg
*.mp3
*.txt
*.zip
*.bmp
*.html





Virus gen autoit fake webcam
Beberapa akhir ini kami kembali banyak menerima sampel virus berikon kamera webcam.
virus yang dibuat dengan menggunakan Autoit ini sebenarnya sudah pernah dibahas
sebelumnya disini Virus Autoit menyamar sebagai webcam.
Rupanya pembuat virus ini terus memperbarui virusnya agar tetap eksis. terlihat dari sampel-
sampel virus yg dikirim virus ini memiliki ukuran yang berbeda-beda tiap variantnya, dari
tiap variant virus memiliki penambahan fungsi infeksi tertentu, seperti apakah variant virus
ini, baca lebih lanjut..
Karakteristik Virus

Ukuran : 775 Kb (Ukuran berubah-ubah tiap variant)
Icon : WebCam
File Version : 3.3.6.1
Dibuat Menggunakan : Autoit v3

File Induk Virus
Saat aktif virus akan menanamkan file induknya disistem, lokasi file induk tersebut berada di
:
C:\Windows\System32\system32_.exe
File induk tersebut akan dijadikan proses utama oleh virus, agar file induk bisa berjalan
secara otomatis, virus membuat autorun diregistry berikut :
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell =
Explorer.exe C:\windows\system32_.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger =
C:\windows\system32\system32_.exe

Search Engine Virus

Saat pertama kali aktif, virus membuat beberapa shortcut yang mengarah langsung ke website
search engine yang dibuat oleh pembuat virus, file-file shortcut tersebut berada dilokasi :
C:\Users\<NamaUser>\Desktop\Sioril.lnk
C:\ProgramData\Microsoft\Windows\StartMenu\Programs\Startup\Google.lnk
C:\Users\<NamaUser>\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\
Startup\Gogle.lnk
C:\Users\<NamaUser>\Favorites\Make Friends.lnk
C:\Users\<NamaUser>\Documents\New Jobs info.lnk
Dari shortcut tersebut mengarah ke website search engine virus berikut :
www.sioril.com
www.todaygoogle.com
www.My3.in
www.todaygoogle.com
www.smsopen.com
www.sioril.com
Virus juga merubah search engine dan HomePage browser Internet Explorer & Firefox, serta
menambahkan task scheduled yang mengarah pada website search engine virus.

Kill Process
Berikut beberapa program dan tools windows yang akan ditutup paksa oleh virus :
game_y.exe
Bkav2006
System Configuration (Caption)
Registry (Caption)
[FireLion] (Caption)
cmd.exe

Infeksi seluruh drive & Network share

Virus ini mencoba menyebarkan dirinya secara menyeluruh pada setiap drive yang ada
dikomputer korban, dengan membuat duplikat virus diroot drive dan sub folder yang ada
didalam drive tersebut, jadi berapa banyak folder yang ada disetiap drive, maka segitu juga
banyaknya duplikat virus :
New Folder.exe (Attribut Normal)
system32_.exe (Attribut Hidden)
<NamaFolder> \ <NamaFolder>.exe
Virus ini juga mencoba menginfeksi data / folder yang tersharing dijaringan, jika drive /
folder sharing tersebut memiliki akses Full Access, maka virus akan membuat satu duplikat
disana dengan nama New Folder.exe

Menyebar Via Instan Messaging
Sama seperti variant terdahulu virus ini mentargetkan beberapa aplikasi instan messaging
yang biasa digunakan orang untuk chating, berikut ini daftar aplikasi yang menjadi target
penyebaran virus :
Yahoo Messenger
Google Talk
Skype
Dengan mengirimkan pesan berbahasa inggris disertai link bervirus :
"Hey what are you doing Please test my new webcam using private application
%UrlVirus%"
"Hey Please help me to test my new cam, (use deepika213 as
passcode) %UrlVirus%"
"The wisest mind has something yet to learn %UrlVirus%"
"Hey Please help me to test my new cam application %UrlVirus%"
"I was checking out yahoo members ENTER and i saw your page yahoo says you
are my top match view my private cam via secured connection Luse password
pass %UrlVirus% Waiting for you, view my private cam via secured connection
BIN"
"Happiness is not a destination. It is a method of life %UrlVirus%"
"View my private cam via secured connection %UrlVirus%"
"If you want truly to understand something, try to change it %UrlVirus%"
"asl please I am 21 Female, Mumbai (India) and you Hey View my private cam via
secured connection %UrlVirus%"
Virus juga akan menambahkan akun si pembuat virus dengan ID foxjones9 didaftar kontak
YM. jika ada permintaan dengan id tersebut segera tolak dan hapus dari list pertemanan
anda.

Auto Update Virus
Pada variant baru ini, pembuat virus menambahkan fungsi otomatis update variant virus, jika
virus menemukan variant baru maka virus akan mendownload dan mengganti virus yang
lama dengan variant terbarunya, hal ini dibuat tentunya untuk menghindari deteksi scaner
Antivirus.
Link yg digunakan virus untuk mengupdate variantnya :
http://h1.ripway.com/ssecuremycam (##Sensor ##)
Dari analisa kami virus ini ada kemiripan dengan virus terdahulu yakni virus Sohanad, yang
sempat membuat heboh dengan aksinya menyebar melalui YahooMessenger, Virus sohanad
juga dibuat menggunakan Autoit, jadi ada kemungkinan variant virus Gen Autoit webcam ini
hasil modifikasi dari virus Sohanad.











TROJAN
Xps Trojan dari oriontronproject
Dengan modal nekat, trojan yang satu ini memanfaatkan layanan webhosting gratis untuk
melancarkan aksinya, entah untuk mencuri data apa dia (virus trojan) dengan mengirimkan
sejumlah sedikit paket data ke alamat situs (yang sekarang sudah tidak bisa digunakan)
dengan formatan username & machine name & datetime:
http://www.oriontronproject.site11.com/post.php?files=&user=Administrator&machine=SM
ADAV-BA9B1F20&datetime=02-15-2014*17:55:02

Karakteristik Virus

Dibuat menggunakan: Microsoft Visual Basic v5.0/v6.0
Ukuran file: 140 KB (143,360 bytes)
Aksi
Tidak banyak aksinya, karena memang tujuan dibuatnya sepertinya hanya untuk menjadi
trojan, bukan virus yang suka menggandakan diri dengan banyak pada data storage seperti
flashdisk misalnya dengan penggandaan sebanyak file atau folder yang ada, bukan.

Saat virus ini aktif pada komputer, maka akan meng-copy-kan dirinya ke direktori
Administrator dengan nama file yang acak.

Tak lupa meng-copy-kan pada flashdisk yang ada dengan nama file Hot fotos.exe dan My
Musik(2013).exe.

Virus ini juga membuat sebuah file shortcut pada Startup, yang nantinya akan memanggil file
virus yang ada pada direktori Administrator tadi.

Sedikit kesalahan dalam proses pengiriman data, seharusnya dia menyembunyikan proses
tersebut dari munculnya browser pada layar Desktop, hal ini tentu menjadi hal yang riskan
jika ingin menjalankan aksi, khususnya jika user sadar kalau dia (user) tidak pernah
mengakses ke alamat situs yang demikian.





SPYWARE
Gen xero aka winwebsec perangkat mata-mata dari areal raksasa teknologi silicon valley
Posted in internet, Rogue, Smadav, Spyware, Trojan, Virus Asing on May 15, 2013
Silicon Valley atau Lembah Silicon adalah julukan bagi daerah selatan dari San Francisco
Bay Area, California Amerika Serikat. Julukan ini diraih karena daerah ini memiliki banyak
perusahaan yang bergerak dalam bidang komputer dan semikonduktor.
Perusahaan-perusahaan yang sekarang menghuni Lembah Silicon, antara lain adalah:
Adobe Systems, Apple Computer, Cisco Systems, eBay, Google, Hewlett-Packard, Intel, dan
Yahoo!, dan sebagainya.
Di Silicon Valley-lah diciptakan rangkaian terpadu berbasis silikon, mikroprosesor, salah
satu teknologi kunci bagi revolusi teknologi industri. Sillicon Valley mempunyai kira-kira
seperempat miliar pekerja teknologi informasi. Silicon Valley terbentuk sebagai habitat
untuk inovasi dengan berkumpulnya berbagai pihak dalam satu tempat baru bagi teknologi;
insinyur berketerampilan tinggi dan ilmuwan dari universitas utama di daera tersebut;
pendanaan dari Defense Department; berkembangnya network dari perusahaan venture
capital yang efisien; dan, pada tahap yang sangat awal, kepemimpinan institusional dari
Universitas Stanford.

Ya, itu lah perkiraan habitat tempat tinggal Spyware kali, sebuah habitat yang penuh dengan
sumber daya. Tentu Spyware ini tidak dibuat sembarangan orang, ada tujuan khusus
dibaliknya tentu bukan sekedar tujuan iseng saja bergerayang pada komputer, melainkan
untuk mencuri data komputer korban.

Adapun data tersebut didapat dari jejak yang dibawa Spyware ini, yakni alamat yang bernilai
64.13.172.42, yang jika ditrace maka ditemuilah sebuah data lengkap berisi:
IP country code: US
IP address country: United States
IP address state: California
IP address city: Mountain View
IP postcode: 94039
IP address latitude: 37.3860
IP address longitude: -122.0838
ISP of this IP [?]: Silicon Valley Colocation
Organization: Silicon Valley Colocation
Host of this IP: [?]: r*v*getal*n.net



Karakteristik Spyware
Icon: Seperti icon PDF dari Adobe Reader
Ukuran: 131 KB (134,144 bytes)
Bahasa Pemrograman yang Digunakan: Tidak diketahui, diperkirakan menggunakan bahasa
C++


Aksi Spyware
Membuka jalur akses untuk menuju 64.13.172.42, yang nantinya akan dikirimkan paket data
berisi sesuai perintah yang telah diprogramkan oleh sang pembuatnya, bisa jadi berisi data
alamat Email korban, data yang ada pada komputer korban, dan lain sebagainya.
Tapi untuk kali ini, dicurigai hanya mengambil data alamat Email korban untuk
dikirimkannya paket pesan yang berbunyi:
<!DOCTYPE html PUBLIC -//W3C//DTD XHTML 1.0 Transitional//EN
http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd>
<!$Id: imerr503.html,v 1.2 2007/11/29 09:34:56 gcattell Exp $>
<html xmlns=http://www.w3.org/1999/xhtml>
<head>
<meta http-equiv=content-type content=text/html; charset=UTF-8 />
<title>Service unavailable</title></head>
<body
text=#000000 bgcolor=#FFFFFF link=#770000 vlink=#050505 alink=#111111>
<! DELETE THIS LINE
<center>
<h1>&lt;your organization here&gt; WORLD WIDE WEB SITE</h1>
</center>
DELETE THIS LINE >
<hr/>
<center>
<h2>HTTP Error 503: The requested service is unavailable</h2>
<br/>
<h3>The service you requested is temporarily unavailable</h3> The service may
be unavailable because the server has reached the limit of the number of
requests it is willing to serve in parallel. This number depends on the type of
request you were submitting. If the document you requested was a dynamic
document it may be that the application generating these documents is currently
not running.
</center>
<hr/>
<! DELETE THIS LINE
<p>If you think this server is not responding properly or if you
have question or suggestions please send mail to <a
href=mailto:&lt;your webmasters e-mail address here&gt;>&lt;your
webmasters e-mail address here&gt;</a>
</p>
DELETE THIS LINE >
</body></html>

Perangkat ini oleh beberapa antivirus dikategorikan sebagai Trojan dengan nama
TR/Winwebsec.403456, tepatnya begitu seperti yang dikatakan Avira antivirus pada
penamaan database virusnya. Trojan adalah penamaan untuk perangkat yang mampu
melakukan komunikasi dengan membuka port tertentu untuk secara tanpa
sepengetahuan korban lalu membuka jalan agar perangkat lainnya juga bisa ikut
masuk pada komputer yang berhasil ia tanamkan dirinya di dalamnya.
Adapun oleh Wiki-Security, perangkat ini dikatakan sebagai Spyware, lantaran
memang perangkat ini melakukan komunikasi data secara seenaknya, yang mana hal
itu dapat dikatakan sebagai tindakan Spyware atau perangkat mata-mata.
Oh iya, satu lagi, Rogue:Win32/Winwebsec is a family of programs that claim to
scan for malware and display fake warnings of malicious programs and viruses.
They then inform the user that they need to pay money to register the software in
order to remove these non-existent threats. Win32/Winwebsec has been distributed
with several different names. The user interface varies to reflect each variants
individual branding. Perangkat ini juga dibilang sebagai Rogue, lantaran mencoba
melakukan tindak penipuan karena menginformasikan agar korban melakukan
pembayaran sejumlah uang untuk perangkat yang mereka/ia tawarkan. Begitu seperti
yang dikatakan pada situs Microsoft pada portal Malware Protection Center-nya.







