Zusy, si seksi dari Kazakhstan

18 Maret 2014
Zusy, si seksi dari Kazakhstan Pemakan Bandwidth yang suka judi
Gdata : Gen:Variant.Zusy.74842
Dalam mencari teman bergaul, tentunya kita menghindari teman yang suka moroti, berjudi atau membawa-bawa nama kita dan menggunakannya untuk kepentingannya tanpa sepengetahuan kita. Kalau untuk teman saja anda menghindari 3 hal di atas, sudah pasti anda akan sangat berhati-hati dengan malware yang satu ini. Namanya cukup menarik seksi: Zusy, namun sekali menginfeksi komputer anda, dijamin anda akan pusing 3 keliling karena 3 aktivitas utama yang dilakukan tadi. Menghabiskan bandwidth (moroti) anda, mengakses situs-situs berbahaya seperti situs malware dan situs judi dan terakhir menjadikan komputer anda sebagai zombie untuk melakukan keinginannya. Untuk informasi lebih detail silahkan lihat artikel di bawah ini dan bagi anda yang memiliki akses ke Youtube, silahkan nikmati video Youtube dari artikel ini di http://youtu.be/aqwtPOb5opY

Malware yang terdeteksi oleh G Data sebagai Gen:Variant.Zusy.74842, atau Trojan Downloader: Win32/Cutwail.BS adalah varian dari Win32 Cutwail. Varian malware yang dapat mengunduh dan mengeksekusi file tanpa sepengetahuan pemilik komputer. Fungsi ini terutama digunakan untuk menginstal komponen Cutwail tambahan dan malware lain pada komputer yang terinfeksi seperti yang dilakukan oleh Zbot yang mengunduh Cryprolocker ke komputer yang berhasil di infeksinya. Secara umum, variant Cutwail digunakan untuk remote komputer dan mengarahkan mereka dengan berbagai cara untuk keuntungan pembuat malware, biasanya untuk keuntungan finansial. Malware ini dapat beroperasi dikomputer yang terinfeksi untuk mendistribusikan malware tambahan, mengirim spam, menghasilkan pendapatan iklan 'bayar per klik', mencuri alamat email dan melakukan bruteforce (suatu cara yang digunakan cracker untuk menebak password). Komponennya bervariasi, tetapi mencakup trojan downloader, spammer dan virus. Cutwail juga menggunakan rootkit dan teknik lain untuk menghindari pendeteksian dan penghapusan. Jika anda pengguna G Data, Cutwail dan variannya tetap dapat terdeteksi seperti yang terlihat pada gambar 1 di bawah ini.
20140318I_zusybandwith09
 Gambar 1, G Data bisa mendeteksi varian Cutwail sebagai Zusy.74842
Dalam aksinya yang menjadikan komputer korbannya zombie dan menginfeksikan malware lain ke komputer korbannya, Cutwail tidak terlalu kentara menghabiskan sumberdaya komputer. Sebaliknya, kalau diamati dengan seksama, terjadi penurunan yang cukup berarti pada performa jaringan. Jika dilihat dari tools analisa, malware ini bekerja pada protocol NBNS NetBios Naming Services (sistem penamaan untuk mendaftarkan nama user pada jaringan) yang melakukan broadcast (mengirimkan banyak paket data) terus menerus pada domain random .kz .com .fr .net .ca .ru .pl .de dan .org. Kemungkinan ini adalah aksi Cutwail berusaha mencari C&C Command and Control Server guna mendapatkan perintah selanjutnya apa yang harus dilakukan oleh Cutwail dari komputer korbannya. Aksi inilah yang akhirnya akan membuat jaringan komputer menjadi lambat (lihat gambar 2). 
20140318I_zusybandwith04
 Gambar 2. IP client yang terinfeksi selalu mengakses ke domain acak
 Beberapa contoh domain yang diakses malware ini adalah : (lihat gambar 3)
  •     QAXEAGEAMIBU.KZ
  •     PUWIMJOREBDU.KZ
  •     COQOSNECPAL/KZ
  •     KOQWALPOZO.KZ
  •     FABIXLAGITNE.KZ
  •     RUZPIFEKNE.KZ
  •     SIHUVIJEIRIC.KZ
  •     KADEOXERENUP.KZ
  •     MANCEKSEK.KZ
  •     POZIJANMITCU
  •     BISEAZARURQI.KZ
  •     PIFIFOMIVUZ.KZ
  •     XOQWADXIP.KZ
  •     KALDEABIPI.KZ
  •     XIWUDACOGBI.KZ
20140318I_zusybandwith06
Gambar 3. Pada protocol NBNS diatas terlihat IP yang terinfeksi selalu mekakses ke domain berakhiran .kz (Kazakhstan)
Proses malware aktif

Jika pada saat infeksi tidak memberikan pengaruh yang signifikan, sebaliknya pada saat malware ini aktif anda dijamin akan jengkel dan terganggu karena aksi malware ini menyedot bandwidth. Berikut perbedaan aktivitas jaringan komputer pada Gambar A yang tidak terinfeksi malware dan Gambar B yang terinfeksi malware. (lihat gambar 4)
20140318I_zusybandwith10
Gambar 4. Dalam waktu 22 menit, aktivitas jaringan yang dikirim dan diterima pada Gambar A hanya mencapai 106 packets yang dikirim dan 16 packet yang diterima, sedangkan pada Gambar B mencapai 8.577 packets yang dikirim dan 46 packet yang diterima dalam keadaan komputer tidak di operasikan oleh user.
Cara Kerja Malware

