Annie.sys is Beautiful Girl

07 Oktober 2013
Annie.sys is beautiful girl
Beautiful girl, wherever you are
I knew when I saw you, you had opened the door
I knew that I'd love again after a long, long while
I'd love again.

Wanita cantik selalu menjadi daya tarik sekaligus kelemahan bagi sebagian besar laki-laki, dari musisi terkenal, produser rekaman lagu, bandar narkoba, jendral polisi sampai koruptor sekalipun tidak bisa dilepaskan dari wanita cantik. Hal ini rupanya menjadi sumber inspirasi bagi pembuat malware lokal yang sedang mengganas di Indonesia dalam beberapa bulan belakangan ini. Dengan pancingan Beautiful Girl (wanita cantik) malware ini sukses menarik perhatian calon korbannya sehingga berhasil menjadi salah satu malware yang paling banyak dibicarakan di komunitas online Indonesia. Malware ini memiliki aksi yang cukup 'sakti' karena ia memiliki kemampuan injeksi html dan infeksi korban melalui file html seperti malware Ramnit. Selain itu, ia juga memiliki payload yang cukup merepotkan seperti melakukan bloking atas banyak fungsi administrasi Windows seperti Registry Editor, Task Manager, Microsoft Management Console, File Assosiasi, System Restore, menyembunyikan ekstensi file dan tidak dapat menampilkan file yang tersembunyi (hidden). Tidak cukup aksi di atas, ia juga melakukan bloking atas aplikasi pendukung yang biasa digunakan untuk membersihkan malware seperti Kill Process, attrib, SysInternals Autostart, SysInternals Process Explorer, RegAnalyzer, menghalangi komputer untuk menjalankan file inf dan registry dengan tujuan mencegah pembersihan virus. Vaksincom merasa perlu untuk membahas ancaman malware ini karena malware ini memang banyak memakan korban dan hebatnya beberapa file turunannya masih sulit di deteksi oleh antivirus terkenal sekalipun. Malware ini dapat dikatakan setingkat di atas virus lokal lainnya karena selain melakukan aktivitas yang disebutkan di atas juga memiliki kemampuan injeksi file MS Office dan html. Celakanya, jika file html ini dijalankan di komputer lain, mirip dengan cara penularan Ramnit wanita cantik yang satu ini akan mampu menginfeksi komputer korbannya. Khusus bagi pelanggan Vaksincom yang menggunakan produk Norman dan G Data di Indonesia yang ingin mendapatkan tools khusus untuk membersihkan file html yang di injeksi oleh malware ini silahkan menghubungi support Vaksincom di info@virusicu.com atau info@vaksin.com.


Hati-hati jika anda menjumpai file dengan nama yang cukup menggoda anda untuk membuka fil tersebut, terlebih dengan icon video karena biasanya virus akan menggunaan nama-nama file yang 'eksotik' untuk mengundang rasa keingintahuan user terhadap file tersebut, seperti yang dilakukan oleh salah satu virus Trojan.JA.Autorun.A yang akan menyamarkan dirinya dengan membuat 5 file shortcut di setiap drive dengan nama Beautiful_girl_part_1.lnk s/d Beautiful_girl_part_5.lnk. Sama seperti yang di lakukan oleh Virus Ramnit, virus ini juga akan menginjeksi file HTM/HTML untuk menyebarkan dirinya dengan menyisipkan code pada footer file HTM/HTML tersebut. G Data Antivirus dengan teknologi Active Hybryd dan Close Gap technology mendeteksi malware ini sebagai Trojan.JS.Autorun.A (lihat gambar 1)
20131007I_beautifulgirl02
Gambar 1, G Data mendeteksi Annie.sys atau Beautiful Girl sebagai Trojan.JS.Autorun.A
Informasi File induk

Malware ini dibuat menggunakan program bahasa Java Script dengan ukuran file sekitar 9 kb. Pada saat file tersebut di aktifkan maka akan menjalankan file wmplayer.exe atau windows media player (lihat gambar 3) dengan tujuan mengelabui korbannya yang 'mengharapkan' video wanita cantik. Tujuan utama aksi ini adalah menjalankan script yang terkandung di dalam file tersebut, kemudian akan membuat beberapa file induk yang akan di simpan di beberapa lokasi:
  • %System%\drivers\annie.sys (%system% menunjukan lokasi drive yang berbeda-beda, contohnya C:\Windows\System32\Drivers\annie.sys)
  • %System%\annie.ani (%system% menunjukan lokasi drive yang berbeda-beda, contoh C:\Windows\System32\annie.ani)
Untuk mengelabui user, virus ini akan membuat 5 (lima) buah file shortcut (lnk) yang akan di simpan di semua root drive termasuk removable media/USB Flash. File shortcut ini berisi script untuk menjalankan file annie.ani yang ada di drive yang sama (Script file annie.ani C:\Windows\system32\wscript.exe //e:jscript.encode annie.ani /q:1), sehingga jika user menjalankan file tersebut maka secara otomatis akan mengaktifkan virus tersebut dengan terlebih dahulu akan menjalankan program Windows Media Player (wmplayer) seperti pada gambar 3.

