Home > Analisa Virus, Antivirus > Recycler (Varian): Rahasia Kecil Di Balik Folder Recycler

Recycler (Varian): Rahasia Kecil Di Balik Folder Recycler

October 23rd, 2010

Recycler

Recycler (Varian). Maraknya malware yang beredar di masyarakat dengan kemampuan baru dalam memanfaatkan celah keamanan Windows, membuat user sempat melupakan malware yang selalu besembunyi di balik folder Recycler ini. Awal kemunculannya di tahun 2008 seiring dengan datangnya worm Conficker, semakin banyak malware dengan tipe worm dan virus baru yang menggunakan folder dengan nama Recycler sebagain tempat persembunyiaannya.

Autorun.inf adalah jalan utama dari malware ini agar bisa berjalan dengan baik, seperti yang terlihat pada screenshot di atas. Teknik ini hampir sama dengan teknik autorun.inf buatan virus Alman seperti yang terlihat pada gambar dibawah.

Komparasi Kode Virus

Jika dilihat lebih dalam, coding Autorun.inf milik salah satu varian Recycler (Recycler.BA) ini mengubah default Context Menu dari Drive, yaitu menu Open dan Explore yang nantinya akan di arahkan pada malware tersebut. Banyak user yang tidak sadar dan justru menjalankan fungsi autorun.inf buatan Recycler. Malware ini banyak memiliki varian yang dibuat dengan pemrograman yang berbeda seperti C++, Borland Delphi, Visual Basic dan Autoit. Beberapa di temukan dalam keadaan di-pack menggunaka UPX, ASPack, PE Compact, MEW, dll.

Teknik lain yang digunakan worm ini adalah membuat  folder Recycler yang digunakan sebagai tempat persembunyian.  Sebagian besar menggunakan folder:

RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013

Folder ini berbentuk seperti Recycler Bin, sementara varian lain menggunakan icon yang berbeda.

Agar user tidak menemukan file asli dari malware yang nantinya akan di panggil oleh autorun.inf, worm membuat folder dengan nama Recycler yang terlihat dan berfungsi seakan-akan sama seperti Recycle Bin pada Windows. Ada beberapa cara agar bisa membuat folder seperti ini, salah satunya dengan membuat Folder yang setara dengan Special Folder dan menambahkan file Desktop.ini di dalamnya.

Berikut contoh desktop.ini yang berada pada special folder My Pictures.

Kode My Pictures

Jika desktop.ini diubah seperti pada gambar dibawah ini:

Desktop

Maka perubahannya terlihat seperti pada gambar berikut:

Perubahan pada My Pictures

Cara lainnya bisa dengan membuat folder dengan nama yang di gunakan oleh fungsi windows, contoh:

recycle.{645FF040-5081-101B-9F08-00AA002F954E}

Contoh Recycle

Dengan menggunakan nama folder seperti contoh di atas, tidak membutuhkan file desktop.ini atau harus pada Special Folder. Untuk membuktikan begitu sederhana teknik persembunyian di balik Recycler Bin, dijelaskan pada gambar di bawah.

Contoh Cara Mengubah Recycle


PCMAV 4.1 Update Build2

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.1 Update Build2 telah hadir dengan penambahan 126 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet (non-proxy). Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV.

