Home > Analisa Virus, Antivirus, Pengumuman > Persist: Created with The GIM

Persist: Created with The GIM

December 19th, 2011

Persist. Pernah dibahas di salah satu edisi majalah PC Media mengenai trojan dengan nama Sepetto. Persist hampir mirip dengan Sepetto karena menyembunyikan prosesnya dibalik proses lain. Dalam hal ini, lagi-lagi browser yang menjadi tamengnya. Saat semua thread-nya berhasil di-terminate, Persist menjadi worm yang biasa saja.

A. Info File
Nama Worm : Persist
Asal : Jakarta
Ukuran File : 452 KB (462,848 bytes)
Packer : UPX
Pemrograman : Microsoft Visual Basic
Icon : JPEG/JPG
Tipe : Worm, Trojan, Rootkit

B. About Malware
Hampir sebagian besar malware baru yang dikirimkan oleh user memiliki kemampuan rootkit. Seakan-akan hanyalah sebuah proses biasa, namun diam diam mengirimkan paket ke beberapa website tertentu. Nama Persist di ambil dari mutex yang dibuatnya untuk menandai bahwa prosesnya sudah berjalan di memory bersembunyi di balik browser. Namun yang menjadi ciri utamanya ada 3.
1. Mutex yang dibuatnya pada proses browser.
2. Terjadi Error saat proses startup

3. Tidak adanya tampilan GUI dari browser yang sedang berjalan di proses.

C. Companion/File yang dibuat
Membuat host pada folder ” C:\directory\CyberGate\install\server.exe” serta tidak seperti worm pada umumnya yang menyebarkan companion ke bebeberapa folder tertentu atau ke flash disk.

D. Hasil Infeksi
Menambahkan serta memodifikasi beberapa entry pada registry.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM = C:\directory\CyberGate\install\server.exe
	
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKCU = C:\directory\CyberGate\install\server.exe
	
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Policies = C:\directory\CyberGate\install\server.exe
	
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Policies = C:\directory\CyberGate\install\server.exe

Mengirimkan packet ke yang ditujukan ke IP 192.168.180.34 dan berasal dari IP 125.162.60.200. setelah di-trace, IP tersebut berasal dari Pekanbaru, Riau. Berikut ini adalah hasil dump packetnya.

Dump packet dari Persist:

0000  00 0c 29 e5 56 4a 00 50  56 ec 27 7d 08 00 45 00   ..).VJ.P V.'}..E.
0010  01 16 eb 08 00 00 80 06  1f 40 7d a2 3c c8 c0 a8   ........ .@}.<...
0020  b4 86 30 21 04 02 73 18  0f 64 a2 cb a3 10 50 18   ..0!..s. .d....P.
0030  fa f0 10 61 00 00 70 69  6e 67 7c 0d 0a 70 69 6e   ...a..pi ng|..pin
0040  67 7c 0d 0a 70 69 6e 67  7c 0d 0a 70 69 6e 67 7c   g|..ping |..ping|
0050  0d 0a 70 69 6e 67 7c 0d  0a 70 69 6e 67 7c 0d 0a   ..ping|. .ping|..
0060  70 69 6e 67 7c 0d 0a 70  69 6e 67 7c 0d 0a 70 69   ping|..p ing|..pi
0070  6e 67 7c 0d 0a 70 69 6e  67 7c 0d 0a 70 69 6e 67   ng|..pin g|..ping
0080  7c 0d 0a 70 69 6e 67 7c  0d 0a 70 69 6e 67 7c 0d   |..ping| ..ping|.
0090  0a 70 69 6e 67 7c 0d 0a  70 69 6e 67 7c 0d 0a 70   .ping|.. ping|..p
00a0  69 6e 67 7c 0d 0a 70 69  6e 67 7c 0d 0a 70 69 6e   ing|..pi ng|..pin
00b0  67 7c 0d 0a 70 69 6e 67  7c 0d 0a 70 69 6e 67 7c   g|..ping |..ping|
00c0  0d 0a 70 69 6e 67 7c 0d  0a 70 69 6e 67 7c 0d 0a   ..ping|. .ping|..
00d0  70 69 6e 67 7c 0d 0a 70  69 6e 67 7c 0d 0a 70 69   ping|..p ing|..pi
00e0  6e 67 7c 0d 0a 70 69 6e  67 7c 0d 0a 70 69 6e 67   ng|..pin g|..ping
00f0  7c 0d 0a 70 69 6e 67 7c  0d 0a 70 69 6e 67 7c 0d   |..ping| ..ping|.
0100  0a 70 69 6e 67 7c 0d 0a  70 69 6e 67 7c 0d 0a 70   .ping|.. ping|..p
0110  69 6e 67 7c 0d 0a 70 69  6e 67 7c 0d 0a 70 69 6e   ing|..pi ng|..pin
0120  67 7c 0d 0a                                        g|..
	
0000:  01 00 5E 7F FF FA 00 0C : 29 E5 56 4A 08 00 45 00 | ..^.....).VJ..E.
0010:  00 A1 00 35 00 00 01 11 : 53 EE C0 A8 B4 86 EF FF | ...5....S.......
0020:  FF FA 04 0A 07 6C 00 8D : E8 4A 4D 2D 53 45 41 52 | .....l...JM-SEAR
0030:  43 48 20 2A 20 48 54 54 : 50 2F 31 2E 31 0D 0A 48 | CH * HTTP/1.1..H
0040:  6F 73 74 3A 32 33 39 2E : 32 35 35 2E 32 35 35 2E | ost:239.255.255.
0050:  32 35 30 3A 31 39 30 30 : 0D 0A 53 54 3A 75 72 6E | 250:1900..ST:urn
0060:  3A 73 63 68 65 6D 61 73 : 2D 75 70 6E 70 2D 6F 72 | :schemas-upnp-or
0070:  67 3A 64 65 76 69 63 65 : 3A 49 6E 74 65 72 6E 65 | g:device:Interne
0080:  74 47 61 74 65 77 61 79 : 44 65 76 69 63 65 3A 31 | tGatewayDevice:1
0090:  0D 0A 4D 61 6E 3A 22 73 : 73 64 70 3A 64 69 73 63 | ..Man:"ssdp:disc
00A0:  6F 76 65 72 22 0D 0A 4D : 58 3A 33 0D 0A 0D 0A 00 | over"..MX:3.....
00B0:  00 00 00 12 00 56 00 03 : 00 01 00 01 00          | .....V.......
	
0000:  00 50 56 EC 27 7D 00 0C : 29 E5 56 4A 08 00 45 00 | .PV.'}..).VJ..E.
0010:  00 30 C2 EE 40 00 40 06 : 24 8A C0 A8 B4 86 48 08 | .0..@.@.$.....H.
0020:  96 18 04 10 00 50 33 E4 : 81 BD 00 00 00 00 70 02 | .....P3.......p.
0030:  FA F0 7A DD 00 00 02 04 : 05 B4 01 01 04 02 76 61 | ..z...........va
0040:  74 65 34 39 31 39 03 63 : 6F 6D 00 00             | te4919.com..
	
0000:  00 50 56 EC 27 7D 00 0C : 29 E5 56 4A 08 00 45 00 | .PV.'}..).VJ..E.
0010:  00 30 C2 FE 40 00 40 06 : 24 7A C0 A8 B4 86 48 08 | .0..@.@.$z....H.
0020:  96 18 04 11 00 50 03 1A : F1 24 00 00 00 00 70 02 | .....P...$....p.
0030:  FA F0 3C 3F 00 00 02 04 : 05 B4 01 01 04 02 38 30 | ..<?..........80
0040:  31 34 33 37 7C 0A 43 45 : 50 46 48 46             | 1437|.CEPFHF

E. Pembersihan

PCMAV 6.1 Update Build3

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 6.1 Update Build3 telah hadir dengan penambahan 110 pengenal varian virus baru. Bagi Anda pengguna PCMAV 6.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 6.1 Update Build3:
AryaN
AryaN.inf
AryaN.lnk
Autoit-ReplaceIcon.R
Azuca
BlackLabel.A
BlackLabel.B
BlackLabel.C
BlackLabel.C.tmp
BlackLabel.D
BlackLabel.D.exe
BlackLabel.drp
BlackLabel.E
BlackLabel.F
BlackLabel.F.exe
BlackLabel.G
BlackLabel.H
BlackLabel.I
BlackN
BlackN.cpl
BlackN.lnk
Boleto
Cerpen.B
Chat-FB.J
Chat-FB.K
Chat-FB.L
Chat-FB.M
Chat-FB.N
Chat-FB.O
Chat-FB.P
Chat-FB.Q
Chat-FB.R
Chat-FB.S
Chat-FB.T
Chat-FB.U
Chat-FB.V
Chat-FB.W
Chat-FB.X
Chat-FB.Y
Chat-FB.Z
Chevrolet
FakeDownloader.BM
FakeDownloader.BN
FakeDownloader.BO
FakeDownloader.BP
FakeDownloader.BQ
FakeDownloader.BR
FakeDownloader.BS
FakeDownloader.BS.exe.A
FakeDownloader.BS.exe.B
FakeDownloader.BS.exe.C
FakeDownloader.BS.exe.D
FakeDownloader.BS.tmp.B
FakeDownloader.BT
Halted.B
Hasmi.C
InfoSapi
InfoSapi.dll.A
InfoSapi.dll.B
InfoSapi.dmp
InfoSapi.exe
Jrush
Jrush.job
Kakkek
Malingsi.AE
Malingsi.AE.dll
MateInfect
MateInfect.bat
MateInfect.html
MateInfect.inf
MateInfect.lnk.A
MateInfect.lnk.B
MateInfect.vbs.A
MateInfect.vbs.B
MateInfect.zip.A
MateInfect.zip.B
MateInfect.zip.C
Mouz
Mouz.inf
NgrBot.D.inf
NgrBot.K
NgrBot.K.exe
NgrBot.L
NgrBot.M
NgrBot.M.exe.A
NgrBot.M.exe.B
NgrBot.M.exe.C
NgrBot.N
NgrBot.O
NgrBot.P
Penghianat
Penghianat.vbs
Persist
Positron-WormGen
Rask
Rask.exe
Raya.vbs
Raya.vbs.drp
Raya.vbs.inf
Roshal
Serviks.vbs.D
Serviks.vbs.D.doc
Serviks.vbs.D.tmp
Serviks.vbs.D.vbe
SetDebug
SexyGirl
SuperFly
TheBe
WmplayerC.lnk
Zuagangs

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. Rahman
    December 19th, 2011 at 17:44 | #1
    Reply | Quote

    Tim Pcmav, gimana nih koq PCMAV 6.2 nggk di update malah versi lama 6.1 yang terus update

  2. Yusuf
    December 19th, 2011 at 21:59 | #2
    Reply | Quote

    Pcmav 6.1 build 3 bagus juga udah muncul, setidaknya kita bisa basmi virus yang merajalela saat ini. Semoga tim pcmav segera mengeluarkan pcmav 6.2 terbaru,yang sangat kita tunggu.

  3. バデラ
    December 19th, 2011 at 21:59 | #3
    Reply | Quote

    … gak ada majalah PCMEDIA 1/2012? O.O

    tapi kok yang diupdate versi 6.1? bukan 6.2?

  4. hari
    December 20th, 2011 at 07:34 | #4
    Reply | Quote

    Laporan jam 07.15 WIB/20 Desember 2011:
    File update.vdb di kresna.c.masterweb.net alias pcmavXXX.com belom diganti jadi update untuk Build3.
    Jadi pengguna yang sudah pake update untuk Build2 akan mendapatkan pesan ‘No Update Found’.

    Buat yang tanya2 diatas:
    Semua versi PCMAV harus diperbarui ke Build3 agar tidak mengecewakan pembeli setia majalah PC Media edisi ekonomis :)
    Nantikan update untuk PCMAV 6.2 pada minggu ini juga ;)

  5. Mang_User
    December 20th, 2011 at 11:11 | #5
    Reply | Quote

    ### MAGURO – NTLMSSP puppeteer ###
    ### MS SQL server remote privilege escalation ###
    mungkinkah yang ini ???!!!

  6. meong
    December 25th, 2011 at 16:40 | #6
    Reply | Quote

    dari registrynya sudah jelas itu adalah cybergate-rat, search google lansung menuju ke website ini cyber-software.org..

    Trus dari tingkah lakunya bisa dipastikan servernya di crypt doank “Runpe”, malah crypternya ada bug tuh sampai bisa muncul error, LOL..

    btw nice info pcmedia..

Comments are closed.