Home > Analisa Virus, Pengumuman, Update PCMAV > Gamarue: Cara Unik Menyembunyikan File di Flashdisk

Gamarue: Cara Unik Menyembunyikan File di Flashdisk

gamarue

Gamarue adalah salah satu bentuk nyata semakin maraknya infeksi malware (malicious software) dari luar yang menyebar di Indonesia. Gamarue adalah malware bertipe worm berukuran 81.0 KB (82,944 bytes) tanpa di-pack. Gejala infeksi yang disebabkan Gamarue ini dapat terlihat dari folder dan file pada removable drive seperti flash drive yang tidak terlihat dan hanya tersisa satu file shortcut.

Aksi

Ketika aktif di memory, Gamarue meng-copy dirinya ke folder C:\Documents and Settings\All Users\Local Settings\temp\ dengan nama acak dan ekstensi file acak ber-attribut hidden dan system. Ekstensi file bisa berupa *.bat, *.cmd, *.exe, *.com, *.pif atau *.scr.

Saat removable media dimasukkan ke dalam komputer yang terinfeksi oleh Gamarue, maka Gamarue membuat suatu folder baru untuk memindahkan semua file atau data pada removable drive dan mengubah attribut folder tersebut menjadi hidden dan system. Yang unik dari Gamarue adalah membuat 5 file berbeda pada root removable drive yang saling berhubungan satu sama lain, ke 5 file tersebut yaitu:

Autorun.inf,

%nama_acak%.init

Merupakan file *.dll yang berfungsi melakukan dekrip pada file thumbs.db. Jika file thumbs.db sudah di dekrip, maka file akan diletakkan pada C:\Temp dengan nama TrustedInstaller.exe
Thumbs.db

Merupakan file executable yang di-enkrip.
%nama_removable_drive% + %size%.lnk ,

merupakan file shortcut untuk meng-eksekusi file *.init, nama file shortcut menyesuaikan nama label dan kapasitas removable drive, jika ber-label “DATA” dan ber-kapasitas 2GB maka file yang dibuat bernama DATA(2GB).lnk
desktop.ini,

File ini bukanlah file system Windows tapi merupakan file yang berisi kode yang bisa dibaca dan dijalankan oleh Gamarue,

Selain itu proses Gamarue juga tidak terlihat di memory karena Gamarue melakukan injeksi pada process wuauclt.exe ( Proses Windows Update )

Agar dapat aktif saat startup, Gamarue membuat item startup di :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
%nama acak%= C:\Documents and Settings\All Users\Local Settings\temp\%nama acak%.%ekstensi acak%

PCMAV 9.3 Update Build1

Untuk membasmi malware ini ataupun varian malware lainnya, PCMAV 9.3 Update Build1 telah hadir dengan penambahan 15 pengenal varian malware baru. Bagi Anda pengguna PCMAV 9.3, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi malware lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada menu Setup – Updater. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik tombol “Check for Updates” pada menu Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui link ini:

Download vx1.sig:

SendSpace.com
ZippyShare.com

Letakkan file hasil download tersebut (vx1.sig) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah vx1.sig, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

File-file berikut harus di-update manual:

Download cure.zip:

SendSpace.com
ZippyShare.com

Ekstrak dan letakkan file hasil download tersebut (cure.dll) ke dalam folder \lib. Jika sebelumnya telah terdapat file yang lama, Anda cukup menimpanya.

Daftar tambahan virus hingga PCMAV 9.3 Update Build1:

Bifrose
Brenasa
Brenasa.ini
Dracula.vbs
Dream
Dream.inf
Gamarue
Gamarue.exe.A
Gamarue.exe.B
Gamarue.exe.C
GPCoder.C
GPCoder.C.bmp
GPCoder.C.exe
GPCoder.C.txt
VB-Keylogger

Categories: Analisa Virus, Pengumuman, Update PCMAV Tags:
  1. August 27th, 2013 at 16:13 | #1

    Virus yg nyeselin, hidden file di FD :3

  2. Indra
    August 28th, 2013 at 01:36 | #2

    Nama lain dari Worm/Malware ini di virustotal Namanya Bundpil

  3. one
    August 28th, 2013 at 02:09 | #3

    PCMAV 93 RTPshell.exe dianggap virus oleh AVIRA. TR/Fraud.Gen2
    Gimana Ini?

  4. pinguin
    August 28th, 2013 at 08:42 | #4

    @Indra : nama Gamarue lebih dikenal daripada bundpill, coba muter2 dulu 😀
    @One : update donk aviranya mas broh -_-

  5. raya
    August 29th, 2013 at 22:57 | #5

    tanya dikit bro,,, update itu hanya bisa digunakan pada PCMAV 9.3 saja atau bisa juga untuk PCMAV 9.2?

  6. Indra
    August 30th, 2013 at 16:07 | #6

    @raya
    Hanya untuk PCMAV 9.3, klo PCMAV kayaknya gak bisa

  7. August 31st, 2013 at 15:00 | #7

    @one
    false alarm coba di laporkan diwebsite avira

  8. TONO
    September 2nd, 2013 at 04:03 | #8

    terus terang dulu aku pernah terserang virus semacam ini dan sempat kebingungan. Akhirnya aku putuskan untuk membeli flashdisk baru karena flashdisk yang terserang itu sudah kuformat tapi tetap saja masih nempel tuh virus. Aku bersyukur PCMAV sudah mengatasi virus semacam ini. Bravo…PCMAV maju terus

  9. September 5th, 2013 at 17:04 | #9

    Wuih Nyusain juga nih virus, FD jadi sasaran empuk besarangnya nih virus…!! terpaksa harus format juga ujung2 nya…

  10. pinguin
    September 5th, 2013 at 17:09 | #10

    @Informasi Teknologi : ya ga usah di format gan, ente kebanyakan pakai av ijo sebelah sih yang ga bisa menyelamatkan sistem atau file terinfeksi jadi main format atau hapus aja -_-

  11. September 8th, 2013 at 09:00 | #11

    ada gak khusus win32 patched
    winkomnet.blogspot.com

  12. September 8th, 2013 at 09:00 | #12

    sori salah koment
    heheh