Recycler (Varian): Rahasia Kecil Di Balik Folder Recycler
Recycler (Varian). Maraknya malware yang beredar di masyarakat dengan kemampuan baru dalam memanfaatkan celah keamanan Windows, membuat user sempat melupakan malware yang selalu besembunyi di balik folder Recycler ini. Awal kemunculannya di tahun 2008 seiring dengan datangnya worm Conficker, semakin banyak malware dengan tipe worm dan virus baru yang menggunakan folder dengan nama Recycler sebagain tempat persembunyiaannya.
Autorun.inf adalah jalan utama dari malware ini agar bisa berjalan dengan baik, seperti yang terlihat pada screenshot di atas. Teknik ini hampir sama dengan teknik autorun.inf buatan virus Alman seperti yang terlihat pada gambar dibawah.
Jika dilihat lebih dalam, coding Autorun.inf milik salah satu varian Recycler (Recycler.BA) ini mengubah default Context Menu dari Drive, yaitu menu Open dan Explore yang nantinya akan di arahkan pada malware tersebut. Banyak user yang tidak sadar dan justru menjalankan fungsi autorun.inf buatan Recycler. Malware ini banyak memiliki varian yang dibuat dengan pemrograman yang berbeda seperti C++, Borland Delphi, Visual Basic dan Autoit. Beberapa di temukan dalam keadaan di-pack menggunaka UPX, ASPack, PE Compact, MEW, dll.
Teknik lain yang digunakan worm ini adalah membuat folder Recycler yang digunakan sebagai tempat persembunyian. Sebagian besar menggunakan folder:
“RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013”
Folder ini berbentuk seperti Recycler Bin, sementara varian lain menggunakan icon yang berbeda.
Agar user tidak menemukan file asli dari malware yang nantinya akan di panggil oleh autorun.inf, worm membuat folder dengan nama Recycler yang terlihat dan berfungsi seakan-akan sama seperti Recycle Bin pada Windows. Ada beberapa cara agar bisa membuat folder seperti ini, salah satunya dengan membuat Folder yang setara dengan Special Folder dan menambahkan file Desktop.ini di dalamnya.
Berikut contoh desktop.ini yang berada pada special folder My Pictures.
Jika desktop.ini diubah seperti pada gambar dibawah ini:
Maka perubahannya terlihat seperti pada gambar berikut:
Cara lainnya bisa dengan membuat folder dengan nama yang di gunakan oleh fungsi windows, contoh:
recycle.{645FF040-5081-101B-9F08-00AA002F954E}
Dengan menggunakan nama folder seperti contoh di atas, tidak membutuhkan file desktop.ini atau harus pada Special Folder. Untuk membuktikan begitu sederhana teknik persembunyian di balik Recycler Bin, dijelaskan pada gambar di bawah.
PCMAV 4.1 Update Build2
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.1 Update Build2 telah hadir dengan penambahan 126 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet (non-proxy). Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV.
