TODO: Bersembunyi Di Balik Process
TODO. Rootkit adalah salah satu teknik yang sering digunakan malware yang menyebar di masyarakat belakangan ini. Komputer yang terinfeksi seolah-olah berjalan dengan normal tanpa adanya gangguan dari malware. Memang terkadang tidak terlalu mempengaruhi kinerja komputer, karena beberapa malware melakukan payload yang tidak mengganggu aktivitas user agar tetap tidak diketahui keberadaannya, dan ini adalah salah satu perbedaan umum antara kebanyakan malware lokal dan malware yang berasal dari luar. Seperti halnya TODO yang diam-diam berjalan dan tetap memberikan keuntungan lebih bagi pembuatnya (Virus Maker).
A. Info File
Nama Worm : TODO
Asal : Rusia (dugaan)
Ukuran File : 325 KB (333,312 bytes)
Packer : UPX -> Markus & Laszlo ver. [ 3.02 ]
Pemrograman : Microsoft Visual C++
Icon : Application
Tipe : Trojan, Rootkit
B. About Malware
Namanya di ambil dari Original File Name yang menunjukan nama TODO. Malware ini didapatkan setelah salah satu variant worm yang menyebar lewat facebook “Chat-Facebook” tengah dianalisa dan didapatkan mendownload malware ini, TODO dapat aktif setelah droppernya dijalankan. Dan droppernya bersembunyi di balik proses svchost.exe. Baik host TODO maupun droppernya (TODO.drp) sama-sama dibuat menggunakan pemrograman Microsoft Visual C++ dan dikompres menggunakan UPX yang ukuran sebenarnya adalah:
• TODO setelah di-pack = 325 KB (333,312 bytes)
• TODO sebelum di-pack = 847 KB (867,328 bytes)
• TODO.drp setelah di-pack = 35.5 KB (36,352 bytes)
• TODO.drp setelah di-pack = 86.0 KB (88,064 bytes)
C. Companion/File yang dibuat
Setelah aktif di memory, Trojan TODO melakukan pengecekan terhadap companionnya (TODO.drp) yang berfungsi untuk menyembunyikan prosesnya di memory. Selain itu, jika TODO.drp sudah aktif terlebih dahulu, maka akan melakukan hal yang sama untuk melakukan pengecekan kemudian menjalankan TODO dan yang terakhir adalah menyembunyikan prosesnya dibalik proses lain.
Process scvhost.exe palsu
Hasil Deteksi GMER
D. Hasil Infeksi
Tentunya agar mampu berjalan otomatis saat proses startup, TODO.drp membuat sebuah value key di registry. Dan yang menarik adalah bahwa TODO memang menunjukan aktivitas rootkit. Selain itu, TODO berusaha mengakses salah satu IP yang setelah di Trace, IP tersebut berasal dari Sweden / Swedia.
Network Connection 1
Network Connection 2
Trace IP
E. Pembersihan
Short Information:
Chat-Facebook sendiri sebenarnya memiliki beberapa tipe, ada yang hanya berfungsi sebagai Downloader (Trojan)dan beberapa ada yang memang membuat host dan menyebar layaknya worm. Sayangnya, Chat-Facebook diduga memiliki kemampuan untuk mengecek tanggal yang nantinya hanya akan berjalan sesuai tanggal yang ditentukan, selain itu akan menghapus host file yang sedang di analisa. Hal ini mungkin dimaksudkan untuk menghindari kegiatan Tracing dan Debugging dalam proses analisanya.
PCMAV 5.5 Update Build1
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.5 Update Build1 telah hadir dengan penambahan 26 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.5, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
ZippyShare.com (mirror)
RapidShare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 5.5 Update Build1:
NgrBot.A.dat.variant
NgrBot.A.drp.A.variant
NgrBot.A.drp.B.variant
NgrBot.A.drp.C.variant
NgrBot.A.exe.A.variant
NgrBot.A.exe.B.variant
NgrBot.A.inf.variant
NgrBot.A.lnk.variant
NgrBot.A.variant
NgrBot.B.inf.variant
NgrBot.B.variant
NgrBot.C.variant
NgrBot.D.variant
NgrBot.E.variant
NgrBot.F.variant
NgrBot.G.variant
NgrBot.H.variant
None
TODO
TODO.drp
UltraSurf.A
UltraSurf.A.bat
UltraSurf.B
UltraSurf.C
UltraSurf.D
UltraSurf.D.bat
pertamax ama persolar dsb boleh, asal ditambahi komentar yg lain.
drpd cuma bilang pertamax dsb, lebih baik tidak perlu komentar.
cuma anjuran semata gan.
keduax! saya setuju dengan pak wasit!
KETIGAX..!!
thanks PCMAV, kalau ada yang punya sample virus baru kirim ke sini juga ya……….
http://analysis.avira.com/samples/index.php
@jhon
mending komen isinya pertamax, jadikan aku kedua, daripada pasang link antivirus lain diisini. terlaluuu
@wasit
woi gan! kalo mau nyampah jangan disini… tolong dong isi komentar dengan yg berbobot..
@wasit: loe sendiri gak bermutu bacod doank
Temporary Trojan di folder User\…\…\..\cokies\IE5 …………Gambar11.jpg………. Banyaak pariwara Scambags bisa redirect web browser………. inf driver ……. disusul trojan Ramnit via web….. Kalau bertamu di larang ngambil cokies ….. biskuitnya di kasih pengen nambah LNK
.
All bro…
aq ada masukan sedikit yg mungkin bisa membantu untuk mengatasi virus atau membantu ketahanan compie.
ini bukan promosi anti virus tertentu tetapi hanya berbagi info. Caranya :
buat foder tahan virus dari Smadav yaitu brankas Smadav (teknik Ascii),
isilah folder tersebut dng Smadav yg sudah terinstall, antivirus portable DrWebCureIt (bisa frezze system yg berjalan untuk scan virus), dan file2 penting kita.
Folder ini bisa ditempatkan di Flasdisk, Harddisk, CD/DVD, dan media simpan data lain.
Untuk antivirus sehari2 yg ringan, bisa pakai Antivir Avira (tapi agak cerewet) atau Avast (ada mode silent game ). update tiap hari y.
Untuk pembersihan virus secara lebih lengkap, bisa memakai PCMAV ditambah database ClamAV (main.cvd, daily.cvd, bytecode.cvd, safebrowsing.cvd), database virus bisa menjadi 1,8 juta virus.
silahkan system anda dibackup pakai norton ghost atau perketat system anda secara keras pakai Deep Frezze.
Dijamin, virus akan lebih susah menjangkiti system compie kita.
tx
@Joyo Bodoh
gan.. tolong dong jangan sebut nama produk lain disini,klo mau nyebut produk lain tuh jgn semuanya ditulis, contohnya gini: sm**av, A**ra gitu gan!! tapi sepertinya saran anda itu terlalu banyak ngawurnya gan, anda menyarankan banyak produk yg bikin newbie kayak saya ini pusing. lain kali klo mau kasih saran itu yg bener dong gan.!
Deep Frezze itu ada kelemahannya, dan saya udah tahu gimana ngebreak sistemnya wkwk *udah kucoba komputer disekolah yang pake deep frezze, dan bisa login ke admin juga wkkw cuman ketahuan lalu direset oleh gurunya XD*
@Chandra: ya benar tips dari Joyo bodoh itu nyawur, padahal ada cara ke tiga buat ngelewati kayak gitu :v wkwkwkwk Antivirusnya yang disajikannya itu kayak mempromosikan…. yang membantu ketahanan kompie itu usernya … bukan hanya dari software itu, tanpa user yang memakai dengan hati hati sama aja bohong.
@Joyo Bodoh: Folder Brangkas? Bad Folder? Masih bisa ditumpangi virus. AV cukup pakai PCMAV, yang lain sering false alarm. DeepFreeze itu merusak harddisk lho. Mau Harddisk anda rusak? Makanya Pintar2 dalam Menganalisa Virus.
What’s so important The binary plant system …… Whois Britdays …??? BIOS or UEFI for tomorrow MBR Plymorph Mutexxxx … How many Kind PC command Expl Leak …. Keep Big Hole
Saya sebenarnya dah sangat senang PCMAV sudah mampu mendeteksi trojan BM tetapi setelah saya selesai scan dan cures bm.exe dari hasil scan tetapi masih tetap nonggol kembali itu trojan kembali.