TODO. Rootkit adalah salah satu teknik yang sering digunakan malware yang menyebar di masyarakat belakangan ini. Komputer yang terinfeksi seolah-olah berjalan dengan normal tanpa adanya gangguan dari malware. Memang terkadang tidak terlalu mempengaruhi kinerja komputer, karena beberapa malware melakukan payload yang tidak mengganggu aktivitas user agar tetap tidak diketahui keberadaannya, dan ini adalah salah satu perbedaan umum antara kebanyakan malware lokal dan malware yang berasal dari luar. Seperti halnya TODO yang diam-diam berjalan dan tetap memberikan keuntungan lebih bagi pembuatnya (Virus Maker).
A. Info File
Nama Worm : TODO
Asal : Rusia (dugaan)
Ukuran File : 325 KB (333,312 bytes)
Packer : UPX -> Markus & Laszlo ver. [ 3.02 ]
Pemrograman : Microsoft Visual C++
Icon : Application
Tipe : Trojan, Rootkit
B. About Malware
Namanya di ambil dari Original File Name yang menunjukan nama TODO. Malware ini didapatkan setelah salah satu variant worm yang menyebar lewat facebook “Chat-Facebook” tengah dianalisa dan didapatkan mendownload malware ini, TODO dapat aktif setelah droppernya dijalankan. Dan droppernya bersembunyi di balik proses svchost.exe. Baik host TODO maupun droppernya (TODO.drp) sama-sama dibuat menggunakan pemrograman Microsoft Visual C++ dan dikompres menggunakan UPX yang ukuran sebenarnya adalah:
• TODO setelah di-pack = 325 KB (333,312 bytes)
• TODO sebelum di-pack = 847 KB (867,328 bytes)
• TODO.drp setelah di-pack = 35.5 KB (36,352 bytes)
• TODO.drp setelah di-pack = 86.0 KB (88,064 bytes)
C. Companion/File yang dibuat
Setelah aktif di memory, Trojan TODO melakukan pengecekan terhadap companionnya (TODO.drp) yang berfungsi untuk menyembunyikan prosesnya di memory. Selain itu, jika TODO.drp sudah aktif terlebih dahulu, maka akan melakukan hal yang sama untuk melakukan pengecekan kemudian menjalankan TODO dan yang terakhir adalah menyembunyikan prosesnya dibalik proses lain.
Process scvhost.exe palsu
Hasil Deteksi GMER
D. Hasil Infeksi
Tentunya agar mampu berjalan otomatis saat proses startup, TODO.drp membuat sebuah value key di registry. Dan yang menarik adalah bahwa TODO memang menunjukan aktivitas rootkit. Selain itu, TODO berusaha mengakses salah satu IP yang setelah di Trace, IP tersebut berasal dari Sweden / Swedia.
Network Connection 1
Network Connection 2
Trace IP
E. Pembersihan
Short Information:
Chat-Facebook sendiri sebenarnya memiliki beberapa tipe, ada yang hanya berfungsi sebagai Downloader (Trojan)dan beberapa ada yang memang membuat host dan menyebar layaknya worm. Sayangnya, Chat-Facebook diduga memiliki kemampuan untuk mengecek tanggal yang nantinya hanya akan berjalan sesuai tanggal yang ditentukan, selain itu akan menghapus host file yang sedang di analisa. Hal ini mungkin dimaksudkan untuk menghindari kegiatan Tracing dan Debugging dalam proses analisanya.
PCMAV 5.5 Update Build1
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.5 Update Build1 telah hadir dengan penambahan 26 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.5, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link dibawah ini:
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 5.5 Update Build 1:
NgrBot.A.dat.variant
NgrBot.A.drp.A.variant
NgrBot.A.drp.B.variant
NgrBot.A.drp.C.variant
NgrBot.A.exe.A.variant
NgrBot.A.exe.B.variant
NgrBot.A.inf.variant
NgrBot.A.lnk.variant
NgrBot.A.variant
NgrBot.B.inf.variant
NgrBot.B.variant
NgrBot.C.variant
NgrBot.D.variant
NgrBot.E.variant
NgrBot.F.variant
NgrBot.G.variant
NgrBot.H.variant
None
TODO
TODO.drp
UltraSurf.A
UltraSurf.A.bat
UltraSurf.B
UltraSurf.C
UltraSurf.D
UltraSurf.D.bat
PCMAV 5.5 Update Build1 telah tersedia dengan penambahan 26 database virus baru yang telah berhasil ditambahkan pada update build kali ini. Update PCMAV dapat dilakukan secara otomatis dengan memilih “Update” pada menu klik kanan icon PCMAV di system tray, ini salah satu fitur yang telah berhasil ditambahkan pada rilis PCMAV 5.5 Jika Anda ingin mendownload update build secara manual dapat melalui link dibawah ini.
(Keterangan Lengkap Lihat Gambar Di Bawah) .........
>>> Selamat Mencoba <<<
Note (Penting) : - Setelah Download PCMAV 5.5 Valhalla extraks terlebih dahulu kemudian copy/cut seluruh Isi Yang Terdapat Dalam Folder ekstrakan tersebut kedalam folder PCMAV sebelumnya (PCMAV 5.4 Valhalla), jika belum memiliki PCMAV 5.4 Valhalla silahkan Download disini PCMAV 5.4
- no.2 (Hanya update (.vdb) Build1) di Extract dahulu setelah itu dimasukan dalam folder PCMAV 5.5 Valhalla/vdb
Download Here
1. Hanya Download PCMAV 5.5 Valhalla :
PCMAV 5.5 (idws)
Mirror Link :PCMAV 5.5 (4shared)
PCMAV 5.5 (ziddu)
2. Hanya Download update (.vdb) Build1 :
Update Build 1 (idws)
Mirror Link :
Update Build 1 (4shared)
Update Build 1 (ziddu)
Mirror Link :PCMAV 5.5 (4shared)
PCMAV 5.5 (ziddu)
2. Hanya Download update (.vdb) Build1 :
Update Build 1 (idws)
Mirror Link :
Update Build 1 (4shared)
Update Build 1 (ziddu)
Tidak ada komentar:
Posting Komentar