Malingsi.AF. Worm yang satu ini sudah cukup lama tidak terdengar lagi keberadaannya. Disaat malware lokal seakan menghilang dan tidak terdengar lagi eksistensinya, kami mendapat varian Malingsi yang lagi-lagi dengan penambahan fungsi tertentu namun tetap dengan metode dan hasil infeksi yang sama seperti varian sebelumnya.

A. Info File
Nama Malware : Malingsi.AF
Asal : Indonesia
Ukuran File : 688 KB (705,302 bytes)
Packer : PE Compact ver.2.78a ~ 3.0.3.9
Pemrograman : Microsoft Visual Basic 6.0
Icon : MS Word 2003
Tipe : Worm, Trojan, IRC Bot

B. About Malware
Setelah di Unpack, ukuran file asli worm yang satu ini adalah 698 KB (714,752 bytes). Beberapa resource yang tersedia jika mencari informasi mengenai malware ini mengatakan bahwa Malingsi.AF ini adalah malware yang sudah ditemukan sejak tahun 2010. Dengan demikian jelas bawah memang varian worm Malingsi.AF ini hanyalah hasil modifikasi dari varian sebelumnya.

Berikut ini adalah string yang cukup menggambarkan varian Malingsi.AF

0000000AE618   000000502218      0   rtcGetMonthOfYear
0000000AE62C   00000050222C      0   rtcGetPresentDate
0000000AE640   000000502240      0   rtcSetFileAttr
00000000255F   00000040255F      0   1(.25
0000000036C0   0000004036C0      0   -|-|-|--|-|-|--|-|-|- 31 Mei 1964 !!! Ganyang Malingsia !!! -|-|-|--|-|-|--|-|-|-
000000003D84   000000403D84      0   SpecialFolders
000000004E48   000000404E48      0   GetFolder
000000004E5C   000000404E5C      0   Files
000000004E74   000000404E74      0   GetFile
000000004E84   000000404E84      0   GetExtensionName

Sedangkan berbeda dengan pendahulunya yaitu Malingsi.A yang didalam tubuhnya terdapat string yang menunjukan semangat virus maker asal Indonesia.

0000000AEFB4   00000050F1B4      0   rtcRightCharBstr
0000000AEFC7   00000050F1C7      0   rtcSetFileAttr
0000000020B3   0000004020B3      0   1(.25
000000002D68   000000402D68      0   (W32.IRC.Bot.Malingsia.A.1) Sebagai pembalasan untuk IRC Bot Malay... rasakan kekuatan IRC Bot Worm sebenarnya... hidup Vx3r Indonesia
000000002ED0   000000402ED0      0   getfile

C. Companion/File yang dibuat
Sama seperti varian sebelumnya, Malingsi.AF membuat folder pada path:

C:\Program Files\Microsoft Office\OFFICE11\

Dan didalamnya terdapat companion seperti:

D. Hasil Infeksi
Selain membuat hidden terhadap file dokumen MS Word yang terdapat pada removable disk, worm Malingsi.AF juga melakukan beberapa payload seperti:

• Ping
Melakukan proses Ping terhadap beberapa website seperti:
ping www.pute**.*** -t -l 3000
ping www.touris*.***.** -t -l 3000
ping www.mit*.***.** -t -l 3000

• Modifikasi Registry
Sebagai pertahanan utamanya, Malingsi.AF melakukan injeksi baik itu menambahkan value key atau menghapus entry tertentu pada registry. Berikut ini adalah list beberapa entry pada registry yang dimodifikasi oleh worm Malingsi.AF

[Add Value]
- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
  * Explorer.exe, C:\Program Files\Microsoft Office\OFFICE11\services.exe
- HKEY_CLASSES_ROOT\exefile\NeverShowExt
	
[Add DWord]
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
	
[Create Key]
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
  * Acha.exe
  * Acha.exe
  * AmyMastura.exe
  * BabyRina.exe
  * cscript.exe
  * csrsz.exe
  * lsasc.exe
  * registry.exe
  * SMSSS.exe
  * wscript.exe
	
