Home > Analisa Virus, Antivirus, Pengumuman > Angel2: Worm as Facebook Hacking Tool

Angel2: Worm as Facebook Hacking Tool

December 30th, 2011 Leave a comment Go to comments

Angel2. Facebook merupakan  jejaring sosial yang paling banyak digemari saat ini, menjadi media bersosialisasi di dunia maya. Tetapi ada kalanya nama Facebook juga dimanfaatkan oleh sebagian orang sebagai media untuk menyebarkan malware. Yang menarik adalah, terkadang bukan user yang secara tidak sengaja mengunduhnya kemudian menjalankan malware tersebut, tetapi justru dengan sengaja mengunduhnya kemudian menjalankannya.

A. Info File
Nama Worm : Angel2
Asal : Makasar, Sulawesi Selatan
Ukuran File : 324 KB (331,776 bytes)
Packer : ~
Pemrograman : Microsoft Visual Basic 5.0 -6.0
Icon : Malware Icon
Tipe : Worm

B. About Malware
“Download Facebook Hacking Tools” atau “How to Hack Facebook” bisa dikatakan adalah keyword yang jika diketikkan pada search engine, akan menampikan banyak hasil yang bisa dijadikan pilihan dan mungkin akan sesuai dengan keinginan user yang membutuhkannya. Untuk sebagian virus maker, hal ini bisa dijadikan kesempatan untuk menyebarkan malware buatannya. Sama seperti Angel2 yang sampelnya kami dapatkan dari Makasar dan diduga kuat merupakan malware yang menyebar dengan memanfaatkan social engineering berupa tool untuk melakukan hacking pada Facebook.

000000039366   000000439366      0   VS_VERSION_INFO
0000000393C2   0000004393C2      0   VarFileInfo
0000000393E2   0000004393E2      0   Translation
000000039406   000000439406      0   StringFileInfo
00000003942A   00000043942A      0   040904B0
000000039442   000000439442      0   CompanyName
00000003946A   00000043946A      0   ProductName
000000039484   000000439484      0   Trojan
00000003949A   00000043949A      0   FileVersion
0000000394C6   0000004394C6      0   ProductVersion
0000000394F6   0000004394F6      0   InternalName
000000039510   000000439510      0   Facebook Hacking
00000003953A   00000043953A      0   OriginalFilename
00000003955C   00000043955C      0   Facebook Hacking.exe

Icon Angel2 yang menyerupai permainan Angry Birds Rio ini akan semakin membuat user menjadi sedikit penasaran kemudian menjalankannya. Namanya diambil dari salah satu string yang terdapat pada tubuh malware.

C. Companion/File yang dibuat
Angle2 hanya membuat 2 buah file companion, antara lain Angel2.exe dan window.exe. Akan tetapi, dengan modul membuat file dengan nama yang sama seperti nama folder akan membuat malware ini menjadi sangat banyak.

D. Hasil Infeksi
Berbeda dengan worm yang menggandakan file dengan nama folder lainnya, Angel2 melakukan overwrite terhadap file yang sama. Dengan kata lain, jika di dalam folder Winamp terdapat winamp.exe, maka file winamp.exe yang asli akan diubah dengan file winamp.exe buatan Angel2. Maka dari itu, bisa dikatakan Angel2 adalah worm yang cukup berbahaya.

Payload yang dibuat oleh Angel2 ini cukup banyak memakan resource memory, sehingga komputer yang sudah terinfeksi akan sangat terasa lambat. Dan terbukt denga CPU Usagenya yang mencapai 100 %.

Selain memperbanyak companion, Angel2 juga melakukan injeksi serta memodifikasi entry pada registry. Berikut ini adalah beberapa value key yang dibuat.

# Created and Modified DWord
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- DisableThumbnailCache
- Hidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
- DisableTaskMgr
- DisableRegistryTools

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFolderOptions

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
- DisableCMD

# Modified value key in CLSID for My Computer
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}
- LocalizedString = @%SystemRoot%\system32\SHELL32.dll,-8964
- InfoTip = @%SystemRoot%\system32\SHELL32.dll,-22913

HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\DefaultIcon
- (Default) = %SystemRoot%\System32\shell32.dll,31

# Modified value key in CLSID for Recycle Bin
HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}
- LocalizedString = @%SystemRoot%\system32\shell32.dll,-9216
- InfoTip = @%SystemRoot%\system32\SHELL32.dll,-22915

HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon
- (Default) = %SystemRoot%\Explorer.exe,0
- Empty = %SystemRoot%\Explorer.exe,0
- Full = %SystemRoot%\Explorer.exe,0

# Create Value Key In Startup
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- gpmce = \Angel2.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- gpmce = \Angel2.exe

# Modified
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Start Page = www.gpmce.net
- Search Page = www.booble.com

Hasil infeksi yang paling terlihat adalah berubahnya Icon My Computer dan Recycle Bin pada Windows Explorer, serta diikuti dengan perubahan nama pada keduanya.



E. Pembersihan

PCMAV 6.2 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 6.2 Update Build1 telah hadir dengan penambahan 29 pengenal varian virus baru. Bagi Anda pengguna PCMAV 6.2, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 6.2 Update Build1:
BlackLabel.drp
BlackLabel.A
BlackLabel.B
BlackLabel.C
BlackLabel.C.tmp
BlackLabel.D
BlackLabel.D.exe
BlackLabel.E
BlackLabel.F.exe
BlackLabel.F
BlackLabel.G
BlackLabel.H
BlackLabel.I
WmplayerC.lnk
Serviks.vbs.D
Serviks.vbs.D.vbe
Serviks.vbs.D.doc
Serviks.vbs.D.tmp
Persist
Angel2
NgrBot.V
NgrBot.V.drp
NgrBot.V.exe.A
NgrBot.V.exe.B
NgrBot.W
NgrBot.E.inf
Sality.drp
VB-Shortcut-1.lnk.D
VB-Shortcut-4

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. バデラ
    December 30th, 2011 at 20:09 | #1

    wow, saya tidak tertarik memakai tools semacam itu karena saya udah tahu triknya o.o

  2. roy
    December 31st, 2011 at 05:06 | #2

    mantap PCMAV. smga makin banyk virus yg dapat di bersihkan

  3. Indra
    December 31st, 2011 at 08:02 | #3

    Wew… Ternyata malwarenya menggunakan nama Wireshark, biar dikira bua sniffing LAN.

  4. Indra
    December 31st, 2011 at 08:02 | #4

    Wew… Ternyata malwarenya menggunakan nama Wireshark, biar dikira buat sniffing LAN.

  5. HaiBro!
    December 31st, 2011 at 09:03 | #5

    Indra :
    Wew… Ternyata malwarenya menggunakan nama Wireshark, biar dikira buat sniffing LAN.

    Coba perhatikan kalimat ini pada artikel di atas:
    “Angel2 melakukan overwrite terhadap file yang sama. Dengan kata lain, jika di dalam folder Winamp terdapat winamp.exe, maka file winamp.exe yang asli akan diubah dengan file winamp.exe buatan Angel2.”

    Jadi bukan cuma Wireshark. Kalau memang ada Winamp, ya file executable Winamp yg asli ‘ditumpuk’ dengan file virus tsb. Itulah yang dibilang berbahaya oleh Tim PCMAV. Bukan “biar dikira buat sniffing LAN”.

    Makanya jangan cuma liat gambar, tapi baca dengan benar. Bisa baca kan ? B-)

  6. Indra
    December 31st, 2011 at 10:21 | #6

    @HaiBro!

    saya malas baca aja. saya juga gak gampang ketipu dengan hal2 seperti itu. Klo mau Sniffing LAN pakai aja Cain Able. Saya gak komentari tentang virusnya…

  7. January 1st, 2012 at 11:58 | #7

    mas harus perbaiki firewall pcmav tambah anti porno dan konten dilarang pemerintah

  8. Indra
    January 1st, 2012 at 13:05 | #8

    @farid

    Klo anti Porn, gunakan saja DNS Nawala. Mungkin PCMAV bisa kerjasama dengan Depkominfo…

  9. January 2nd, 2012 at 02:33 | #9

    Sebenarnya PCMAV ini sudah sangat sempurna, dengan kelebihan2 yang sama dengan anti virus impor bahkan melebihinya. Tetapi hanya ada satu masalah yang dari dulu sampai sekarang terus terjadi, yaitu Loading PCMAV yang di-Integrasikan dengan CLAMAV saat startup yang sangat lama pada beberapa komputer.

    Untuk urusan kinerja, PCMAV sangat luar biasa dan tidak diragukan lagi. Salut buat Team PCMAV.

  10. timhelp
    January 3rd, 2012 at 09:51 | #10

    jadi intinya malware ini bisa digunakan untuk hacking akun facebook atau cuma memanfaatkan facebook untuk penyebaran doang??

  11. January 3rd, 2012 at 22:48 | #11

    ktauan ni virus lokal kelas ecek2……

  12. dewa_gamerz
    January 4th, 2012 at 03:23 | #12

    mas mo tanya kenapa pcmav saya gak dikenali ma window ya
    di bendera system kanan bawah disuruh ‘find an antivirus……’ ????
    kan dah pake pcmedia

  13. timhelp
    January 4th, 2012 at 18:10 | #13

    @dewa_gamerz
    windows gak akan mengenali antivirus lokal apalagi yg portable seperti PCMAV

  14. daud help me
    January 5th, 2012 at 14:35 | #14

    kenapa laptop ku kalo pakek scan dengan PCMAV slalu panas berlebih. padahal aku pakek corei3

  15. Rampage
    January 5th, 2012 at 20:27 | #15

    panas itu karna processor lagi bekerja, klo kipas laptopnya masih bagus, ga masalah kok.

  16. January 7th, 2012 at 17:40 | #16

    antivirus lokal klu tanpa anti virus internasional tak cukup berarti hanya membuat beban komputer saja.. coz virus yg ada kbnyakan dari luar..

  17. daud help me
    January 8th, 2012 at 19:19 | #17

    ud siiip malah pakek coling pad sama blower masi panas juga

  18. January 8th, 2012 at 19:53 | #18

    kipas nya kotor ndak gan,,, kalo kotor ya bisa panas berlebih tu

  19. January 9th, 2012 at 17:05 | #19

    TQ bg , MANTAP KLI BAH

  20. Louis
    January 24th, 2012 at 01:06 | #20

    Facebook hacking?? Hahahaha….tapi yang paling laris tuh menurut gue, masih “Who view my profile?”… masih banyak orang bahkan teman2 gue yang berusaha mencari program tsb.