Angel2: Worm as Facebook Hacking Tool
Angel2. Facebook merupakan jejaring sosial yang paling banyak digemari saat ini, menjadi media bersosialisasi di dunia maya. Tetapi ada kalanya nama Facebook juga dimanfaatkan oleh sebagian orang sebagai media untuk menyebarkan malware. Yang menarik adalah, terkadang bukan user yang secara tidak sengaja mengunduhnya kemudian menjalankan malware tersebut, tetapi justru dengan sengaja mengunduhnya kemudian menjalankannya.
A. Info File
Nama Worm : Angel2
Asal : Makasar, Sulawesi Selatan
Ukuran File : 324 KB (331,776 bytes)
Packer : ~
Pemrograman : Microsoft Visual Basic 5.0 -6.0
Icon : Malware Icon
Tipe : Worm
B. About Malware
“Download Facebook Hacking Tools” atau “How to Hack Facebook” bisa dikatakan adalah keyword yang jika diketikkan pada search engine, akan menampikan banyak hasil yang bisa dijadikan pilihan dan mungkin akan sesuai dengan keinginan user yang membutuhkannya. Untuk sebagian virus maker, hal ini bisa dijadikan kesempatan untuk menyebarkan malware buatannya. Sama seperti Angel2 yang sampelnya kami dapatkan dari Makasar dan diduga kuat merupakan malware yang menyebar dengan memanfaatkan social engineering berupa tool untuk melakukan hacking pada Facebook.
000000039366 000000439366 0 VS_VERSION_INFO 0000000393C2 0000004393C2 0 VarFileInfo 0000000393E2 0000004393E2 0 Translation 000000039406 000000439406 0 StringFileInfo 00000003942A 00000043942A 0 040904B0 000000039442 000000439442 0 CompanyName 00000003946A 00000043946A 0 ProductName 000000039484 000000439484 0 Trojan 00000003949A 00000043949A 0 FileVersion 0000000394C6 0000004394C6 0 ProductVersion 0000000394F6 0000004394F6 0 InternalName 000000039510 000000439510 0 Facebook Hacking 00000003953A 00000043953A 0 OriginalFilename 00000003955C 00000043955C 0 Facebook Hacking.exe
Icon Angel2 yang menyerupai permainan Angry Birds Rio ini akan semakin membuat user menjadi sedikit penasaran kemudian menjalankannya. Namanya diambil dari salah satu string yang terdapat pada tubuh malware.
C. Companion/File yang dibuat
Angle2 hanya membuat 2 buah file companion, antara lain Angel2.exe dan window.exe. Akan tetapi, dengan modul membuat file dengan nama yang sama seperti nama folder akan membuat malware ini menjadi sangat banyak.
D. Hasil Infeksi
Berbeda dengan worm yang menggandakan file dengan nama folder lainnya, Angel2 melakukan overwrite terhadap file yang sama. Dengan kata lain, jika di dalam folder Winamp terdapat winamp.exe, maka file winamp.exe yang asli akan diubah dengan file winamp.exe buatan Angel2. Maka dari itu, bisa dikatakan Angel2 adalah worm yang cukup berbahaya.
Payload yang dibuat oleh Angel2 ini cukup banyak memakan resource memory, sehingga komputer yang sudah terinfeksi akan sangat terasa lambat. Dan terbukt denga CPU Usagenya yang mencapai 100 %.
Selain memperbanyak companion, Angel2 juga melakukan injeksi serta memodifikasi entry pada registry. Berikut ini adalah beberapa value key yang dibuat.
# Created and Modified DWord
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- DisableThumbnailCache
- Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
- DisableTaskMgr
- DisableRegistryTools
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFolderOptions
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
- DisableCMD
# Modified value key in CLSID for My Computer
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}
- LocalizedString = @%SystemRoot%\system32\SHELL32.dll,-8964
- InfoTip = @%SystemRoot%\system32\SHELL32.dll,-22913
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\DefaultIcon
- (Default) = %SystemRoot%\System32\shell32.dll,31
# Modified value key in CLSID for Recycle Bin
HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}
- LocalizedString = @%SystemRoot%\system32\shell32.dll,-9216
- InfoTip = @%SystemRoot%\system32\SHELL32.dll,-22915
HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon
- (Default) = %SystemRoot%\Explorer.exe,0
- Empty = %SystemRoot%\Explorer.exe,0
- Full = %SystemRoot%\Explorer.exe,0
# Create Value Key In Startup
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- gpmce = \Angel2.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- gpmce = \Angel2.exe
# Modified
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Start Page = www.gpmce.net
- Search Page = www.booble.com
Hasil infeksi yang paling terlihat adalah berubahnya Icon My Computer dan Recycle Bin pada Windows Explorer, serta diikuti dengan perubahan nama pada keduanya.
E. Pembersihan
PCMAV 6.2 Update Build1
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 6.2 Update Build1 telah hadir dengan penambahan 29 pengenal varian virus baru. Bagi Anda pengguna PCMAV 6.2, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
ZippyShare.com (mirror)
RapidShare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 6.2 Update Build1:
BlackLabel.drp
BlackLabel.A
BlackLabel.B
BlackLabel.C
BlackLabel.C.tmp
BlackLabel.D
BlackLabel.D.exe
BlackLabel.E
BlackLabel.F.exe
BlackLabel.F
BlackLabel.G
BlackLabel.H
BlackLabel.I
WmplayerC.lnk
Serviks.vbs.D
Serviks.vbs.D.vbe
Serviks.vbs.D.doc
Serviks.vbs.D.tmp
Persist
Angel2
NgrBot.V
NgrBot.V.drp
NgrBot.V.exe.A
NgrBot.V.exe.B
NgrBot.W
NgrBot.E.inf
Sality.drp
VB-Shortcut-1.lnk.D
VB-Shortcut-4
wow, saya tidak tertarik memakai tools semacam itu karena saya udah tahu triknya o.o
mantap PCMAV. smga makin banyk virus yg dapat di bersihkan
Wew… Ternyata malwarenya menggunakan nama Wireshark, biar dikira bua sniffing LAN.
Wew… Ternyata malwarenya menggunakan nama Wireshark, biar dikira buat sniffing LAN.
Coba perhatikan kalimat ini pada artikel di atas:
“Angel2 melakukan overwrite terhadap file yang sama. Dengan kata lain, jika di dalam folder Winamp terdapat winamp.exe, maka file winamp.exe yang asli akan diubah dengan file winamp.exe buatan Angel2.”
Jadi bukan cuma Wireshark. Kalau memang ada Winamp, ya file executable Winamp yg asli ‘ditumpuk’ dengan file virus tsb. Itulah yang dibilang berbahaya oleh Tim PCMAV. Bukan “biar dikira buat sniffing LAN”.
Makanya jangan cuma liat gambar, tapi baca dengan benar. Bisa baca kan ? B-)
@HaiBro!
saya malas baca aja. saya juga gak gampang ketipu dengan hal2 seperti itu. Klo mau Sniffing LAN pakai aja Cain Able. Saya gak komentari tentang virusnya…
mas harus perbaiki firewall pcmav tambah anti porno dan konten dilarang pemerintah
@farid
Klo anti Porn, gunakan saja DNS Nawala. Mungkin PCMAV bisa kerjasama dengan Depkominfo…
Sebenarnya PCMAV ini sudah sangat sempurna, dengan kelebihan2 yang sama dengan anti virus impor bahkan melebihinya. Tetapi hanya ada satu masalah yang dari dulu sampai sekarang terus terjadi, yaitu Loading PCMAV yang di-Integrasikan dengan CLAMAV saat startup yang sangat lama pada beberapa komputer.
Untuk urusan kinerja, PCMAV sangat luar biasa dan tidak diragukan lagi. Salut buat Team PCMAV.
jadi intinya malware ini bisa digunakan untuk hacking akun facebook atau cuma memanfaatkan facebook untuk penyebaran doang??
ktauan ni virus lokal kelas ecek2……
mas mo tanya kenapa pcmav saya gak dikenali ma window ya
di bendera system kanan bawah disuruh ‘find an antivirus……’ ????
kan dah pake pcmedia
@dewa_gamerz
windows gak akan mengenali antivirus lokal apalagi yg portable seperti PCMAV
kenapa laptop ku kalo pakek scan dengan PCMAV slalu panas berlebih. padahal aku pakek corei3
panas itu karna processor lagi bekerja, klo kipas laptopnya masih bagus, ga masalah kok.
antivirus lokal klu tanpa anti virus internasional tak cukup berarti hanya membuat beban komputer saja.. coz virus yg ada kbnyakan dari luar..
ud siiip malah pakek coling pad sama blower masi panas juga
kipas nya kotor ndak gan,,, kalo kotor ya bisa panas berlebih tu
TQ bg , MANTAP KLI BAH
Facebook hacking?? Hahahaha….tapi yang paling laris tuh menurut gue, masih “Who view my profile?”… masih banyak orang bahkan teman2 gue yang berusaha mencari program tsb.