[Del Key]
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
  * AppMgmt
  * CryptSvc
  * DcomLaunch
  * dmadmin
  * dmserver
  * EventLog
  * HelpSvc
  * Netlogon
  * PlugPlay
  * RpcSs
  * SRService
  * WinMgmt
  * dmboot.sys
  * dmio.sys
  * dmload.sys
  * sermouse.sys
  * vga.sys
  * vgasave.sys
  * Base
  * Filter
  * Boot Bus Extender
  * Boot file system
  * File system
  * PCI Configuration
  * PNP Filter
  * Primary disk
  * SCSI Class
  * System Bus Extender
  * {4D36E965-E325-11CE-BFC1-08002BE10318}
  * {4D36E967-E325-11CE-BFC1-08002BE10318}
  * {4D36E969-E325-11CE-BFC1-08002BE10318}
  * {4D36E96A-E325-11CE-BFC1-08002BE10318}
  * {4D36E96B-E325-11CE-BFC1-08002BE10318}
  * {4D36E96F-E325-11CE-BFC1-08002BE10318}
  * {4D36E977-E325-11CE-BFC1-08002BE10318}
  * {4D36E97B-E325-11CE-BFC1-08002BE10318}
  * {4D36E97D-E325-11CE-BFC1-08002BE10318}
  * {4D36E980-E325-11CE-BFC1-08002BE10318}
  * sr.sys
  * {36FC9E60-C465-11CF-8056-444553540000}
  * {71A27CDD-812A-11D0-BEC7-08002BE2092F}
  * {745A17A0-74D3-11D0-B6FE-00A0C90F57DA}
	
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
  * AppMgmt
  * CryptSvc
  * DcomLaunch
  * dmadmin
  * dmserver
  * EventLog
  * HelpSvc
  * Netlogon
  * PlugPlay
  * RpcSs
  * SRService
  * WinMgmt
  * AFD
  * Browser
  * Dhcp
  * DnsCache
  * LanmanServer
  * LanmanWorkstation
  * LmHosts
  * Messenger
  * Ndisuio
  * NetBIOS
  * NetBT
  * NetMan
  * NtLmSsp
  * rdsessmgr
  * SharedAccess
  * Tcpip
  * termservice
  * WZCSVC
  * dmboot.sys
  * dmio.sys
  * dmload.sys
  * sermouse.sys
  * vga.sys
  * vgasave.sys
  * ip6fw.sys
  * ipnat.sys
  * rdpcdd.sys
  * rdpdd.sys
  * rdpwd.sys
  * tdpipe.sys
  * tdtcp.sys
  * Base
  * Boot Bus Extender
  * Boot file system
  * File system
  * Filter
  * PCI Configuration
  * PNP Filter
  * Primary disk
  * SCSI Class
  * System Bus Extender
  * NDIS
  * NDIS Wrapper
  * NetBIOSGroup
  * NetDDEGroup
  * Network
  * NetworkProvider
  * PNP_TDI
  * Streams Drivers
  * TDI
  * {4D36E965-E325-11CE-BFC1-08002BE10318}
  * {4D36E967-E325-11CE-BFC1-08002BE10318}
  * {4D36E969-E325-11CE-BFC1-08002BE10318}
  * {4D36E96A-E325-11CE-BFC1-08002BE10318}
  * {4D36E96B-E325-11CE-BFC1-08002BE10318}
  * {4D36E96F-E325-11CE-BFC1-08002BE10318}
  * {4D36E977-E325-11CE-BFC1-08002BE10318}
  * {4D36E97B-E325-11CE-BFC1-08002BE10318}
  * {4D36E97D-E325-11CE-BFC1-08002BE10318}
  * {4D36E980-E325-11CE-BFC1-08002BE10318}
  * {4D36E972-E325-11CE-BFC1-08002BE10318}
  * {4D36E973-E325-11CE-BFC1-08002BE10318}
  * {4D36E974-E325-11CE-BFC1-08002BE10318}
  * {4D36E975-E325-11CE-BFC1-08002BE10318}
  * sr.sys
  * {36FC9E60-C465-11CF-8056-444553540000}
  * {71A27CDD-812A-11D0-BEC7-08002BE2092F}
  * {745A17A0-74D3-11D0-B6FE-00A0C90F57DA}

E. Pembersihan

PCMAV 7.1 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 7.1 Update Build1 telah hadir dengan penambahan 38 pengenal varian virus baru. Bagi Anda pengguna PCMAV 7.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada menu Setup – Updater. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik tombol “Check for Updates” pada menu Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (vx1.sig) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah vx1.sig, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 7.1 Update Build1:

AdultDial
Autoit-ReplaceIcon.AC
Autoit.GG
Autoit.GH
Autoit.GI
Autoit.GJ
Autoit.GJ.tmp
Autoit.GK
Autoit.GL
CoinMiner.C
CoinMiner.D
Discusx.vbs.C
Diskrun
Diskrun.inf
EditVirus
EditVirus.bat
EditVirus.exe
ErrorReport.J
ErrorReport.K
FakeDownloader.FH
Malingsi.AF
NgrBot.BN
NgrBot.BN.exe
NgrBot.BO
NgrBot.BO.exe
PutriEor.vbs.C
RecyBot.A
RecyBot.A.exe.A
RecyBot.A.exe.B
RecyBot.A.inf
RecyBot.A.tmp
RecyBot.B
RecyBot.B.inf
Sandy.B.lnk
Sandy.C
SlenfBot.E
SlenfBot.F
SlenfBot.G