Home > Analisa Virus, Antivirus, Pengumuman > TODO: Bersembunyi Di Balik Process

TODO: Bersembunyi Di Balik Process

September 21st, 2011 Leave a comment Go to comments

TODO. Rootkit adalah salah satu teknik yang sering digunakan malware yang menyebar di masyarakat belakangan ini. Komputer yang terinfeksi seolah-olah berjalan dengan normal tanpa adanya gangguan dari malware. Memang terkadang tidak terlalu mempengaruhi kinerja komputer, karena beberapa malware melakukan payload yang tidak mengganggu aktivitas user agar tetap tidak diketahui keberadaannya, dan ini adalah salah satu perbedaan umum antara kebanyakan malware lokal dan malware yang berasal dari luar.  Seperti halnya TODO yang diam-diam berjalan dan tetap memberikan keuntungan lebih bagi pembuatnya (Virus Maker).

A. Info File
Nama Worm : TODO
Asal : Rusia (dugaan)
Ukuran File : 325 KB (333,312 bytes)
Packer : UPX -> Markus & Laszlo ver. [ 3.02 ]
Pemrograman : Microsoft Visual C++
Icon : Application
Tipe : Trojan, Rootkit

B. About Malware

Namanya di ambil dari Original File Name yang menunjukan nama TODO. Malware ini didapatkan setelah salah satu variant worm yang menyebar lewat facebook “Chat-Facebook” tengah dianalisa dan didapatkan mendownload malware ini, TODO dapat aktif setelah droppernya dijalankan. Dan droppernya bersembunyi di balik proses svchost.exe. Baik host TODO maupun droppernya (TODO.drp) sama-sama dibuat menggunakan pemrograman Microsoft Visual C++ dan dikompres menggunakan UPX yang ukuran sebenarnya adalah:
TODO setelah di-pack = 325 KB (333,312 bytes)
TODO sebelum di-pack = 847 KB (867,328 bytes)
TODO.drp setelah di-pack = 35.5 KB (36,352 bytes)
TODO.drp setelah di-pack = 86.0 KB (88,064 bytes)

C. Companion/File yang dibuat
Setelah aktif di memory, Trojan TODO melakukan pengecekan terhadap companionnya (TODO.drp) yang berfungsi untuk menyembunyikan prosesnya di memory. Selain itu, jika TODO.drp sudah aktif terlebih dahulu, maka akan melakukan hal yang sama untuk melakukan pengecekan kemudian menjalankan TODO dan yang terakhir adalah menyembunyikan prosesnya dibalik proses lain.

Process scvhost.exe palsu

Hasil Deteksi GMER

D. Hasil Infeksi
Tentunya agar mampu berjalan otomatis saat proses startup, TODO.drp membuat sebuah value key di registry. Dan yang menarik adalah bahwa TODO memang menunjukan aktivitas rootkit. Selain itu, TODO berusaha mengakses salah satu IP yang setelah di Trace, IP tersebut berasal dari Sweden / Swedia.

Network Connection 1

Network Connection 2

Trace IP

E. Pembersihan

Short Information:
Chat-Facebook sendiri sebenarnya memiliki beberapa tipe, ada yang hanya berfungsi sebagai Downloader (Trojan)dan beberapa ada yang memang membuat host dan menyebar layaknya worm. Sayangnya, Chat-Facebook diduga memiliki kemampuan untuk mengecek tanggal yang nantinya hanya akan berjalan sesuai tanggal yang ditentukan, selain itu akan menghapus host file yang sedang di analisa. Hal ini mungkin dimaksudkan untuk menghindari kegiatan Tracing dan Debugging dalam proses analisanya.

PCMAV 5.5 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.5 Update Build1 telah hadir dengan penambahan 26 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.5, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.5 Update Build1:

NgrBot.A.dat.variant
NgrBot.A.drp.A.variant
NgrBot.A.drp.B.variant
NgrBot.A.drp.C.variant
NgrBot.A.exe.A.variant
NgrBot.A.exe.B.variant
NgrBot.A.inf.variant
NgrBot.A.lnk.variant
NgrBot.A.variant
NgrBot.B.inf.variant
NgrBot.B.variant
NgrBot.C.variant
NgrBot.D.variant
NgrBot.E.variant
NgrBot.F.variant
NgrBot.G.variant
NgrBot.H.variant
None
TODO
TODO.drp
UltraSurf.A
UltraSurf.A.bat
UltraSurf.B
UltraSurf.C
UltraSurf.D
UltraSurf.D.bat

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. wasit
    September 21st, 2011 at 15:44 | #1

    pertamax ama persolar dsb boleh, asal ditambahi komentar yg lain.
    drpd cuma bilang pertamax dsb, lebih baik tidak perlu komentar.
    cuma anjuran semata gan.

  2. keeper
    September 21st, 2011 at 21:57 | #2

    keduax! saya setuju dengan pak wasit!

  3. [AB]
    September 22nd, 2011 at 09:52 | #3

    KETIGAX..!! 😀

  4. jhon
    September 22nd, 2011 at 11:05 | #4

    thanks PCMAV, kalau ada yang punya sample virus baru kirim ke sini juga ya……….
    http://analysis.avira.com/samples/index.php

  5. sulore
    September 22nd, 2011 at 13:13 | #5

    @jhon
    mending komen isinya pertamax, jadikan aku kedua, daripada pasang link antivirus lain diisini. terlaluuu

  6. chandra
    September 22nd, 2011 at 15:22 | #6

    @wasit
    woi gan! kalo mau nyampah jangan disini… tolong dong isi komentar dengan yg berbobot..

  7. Anti Bacod
    September 22nd, 2011 at 20:08 | #7

    @wasit: loe sendiri gak bermutu bacod doank

  8. NdeungDefender
    September 23rd, 2011 at 01:01 | #8

    Temporary Trojan di folder User\…\…\..\cokies\IE5 …………Gambar11.jpg………. Banyaak pariwara Scambags bisa redirect web browser………. inf driver ……. disusul trojan Ramnit via web….. Kalau bertamu di larang ngambil cokies ….. biskuitnya di kasih pengen nambah LNK

  9. Joyo Bodoh
    September 23rd, 2011 at 02:34 | #9

    .
    All bro…

    aq ada masukan sedikit yg mungkin bisa membantu untuk mengatasi virus atau membantu ketahanan compie.

    ini bukan promosi anti virus tertentu tetapi hanya berbagi info. Caranya :

    buat foder tahan virus dari Smadav yaitu brankas Smadav (teknik Ascii),
    isilah folder tersebut dng Smadav yg sudah terinstall, antivirus portable DrWebCureIt (bisa frezze system yg berjalan untuk scan virus), dan file2 penting kita.
    Folder ini bisa ditempatkan di Flasdisk, Harddisk, CD/DVD, dan media simpan data lain.

    Untuk antivirus sehari2 yg ringan, bisa pakai Antivir Avira (tapi agak cerewet) atau Avast (ada mode silent game ). update tiap hari y.

    Untuk pembersihan virus secara lebih lengkap, bisa memakai PCMAV ditambah database ClamAV (main.cvd, daily.cvd, bytecode.cvd, safebrowsing.cvd), database virus bisa menjadi 1,8 juta virus.

    silahkan system anda dibackup pakai norton ghost atau perketat system anda secara keras pakai Deep Frezze.

    Dijamin, virus akan lebih susah menjangkiti system compie kita.

    tx 🙂

  10. chandra
    September 23rd, 2011 at 06:08 | #10

    @Joyo Bodoh
    gan.. tolong dong jangan sebut nama produk lain disini,klo mau nyebut produk lain tuh jgn semuanya ditulis, contohnya gini: sm**av, A**ra gitu gan!! tapi sepertinya saran anda itu terlalu banyak ngawurnya gan, anda menyarankan banyak produk yg bikin newbie kayak saya ini pusing. lain kali klo mau kasih saran itu yg bener dong gan.!

  11. バデラ
    September 23rd, 2011 at 18:33 | #11

    Deep Frezze itu ada kelemahannya, dan saya udah tahu gimana ngebreak sistemnya wkwk *udah kucoba komputer disekolah yang pake deep frezze, dan bisa login ke admin juga wkkw cuman ketahuan lalu direset oleh gurunya XD*

    @Chandra: ya benar tips dari Joyo bodoh itu nyawur, padahal ada cara ke tiga buat ngelewati kayak gitu :v wkwkwkwk Antivirusnya yang disajikannya itu kayak mempromosikan…. yang membantu ketahanan kompie itu usernya … bukan hanya dari software itu, tanpa user yang memakai dengan hati hati sama aja bohong.

  12. CyberElite
    September 23rd, 2011 at 19:42 | #12

    @Joyo Bodoh: Folder Brangkas? Bad Folder? Masih bisa ditumpangi virus. AV cukup pakai PCMAV, yang lain sering false alarm. DeepFreeze itu merusak harddisk lho. Mau Harddisk anda rusak? Makanya Pintar2 dalam Menganalisa Virus. 😛

  13. B_lack_IT_Def
    September 24th, 2011 at 21:51 | #13

    What’s so important The binary plant system …… Whois Britdays …??? BIOS or UEFI for tomorrow MBR Plymorph Mutexxxx … How many Kind PC command Expl Leak …. Keep Big Hole

  14. keshin
    September 27th, 2011 at 09:33 | #14

    Saya sebenarnya dah sangat senang PCMAV sudah mampu mendeteksi trojan BM tetapi setelah saya selesai scan dan cures bm.exe dari hasil scan tetapi masih tetap nonggol kembali itu trojan kembali.