Home > Analisa Virus, Antivirus, Pengumuman > NgrBot: Trojan Pengambil Identitas/Password

NgrBot: Trojan Pengambil Identitas/Password

NgrBot

NgrBot. Selain Ramnit yang memiliki kemampuan rootkit canggih dan mampu menyebar serta menginfeksi dengan cepat, kini telah hadir pendatang baru yang mampu membuat user berpikir dua kali untuk mengetikkan ID pribadi seperti, e-mail, username dan password. NgrBot, malware tipe trojan yang mampu menyebar cepat seperti worm karena memanfaatkan shortcut yang sedikit berbeda dari shortcut pada umumnya.

A. Info File
Nama Worm : NgrBot
Asal : UnKnown
Ukuran File : 316 KB
Packer : ~
Pemrograman : Microsoft Visual C++
Icon : Random
Tipe : Trojan, Worm

B. About Malware
NgrBot yang meyebar di indonesia, menyamar dengan icon berbentuk huruf-huruf dan terkesan tidak berbahaya.

NgrBot

Dibuat menggunakan bahasa pemrograman C++, dan ukuran sebenarnya adalah 316 KB. Kemampuan lain dari NgrBot adalah dia tidak dapat terlihat di memory atau bisa dikategorikan rootkit. Untuk melindungi dirinya, NgrBot melakukan teknik hooking pada beberapa API function. Namun, worm ini tidak aktif jika user sedang berada dalam safe mode.

Yang membuat malware ini menjadi sangat berbahaya ialah kemampuan NgrBot dalam mencuri data user, baik itu ID atau akun pribadi berupa email password dari website tertentu, akan otomatis di kirimkan oleh malware. Akun website yang diincar antara lain adalah:


1. Web Hosting & Domain
– dotster
– 1and1.com
– enom.com
– moniker.com
– namecheap.com
– godaddy.com
– sms4file.com
– dyndns.com

2. Online Payment
– alertpay.com
– paypal.com

3. E Commerce
– netflix.com
– thepiratebay.org
– ebay.com

4. Hacking
– torrentleech.org
– hackforums.com

5. Premium Account
– vip-file.com
– what.cd
– loginid.com
– secure.logmein.com

6. FileHosting
– letitbit.net
– oron.com
– filesonic.com
– speedyshare.com
– uploaded.to.com
– uploading.com
– fileserve.com
– hotfile.com
– 4shared.com
– netload.in.com
– freakshare.com
– mediafire.com
– sendspace.com
– megaupload.com
– depositfiles.com

7. Internet Banking
– officebanking.cl.com
– moneybookers.com
– bcointernacional.com

8. Game
– runescape.com
– steampowered.com

9. Social Networking
– twitter.com
– facebook.com
– bebo.com
– friendster.com
– vkontakte.ru

10. WebMail
– yahoo.com
– mail.live.com
– gmx.com
– Gmail.com
– fastmail.com
– bigstring.com
– screenname.aol.com

11. WebPorn
– IKnowThatGirl.com
– YouPorn.com
– Brazzers.com

12. Etc
– YouTube.com

Merekam segala bentuk aktivitas keyboard pada aplikasi berikut ini:
– pidgin.exe
– wlcomm.exe
– msnmsgr.exe
– msmsgs.exe
– flock.exe
– opera.exe
– chrome.exe
– ieuser.exe
– iexplore.exe
– firefox.exe

C. Companion/File yang dibuat
NgrBot memiliki 10 Companion yang selalu sama. Berikut adalah penjelasan mengenai companion tersebut.

1. NgrBot
Host NgrBot yang berada di folder Application Data dengan nama acak dan ekstensi (.exe / .tmp). Selain itu, NgrBot juga bersembunyi di balik folder RECYCLER yang di buatnya setelah removable disk terhubung dengan komputer yang terinfeksi.

2. NgrBot.drp.A

NgrBot

Salah satu droper dari NgrBot yang berada di folder startup yang mengekstrak NgrBot.exe.A dan NgrBot.bat.

3. NgrBot.drp.B
Variant lain darin NgrBot.drp yang terdapat pada folder Application Data yang memiliki fungsi sama seperti NgrBot.drp.A.

4. NgrBot.lnk

NgrBot

Sedikit perbedaan dengan shortcut yang lain adalah, NgrBot menambahkan parameter lain pada shortcutnya.
Contohnya:

%windir%\system32\cmd.exe /c "start %cd%RECYCLER\bcd8f464.exe &&%windir%\explorer.exe %cd%Removal

%windir%\system32\cmd.exe /c “start = memanggil command prompt dengan menambahkan parameter “/c” yang di maksudkan agar setelah mengeksekusi file, akan otomatis menutup command prompt. Selain itu, ada juga “start yang dimaksudkan untuk memulai eksekusi file.
%cd% = parameter untuk mengakses sebuah folder.
RECYCLER\bcd8f464.exe = Dalam hal ini, folder yang di akses adalah folder RECYCLER yang di dalamnya terdapat host virus dengan nama “bcd8f464.exe”
%windir%\explorer.exe = Memanggil Explorer.exe untuk membuka folder yang namanya sesuai dengan nama shortcut yang di jalankan agar mengesankan bahwa shortcut tersebut memang benar-benar folder seperti biasa.
Removal = contoh nama folder.

5. NgrBot.bat
Salah satu companion dari NgrBot yang berfungsi untuk mengeksekusi dan memberikan parameter khusus terhadap NgrBot.exe.A.

NgrBot

6. NgrBot.exe.A

NgrBot

Companion NgrBot yang di eksekusi oleh NgrBot.bat dan berada di path yang sama, yaitu pada folder temporary (temp).

7. NgrBot.dat

NgrBot

Companion yang seluruh isi tubuhnya hanyalah karakter acak dan biasanya terdapat di folder system32 atau bisa juga di folder Documents and Settings.

8. NgrBot.exe.B
NgrBot.exe.B selalu berada di folder User Profile. Membuat value key baru pada registry dengan nama –“u” agar bisa berjalan saat startup.

9. NgrBot.inf

NgrBot

Sudah menjadi teknik malware saat ini yang mengunakan autorun.inf sebagai salah satu companion yang dapat membantu dalam menjalankan malware, begitu pula NgrBot yang membuat Autorun.inf, sama halnya dengan beberapa worm lain yang baru-baru ini menyebar,  autorun.infnya selalu ditambahkan dengan karakter acak.

10. NgrBot.mem

NgrBot

Thread yang berada di memory dan tidak dapat dideteksi dengan teknik pendeteksian biasa karena merupakan thread yang tersembunyi dengan teknik rootkit, juga menggunakan teknik hooking sambil memantau aktivitas user dan terus menyebarkan companion setiap kali removable disk terkoneksi dengan komputer.

D. Hasil Infeksi
Seperti yang sudah di jelaskan di atas jika dilihat berdasarkan kemampuan yang dimiliki NgrBot, berikut ini adalah klasifikasinya.
NgrBot dengan kemampuan Worm = mampu menyebar melalui media peyimpanan data seperti removable disk, external disk dan MMC.
NgrBot dengan kemampuan Trojan = mendownload beberapa companion lain yang bertujuan untuk melancarkan aksi lainnya setelah menginfeksi komputer korban.
NgrBot dengan kemampuan Rootkit = mampu bersembunyi dibalik proses lain dan menyembunyikan file host maupun value key yang dibuatnya pada registry editor sambil tetap melakukan payload yang tidak disadari oleh user.

E. Pembersihan
Malware ini telah dikenali dan dapat dibersihkan pada PCMAV 5.3 Update Build2 ini berikut ini.

PCMAV 5.3 Update Build2

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.3 Update Build2 telah hadir dengan penambahan 68 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.3, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.3 Update Build2:

Ardamax
Ardamax.exe
BadShortcut
BancosKernel
BancosKernel.dat
Bobae
Bobae.flv.A
Bobae.flv.B
CryptocX
CryptocX.dll
DrwKills
FakeAV-Downloader.N
FakeAV-Downloader.N.dat
FakeAV-Downloader.N.dll.A
FakeAV-Downloader.N.dll.B
FakeAV-Downloader.N.drp
FakeAV-Downloader.N.exe
FakeAV-Downloader.N.lnk.A
FakeAV-Downloader.N.lnk.B
FakeAV-Downloader.N.lnk.C
FakeAV-Downloader.N.tmp
FakeDownloader.BL
FakeDownloader.BL.drp
FakeDownloader.BL.exe.A
FakeDownloader.BL.exe.B
FakeDownloader.BL.exe.C
FakeDownloader.BL.tmp
FakeDownloader.BL.zip
FightingDreamer.vbe.inf
Huppi
KeyKav
Maxthon
Maxthon.inf
NgrBot
NgrBot.bat
NgrBot.dat
NgrBot.drp.A
NgrBot.drp.B
NgrBot.exe.A
NgrBot.exe.B
NgrBot.inf
NgrBot.lnk
NhT
PrjHook
PrjHook.drp
PrjHook.exe.A
PrjHook.exe.B
Proklamasi
Proklamasi.exe
Proklamasi.lnk
Qvod
Qvod.A.dll.A
Qvod.A.dll.B
Qvod.A.dll.C
Qvod.A.inf
Qvod.A.local
Qvod.B
Qvod.B.dll
Qvod.exe.A
Ramnit.L.dropper
Ramnit.M.dropper
SpecialChar
StubeShark
StubeShark.tmp
TeraBit.txt
Tiopatinhas
Winbows
Wukill.D

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. AgoIce
    August 9th, 2011 at 18:31 | #1

    Download ahhhhhhhhh…………….

  2. バデラ
    August 9th, 2011 at 19:57 | #2

    semakin kejam ==” sekarang bulan ramadhan, pembuatannya bakal banyak komplain XD

  3. PC Ranger
    August 10th, 2011 at 00:40 | #3

    password yang dicuri panjangnya yang berapaan yach?
    ane biasa bikin password min 32 karakter, trus kombinasi huruf besar_kecil, angka & numerik.

  4. koplak
    August 10th, 2011 at 16:14 | #4

    semua password bisa dicuri, biar panjangnya kyk sepur juga pasti bisa dicuri (kalo lagi apes).
    yang penting waspada dan hati2. itu kuncinya.

  5. Zenoeva
    August 12th, 2011 at 21:02 | #5

    Dah di coba hasilnya ok..virus bubar>>>

  6. PC Ranger
    August 15th, 2011 at 19:57 | #6

    Impian ane, PCMAV bisa dibikin as simple as Mcafee Stinger. Ane doyan banget liat interface-nya. Simple but full of feature. Go Go PCMAV Rangers.

  7. August 22nd, 2011 at 20:56 | #7

    download dulu ah buat antisisapi