LAPORAN ANALISIS MALWARE SPESIMEN 3

DAFTAR ISI

BAB I PENDAHULUAN....................................................................................... 1

- MALWARE.............................................................................................................. 1

- ANALISIS MALWARE............................................................................................. 2

- ALASAN MELAKUKAN ANALISIS MALWARE........................................................ 2

BAB II PEMBAHASAN................................................................................................ 3

- ANALISIS STATIS.................................................................................................. 3

- Identifikasi Tipe File..................................................................................... 3

- File Fingerprinting......................................................................................... 4

- Anti-virus Scanning....................................................................................... 4

- Eksraksi String.............................................................................................. 5

- Obbfuscation File ......................................................................................... 6

- PE Header Information................................................................................. 7

- Library & Import............................................................................................ 7

- ANALSIS DINAMIS................................................................................................. 9

- Process Monitoring....................................................................................... 9

- Traffic Monitoring......................................................................................... 10

- Komparasi Regshot...................................................................................... 11

- Diassembly: IDA Pro.................................................................................... 12

PERTANYAAN........................................................................................................ 13

BAB II PENUTUP........................................................................................................ 14

- KESIMPULAN........................................................................................................ 14

REFERENSI................................................................................................................. 14

1
LAPORAN ANALISIS MALWARE SPESIMEN 3

BAB I PENDAHULUAN

MALWARE
Malware (Malicious Software) adalah suatu program
yang dirancang dengan tujuan untuk merusak dengan
menyusup ke sistem komputer. Malware dapat menginfeksi
banyak komputer dengan masuk melalui email, download
internet, atau program yang terinfeksi.
Malware bisa menyebabkan kerusakan pada sistem
komputer dan memungkinkan juga terjadi pencurian data /
informasi. Hal yang pada umumnya terjadi penyebab
malware adalah mendownload software dari tempat ilegal
yang disisipan malware. Malware mencakup virus, worm,
trojan horse, sebagian besar rootkit, spyware, adware yang tidak jujur, serta software-software lain yang berbahaya dan
tidak diinginkan oleh pengguna PC.
Berikut Penjelasan beberapa malware:
● Virus Komputer adalah jenis malware yang menyerang file eksekusi (.exe) yang akan menyerang dan
menggandakan diri ketika file exe yang terinfeksi di jalankan. Virus komputer menyebar dengan cara
menyisipkan program dirinya pada program atau dokumen yang ada dalam komputer.
● Worm adalah sebuah program komputer yang dapat menggandakan dirinya secara sendiri dalam sistem
komputer. Sebuah worm dapat menggandakan dirinya dengan memanfaatkan jaringan (LAN/WAN/Internet)
tanpa perlu campur tangan dari user itu sendiri.Worm memanfaatkan celah keamanaan yang memang
terbuka atau lebih dikenal dengan sebutan vulnerability.
● Spyware adalah program yang bertindak sebagai mata-mata untuk mengetahui kebiasaan pengguna
komputer dan mengirimkan informasi tersebut ke pihak lain. Spyware biasanya digunakan oleh pihak
pemasang iklan.
● Adware adalah iklan yang dimasukan secara tersembunyi oleh pembuat program, biasanya pada program
yang bersifat freeware untuk tujuan promosi atau iklan.
● Trojan atau trojan horse adalah program yang diam-diam masuk ke komputer kita, kemudian memfasilitasi
program lain misalnya virus, sypware, adware. keylogger dan malware lainnya untuk masuk, merusak sytem,
memungkinkan orang lain meremote komputer dan mencuri informasi seperti password atau nomor kartu
kredit kita
● Keylogger adalah sebuah program yang dapat memantau penekanan tombol pada keyboard, sehingga
orang lain dapat mengetahui password dan informasi apapun yang kita ketik.
● Rootkit adalah program yang menyusup kedalam system komputer, bersembunyi dengan menyamar sebagai
bagian dari system (misalnya menempel pada patch, keygen, crack dan game), kemudian mengambil alih,
memantau kerja sistem yang disusupinya. Rootkit dapat mencuri data yang lalu-lalang di jaringan, melakukan
keylogging, mencuri cookies akun bank dan lain-lain.
● Phishing adalah suatu bentuk penipuan untuk memperoleh informasi pribadi seperti userID, password, ATM,
kartu kredit dan sebagainya melalui e-mail atau website palsu yang tampak asli

2
LAPORAN ANALISIS MALWARE SPESIMEN 3

ANALSIS MALWARE
Analisis malware adalah studi atau proses penentuan fungsionalitas, asal, dan dampak potensial dari sampel
malware yang diberikan seperti virus, worm, trojan horse, rootkit, atau backdoor. Perangkat lunak jahat atau jahat
adalah perangkat lunak komputer apa pun yang dimaksudkan untuk membahayakan sistem operasi host atau mencuri
data sensitif dari pengguna, organisasi, atau perusahaan. Malware dapat mencakup perangkat lunak yang
mengumpulkan informasi pengguna tanpa izin.
Analisis malware terbagi menjadi dua jenis, yaitu analisis statis dan analisis dinamis. Analisis malware statis :
Analisis Statis atau Kode biasanya dilakukan dengan membedah sumber daya yang berbeda dari file biner tanpa
menjalankannya dan mempelajari setiap komponen. Analisis perilaku dinamis dilakukan dengan mengamati perilaku
malware saat sebenarnya berjalan pada sistem host. Bentuk analisis ini sering dilakukan di lingkungan sandbox untuk
mencegah malware dari menginfeksi sistem produksi; banyak kotak pasir seperti itu adalah sistem virtual yang dapat
dengan mudah digulirkan kembali ke kondisi bersih setelah analisis selesai.

ALASAN MELAKUKAN ANALISIS MALWARE

Tujuan melakukan analisa malware adalah untuk mengetahui karakteristik malware serta target apa dari serangan
malware tersebut. Hasil analisa ini bisa kita gunakan untuk menentukan langkah apa yang terbaik untuk mengatasi
serangan tersebut.

Indicator of Compromise (IoC)

Sebuah Indicators of Compromise (IOC) merupakan informasi yang bisa membantu dengan menyajikan hasil
identifikasi spesifik dari perilaku malicious program pada sebuah sistem maupun jaringan (Justice, 2017). IOC dibuat
untuk memudahkan orang dalam membaca analisa dari suatu ancaman (Lock, 2013). SelainAda beberapa macam IOC
diantaranya OpenIOC, YARA, STIX dan CybOX yang akan dirincikan pada tabel 1.1.

OpenIOC CybOX TAXII YARA

Deskripsi OpenIOC singkatan CybOX merupakan TAXII adalah YARA merupakan
dari Open Indicators singkatan dari Cyber singkatan dari Trusted sebuah projek open
of Compromise. Observable Automated eXchange source yang dibuat
OpenIOC merupakan eXpression. CybOX of Indicator oleh Victor Manuel
sebuah skema XML adalah sebuah skema Information. TAXII Alvarez. YARA
untuk standar untuk merupakan sebuah merupakan sebuah
mendeskripsikan spesifikasi, capture, mekanisme standar tool multi-platform
karakteristik yang karakteristik dan dari penyebaran untuk mengklasifikasi
dapat komunikasi dari informasi ancaman dan mengidentifikasi
mengidentifikasi kejadian yang telah siber yang disediakan malware (Kadhi,
sebuah ancaman, diobservasi dalam secara gratis dan 2012).
metodologi penyerang domain operasional terbuka (Harrington,
atau bukti dari (Harrington, 2013). 2013).
kompromi lainnya
(Harrington, 2013).
Keluaran dari Mandiant MITRE OASIS CTI TC YARA

Website http://www.openioc.or http://cybox.mitre.org/

https://www.oasisope https://code.google.co
g/ n.org/committees/tc_h m/p/yara-project/
ome.php?wg_abbrev=
cti
Tabel 1.1 - Macam-macam IoC

3
LAPORAN ANALISIS MALWARE SPESIMEN 3

BAB II PEMBAHASAN

ANALISIS STATIS
Analisis Statis merupakan metode yang digunakan untuk melakukan analisa malware dengan cara mengamati
secara langsung kode sumber (source code) malware tersebut. Dalam mengamati kode sumber malware, terdapat
teknik yang umumnya digunakan, yaitu Reverse Engineering.
Analsis Sattis yang akan dilakukan menggunakan spesimen yitaly.exe. Sebelum melakukan analisis, perlu
diperiksa apakah malware tersebut di-pack apa tidak, namun pada spesime ke 3 ini, yitaly.exe di-pack menggunakan
Unknown packer yang akan ditunjukkan pada analisis obfuscation file. Unpacking spesime 3 menggunkan 2 tools,
ExePacker untuk mendekompresi kemudian di unpack menggunakan tool Quick Unpack.

Identifikasi Tipe File

Analsisi statis yang dilakukan pertama kali adalah mengidentifikasi tipe file menggunakan prianti HxD.

Gambar 2.1 - Identifikasi Tipe file yitaly.exe - HxD

Gambar 2.1 menunjukkan hasil identifikasi tipe file spesimen malware yang akan di analisis, yaitu yitaly.exe.
Hasilnya file malware tersebut merupakan excetuable (exe) yang ditandai dengan file signature MZ, 4D 5A.

File Fingerprinting
File Fingerprinting dilakukan untuk mengidentifikasi jenis malware, apakah malware memiliki identitas yang
melekat dengan parameter nilai hash dari malware tersebut. Malware yang memiliki nama yang sama belum tentu
memiliki struktur dan fungsi yang sama yang akan berpengaruh pada pengelompokan malware nantinya. Identifikasi

4
LAPORAN ANALISIS MALWARE SPESIMEN 3

dilakukan menggunakan HasMyFile. Gambar 2.2 merupakan properties dari malware yitaly.exeyang berisi nilai hash
dari file malware.

Gambar 2.2 - Properties yitaly.exe - HashMyFile

Anti-virus Scanning
Proses anti-virus scanning memanfaatkan online scanner, salah satunya adalah VirusTotal. Website VirusTotal
bekerja dengan memindai malware, hasilnya indikasi bahwa malware tersebut telah dideteksi oleh antivirus yang
terhubung dengan VirusTotal. 31 dari 64 engines telah mengidentifikasi file yitaly.exe sebagai malware trojan.
Ditunjukkan pada gambar 2.3.

(a)

5
LAPORAN ANALISIS MALWARE SPESIMEN 3

(b) (c)
(d)

Gambar 2.3 - Hasil scanning yitaly.exe (a) Detection; (b), (c), (d), Detail dari malware - VirusTotal.com

Gambar 2.3 (a) menununjukkan 56 dari 70 antivirus mendeteksi bahwa yitaly.exe merupakan malware, salah
satunya Ad-Aware yang mengategorikan spesimen sebagai Trojan.Dialer.GlobalAcces, lalu Anti-AVL mendeteksinya
sebagai Trojan[Downloader]/Win32.Agent. Gambar 2.3 (b) menunjukkan bahwa spesimen tidak memiliki nama lain
yang ditemukan, dan signature information yang menunukkan siapa yang mengembangkan dan dipublikasikan
spesimen tersebut sebagai malware untuk diteliti. Sedangkan gambar 2.3 (c) menampilkan metadata dari spesimen
yang didapat dari ExitTool . Terakhir, gambar 2.3 (d) informasi mengenai PE atau Portable Execution dari spesimen.

Eksraksi String
Ekstraksi String dilakukan dalam analisis statis untuk mengetahui modul dan fungsi yang dimiliki oleh spesimen
malware yang dianalisis, dan dapat mengetahui file-file yang mungkin akan berjalan saat file malware dijaankan. Alat
yang digunakan untuk ekstraksi string adalah PEStudio Windows 64-bit
.

6
LAPORAN ANALISIS MALWARE SPESIMEN 3

(a)
(b)

Gambar 2.4 - Ekstraksi String yitaly.exe - PEStudio Windows7

Gambar 2.4 menunjukkan bahwa 35 dari 446 string malware yitaly.exe masuk dalam kategori blacklist, dan 16
string masuk dalam hint. Inspeksi juga dapat dilakukan menggunakan IDA Pro. 8 string juga didapati sebagai kategori
hint. Modul yang paling banyak digunakan adalan .dll.
Hasil dari IDA Pro ditunjukkan pada gambar 2.5. Inpeksi menggunakan ida Pro melihat eksport dari program
Bombermania (unpacked).exe, pada eksport terlihat struktur dari program Bombermania (unpacked).exe, terdapat dua
kondisi saat dijalanjan: satu ketika dijalankan program tidak berhasil berjalan, dan dua ketika berhasil, maka akan
menjalankan sub fungsi WinMain (x,x,x,x) seperti pada gambar 2.5 (a). fungsi WinMain (x,x,x,x) setelah diinpeksi
menunjukkan bahwa malware tersebut melakukan penulisan file, salah satunya file dengan nama Intrucstion.xml, yang
ditunjukkan pada gambar 2.5 (b)
(a) (b)

Gambar 2.5 Inspeksi IDA Pro - Bombermania (unpacked).exe

Obfuscation File
Obfuscation merupakan teknik yang biasanya digunakan untuk menyembunyikan makna beberapa perangkat
lunak dengan mengatur ulang operasi, tetapi juga dapat digunakan untuk menambahkan watermarks yang lemah ke
kode. Biasanya file disamarkan menggunakan packer atau crypter, hal ini dilakukan oleh embuat malware untuk
mengelabuhi anti-virus, firewall, atau proxy. Mendeteksi penyamaran file dapat dilakukan menggunakan Exeinfo PE.
Gambar 2.6: File yitaly.exe merupakan file packed dengan media Unknown Packer, sehingga sebelum melakukan
analisis terhadap malware tersebut, perlakuan yang dilakukan yaitu melakukan unpack terhadap malware
Bombermania.exe

(a)

7
LAPORAN ANALISIS MALWARE SPESIMEN 3

(b)

(c)
Gambar 2.6 - Menentukan Obfuscation File yitaly.exe - Exeinfo PE
Gambar 2.6 (b) menunjukkan statistik perbedaan ukuran virtual dan ukuran mentah (ukuran asli file) dari
spesimen tersebut. Perbedaan ukuran signifikan ini merupakan parameter suatu malware di-pack atau tidak di-
pack. Unpacking pada malware yitaly.exe dilakukan menggunakan aplikasi QuickUnpacker yang menyebabkan
perubahan signifikan pada ukuran file, dari 18 Kb menjadi 48 Kb. Ketika dilakukan inpeksi lagi menggunakan
Exeinfo PE, maka hasil dari byte analyzer tidak menunjukkan perbedaan ukuran virtual dengan ukuran asli file.
Perbedaan ditunjukkan pada gambar 2.7.

8
LAPORAN ANALISIS MALWARE SPESIMEN 3

(a)

(b)
Gambar 2.7 - Obfuscation File yitaly.exe (unpacked) - Exeinfo PE

PE Header Information
PE Header Information merupakan informasi header dari malware yang dianalisis, untuk mengetahui library yang
digunakan oleh malware bila dijalankan nantinya. Sebelumnya pada VirusTotal, hasil scan dapat menunjukkan Header
dari spesimen yang di periksa. Yitaly.exe mempunyai informasi header dengan target machine yaitu Intel 386, dengan
entry point sejumlah 13156 dan 3 sections contained. PEStudio juga dapat digunakan untuk mengetahui informasi

9
LAPORAN ANALISIS MALWARE SPESIMEN 3

tersebut. Pada PEStudio, dapat dilihat di bagian imports, yitaly.exe memiliki 12 dari 180 import yang masuk kategori
blacklist. GetShortPathNameA, GetModuleFileNameA merupakan salah dua dari import name yang di-blacklist.

Gambar 2.7 - Import Bombermania (unpacked).exe - PEStudio

Libraries & Import

Hasil inspeksi yang dilakukan menggunakan PEStudio juga mendapatkan informasi libraries yang ditunjukkan
pada gambar 2.8. terdapat 8 libraries dengan 2 libraries :WININET.dll dan shfolder.dll dikategorikan blacklist.

Gambar 2.8 - Libraries Bombermania (unpacked).exe - PEStudio

Ringkasan dari import dan libraries ditunjukkan pada tabel 2.1:

Libraries Import
ADVAPI32.dll · RegFlushKey RegDeleteValueA
· RegCloseKey · RegCreateKeyExA
· RegQueryValueExA · RegOpenKeyExA
· RegSetValueExA

10
LAPORAN ANALISIS MALWARE SPESIMEN 3

KERNEL32.DLL · CreateToolhelp32Snapshot · GetProcAddress · GetCurrentProcessId

· GetSystemTime · GetFileType · Process32First
· GetLastError · SetStdHandle · UnhandledExceptionFilter
· HeapFree · CompareStringW · CreateDirectoryA
· GetStdHandle · RaiseException · DeleteFileA
· LCMapStringW · GetCPInfo · WideCharToMultiByte
· ReadFile · GetFileAttributesA · Module32First
· OpenProcess · GetStringTypeA · MultiByteToWideChar
· lstrcmpiA · GetModuleHandleA · GetShortPathNameA
· DeviceIoControl · FindFirstFileA · FreeEnvironmentStringsW
· WaitForSingleObject · SetUnhandledExceptionFilter · GetCommandLineA
· GetExitCodeProcess · Module32Next · SetHandleCount
· LCMapStringA · IsBadCodePtr · GetLocalTime
· HeapReAlloc · WriteFile · HeapCreate
· CopyFileA · GetStartupInfoA · VirtualFree
· ExitProcess · CloseHandle · FindClose
· IsBadWritePtr · GetSystemTimeAsFileTime · HeapDestroy
· FlushFileBuffers · FindNextFileA · Sleep
· GetEnvironmentStringsW · GetACP · IsBadReadPtr
· GetVersionExA · GetDiskFreeSpaceA · SetEndOfFile
· GetModuleFileNameA · GetStringTypeW · CreateFileA
· RtlUnwind · SetEnvironmentVariableA · HeapAlloc
· LoadLibraryA · SetFileAttributesA · GetVersion
· Process32Next · GetOEMCP · VirtualAlloc
· FreeEnvironmentStringsA · MoveFileA · SetCurrentDirectoryA
· GetCurrentProcess · TerminateProcess · CompareStringA
· GetEnvironmentStrings · CreateProcessA
· SetFilePointer · RemoveDirectoryA
· HeapSize · GetTimeZoneInformation
SHELL32.dll ShellExecuteA
SHFOLDER.dll SHGetFolderPathA
SHLWAPI.dll SHDeleteKeyA
USER32.dll · FindWindowA
· MessageBoxA
· PostMessageA
WININET.dll · HttpSendRequestA · HttpAddRequestHeadersA · InternetConnectA
· InternetOpenUrlA · HttpQueryInfoA · InternetReadFile
· InternetQueryDataAvailable · InternetCloseHandle
· HttpOpenRequestA · InternetOpenA

ole32.dll · CoUninitialize
· CoCreateInstance
· CoInitialize
Tabel 2.1 - Libraries dan Import Bombermania (unpacked).exe

11
LAPORAN ANALISIS MALWARE SPESIMEN 3

ANALISIS DINAMIS
Dynamic analysis merupakan teknik melakukan analisa malware dengan cara menjalankan sampel malware pada
komputer kemudian diamati perilakunya. Tujuan pengamatan adalah untuk memahami cara kerja malware. Skema 2.1
merupakan gambaran dari pelaksanaan analisis dinamis.

Jalankan Regshot dan Process Jalankan Inetsim dan

Monitor wireshark

Shot and save yang Hidupkan Inetsimsudo

pertama inetsim

Shot and save yang kedua

lakukan network monitoring
menggunakan wireshark
ANALISIS
Matikam Malware dan stop
semua proses monitor HASIL

Skema 2.1 - Skema Analisis Dinamis

Process Monitoring
Proses monitoring merupakan kegiatan yang dilakukan untuk memeriksa proses apa yang berjalan saat malware
dieksekusi. Dari eksekusi yang dilakukan, gambar 2.9 (a) menunjukkan proses yang terjadi karena eksekusi
rundll32.exe. Terdapat pesan atau hasil SUCCESS yang menunjukkan malware tersebut melakukan tiga aktivitas,
Create File, Delete File, Copy File.

(a) (b)
Gambar 2.9- Bombermania (unpacked).exe- Process Monitor

12
LAPORAN ANALISIS MALWARE SPESIMEN 3

Gambar 2.9 (b) menunjukkan aktivitas proes dari

Winlogon.exe. Karena merupakan proses penting untuk
Windows, winlogon.exe adalah incaran banyak malware
yang baik melekat dalam kasus infeksi mungkin atau ii
"meminjam" nama untuk mendorong pengguna dalam
kesalahan. Lokasi melegitimasi proses ini sistem akan
selalu C: \ Windows \ System32. Gambar 2.10
menampilkan proses apa saja yang berjalan pada host
Windows XP pada saat dilakukan analisis dinamis.

Gambar 2.10 - Bombermania (unpacked).exe - Process Explorer

Traffic Monitoring
Traffic monitoring dilakukan dengan cara melihat packet capture yang ditangkap Wireshark. Pecket dapat
ditangkap diakrenakan Inetsim sebagai fake server dari host Windows XP. Lalu-lintas permintaan dapat direkam. Dari
gambar 2.11 ditunjukkan traffic yang terjadi, tidak ada request ke website khusus.

Gambar 2.11 - Traffic Monitoring Bombermania (unpacked).exe- Wireshark

13
LAPORAN ANALISIS MALWARE SPESIMEN 3

Komparasi Regshot
Memonitor perubahan pada registri. Salah satu tools yang dapat digunakan adalah Regshot. Cara
menggunakannya sederhana. Klik tombol “1st shot”, kemudian jalankan malware. Setelah itu klik tombol “2nd shot”, lalu
klik tombol “cOmpare”.Hasil dari tools Regshot ini bisa dipilih, berupa file teks atau HTML, yang menunjukkan berapa
jumlah perubahan registri dan apa serta di mana saja perubahan tersebut. Dari hasil monitoring ddidapatkan hasil
sebagai berikut: 3 keys added, 6 values added, 4 values modified, dan 13 total changes. Hasil ditunjukkan pada
gambar 2.12

Gambar 2.12 - Komparasi Regshot Bombermania (unpacked).exe

14
LAPORAN ANALISIS MALWARE SPESIMEN 3

Diassembly: IDA Pro

Pada tahap analisis statis lanjut ini, satu-satunya tool yang paling sering dipakai adalah IDA Pro Freeware. Berikut
ini beberapa window/jendela yang penting untuk diketahui:
● Jendela fungsi (functions). Berisi semua fungsi dalam file executable dan menunjukkan masing-masing
panjangnya. Pada bagian ini terdapat pula penanda untuk mengelompokkan kategori fungsi, seperti F, L, S, dan
lain-lain. Yang paling perlu diperhatikan adalah tanda L, yang mengindikasikan fungsi librari.
● Jendela nama (names). Berisi setiap alamat dengan nama, termasuk fungsi, kode yang dinamai,data yang
dinamai, serta string
● Jendela string (strings). Berisi semua string. Default-nya jendela ini hanya menunjukkan string yang panjang
karakternya lebih dari 5. Tetapi default ini bisa diatur melalui setup.
● Jendela impor (imports). Berisi semua import pada suatu file.
● Jendela ekspor (exports). Berisi semua fungsi yang diekspor untuk suatu file. Jendela ekspor ini sangat penting
jika yang dianalisis adalah file DLL.
● Jendela struktur (structures). Berisi layout semua struktur data yang aktif.
Gambar 2.13 menunjukkan hasil dari diassembly Bombermania (unpacked).exe.

Gambar 2.13 - Diassembly Bombermania (unpacked).exe - IDA Pro

15
LAPORAN ANALISIS MALWARE SPESIMEN 3

PERTANYAAN
1. Apa tujuan dari malware tersebut?
Bombermania (unpacked).exe merupakan file PE games yang didalamnya mengandung virus jenis trojan.
Ketika dieksekusi, terdapat 3 aktivitas yang dilakukan tanpa, yaitu Delete, Create/Write, dan Copy file yang
dilakukan secara terus menerus sehingga memenuhi resources.
2. Bagaimana caranya menyebar?
Malware tersebut dapat menyebar melalui aktivitas copy-paste file setup games Bombermania.exe karena
virus trojan yang melekat pada file setup Bombermania.exe. Menuliskan file Instruction.xml dan menjalankan
intruksi yang ada pada file tersebut.
3. Bagaimana Ciri-ciri malware tersebut?
Ciri-ciri yang ditunjukkan pada proses monitor, yaitu proses CreateFIle, DeleteFile dan lain-lain yang berstatus
SUCCESS dan ditunjukkan pada gambar 2.9 (a). Gambar 2.9 (b) menunjukkan berjalannya proses
winlogon.exe yang menjadi aktif.
4. Bagaimana cara mencegah hal ini terjadi di masa depan?
Dalam kasus file Bombermania.exe ini, harus lebih berhati-hati dalam mengcopy file tersebut dan
menjalankannya. Selalu menggunakan anti-virus yang sudah menedeteksi malware tersebut, seperti yang
ditunjukkan pada gambar 2.3 (a).
5. Bagaimana malware tersebut mencuri?
-
6. Bagaimana saya bisa menemukannya di komputer lain?
Jika melihat file yang sama, atau dengan nama lain Bombermania.exe yang sama seperti yang ditunjukkan
oleh gambar 2.3 (b), dapat melakukan scanning terlebih dahulu.
7. Indikator Jaringan ?
Tidak ada aktivitas jaringan, seperti yang ditunjukkan pada gambar 2.11.
8. Indikator Host-based?
Indikator host-based dapat dijuntukkan dari hasil komparasi Regshot, yang ditunjukkan pada gambar 2.12.
9. Tanggal Kompilasi?
Berikut adalah sejarah pembuatan file yang diambil dari VirusTotal.com

10. Malware tersebut ditulis dengan Bahasa apa?

Melalui Exeinfo PE, dapat diketahui malware tersebut ditulis menggunakan bahasa Microsoft Visua C++
ver5.0/6.0 - no sec. CAB/7z/Zip - 2005-05-29.
11. Apakah malware tersebut dipack?
Exeinfo juga memberikan informasi bahwa malware tersebut di-pack menggunakan packer UPX. Dapat
ditunjukkan pada gambar 2.6.

16
LAPORAN ANALISIS MALWARE SPESIMEN 3

BAB III PENUTUP

KESIMPULAN
Analisis malware yang diakukan dengan spesimen Bombermania.exe dapat mengidentifikasi bahwa file
Bombermania.exe yang merupakan fie setup game, didalamnya terdapat script malware jenis trojan yang mana
ketika dijalankan, terdapat proses yang dijalankan, beberapanya yaitu Create/Write File, Delete File, Copy File.
Sehingga memenuhi resource dari host. Gambar 3.1 merupakan peringatan dari windows, yang muncul 2 jam
setelah malware tersebut dijalankan.

Gambar 3.1 - Windows Warning

Dengan didapatkan hasil analisa tersebut diharapkan tidak sembarang manyalin dan menjalankan file
Bombermania yang didapatkan di internet maupun dari PC lain yang digunakan massal (contoh: PC warnet).

REFERENSI

Buku :
Sikorski, Michael and Hinig, Andrew. PRACTICAL MALWARE
ANALYSIS: The Hands-On Guide to Dirrecting Mallicious
Software. San Francisco.
Website :
http://pusdiklat.bps.go.id/index.php?r=artikel/view&id=248
https://www.virustotal.com/gui/home/upload

17