Home > Analisa Virus, Antivirus, Pengumuman > RecyBot: Kombinasi Worm Recyler dan NgrBot

RecyBot: Kombinasi Worm Recyler dan NgrBot

RecyBot. Worm Recycler dan worm NgrBot, persamaan dari kedua worm ini adalah pada penggunaan folder Recycler untuk menyimpan host yang akan di panggil nantinya baik oleh autorun atau shortcut pada removable disk.  Belum lagi dengan beberapa companion yg di download serta kemampuan rootkit yang cukup sulit dihentikan dengan teknik biasa.

A. Info File
Nama Malware : RecyBot
Asal : Bekasi, Jawa Barat
Ukuran File : 44.0 KB (45,056 bytes)
Packer : ~
Pemrograman : C++
Icon : Old Executable
Tipe : Worm, Trojan

B. About Malware
Namanya diambil dari gabungan antara worm Recyler dan worm NgrBot. Hal ini dikarenakan jarang sekali worm NgrBot membuat folder Recycler yang sama dengan worm Recyler. Umumnya worm NgrBot hanya membuat folder dengan nama RECYCLER dengan hanya 2 file di dalamnya, yaitu host NgrBot yang akan di eksekusi dan file desktop.ini.  Akan tetapi Varian yang satu ini membuat folder di dalam folder RECYCLER sehingga autorunnya pun berubah.

Berikut ini adalah penggalan source code autorun worm RecyBot.

_	¸»µM‘_!¡¿;o6ææ*_<±Ú¸m”}`þ¯ü_w9³¯]©‚_,þé"g¶2?¹GE0ðà¦Y%‡gV?
á_ªºÜ?k:27Ñþ×í
[autorun]
open=RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe
ïíåkÙ(HîÁ´NKnñ+Ø™¬_£X0÷çónGžø_¤ù%_	¸»µM‘_!¡¿;o6ææ*_<±Ú¸m”}`þ¯ü_w9³¯]©‚_,þé"g¶2?¹GE0ðà¦Y%‡gV?
á_ªºÜ?k:27Ñþ×í

Meski demikian, ciri utama worm RecyBot adalah pada thread-nya yang sama seperti worm NgrBot. Hampir selurh filenya menunjukan bahwa worm ini memang varian dari NgrBot. Berikut adalah penggalan string threads yang dibuat worm RecyBot.

000000012210 000002602210 0 This binary is invalid. 00000001222B 00000260222B 0 Main reasons: 00000001223A 00000260223A 0 – you stupid cracker 000000012250 000002602250 0 – you stupid cracker… 000000012269 000002602269 0 – you stupid cracker?! 000000012284 000002602284 0 ngrBot Error 000000012298 000002602298 0 state_%s

C. Companion/File yang dibuat
Pada removable disk, terdapat 3 buah file yang dibuat.
1. Autorun.inf
2. Shorcut.lnk
3. Host yang terdapat pada folder RECYLER

Host utamanya berada di folder Appliacation Data, Sedangkan yang lainnya adalah companion yang di download jika ada koneksi Internet.

D. Hasil Infeksi
Jika dilihat dari threads yang dibuatnya, RecyBot sama seperti NgrBot yang akan memantau username serta password yang diinput oleh user ke beberapa website tertentu.

0000000117B0   0000026017B0      0   *officebanking.cl/*login.asp*
0000000117D0   0000026017D0      0   OfficeBanking
0000000117E0   0000026017E0      0   *secure.logmein.*/*logincheck*
000000011800   000002601800      0   LogMeIn
000000011808   000002601808      0   *megaupload.*/*login
000000011820   000002601820      0   Megaupload
00000001182C   00000260182C      0   loginUserPassword
000000011840   000002601840      0   loginUserName
000000011850   000002601850      0   *loginUserPassword=*
000000011868   000002601868      0   *fileserve.*/login*
00000001187C   00000260187C      0   FileServe
000000011888   000002601888      0   session[password]
00000001189C   00000260189C      0   session[username_or_email]
0000000118B8   0000026018B8      0   *password]=*
0000000118C8   0000026018C8      0   *twitter.com/sessions
0000000118E0   0000026018E0      0   Twitter
0000000118E8   0000026018E8      0   *:2086/login*
0000000118F8   0000026018F8      0   *:2083/login*
000000011908   000002601908      0   Password
000000011914   000002601914      0   EmailName
000000011920   000002601920      0   *&Password=*
000000011930   000002601930      0   *.alertpay.*/*login.aspx
00000001194C   00000260194C      0   AlertPay
000000011958   000002601958      0   txtPassword
000000011964   000002601964      0   txtEmail
000000011970   000002601970      0   *&txtPassword=*
000000011980   000002601980      0   *.moneybookers.*/*login.pl
00000001199C   00000260199C      0   Moneybookers
0000000119AC   0000026019AC      0   *runescape*/*weblogin*
0000000119C4   0000026019C4      0   Runescape
0000000119D0   0000026019D0      0   *dyndns*/account*
0000000119E4   0000026019E4      0   DynDNS
0000000119EC   0000026019EC      0   *&password=*
0000000119FC   0000026019FC      0   *no-ip*/login*
000000011A14   000002601A14      0   *steampowered*/login*
000000011A2C   000002601A2C      0   Steam
000000011A34   000002601A34      0   quick_password
000000011A44   000002601A44      0   quick_username
000000011A54   000002601A54      0   username
000000011A60   000002601A60      0   *hackforums.*/member.php
000000011A7C   000002601A7C      0   Hackforums
000000011A88   000002601A88      0   email
000000011A90   000002601A90      0   *facebook.*/login.php*
000000011AA8   000002601AA8      0   Facebook
000000011AB4   000002601AB4      0   *login.yahoo.*/*login*
000000011ACC   000002601ACC      0   Yahoo
000000011AD4   000002601AD4      0   passwd
000000011ADC   000002601ADC      0   login
000000011AE4   000002601AE4      0   *passwd=*
000000011AF0   000002601AF0      0   *login.live.*/*post.srf*
000000011B14   000002601B14      0   TextfieldPassword
000000011B28   000002601B28      0   TextfieldEmail
000000011B38   000002601B38      0   *TextfieldPassword=*

Melakukan koneksi ke beberapa IP serta mendownload companion yang kemudian dijalankan untuk melakukan payload yang berbeda. Koneksi internet akan terasa sedikit lebih lambat karena worm RecyBot cukup banyak melakukan koneksi ke beberapa IP yang berbeda.

E. Pembersihan

PCMAV 7.0 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 7.0 Update Build1 telah hadir dengan penambahan 27 pengenal varian virus baru. Bagi Anda pengguna PCMAV 7.0, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada menu Setup – Updater. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik tombol “Check for Updates” pada menu Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (vx1.sig) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah vx1.sig, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 7.0 Update Build1:

ErrorReport.E
ErrorReport.E.zip
ErrorReport.F
ErrorReport.F.zip
ErrorReport.G
ErrorReport.H
ErrorReport.H.zip
ErrorReport.I
ErrorReport.I.zip
Morto
Morto.dll
Morto.exe
NgrBot.BF
NgrBot.BF.exe
NgrBot.BF.inf
NgrBot.BG
PInject.A
PInject.B
RecyBot.A
RecyBot.A.exe.A
RecyBot.A.exe.B
RecyBot.A.inf
RecyBot.A.tmp
RecyBot.B
RecyBot.B.inf
SlenfBot.D
SlenfBot.D.drp

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. bambang
    April 19th, 2012 at 05:14 | #1

    Predator mantaff gan!!! setelah bersabar nunggu bug fixed,,, PCMAV Move Forward! 🙂

  2. GR39O
    April 19th, 2012 at 16:51 | #2

    trima kasih infonya..
    ditunggu extensions’nya..
    sukses slalu PCMAV..

  3. [AB]
    April 19th, 2012 at 23:37 | #3

    Predator nya ko ga ada database ClamAV nya sih.??

  4. RiLo
    April 22nd, 2012 at 10:55 | #4

    vx.sig is corrupt. Existing..
    setelah download file yang dianjurkan. Pesan di atas masih tetap timbul pada saat start up. Apa ada solusinya?
    virus RAMNIT apa sudah bisa terbunuh oleh ver 7 ini? Mohon pencerahannya?

  5. bang im
    April 22nd, 2012 at 17:23 | #5

    iya benerr nih gue sekarang juga lagi ngalami vx.sig is corrupt. Existing….. tapi sebelum download file update vx1..sig. tolong donk, syukur ada yang mau berbagi file vx.sig

  6. PC Ranger
    April 24th, 2012 at 18:07 | #6

    @RiLo :

    @bang im :

    Kalo begitu parahnya lebih baek nunggu versi berikutnya aza gan.
    Virus ramnit dibasmi pake pcmav express ramnitkiller aza gan. Maknyus tenan.

  7. Rendy
    April 24th, 2012 at 21:29 | #7

    PCMAV 7.0 masih belum sempurna dibandingkan asgard….

  8. Ody
    April 24th, 2012 at 23:16 | #8

    Woyyy bro, kenapa PC Media Predator seperti ini, ini belum layak dikatakan Final, Tim PCMAV jgn bodoh2n orang donk.. blm layak pakai ini PCMAV predator. AV ini kan shareware kok seperti ini. katanya berpengalaman… terlalu pengalaman jadi begini modelnya AV buatannya…

  9. Reza
    April 27th, 2012 at 08:02 | #9

    Kenapa ya, Predator susah ngupdate database dari clamav? Clamavnya yang error ato apa ya? Soalnya pake versi Asgard, server verificationnya error mulu. Update manual juga nggak bisa tergabung.

  10. PC Ranger
    April 27th, 2012 at 18:34 | #10

    @Reza :
    Server CLAMAV-nya lagi error.

  11. spion
    April 28th, 2012 at 07:08 | #11

    Bisa gak ya kalau PCMAV dibuat ada versi portable-nya seperti di versi awal dulu. Jadi kita gak perlu install dan hanya dijalankan jika perlu saja. Sebab kalo mesti install banyak masalah di komputer…

  12. RAHMAN
    April 28th, 2012 at 07:30 | #12

    @spion

    PCMAV Predator juga masih Portable…

  13. spion
    April 29th, 2012 at 05:09 | #13

    @Rahman, Thks infonya.
    Sy memang lom coba krn banyaknya komen2 yg mengatakan bhw PCMaV terbaru ini masih byk masalah.

  14. PC Ranger
    April 29th, 2012 at 10:18 | #14

    @spion :
    Setuju gan. Semoga tetap portabel selamanya. Simpel & ga ribet. Kalo ga bagus, ya tinggal didelete aza. Ga perlu komen yg macem-macem. VIVA PCMAV!

  15. April 29th, 2012 at 12:38 | #15

    Kalo Bisa Database sangat diperbanyak untuk update yg mendatang.

  16. May 1st, 2012 at 17:35 | #16

    kalo untuk Runouce bisa dibasmi juga ga?

  17. rahman
    May 1st, 2012 at 18:13 | #17

    iya PCMAV bisa basmi Runouce

  18. junaidi
    May 2nd, 2012 at 11:38 | #18

    kayanya sama, dapat vx.sig is corrupt, trus di xp pake seven TP, explorer ga bisa, kedetek sebagai apa gitu, terpaksa diberi pengecualian. untuk kolaborasi dengan Clamav malah ga pernah berhasil lagi.

    Semangat buat PCMAV

  19. RAHMAN
    May 2nd, 2012 at 12:14 | #19

    coba pakai REVISI diatas, kalau Integrasi Clamav bisa koq, skrng saya pakai PCMAV 7+Clamav 0.97.4, mungkin caranya yang salah..