Namun bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
ZippyShare.com (mirror)
Rapidshare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 4.1 Update Build2:
BassAlac
BassAlac.dll
Bird
Blind.vbs
CacingKita
CintaFitri
CintaFitri.bat
EmptyCode.vbs
EmptyCode.vbs.inf
FakeAV-Downloader.A
FakeAV-Downloader.B
FakeNtldr
FakeNtldr.inf
Freedom.vbs.D
FuVirus
Gabest
Gabest.inf
Gabest.vbs
Gasak.D
Gondronk.vbs.A
Gondronk.vbs.B
Gondronk.vbs.inf
Item
Julia
Julia.cmd.A
Julia.cmd.B
Julia.cmd.C
Julia.html
Julia.vbs.A
Julia.vbs.B
Jusched.A
Jusched.A.yeo
Jusched.B
Jusched.C
Khetex
Khetex.dll
Khetex.exe
KipLeq
Kula
Kula.htm
Kula.inf
M3Reincarnation.C
Malingsi.W
Merdeka.B
Mosquitos
OjanBlank
OjanBlank.doc
Porn.vbs
Porn.vbs.cfg
Porn.vbs.inf
Porn.vbs.lnk.A
Porn.vbs.lnk.B
Porn.vbs.lnk.C
Random8-1
Random8-2
Random8-3
Recycler.AX
Recycler.AX.inf
Recycler.AY
Recycler.AY.inf
Recycler.AZ
Recycler.AZ.inf
Recycler.BA
Recycler.BA.inf
Restora32.exe
SallyDiardo.vbs.A
SallyDiardo.vbs.B
SallyDiardo.vbs.inf
SallyDiardo.vbs.rtf
Serviks.B
Serviks.B.doc
Serviks.B.htm
Serviks.B.inf
Serviks.B.ocx
Serviks.B.txt
SetRun
SetRun.ico
Shemale.vbs.A
Shemale.vbs.A.dll
Shemale.vbs.A.dls
Shemale.vbs.A.html
Shemale.vbs.A.inf
Shemale.vbs.A.lnk
Shemale.vbs.A.mht
Shemale.vbs.A.tmp
Shemale.vbs.B
Shemale.vbs.B.dll.A
Shemale.vbs.B.dll.B
Shemale.vbs.B.dll.C
Shemale.vbs.B.dll.D
Shemale.vbs.B.dll.E
Shemale.vbs.B.dll.F
Shemale.vbs.B.dll.G
Shemale.vbs.B.dll.H
Shemale.vbs.B.dll.I
Shemale.vbs.B.hosts
Shemale.vbs.B.html
Shemale.vbs.B.inf
Shemale.vbs.B.lnk.A
Shemale.vbs.B.lnk.B
Shemale.vbs.B.lnk.C
Shemale.vbs.B.lnk.D
Shemale.vbs.B.lnk.E
Shemale.vbs.B.lnk.F
Shemale.vbs.B.lnk.G
Shemale.vbs.B.lnk.H
Shemale.vbs.B.lnk.I
Shemale.vbs.B.lnk.J
Shemale.vbs.B.lnk.K
Shemale.vbs.B.lnk.L
Shemale.vbs.B.lnk.M
Shemale.vbs.B.lnk.N
Shemale.vbs.B.lnk.O
Shemale.vbs.B.lnk.P
Shemale.vbs.B.log
Shemale.vbs.B.mht
Shemale.vbs.B.txt
Tondano
Tondano.bat
Tondano.inf
Tondano.txt
Vhier
Wayang-Pandawa.E
Wolf.B
Wolf.B.html
Wolf.B.ico
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system startup
C:\WINDOWS\WolvesDen\Wolf.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \startup
C:\WINDOWS\system32\scvhost.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\system startup
C:\WINDOWS\WolvesDen\Wolf.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\startup
C:\WINDOWS\system32\scvhost.exe
PERTAMAX..
Salah tuh, mestinya Update Build 2 bukan Build 1..
Cara update PCMAV gimana tho…?
susah bangeeeeeeet mau kirim sample ke PCMAV yah?
oke2. sip, langsung donlot. makasih ya pcmav..
btw iya salah tuh, mestinya update build2
mau KELIMAX udah keduluan ………………..
ke-7
download terussss…….PCMAVnya….Build 2nya juga……
yoi salah tuh bukan update build 1 tapi build 2
oh iya gan mo tanya nich kenapa pcmav.exe kebaca virus terus sama pcmav.rtp…
thank’s…..
selamat malam….bolehkah tulisan2 yang ada disini di share melalui FB ?
thanks
bagus juga gaan…..
minta ijin dunlut ya…….
download gan…
keep update gan…
klo new heur.level(9) koq kluar2 lagi virusnya…?
Yup, sudah lama PCMAV yang sebelumnya tidak bisa clean virus ini. Semoga kali ini berhasil cleansheet…
tetep ga bs clean
sip gan mow coba ndisik ahh
wah tulisannya bagus yakk..
gak bs update otomatis, cos updatenya pasti diblok sama norton. mohon diperbaiki. tq
ada virus baru… namanya desktopx klo gak salah….
gejalanya klo lg browsing browsernya ke close sendiri & aplikasi yg lg di jalanin jg ke close….
ada yg tau gak cara nangkalnya…..
