Win32.Application.Somoto.K

27 November 2014
Win32.Application.Somoto.K
Malware yang melahirkan bayi kebumi 
Bagaimana perasaan seorang ibu ketika ia telah berhasil melahirkan, pasti perasaan itu sangat bahagia bukan? Karna ia sudah merasakan menjadi wanita yang sempurna. Tetapi apa yang terjadi jika yang melahirkan itu sebuah malware, pasti sangat buru-buru ingin menghilangkannya bukan? Bagaikan pasangan tidak resmi yang mencoba untuk menggugurkan kandungannya. Itulah perumpaan malware yang team vaksin bahas kali ini.

Malware yang satu ini bernama Somoto (Software Moentization Tools) atau sering disebut sebagai foistware. Malware yang selalu bersembunyi saat sedang di unduh maupun saat di install. Pada saat mengunduh aplikasi FLV dan menjalankan aplikasi tersebut, malware ini langsung berkerja dan terdeteksi oleh Antivirus G Data dengan nama Win32.Application.Somoto.K ( lihat gambar 1 )
20141127I_win32somoto04
Gambar 1 : Malware Somoto yang terdeteksi AV G Data

Pada saat menjalakan aplikasi, malware ini menaruh diri di Temporary C:\User\”namapengguna”\AppData\Local\Temp dengan nama biclient.exe. ( lihat gambar 2 )
20141127I_win32somoto01
Gambar 2 : Malware menaruh diri di temporary
Biasanya, Somoto akan menumpang Freeware populer guna menginstalkan dirinya, dalam pengetesan Vaksincom dalam menginstal FLV, foistware yang diinstalkan tidak tanggung-tanggung dan bisa lebih dari satu. Adapun aplikasi foistware yang di instal adalah adalah AppsHat Mobile Apps, Mystartseacrh,Youtube Accelerator, Wajan, Shopper-pro. ( lihat gambar 3 )
20141127I_win32somoto07
Gambar 3 : ketika sudah terinstall foistware
Mystartseacrh sendiri langsung menginstall ke program yang di windows dan langsung menginjek browser. Cara kerja sama seperti dengan foistware yang menginjek browser seperti babylon search, delta search, awesomehp.com, baidu ( B1 ). Tujuan foistware menginstalkan dirinya adalah untuk mendapatkan keuntungan finansial dari komputer yang terinstal dan umumnya dilakukan dengan cara mengganti search engine default (Google, Bing atau lainnya) dengan search engine yang berafiliasi dengan pembuat foistware sehingga hasil iklan dari search yang dilakukan pengguna komputer akan masuk ke kantong pembuat foistware. Dalam aksinya, foistware mengutamakan menampilkan hasil pencarian dari pembayar iklan tertinggi dan bukan mengutamakan keakuratan hasil pencarian. Dalam banyak kasus foistware mengarahkan korbannya ke situs yang mengandung malware dan jelas merugikan korbannya. Celakanya lagi, foistware ini tetap akan mendekam di komputer korbannya sekalipun freeware yang ditumpanginya sudah di uninstal dan ibarat cicak basah nempel di jendela, banyak foistware sulit diuninstal dan membutuhkan usaha khusus untuk dienyahkan dari komputer. Pada awal aksinya, program-program seperti Adobe Acrobat, Skype dan Java sering ditumpangi foistware. Namun karena mendapatkan banyak komplain dari para pengguna dan praktisi sekuriti pembuat aplikasi tersebut mulai menyeleksi program yang menumpang dan menolak foistware meskipun mereka kehilangan pendapatan potensial yang besar dari foistware yang menumpang. ( lihat gambar 4 )
20141127I_win32somoto06
Gambar 4 : mystartseacrh yang menginjek browser.
Pada saat dijalankan Antivirus G Data mendeteksi bahwa terdapat malware baru setelah di install aplikasi FLV ( malware SOMOTO ) dan varian malware ini cukup banyak. ( lihat gambar 5 ).
20141127I_win32somoto03
Gambar 5 : setelah selesai install aplikasi FLV terdapat malware baru.
Remove AppsHat mobile Apps, Mystartseach, Youtube Acclerator, Wajan, Shopper-pro dari komputer

  1. Klik [Start] pilih [Control Panel]
  2. Pilih [Programs and Features] Windows 7 atau [Add or Remove Programs] Windows XP.
  3. Pilih FLV Player Uninstall dan double klik untuk menghapus atau meremove Baidu PC Faster (lihat gambar 6)
  4. Restart Komputer
20141127I_win32somoto01
Gambar 6 : Aplikasi yang di Uninstall
Setelah Uninstall foistware browser kembali normal.
20141127I_win32somoto05
Gambar 7 : Browser Google Chrome
Salam,


A.R Wicak
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: