Home > Analisa Virus > NeoPocket.A: Kenali Malware Pada ATM

NeoPocket.A: Kenali Malware Pada ATM

Capture

Meskipun tidak ada berita mengincar jenis ATM di Indonesia, malware yang menargetkan mesin ATM ini cukup menarik untuk dibahas. Informasi malware ini dapat dilihat di situs berikut. http://securityblog.s21sec.com/2014/04/neopocket-new-atm-malware.html. Penulis menganalisa malware ini secara white box untuk menginformasikan rutin tambahan lain dari malware ini.

Dibuat dengan bahasa pemrograman Visual Basic 6, malware ini mengincar mesin ATM yang berasal dari perusahaan ATM “Diebold”.

Malware ini berusaha aktif di setiap startup dengan membuat registry di

HKLM\SOFTWARE\Diebold\Agilis Startup\270AbcTrace

Dengan nama Key:

Agilis Base Communications Trace and Monitor

Lokasi file:

css1.exe

NeoPocket.A membuat proxy (Man In The Middle Attack) dengan memodifikasi file konfigurasi dari sistem ATM, yaitu dengan mengkatifkan port 6000 dan IP 127.0.0.1. Semua informasi termasuk transaksi yang seharusnya dikirim ke server ATM pun ditangkap terlebih dahulu dan disimpan di file Casas.txt yang dienkripsi dengan algoritma CRijndael.

Malware ini juga mengecek service bernama SmcService. Hasil googling menujukan nama service ini ditujukan untuk aplikasi sekuriti Symantec Endpoint Protection. Setelah mengecek keberadaan service, malware menggunankan perintah taskkill.exe untuk mematikan SMC.exe.

Melalui registry, malware ini mengaktifkan drive USB dan mencoba mengopikan ke diri ke drive E, F, G dan H. Tidak ada dropper untuk menyebarkan malware ini.

Anda dapat beropini untuk menyimpulkan mengenai tujuan dari eksistensi malware ini. Tidak tertutup kemungkinan aktifitas seperti ini dapat dilakukan di Indonesia sehingga privasi perbankan Anda tidak lagi bersifat rahasia.

Categories: Analisa Virus Tags:
  1. zero
    May 17th, 2014 at 09:08 | #1

    updated

  2. May 17th, 2014 at 09:57 | #2

    Weh…
    Semoga aja bisa ditangkis di Indonesia,

  3. May 20th, 2014 at 03:07 | #3

    update terbaru ini iya kak??

  4. harto
    May 20th, 2014 at 04:06 | #4

    Lho di twitter kok sudah terbit PCMEDIA 04/2014, kenapa tidak dipublikasikan di sini?
    Apa versi cetaknya belum ya?.

  5. zero
    May 20th, 2014 at 08:49 | #5

    harto :
    Lho di twitter kok sudah terbit PCMEDIA 04/2014, kenapa tidak dipublikasikan di sini?
    Apa versi cetaknya belum ya?.

    nanti juga dipublish di sini. sabar aja

  6. May 29th, 2014 at 02:36 | #6

    kakak ditunggu updatenya dong biar saya beli majalanya

  7. May 29th, 2014 at 22:57 | #7

    wew…. atmnya harus ganti OS tuh :))