@slamet : betul bro, aku juga ngalami gitu.
Update otomatis diblok sama Norton. Intrusi pada pcmav-update.com (WS.Reputation.1)
Download update.vdb langsung dihapus karena terdetek malware.
Padahal build1 normal, nggak ada masalah sama sekali.
cara mengintegrasikan safebrowsing.cvd dan bytecode.cvd gimana yah? aq pake PCMAV 4.1 Build, tapi nggak bisa terintegrasi…. apa PCMAVnya yang belum support? mohon penjelasannya. trims.
kok virus runouce gk bisa di basmi tuntas oleh pcmav…
gan, kalo q hapus folder Recycler efeknya apa ? bahaya yang ditimbulkan apa?
bosen juga ngeliat virus2 ngak mati2…mati 1 tumbuh lagi….
PCMAV 4.1+build 3+clamav 0.96.4+daily 12194, dapat Virus Signature: 1.832.489 + 151 viruses. Mantap. Trima kasih PCMAV…
@slamet : memang di anggap threat , tapi saya pake NIS 2011 hanya diwarn aja , update tetep berjalan, coz tak ada action needed
setelah sekian lama tak bisa dibuka,akhirnya bisa juga,penasaran,di flash disk saya ada nama folder kyk gini H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665
@icp : Sudah ditambah bytecode bro?
Ketemu trik safebrowsing akhirnya. Dah bisa stabil integrasi PCMAV+CLAMAV+Safebrowsing.
Punyaku kini PCMAV 4.1+build3+clamav 0.96.4+Daily 12199+Safebrowsing 24944+bytecode 0400 dapat 1.859.856+151 viruses.
Padahal kalau dihitung manual harusnya ada 1.861.xxx+151, entah kemana 1814 lainnya.
Sayang belum bisa otomatis update safebrowsing+bytecodenya.
cara mendapatkan anti virus pcmav gratisan gimana?
buat ali : hari gini masih nanya yang gratisan… ga malu lo? dasar bodoh..
@calon mantu : udah bro sama kayak ente…
Udah keluar PCMAV 4.2 Ragnarok 2..
knapa blum di posting yakk..??
kita udah masukkan update.vdb ke folder yg disarankan, tetapi virus recycle kok tetap ada, bahkan tidak diketemukan oleh pc mav, lalu apa hubungannya virus ini dengan booter.exe
Maaf saya mo ngetes aja gpp kan?
@rizal: virus recycler tuh setau ane banyak variannya bro, kalo punya contohnya, coba diskusikan di forum, ada thread khususnya.
@rio, sy pake nav 2011, jangankan update otomatis, update manualpun file update.vdbnya dianggap threat, jd lagsung dibasma sama nav 2011
Thanx ya putra indonesia udah mau bekerja keras bikin PCMAV untuk membantu pengguna komputer membasmi virus-virus menjengkelkan. Kita sebagai pengguna secara gratisss sangat berterima kasih. Buat user-user lainnya semangat belajar. N jangan lupa install juga antivirus kelas Internasional n hidupkan fire wall sistem komputer demi keamanan. Bravo PCMAV Indonesia…
majalah PC Media edisi 12 udah keluar blom gan, di tempat ane blom ada nih..
mohon bantuannya gimana ngilangin sality M variant, udah pake pcmav express for sality tetep ga mempan, cuman bisa detect tapi lom bisa clean
pake sality killer aja
cari di mbah google produk buatan kaspersky lab
bisa langsung bersih
oke makasih mas infonya, dicoba dulu sambil tunggu update terbaru (sepertinya lammaaaaaaaaaa) dari pcmav
kok virus recycle di kompi q ga bisa ke detect ma av yah? Udah 4 av q coba, termasuk pcmav 4.1 ragnarok 2 build 3+clamav. Ada yg punya solusi?
@prima, sality killer lom bisa tu, virusnya masih aktif di memory..other solution? help me please….