Home > Analisa Virus, Antivirus, Pengumuman > SlenfBot: Rootkit yang Selalu Update

SlenfBot: Rootkit yang Selalu Update

March 7th, 2012

SlenfBot. Sampai tulisan ini dibuat, kami masih mendapatkan beberapa sampel varian SlenfBot. Anehnya URL yang di akses oleh SlenfBot masih bisa di akses sampai sekarang. Sehingga kemungkinan besar varian SlenfBot akan terus bertambah selama websitenya masih bisa diakses.

A. Info File
Nama Worm : SlenfBot
Asal : ~
Ukuran File : acak
Packer : ~
Pemrograman : Microsoft Visual C++ 9.0 – Visual Studio 2008 (E8)
Icon : Malware Icon
Tipe : Worm, Trojan, Rootkit

B. About Malware
Seiring dengan menyebarnya NgrBot yang juga dilaporkan menyebar melalui jejaring sosial seperti Facebook, trojan SlenfBot adalah salah satu yang memanfaatkan kericuhan ini. Mungkin beberapa user ada yang masih ingat dengan virus chat Facebook, dimana salah seorang teman Facebook tiba-tiba mengirimkan pesan berupa URL. Varian SlentBot kali ini cukup berbeda, kerena icon yang digunakan terlihat lebih beragam dengan banyak kombinasi warna gradasi.

SlenfBot memiliki banyak keistimewaan dibanding worm lain, bahkan mungkin sedikit mirip dengan Conficker yang mampu menyebar pada jaringan. Dengan menggunakan tools anti rootkit seperti GMER, terlihat jelas bahwa SlenfBot menyembunyikan prosesnya.

Saat SlenfBot aktif di memory, meski file fisiknya dapat dilihat dengan hanya men-disable fungsi Hide protected operating system files” pada Folder Options, host tersebut tidak bisa langsung dihapus. Karena, untuk membantu prosesnya agar tetap berjalan, SlenfBot membuat threads yang ditempelkan pada proses explorer.exe.

Jika proses threads-nya di dump, maka terlihat jelas beberapa string yang memang menunjukan bahwa threads tersebut adalah buatan SlenfBot.

00000000F90E 00000000F90E 0 &>%7?645INKQHNG
00000000F988 00000000F988 0 CMD /C START
00000000F998 00000000F998 0 [Autorun]
00000000F9A4 00000000F9A4 0 open=
00000000F9AC 00000000F9AC 0 icon=%windir%\system32\SHELL32.dll,3
00000000F9D4 00000000F9D4 0 action=Browse the contents of the drive.
00000000FA00 00000000FA00 0 shell\open=Open
00000000FA10 00000000FA10 0 shell\open\command=
00000000FA24 00000000FA24 0 shell\open\default=1
00000000FA3C 00000000FA3C 0 shell\explore=Explore
00000000FA54 00000000FA54 0 shell\explore\command=
00000000FA6C 00000000FA6C 0 shell\search=Search...
00000000FA84 00000000FA84 0 shell\search\command=
00000000FA9C 00000000FA9C 0 useautoplay=1
00000000FAC0 00000000FAC0 0 \*.exe
00000000FAC8 00000000FAC8 0 bad allocation

C. Companion/File yang dibuat
Mungkin salah satu ciri utama SlenfBot adalah membuat host di folder system32. Hal ini dapat dengan mudah diketahui dengan adanya aplikasi baru pada MSConfig yang akan di jalankan nantinya pada saat proses startup.

Selain itu, SlenfBot juga membuat companion di removable disk berupa 1 buah file autorun dan 1 buah file host yang disembunyikan didalam folder dengan nama yang selalu berubah akan tetapi memiliki 1 ciri khas yang sudah pasti sama.


`
1. Host didalam folder Recycler Bin
Pernah dijelaskan mengenai fungsi CLSID yang digunakan oleh malware untuk menyimpan hostnya pada removable disk. Sebut saja QVod, variant RECYCLER dan masih banyak lagi malware yang membuat folder dengan nama yang nantinya dapat merubah folder tersebut menjadi folder Recycler. Sama seperti SlenfBot yang membuat folder dengan nama yang mengandung unsur CLSID. Contohnya adalah:

Sysmount.{645ff040-5081-101b-9f08-00aa002f954e}
Bootdev.{645ff040-5081-101b-9f08-00aa002f954e}
SysCore.{645ff040-5081-101b-9f08-00aa002f954e}

Selain itu, host SlenfBot pada flash disk juga dibuat dengan nama yang cukup bervariasi. Sehingga harus menggunakan parameter tambahan untuk coding autorun.inf-nya

2. Autorun.inf
Dibuat dengan menambahkan karakter acak dan dengan sengaja membuat ukuran filenya menjadi lebih besar daripada ukuran file autorun pada umumnya bahkan sampai ada yang berukuran 1.02 MB. Dan yang menarik adalah, seperti yang sudah di jelaskan di atas bahwa SlenfBot menggunakan parameter tersendiri untuk bisa mengeksekusi file executable yang tidak menggunakan extensi exe.