WORM
Worm VideoBangka worm yang bandel
Dari sekian banyak ulah virus, seperti menyebar ke USB flashdisk dengan jumlah yang
banyak melalui penggandaan sebanyak folder yang ada, merusak dokumen, dan lain
sebagainya, namun beda dengan worm satu ini. Walaupun worm ini hanya membuat dua
buah file indukan, tetapi kekuatan bertahannya memang kuat, bandel untuk dibersihkan
dengan mudah.

Karakteristik Worm

Icon: Windows Media Player
Dibuat menggunakan: MS Visual Basic 5.0-6.0 EXE
Nama asli file: KJfiles
Ukuran: 444 KB (454,656 bytes)
Tak ada yang baru dan unik dari tampilan karakter virus ini, tapi siapa yang tau dengan
aksinya?
Aksi
Walau kita punya banyak drive aktif, maupun banyak flashdisk yang tertancap ke port USB,
hal itu bukan menjadi santapan worm ini.
Adapun yang menjadi aksi serangan worm ini adalah pada Registry:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
HKCU=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,\
00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,00,\
69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,65,\
00,72,00,2e,00,65,00,78,00,65,00,00,00

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
\Run]
Policies=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,\
72,00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,\
00,69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,\
65,00,72,00,2e,00,65,00,78,00,65,00,00,00

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru
n]
HKLM=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,\
00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,00,\
69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,65,\
00,72,00,2e,00,65,00,78,00,65,00,00,00

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\E
xplorer\Run]
Policies=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,\
72,00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,\
00,69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,\
65,00,72,00,2e,00,65,00,78,00,65,00,00,00





Sedangkan untuk peletakan lokasi induk file pada harddisk yaitu pada:
1. C:\directory\CyberGate\install\server.exe
2. C:\Document and Settings\User\Application Data\install\server.exe

Saat virus sudah berhasil meletakkan indukannya pada lokasi yang aman (yang bahkan pada
lokasi tersebut ternyata kita tidak bisa menghapus folder yang dibuat oleh virus/worm), virus
akan memanggil iexplore.exe untuk dijalankan dan berjalan dibalik layar, entah ini
semacam sistem remot kuda Trojan, tak dapat diselidiki dengan mudah. Namun entah kenapa
harus ada pemanggilan Dr. Watson (yang mengakibatkan muncunya kotak pesan adanya
kerusakan dari IE) dengan parameter:
C:\WINDOWS\system32\drwtsn32 -p 320 -e 364 g
Cobalah untuk mengkill IE! Jika IE atau Internet Explorer ini tidak dapat dikill berarti
indukan virus (worm) ini memang masih aktif, belum benar-benar terhapus.
Walaupun dari laporan hasil Scanning Smadav menyatalkan Sudah dikarantina, namun
ternyata setelah dilihat pada proses, jika IE masih aktif, dan dicoba dikill, lalu IE aktif
kembali, berarti worm ini memang bandel untuk dibersihkan.
MALWARE
DirtyDecrypt.Exe (Dirty Decrypt)
Namanya virus/malware : DirtyDecrypt.Exe (Dirty Decrypt). Virus/malware ini menginfeksi semua file
(image, MS Office, PDF). File yang terinfeksi akan berubah tampilannya seperti yang ak sertakan dalam
lampiran. Notebook saya pakai Windows 7 Professional. Pada waktu virus/malware ini masuk di
notebook udah terpasang anti virus Smadav & Avast. Setelah notebook ak install ulang, ketika ak
nyimpan file image (jpeg) baru ga ikut terinfeksi (aman2 saja). Kata temanku, virus/malware udah ilang
pas di instal ulang, tp efek/infeksi dr virus/malware tsb masih nempel.