Namun bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.1 Update Build2:
BassAlac
BassAlac.dll
Bird
Blind.vbs
CacingKita
CintaFitri
CintaFitri.bat
EmptyCode.vbs
EmptyCode.vbs.inf
FakeAV-Downloader.A
FakeAV-Downloader.B
FakeNtldr
FakeNtldr.inf
Freedom.vbs.D
FuVirus
Gabest
Gabest.inf
Gabest.vbs
Gasak.D
Gondronk.vbs.A
Gondronk.vbs.B
Gondronk.vbs.inf
Item
Julia
Julia.cmd.A
Julia.cmd.B
Julia.cmd.C
Julia.html
Julia.vbs.A
Julia.vbs.B
Jusched.A
Jusched.A.yeo
Jusched.B
Jusched.C
Khetex
Khetex.dll
Khetex.exe
KipLeq
Kula
Kula.htm
Kula.inf
M3Reincarnation.C
Malingsi.W
Merdeka.B
Mosquitos
OjanBlank
OjanBlank.doc
Porn.vbs
Porn.vbs.cfg
Porn.vbs.inf
Porn.vbs.lnk.A
Porn.vbs.lnk.B
Porn.vbs.lnk.C
Random8-1
Random8-2
Random8-3
Recycler.AX
Recycler.AX.inf
Recycler.AY
Recycler.AY.inf
Recycler.AZ
Recycler.AZ.inf
Recycler.BA
Recycler.BA.inf
Restora32.exe
SallyDiardo.vbs.A
SallyDiardo.vbs.B
SallyDiardo.vbs.inf
SallyDiardo.vbs.rtf
Serviks.B
Serviks.B.doc
Serviks.B.htm
Serviks.B.inf
Serviks.B.ocx
Serviks.B.txt
SetRun
SetRun.ico
Shemale.vbs.A
Shemale.vbs.A.dll
Shemale.vbs.A.dls
Shemale.vbs.A.html
Shemale.vbs.A.inf
Shemale.vbs.A.lnk
Shemale.vbs.A.mht
Shemale.vbs.A.tmp
Shemale.vbs.B
Shemale.vbs.B.dll.A
Shemale.vbs.B.dll.B
Shemale.vbs.B.dll.C
Shemale.vbs.B.dll.D
Shemale.vbs.B.dll.E
Shemale.vbs.B.dll.F
Shemale.vbs.B.dll.G
Shemale.vbs.B.dll.H
Shemale.vbs.B.dll.I
Shemale.vbs.B.hosts
Shemale.vbs.B.html
Shemale.vbs.B.inf
Shemale.vbs.B.lnk.A
Shemale.vbs.B.lnk.B
Shemale.vbs.B.lnk.C
Shemale.vbs.B.lnk.D
Shemale.vbs.B.lnk.E
Shemale.vbs.B.lnk.F
Shemale.vbs.B.lnk.G
Shemale.vbs.B.lnk.H
Shemale.vbs.B.lnk.I
Shemale.vbs.B.lnk.J
Shemale.vbs.B.lnk.K
Shemale.vbs.B.lnk.L
Shemale.vbs.B.lnk.M
Shemale.vbs.B.lnk.N
Shemale.vbs.B.lnk.O
Shemale.vbs.B.lnk.P
Shemale.vbs.B.log
Shemale.vbs.B.mht
Shemale.vbs.B.txt
Tondano
Tondano.bat
Tondano.inf
Tondano.txt
Vhier
Wayang-Pandawa.E
Wolf.B
Wolf.B.html
Wolf.B.ico

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system startup

C:\WINDOWS\WolvesDen\Wolf.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \startup

C:\WINDOWS\system32\scvhost.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\system startup

C:\WINDOWS\WolvesDen\Wolf.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\startup

C:\WINDOWS\system32\scvhost.exe

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Analisa Virus, Antivirus Tags:
  1. ArSip
    October 23rd, 2010 at 00:06 | #1

    PERTAMAX..

  2. ArSip
    October 23rd, 2010 at 00:10 | #2

    Salah tuh, mestinya Update Build 2 bukan Build 1..

  3. October 23rd, 2010 at 00:37 | #3

    Cara update PCMAV gimana tho…?

  4. salim
    October 23rd, 2010 at 09:43 | #4

    susah bangeeeeeeet mau kirim sample ke PCMAV yah?

  5. October 23rd, 2010 at 11:23 | #5

    oke2. sip, langsung donlot. makasih ya pcmav..
    btw iya salah tuh, mestinya update build2 :)

  6. ucup
    October 23rd, 2010 at 13:12 | #6

    mau KELIMAX udah keduluan ……………….. :)

  7. dhoblank
    October 23rd, 2010 at 14:56 | #7

    ke-7

    download terussss…….PCMAVnya….Build 2nya juga……

  8. October 23rd, 2010 at 15:16 | #8

    yoi salah tuh bukan update build 1 tapi build 2
    oh iya gan mo tanya nich kenapa pcmav.exe kebaca virus terus sama pcmav.rtp…

    thank’s…..

  9. abu. B
    October 23rd, 2010 at 23:22 | #9

    selamat malam….bolehkah tulisan2 yang ada disini di share melalui FB ?
    thanks

  10. October 24th, 2010 at 12:53 | #10

    bagus juga gaan…..
    minta ijin dunlut ya……. :)

  11. October 24th, 2010 at 17:52 | #11

    download gan…
    keep update gan…

  12. kojon
    October 24th, 2010 at 21:11 | #12

    klo new heur.level(9) koq kluar2 lagi virusnya…?

  13. Dharma
    October 25th, 2010 at 13:22 | #13

    Yup, sudah lama PCMAV yang sebelumnya tidak bisa clean virus ini. Semoga kali ini berhasil cleansheet…

  14. yuri
    October 25th, 2010 at 20:14 | #14

    tetep ga bs clean

  15. buruburu
    October 26th, 2010 at 04:14 | #15

    sip gan mow coba ndisik ahh

  16. Newbie GM
    October 26th, 2010 at 16:57 | #16

    wah tulisannya bagus yakk..

  17. slamet
    October 28th, 2010 at 01:14 | #17

    gak bs update otomatis, cos updatenya pasti diblok sama norton. mohon diperbaiki. tq

  18. noer
    October 28th, 2010 at 11:54 | #18

    ada virus baru… namanya desktopx klo gak salah….
    gejalanya klo lg browsing browsernya ke close sendiri & aplikasi yg lg di jalanin jg ke close….

    ada yg tau gak cara nangkalnya…..

  19. Calon mantu
    October 28th, 2010 at 21:07 | #19

    @slamet : betul bro, aku juga ngalami gitu.
    Update otomatis diblok sama Norton. Intrusi pada pcmav-update.com (WS.Reputation.1)
    Download update.vdb langsung dihapus karena terdetek malware.

    Padahal build1 normal, nggak ada masalah sama sekali.

  20. Triyono
    October 30th, 2010 at 23:34 | #20

    cara mengintegrasikan safebrowsing.cvd dan bytecode.cvd gimana yah? aq pake PCMAV 4.1 Build, tapi nggak bisa terintegrasi…. apa PCMAVnya yang belum support? mohon penjelasannya. trims.

  21. kapista
    October 31st, 2010 at 10:23 | #21

    kok virus runouce gk bisa di basmi tuntas oleh pcmav…

  22. November 1st, 2010 at 14:33 | #22

    gan, kalo q hapus folder Recycler efeknya apa ? bahaya yang ditimbulkan apa?

  23. November 1st, 2010 at 17:03 | #23

    bosen juga ngeliat virus2 ngak mati2…mati 1 tumbuh lagi….

  24. icp_zkom
    November 1st, 2010 at 21:20 | #24

    PCMAV 4.1+build 3+clamav 0.96.4+daily 12194, dapat Virus Signature: 1.832.489 + 151 viruses. Mantap. Trima kasih PCMAV…

  25. Rio
    November 3rd, 2010 at 20:00 | #25

    @slamet : memang di anggap threat , tapi saya pake NIS 2011 hanya diwarn aja , update tetep berjalan, coz tak ada action needed

  26. Fredika
    November 3rd, 2010 at 20:07 | #26

    setelah sekian lama tak bisa dibuka,akhirnya bisa juga,penasaran,di flash disk saya ada nama folder kyk gini H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665

  27. Calon mantu
    November 3rd, 2010 at 21:09 | #27

    @icp : Sudah ditambah bytecode bro?

    Ketemu trik safebrowsing akhirnya. Dah bisa stabil integrasi PCMAV+CLAMAV+Safebrowsing.

    Punyaku kini PCMAV 4.1+build3+clamav 0.96.4+Daily 12199+Safebrowsing 24944+bytecode 0400 dapat 1.859.856+151 viruses.
    Padahal kalau dihitung manual harusnya ada 1.861.xxx+151, entah kemana 1814 lainnya.
    Sayang belum bisa otomatis update safebrowsing+bytecodenya.

  28. ali
    November 4th, 2010 at 08:54 | #28

    cara mendapatkan anti virus pcmav gratisan gimana?

  29. musuh ali
    November 4th, 2010 at 09:38 | #29

    buat ali : hari gini masih nanya yang gratisan… ga malu lo? dasar bodoh..

  30. icp
    November 4th, 2010 at 10:36 | #30

    @calon mantu : udah bro sama kayak ente…

  31. ArSip
    November 5th, 2010 at 13:45 | #31

    Udah keluar PCMAV 4.2 Ragnarok 2..
    knapa blum di posting yakk..??

  32. rizal
    November 6th, 2010 at 06:39 | #32

    kita udah masukkan update.vdb ke folder yg disarankan, tetapi virus recycle kok tetap ada, bahkan tidak diketemukan oleh pc mav, lalu apa hubungannya virus ini dengan booter.exe

  33. Juned
    November 6th, 2010 at 06:44 | #33

    Maaf saya mo ngetes aja gpp kan?

  34. michi
    November 6th, 2010 at 08:01 | #34

    @rizal: virus recycler tuh setau ane banyak variannya bro, kalo punya contohnya, coba diskusikan di forum, ada thread khususnya.

  35. slamet
    November 6th, 2010 at 08:59 | #35

    @rio, sy pake nav 2011, jangankan update otomatis, update manualpun file update.vdbnya dianggap threat, jd lagsung dibasma sama nav 2011

  36. November 6th, 2010 at 09:33 | #36

    Thanx ya putra indonesia udah mau bekerja keras bikin PCMAV untuk membantu pengguna komputer membasmi virus-virus menjengkelkan. Kita sebagai pengguna secara gratisss sangat berterima kasih. Buat user-user lainnya semangat belajar. N jangan lupa install juga antivirus kelas Internasional n hidupkan fire wall sistem komputer demi keamanan. Bravo PCMAV Indonesia…

  37. denidoank
    November 8th, 2010 at 19:53 | #37

    majalah PC Media edisi 12 udah keluar blom gan, di tempat ane blom ada nih..

  38. iqbal
    November 8th, 2010 at 22:18 | #38

    mohon bantuannya gimana ngilangin sality M variant, udah pake pcmav express for sality tetep ga mempan, cuman bisa detect tapi lom bisa clean

  39. prima
    November 11th, 2010 at 08:19 | #39

    pake sality killer aja
    cari di mbah google produk buatan kaspersky lab
    bisa langsung bersih

  40. iqbal
    November 11th, 2010 at 22:45 | #40

    oke makasih mas infonya, dicoba dulu sambil tunggu update terbaru (sepertinya lammaaaaaaaaaa) dari pcmav

  41. pcmaver+smadaver
    November 12th, 2010 at 11:28 | #41

    kok virus recycle di kompi q ga bisa ke detect ma av yah? Udah 4 av q coba, termasuk pcmav 4.1 ragnarok 2 build 3+clamav. Ada yg punya solusi?

  42. iqbal
    November 15th, 2010 at 13:51 | #42

    @prima, sality killer lom bisa tu, virusnya masih aktif di memory..other solution? help me please….

Comments are closed.