Adapun file shortcut yang akan dibuat oleh Trojan.JS.Autorun.A adalah (lihat gambar 2):
  •     beautiful_girl_part_1.lnk
  •     beautiful_girl_part_2.lnk
  •     beautiful_girl_part_3.lnk
  •     beautiful_girl_part_4.lnk
  •     beautiful_girl_part_5.lnk
20131007I_beautifulgirl01
Gambar 2, File induk malware Beautiful Girl
20131007I_beautifulgirl04
Gambar 3, Windows Media Player yang akan di tampilkan untuk menyamarkan aksi malware menginfeksi komputer korbannya
Autorun Registry Windows

Untuk memastikan agar dirinya ini dapat aktif secara otomatis pada saat user menyalakan komputer, malware ini akan membuat string pada registry editor berikut:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • Userinit = C:\WINDOWS\system32\userinit.exe,wscript.exe //e:jscript.encode C:\WINDOWS\system32\drivers\annie.sys /e
Blok Fungsi Windows dan Tools Security

Untuk memperlancar aksinya, Trojan.JS.Autorun.A akan melakukan blok terhadap beberapa fungsi windows seperti:
  •     Registry Editor
  •     Task Manager
  •     Microsoft Management Console (secpol.msc/gpedit.msc/device manager dll)
  •     File Assosiasi
  •     System Restore
  •     Tidak dapat menampilkan ekstensi file
  •     Tidak dapat menampilkan file yang tersembunyi (hidden)

Untuk melakukan hal tersebut, ia akan membuat string pada registry editor berikut:
  • Disable Registry Editor (lihat gambar 4)
  • Key : HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • Value: DisableRegistryTools
  • Data: 0x00000001
20131007I_beautifulgirl06
Gambar 4, Disable Registry Editor
  • Disable Task Manager (lihat gambar 5)
  • Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • Value: DisableTaskMgr
  • Data: 0x00000001
20131007I_beautifulgirl05
Gambar 5, Disable Task Manager
  • Disable file assosiasi
  • Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  • Value: NoFileAssociate
  • Data: 0x00000001
  • Disable Microsoft Management Console / MMC (lihat gambar 6)
  • Key: HKCU\Software\Policies\Microsoft\MMC
  • Value: RestrictToPermittedSnapins
  • Data: 0x00000001
20131007I_beautifulgirl03
Gambar 6, Disable Microsoft Management Console / MMC
  • Disable System Restore
  • Key: HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
  • Value: DisableConfig
  • Value: DisableSR
  • Data: 0x00000001
  • Tidak dapat menampilkan file yang tersembunyi (super hidden)
  • Key:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
  • Value: UncheckedValue
  • Data: 0x00000001
  • Tidak dapat menampilkan ekstensi file (hide extention)
  • Key:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
  • Value: UncheckedValue
  • Data: 0x00000001
  • Tidak dapat menampilkan menu 'Open With' dengan menghapus key berikut:
  • HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With

Blok Tools Security

Selain blok fungsi Windows, Trojan.JS.Autorun.A juga akan blok beberapa software security berdasarkan nama file yang sudah ditentukan.

  • Disable tools 'Kill Process' atau file/program yang mempunyai nama TASKKILL.exe
  • Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
  • Value: Debugger
  • Data: 'cmd.exe /c rem'
  • Disable tools untuk merubah atribut file atau file/program yang mempunyai nama ATTRIB.exe
  • Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe
  • Value: Debugger
  • Data: 'cmd.exe /c rem'
  • Disable dan menghapus tools 'SysInternals Autostart' atau file/program yang mempunyai nama AUTORUNS.exe
  • Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\autoruns.exe
  • Value: Debugger
  • Data: 'cmd.exe /c del /q /f'
  • Disable dan menghapus tools 'SysInternals Procees Explorer' atau file/program yang mempunyai nama PROCEXP.exe
  • Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
  • Sets value: Debugger
  • Data: 'cmd.exe /c del /q /f'
  • Disable tools/File/program yang mempunyai nama REG.exe
  •  Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\reg.exe
  •  Value: Debugger
  •  Data: 'cmd.exe /c rem'
  • Disable dan menghapus tools RegAlyzer atau file/program yang mempunyai nama RegAlyzer.exe
  •  Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegAlyzer.exe
  •  Value: Debugger
  •  Data: 'cmd.exe /c del /q /f'
  • Menghapus file INF jika file tersebut di install
  •  Key : HKEY_CLASSES_ROOT\inffile\shell\Install\command
  •  Key : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command
  •  Value : Default
  •  Data : cmd.exe /c del /q /f '%1'
  • Menghapus file type Registry jika di jalankan
  • Key : HKEY_CLASSES_ROOT\regfile\shell\open\command
  • Key : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\Install\command
  • Value : Default
  • Data : cmd.exe /c del /q /f '%1'
Metode Penyebaran ------ bersambung
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: