Home > Analisa Virus, Antivirus, Pengumuman > Dhoos: Cara Berbisnis Worm

Dhoos: Cara Berbisnis Worm

February 2nd, 2011 Leave a comment Go to comments

Dhoos

Dhoos.  Biasanya malware berniat untuk merusak komputer korban/mendapat informasi tertentu, akan tetapi hal ini sedikit berbeda dengan worm bernama Dhoos ini. Meskipun beberapa kebiasaan malware yang memanfaatkan website adalah mendownload file tertentu, worm Dhoos hanya seolah menawarkan beberapa produk yang bisa di beli secara online. Meskipun website yang di akses menggunakan bahasa China.


A. File Info

Nama: Dhoos
Asal: China
Ukuran File: 79.3 KB (81,245 bytes)
Packer: UPX
Pemrograman: Delphi
Icon: Folder
Tipe: Worm

Dibuat Dengan Delphi

B. Tentang Malware
Properties

Namanya di ambil dari bagian tubuhnya yang banyak menyebutkan Dhoos. Ukuran asli worm ini jika tanpa packer adalah 528 KB (540,672 bytes). Diduga worm ini mulai menyebar di Indonesia pada awal Januari 2011, akan tetapi beberapa antivirus sudah mampu mengenali worm ini dengan teknik heuristic-nya termasuk PCMAV. Meskipun demikian, ada saja user yang komputernya terinfeksi worm Dhoos kemudia mengirimkan sampelnya kepada kami. Pada komputer yang belum menginstall Windows Asian Language akan menyebabkan nama file worm seperti sebuah karakter acak.


C. Companion/File yang dibuat

  • Setelah aktif, worm ini akan membuat 4 buah shortcut URL pada desktop dan semuanya mengarah pada wesite : http://www.sfc***.com/

Shortcut

  • Disetiap driver terdapat file dari worm dengan nama My Documamts.exe.
  • Membuat file DLL dengan nama BOSC pada folder
    C:\Program Files\Common Files\BOSC.dll.
  • Membuat folder pada dengan “VSPS” pada drive C:\ dan membuat pula companion dengan nama VSPS.exe.
  • Membuat folder dengan nama acak seperti “gqyjwihwwn” dan “qloyaagnml” yang didalamnya terdapa host dari worm dengan nama “explorer.exe” sedangkan yang satunya adalah “smss.exe”.
  • Tidak membuat startup pada registry, worm ini mengcopykan companionnya ke folder startup
    C:\Documents and Settings\All Users\Start Menu\Programs\Startup\liyfmphhgv.exe.

D. Hasil Infeksi
Tidak tanggung-tangung worm ini belokan fungsi 187 file aplikasi dengan nama tertentu ke fungsi “ntsd –d”. 187 nama file yang tidak bisa di buka adalah:

1.~.exe
2.360rpt.exe
3.360Safe.exe
4.360safebox.exe
5.360sd.exe
6.360sdrun.exe
7.360tray.exe
8.799d.exe
9.adam.exe
10.AgentSvr.exe
11.AntiU.exe
12.AoYun.exe
13.appdllman.exe
14.AppSvc32.exe
15.ArSwp.exe
16.ArSwp2.exe
17.ArSwp3.exe
18.AST.exe
19.atpup.exe
20.auto.exe
21.AutoRun.exe
22.autoruns.exe
23.av.exe
24.AvastU3.exe
25.avconsol.exe
26.avgrssvc.exe
27.AvMonitor.exe
28.avp.com
29.avp.exe
30.AvU3Launcher.exe
31.CCenter.exe
32.ccSvcHst.exe
33.cross.exe
34.Discovery.exe
35.DSMain.exe
36.EGHOST.exe
37.FileDsty.exe
38.filmst.exe
39.FTCleanerShell.exe
40.FYFireWall.exe
41.ghost.exe
42.guangd.exe
43.HijackThis.exe
44.IceSword.exe
45.iparmo.exe
46.Iparmor.exe
47.irsetup.exe
48.isPwdSvc.exe
49.jisu.exe
50.kabaload.exe
51.KaScrScn.SCR
52.KASMain.exe
53.KASTask.exe
54.KAV32.exe
55.KAVDX.exe
56.KAVPF.exe
57.KAVPFW.exe
58.KAVSetup.exe
59.kavstart.exe
60.kernelwind32.exe
61.KISLnchr.exe
62.kissvc.exe
63.KMailMon.exe
64.KMFilter.exe
65.knsd.exe
66.knsdave.exe
67.knsdtray.exe
68.KPFW32.exe
69.KPFW32X.exe
70.KPfwSvc.exe
71.KRegEx.exe
72.KRepair.com
73.KsLoader.exe
74.KSWebShield.exe
75.KVCenter.kxp
76.KvDetect.exe
77.KvfwMcl.exe
78.KVMonXP.kxp
79.KVMonXP_1.kxp
80.kvol.exe
81.kvolself.exe
82.KvReport.kxp
83.KVScan.kxp
84.KVSrvXP.exe
85.KVStub.kxp
86.kvupload.exe
87.kvwsc.exe
88.KvXP.kxp
89.KvXP_1.kxp
90.KWatch.exe
91.KWatch9x.exe
92.KWatchX.exe
93.KWSMain.exe
94.kwstray.exe
95.KWSUpd.exe
96.loaddll.exe
97.logogo.exe
98.MagicSet.exe
99.mcconsol.exe
100.mmqczj.exe
101.mmsk.exe
102.Navapsvc.exe
103.Navapw32.exe
104.NAVSetup.exe
105.niu.exe
106.nod32.exe
107.nod32krn.exe
108.nod32kui.exe
109.NPFMntor.exe
110.pagefile.exe
111.pagefile.pif
112.pfserver.exe
113.PFW.exe
114.PFWLiveUpdate.exe
115.qheart.exe
116.QHSET.exe
117.QQDoctor.exe
118.QQDoctorMain.exe
119.QQDoctorRtp.exe
120.QQKav.exe
121.QQPCMgr.exe
122.QQPCRTP.exe
123.QQPCSmashFile.exe
124.QQPCTray.exe
125.QQSC.exe
126.qsetup.exe
127.Ras.exe
128.Rav.exe
129.ravcopy.exe
130.RavMon.exe
131.RavMonD.exe
132.RavStub.exe
133.RavTask.exe
134.RegClean.exe
135.rfwcfg.exe
136.rfwmain.exe
137.rfwProxy.exe
138.rfwsrv.exe
139.RsAgent.exe
140.Rsaupd.exe
141.rsnetsvr.exe
142.RsTray.exe
143.rstrui.exe
144.runiep.exe
145.safeboxTray.exe
146.safelive.exe
147.scan32.exe
148.ScanFrm.exe
149.ScanU3.exe
150.SDGames.exe
151.SelfUpdate.exe
152.servet.exe
153.shcfg32.exe
154.SmartUp.exe
155.sos.exe
156.SREng.EXE
157.SREngPS.EXE
158.stormii.exe
159.sxgame.exe
160.symlcsvc.exe
161.SysSafe.exe
162.tmp.exe
163.TNT.Exe
164.TrojanDetector.exe
165.Trojanwall.exe
166.TrojDie.kxp
167.TxoMoU.Exe
168.UFO.exe
169.UIHost.exe
170.UmxAgent.exe
171.UmxAttachment.exe
172.UmxCfg.exe
173.UmxFwHlp.exe
174.UmxPol.exe
175.upiea.exe
176.UpLive.exe
177.USBCleaner.exe
178.vsstat.exe
179.wbapp.exe
180.webscanx.exe
181.WoptiClean.exe
182.Wsyscheck.exe
183.XDelBox.exe
184.XP.exe
185.zhudongfangyu.exe
186.zjb.exe
187.zxsweep.exe

Memiliki kemampuan Rootkit yang bersembunyi pada Explorer.exe.
Rootkit

Dan ini adalah aktivitas worm yang terlihat pada Process Explorer:

Process Explorer

Karena worm ini membuat user mengakses web dengan bahasa China, maka setiap membuka browser Internet Explorer, maka akan muncul peringatan untuk menginstall paket “Chinese Simplified” terlebih dahulu:

Installation Pack

Untuk flash disk yang sudah terhubung dengan komputer yang terinfeksi maka smua foldernya akan di hidden dan digantikan dengan file worm.

Flash Disk

E. Pembersihan
Berikut proses pembersihan dengan PCMAV.

Cleaner 1

Cleaner 2


PCMAV 4.6 Update Build2

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.6 Update Build2 telah hadir dengan penambahan 85 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.6, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.6 Update Build2:
Acehku.vbs
Amoumain
BlackId
Delp-Shortcut
Delp-Shortcut.lnk.A
Delp-Shortcut.lnk.B
Delp-Shortcut.lnk.C
Delp-Shortcut.lnk.D
Delp-Shortcut.lnk.E
Dhoos
Dhoos.dll
Dhoos.url.A
Dhoos.url.B
Dhoos.url.C
Ebetazijl.A
Ebetazijl.A.inf
Ebetazijl.B
Ebetazijl.B.lnk
FakeAV-Downloader.G
FakeAV-Downloader.H
FakeAV-Downloader.H.job
FakeAV-Downloader.H.lnk.A
FakeAV-Downloader.H.lnk.B
FakeAV-Downloader.H.lnk.C
FakeAV-Downloader.H.msi
FakeAV-Downloader.H.setup
FakeAV-Downloader.H.url
FakeAV-Downloader.H.xml
FakeAV-Downloader.I
FakeAV-Downloader.I.dat
FakeAV-Downloader.I.job
FakeAV-Downloader.I.lnk.
FakeAV-Downloader.I.lnk.A
FakeAV-Downloader.I.lnk.B
FakeAV-Downloader.I.lnk.C
FakeAV-Downloader.I.ref
FakeAV-Downloader.I.rtf
FakeAV-Downloader.I.setup
FakeDownloader.A
FakeDownloader.B
FakeDownloader.B.dll.A
FakeDownloader.B.dll.B
FakeDownloader.C
FakeDownloader.C.dll.A
FakeDownloader.C.dll.B
FakeDownloader.D
FakeDownloader.D.dll
FakeDownloader.D.exe
FakeDownloader.E
FakeDownloader.F
FakeDownloader.F.bat
FakeDownloader.F.job
FakeDownloader.G
FakeDownloader.G.DLL
FakeDownloader.H
FakeDownloader.H.bat
FakeDownloader.H.job
FakeDownloader.H.sim
FakeDownloader.I
FakeDownloader.J
FakeDownloader.K
FakeDownloader.L
FakeDownloader.L.exe
FakeDownloader.M
FakeDownloader.N
FakeDownloader.O
HoneyMoon.vbs
HoneyMoon.vbs.inf
Khetex.B
NDI.vbs
NDI.vbs.gen
NDI.vbs.inf
NDI.vbs.txt
NineOClock
Rascal.B
Restore.D
Restore.D.inf
Restore.E
Restore.E.inf
SkyNet.F
Spesial
VB-Shortcut-1.lnk
Vedasetion
Vedasetion.tmp
Vemo-AV

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. Epitaph
    February 2nd, 2011 at 18:12 | #1

    pertamax

  2. sprink5
    February 2nd, 2011 at 19:23 | #2

    langsung menuju ke TKP

  3. twinavatar
    February 2nd, 2011 at 21:39 | #3

    langsung update

  4. twinavatar
    February 2nd, 2011 at 21:40 | #4

    mau kirim ssampel virus, emailnya apa ya skarang pa admin????

  5. icp_zkom
    February 3rd, 2011 at 08:01 | #5

    mohon bantuan para suhu… gimana caranya kirim sampel virus… ciri2 virusnya adalah ada autorun, membuat recycled (yg makin lama makin banyak isinya), membuat shortcut program files, windows dll, lalu file2 tersebut hanya dibuat di flashdisk atau disket, tidak dibuat di hardisk. awalnya tidak menular ke memory.. tapi lama kelamaan ketularan juga.. anehnya aktifitas virus yg selalu bekerja/menularkan ke disket atau flashdisk yg intervalnya setiap 5 detik, tidak terpantau oleh rtp pcmav. katanya pcmav mampu mengenali virus walaupun dicurigai sebagai virus baru.

  6. Edo
    February 4th, 2011 at 10:11 | #6

    icp_zkom :
    mohon bantuan para suhu… gimana caranya kirim sampel virus… ciri2 virusnya adalah ada autorun, membuat recycled (yg makin lama makin banyak isinya), membuat shortcut program files, windows dll, lalu file2 tersebut hanya dibuat di flashdisk atau disket, tidak dibuat di hardisk. awalnya tidak menular ke memory.. tapi lama kelamaan ketularan juga.. anehnya aktifitas virus yg selalu bekerja/menularkan ke disket atau flashdisk yg intervalnya setiap 5 detik, tidak terpantau oleh rtp pcmav. katanya pcmav mampu mengenali virus walaupun dicurigai sebagai virus baru.

    daripada ngirim sampel,mending komputernya dijual di tukang loak didaerah senen ,jakarta pusat aja bro!kalo udah kena virus recycled itu susah bersihnya.wkwkwkwkwk!!!!

  7. February 4th, 2011 at 15:33 | #7

    @icp_zkom

    dah coba scan pake PCMAV terbaru belum gan yg 4.6+clamav 0.96.5+build2+update terbaru daily…karena dah bisa ilang gan…
    kl emang masih bgt coba buka flashdisk/disket di pc lain terus discan pk pcmav kl ga langsung di delete aja gan tapi di pclain bisa ko, karena saya pernah mengalaminya gan…

  8. icp_zkom
    February 5th, 2011 at 10:53 | #8

    @edo : sori bro sayng buangnya, abis lappy gw mahal bro, gak mampu buat beli lagi… xixi
    @ekodomba : iya dulunya juga seperti ente baik2 juga… gara2 makin akut virusnya setelah di windows 7 tuh… eh kompi gw yg xp lama2 ketahanannya jebol juga… terpaksa di recovery deh…

  9. fathur
    February 5th, 2011 at 11:01 | #9

    MAJU TYUS PCMAV ………..
    AV LAIN MAKIN KETINGGALAN…………..(Bagi AV yg minta DANA)

  10. March 4th, 2011 at 05:51 | #10

    wakakakakkakakakakakkakakakakkakakakakakk =))

    oM jgn lupa babat semua WORM biar sibuk yg bikin WORM atau Virus lain_y