D. Hasil Infeksi
SlenfBot mengingatkan kami pada Conficker, yang mampu menyebar melalui jaringan. Ada laporan yang menyebutkan bahwa salah satu varian SlenfBot menyebar dalam sebuah warnet. Dari hasil pengujian kami, memang benar bahwa SlenfBot mampu menyebar melalui jaringan, seperti yang terlihat pada gambar berikut:

Meng-hidden folder system32 serta melakukan payload untuk meng-enable “Hide portected operating system files” meski sudah dibuat dalam keadaan disable.

E. Pembersihan



PCMAV 6.4 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 6.4 Update Build1 telah hadir dengan penambahan 45 pengenal varian virus baru. Bagi Anda pengguna PCMAV 6.4, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 6.4 Update Build1:
ErrorReport
NgrBot-Builder
NgrBot-Builder.exe
NgrBot-Builder.zip
NgrBot.AK
NgrBot.AL
NgrBot.AL.exe
NgrBot.AM
NgrBot.AM.exe
NgrBot.AN
NgrBot.AN.exe
NgrBot.AO
NgrBot.AO.exe.A
NgrBot.AO.exe.B
NgrBot.AO.exe.C
NgrBot.AO.exe.D
NgrBot.AO.exe.E
NgrBot.AO.exe.F
NgrBot.AO.exe.G
NgrBot.AO.exe.H
NgrBot.AO.exe.I
NgrBot.AO.exe.J
NgrBot.AO.exe.K
NgrBot.AO.exe.L
NgrBot.AO.exe.M
NgrBot.AO.exe.N
NgrBot.AO.exe.O
NgrBot.AO.exe.P
NgrBot.AO.exe.Q
NgrBot.AO.exe.R
NgrBot.AO.exe.S
NgrBot.AO.exe.T
NgrBot.AO.exe.U
NgrBot.AO.exe.V
NgrBot.AO.exe.W
NgrBot.AP
Pikir
SlenfBot.A
SlenfBot.B
SystemCheck
SystemCheck.tmp
Vobfus.drp.C
Vobfus.drp.D
Vobfus.exe.AF
Vobfus.prm

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. zero
    March 7th, 2012 at 02:58 | #1

    ok, maju terus pcmav

  2. Indra
    March 7th, 2012 at 07:51 | #2

    Hm… NgrBot Builder dimasukan kedalam database. Good…

  3. tri
    March 8th, 2012 at 18:17 | #3

    Makin maju
    Makin lengkap fiturnya..

  4. nicholas
    March 8th, 2012 at 19:06 | #4

    Ini yang kutunggu-tunggu selama ini. SlenfBot yang sangat bandel sekali. Kalau kena ke jaringan dah pada berabe nyebarnya cukup cepat. Maju terus PCMAV basmi terus virus yang berkembang.

  5. March 8th, 2012 at 23:09 | #5

    kok makin kesini, pcmedianya makin telat yah nyampe di rumah ane…. :bingungs

  6. Downno
    March 9th, 2012 at 12:59 | #6

    sip2.,., diCobain juga ya Antivirus ini Microsoft Security Essential n download nya disni :
    http://fun.unsri.ac.id/index.php/page/3

  7. March 12th, 2012 at 02:14 | #7

    Saya juga salut dengan kinerja antivirus ini :-) Untuk referensi lebih lanjut tentang PCMAV, sebagai bahan baca untuk Admin Warnet atau Pemilik warnet silahkan baca juga artikel ini http://apin.tk/pcmav-sebagai-solusi-antivirus-gratis-untuk-pc-client-pada-warnet-games

  8. keshin
    March 15th, 2012 at 21:06 | #8

    Kompie saya terkena slenbot mmg PCmav mendeteksi tetapi walau saya sudah melakukan scan full dan sudah dibersihkan tetapi gak lama abis restart nonggol lagi itu slenbot. Knp begitu ya

  9. March 17th, 2012 at 14:36 | #9

    @keshin
    Silakan coba scanning melalui “Safe Mode”. Pada saat booting tekan F8 dan pilih Safe Mode.

  10. in’s
    March 19th, 2012 at 09:55 | #10

    PCMEDIA edisi 03/2012 sudah ada di daerah Ciparay

  11. Aga
    March 19th, 2012 at 18:03 | #11

    Di Surabaya juga sudah terbit PCMEDIA 03/12

  12. coolkips
    March 19th, 2012 at 19:06 | #12

    Nggak bisa update. Muncul pesan “Server verification error -1″
    Sudah download manual “update.vdb” dan diletakkan dalam folder vdb tidak terdeteksi sebagai build 1, jadi masih build 0.

    Mohon bantuannya…

  13. michi
    March 20th, 2012 at 08:45 | #13

    @coolkips
    ane coba donlot dari link sendspace dan taruh di folder vdb terdeteksi kok sebagai update build1 + 45 signature

  14. SuryaAlvaro
    March 23rd, 2012 at 00:09 | #14

    Mengapa PC Mav 6.5 terdeteksi sebagai malware oleh Avira ? Bagaimana cara mengatasinya? Mohon bantuannya…

Comments are closed.