Malware ini memodifikasi entri registry untuk mengaktifkan dirinya, menambah nilai: "veanosudxeax" dengan data: "C:\Documents and Setting\<user>\veanosudxeax.exe (lihat gambar 5)
20140318I_zusybandwith08
Gambar 5. Jalannya malware pada image path c:\documents and settings\<user>\ veanosudxeax.exe
Ke subkunci: HKCU\Software\Microsoft\windows\currentversion\run

Zusy juga melakukan aksi menghubungi remote host, kemungkinan untuk menjalankan aksi berikutnya sesuai dengan keinginan pembuat malware ini. Adapun beberapa kemungkinan perintah yang dilakukan adalah :
  • Untuk menerima perintah tambahan dari pembuat malware seperti menyerang satu alamat situs tertentu (Ddos).
  • Mengunduh malware lain dan mengeksekusinya seperti kasus yang terjadi pada Zbot yang mengunduh Cryptolocker.
  • Mencuri data dari komputer yang terinfeksi
  • Menjadi mesin pencari uang seperti yang ditentukan oleh komputer remote seperti : mengirimkan spam, melakukan klik atas iklan guna kepentingan pembuat malware, menghubungi situs tertentu sesuai perintah CC&C server sampai menyerang IP / komputer lain jika diperlukan
Beberapa contoh situs yang kemungkinan akan menjadi tempat pembuat malware menempatkan file / perintah tambahan guna meremote komputer korban malware dan diakses oleh Zusy adalah (lihat gambar 6).
20140318I_zusybandwith05
 Gambar 6. Malware mengakses situs-situs ini tanpa persetujuan / sepengetahuan pemilik komputer
HTTP requests

- URL: http://leadershipforum.us

TYPE: POST

- URL: http://sspackaginggroup.com/

TYPE: POST

- URL: http://beechwoodmetalworks.com/

TYPE: POST

- URL: http://myfilecenter.com/

TYPE: POST

- URL: http://espace-hotelier.com/

TYPE: POST

- URL: http://urantiaproject.com/

TYPE: POST

- URL: http://jeangatz.com/

TYPE: POST


Selain mengakses URL di atasm Zusy juga mengakses DNS seperti : (lihat gambar 7). Jika Zusy berhasil mengalihkan DNS komputer yang di infeksinya, hal ini harus diwaspadai dan menjadi perhatian anda, karena DNS server bisa digunakan untuk mengalihkan akses ke situs yang dituju ke situs phishing yang telah dipersiapkan. Hal ini sangat berpotensi menimbulkan kerugian finansial besar khususnya jika komputer yang terinfeksi banyak digunakan untuk melakukan aktivitas internet banking atau e-commerce.
20140318I_zusybandwith03
 Gambar 7. Beberapa DNS yang diakses oleh Malware ini
 DNS requests
  1.     smtp.live.com
  2.     gamblingonlinemagazine.com
  3.     berkshirebusiness.org
  4.     automa.it
  5.     guberman.com.br
  6.     austriansurfing.at
  7.     ompgp.co.jp
  8.     goodvaluecenter.com
  9.     ctr4process.org
  10.     redconeretreat.com
  11.     unslp.edu.bo
  12.     plus.ba
  13.     jeangatz.com

Selain hal-hal yang merugikan di atas, malware ini juga mengakses banyak situs, termasuk situs yang dilarang oleh Ustad seperti gamblingonlinemagazine.com, guberman.com dan lainnya. (lihat gambar 7)

20140318I_zusybandwith01
 Gambar 7. Situs judi yang yang diakses oleh Zusy ini
Pembersihan Zusy:
  • Bersihkan malware ini dengan G data Antivirus. (lihat gambar 8)
20140318I_zusybandwith09
 Gambar 8. Bersihkan Zusy dengan G data
    Untuk mengunduh G Data Antivirus silahkan kun jungi situs virusicu.com di
Untuk menghadapi malware yang membandel, anda bisa menggunakan G Data Boot CD yang bisa anda buat secara gratis jika anda menggunakan G Data Antivirus atau G Data total Protection (lihat gambar 9). 
20140318I_zusybandwith02
 Gambar 9. Scaning menggunakan G Data Boot CD
Untuk menghapus registri yang dibuat oleh malware dapat menggunakan script registry dibawah ini :

[Version]

signature="$Chicago$"

Provider=vaksicom Oyee 2014

[DefaultInstall]

DelReg=del

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion, AppManagement

HKCU, Software\Microsoft\Windows\CurrentVersion, veanosudxeaxzap

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, veanosudxeax

Masukan script tersebut didalam notepad, kemudian simpan dengan nama DelReg.inf (Save As Type menjadi All Files agar tidak terjadi kesalahan). Kemudian jalankan DelReg.inf dengan klik kanan, kemudian pilih install.
Salam,


Fazar Dwi Herdiana
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: