Trojan.GenericKD, Varian Shortcut berbahaya di tahun 2013

23 Desember 2013
Trojan.GenericKD, varian shortcut berbahaya di tahun 2013
Pencuri Password dan penyebar Spam
Hati hati jika komputer anda terinfeksi virus shortcut yang satu ini karena bisa bisa akun email, paypal, media sosial, youtube atau akun media penyimpanan online anda di curi. Tidak cukup menimbulkan kepusingan seperti salah satu kepala daerah yang memblokir bandara hanya gara-gara tidak berhasil mendapatkan tiket pesawat, malware ini juga berpotensi membuat IP publik jaringan perusahaan yang komputernya terinfeksi di balokir IPnya dan dimasukkan ke dalam blacklist karena komputer-komputer yang terinfeksi malware ini dijadikan sebagai agen penyebaran spam. Karena itulah Vaksincom memasukkan Trojan GenericKD ini sebagai salah satu varian shortcut yang paling berbahaya di tahun 2013.

Virus Trojan.GenericKD.1438414 adalah varian dari virus Win32/Dorkbot yang dapat menyebar UFD USB Flashdisk, harddisk eksernal dan kartu memori dengan memanfaatkan celah kemanan shortcut untuk mencuri kredensial media sosial (Facebook, Twitter) dan instant messaging (MSN, IRC, Skype, beboo dan pidqin)

Ciri ciri komputer yang terinfeksi virus ini
  • Ketika USB di colokan ke komputer file pada USB akan berubah menjadi shortcut dan file asli di sembunyikan oleh virus.
  • File Shortcut pada USB susah di hapus karena shortcut dianggap salah satu file system (lihat gambar 1)
20131223I_varianshortcut01
Gambar 1, File virus akan memberikan atribut file system kepada dirinya sendiri supaya sulit dibasmi.
  • Pada C:\Document and setting\[user]\Program data, terdapat file *.exe yang berupa angka dan atau huruf acak di sertai nama file c731200, Contoh: 1.exe, 2.exe, 3.exe, 16.exe, 15b.exe, 7d5b.exe dll (lihat gambar 2)
20131223I_varianshortcut02
Gambar 2, File acak dengan ekstensi .exe
Proses aktif virus dari USB

Ketika file virus di jalankan maka ia akan menjalankan diri dari command prompt windows sekaligus menjalankan file asli tidak bervirus yang telah di sembunyikan sebelumnya oleh virus. Hal ini bertujuan untuk mengelabui user, sehingga tidak mencurigai aksi file virus karena dibuka bersamaan dengan file yang disembunyikannya. (lihat gambar 3)
20131223I_varianshortcut03
Gambar 3, Proses virus menjalankan dirinya
Setelah aktif, virus akan menanamkan dirinya pada direktori windows dengan nama 'reader_sl.exe' dan [nama acak].exe dan  akan memanggil varian yang berbeda / virus lain untuk berkolaborasi:
  • XP, windows 2000, windows 2003, C: Documents and Settings\[user]\local settings\temp\adobe\reader_sl.exe
  • Windows 7 dan windows 8 (lihat gambar 4)
  • C:\Users\[user]\AppData\Local\Temp\Adobe\reader_sl.exe
  • C:\Users\[user]\AppData\Roaming\Identities\[nama acak].exe
20131223I_varianshortcut04
Gambar 4, Registri yang dibuat oleh virus
Aktif ketika startup

Supaya malware ini dijalankan pada saat pertama kali komputer dinyalakan, maka ia akan melakukan perubahan pada registri dengan manambahkan value : ‘reader_sl.exe’ pada subkey :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Mengunduh varian malware lain

Ketika pertama kali di aktifkan dan internet user aktif virus melakukan koneksi ke http://api.wipmani*.com untuk mengunduh varian lain dari virus Trojan.genericKD. Celakanya, selain varian baru dari malware dirinya, ia juga akan mengunduh malware lain yang secara akan meningkatkan ancaman terhadap komputer korbannya secara luarbiasa karena secara teknis malware apapun bisa saja diunduh dan dijalankan di komputer yang terinfeksi. Dalam pengetesan yang dilakukan oleh Vaksincom, malware ini mengunduh malware baru gen:Trojan.heur.ZGY.5 dari:
  • IP: http://185.24.218.99, virus yang di download: bren.exe (terdeteksi oleh G Data sebagai : Trojan.genericKDZ.24146)
  • IP: http://185.24.218.99, virus yang di donwload: vse.exe (terdeteksi oleh G Data sebagai : Trojan.genericKD.1432374)
  • IP: http://196.196.8.53, virus yang di download: 6542.exe (terdeteksi oleh G Data sebagai : Gen:variant.barys.513). Lihat gambar 5
20131223I_varianshortcut05
Gambar 5, Aksi malware mengunduh ‘preman’ komputer lain untuk menginfeksi komputer korban
Dan akan langsung di simpan dengan nama file:

  • C:\recycler\S-1-5-21-0243556031-888888379-781863308-83971975\and2mew2.exe (XP, windows 2000/2003, Win 7 dan Win 8)
  • C:\recycler\S-1-5-21-0243556031-888888379-781863308-82971975\andmew2.exe (XP, windows 2000/2003, Win 7 dan Win 8)
  • C:\Documents and Settings\[user]\application data\msochache\f4sys.exe (XP, windows 2000/2003)
  • C:\recycler\wivsys.exe (XP, windows 2000/2003, Win 7 dan Win 8)
  • C:\recycler\barcode.exe (XP, windows 2000/2003, Win 7 dan Win 8)
  • C:\Users\[user]\AppData\Local\Temp\windows\winsys.exe (Win 7 dan Win 8)
  • C:\Documents and settings\[user]\local settings\temp\windows\winsys.exe (XP dan windows 200/2003) lihat gambar 6
20131223I_varianshortcut06
Gambar 6, Lokasi penyimpanan file malware yang diunduh
Catatan :

Komputer anda akan terlindungi dengan baik dari malware ini maupun variannya jika di komputer anda sudah terdapat Antivirus G Data. Web Protection G Data akan secara otomatis akan memblokir situs yang bervirus ketika anda mencoba mengakses web yang bervirus tersebut (lihat gambar 7)
20131223I_varianshortcut07
Gambar 7, G Data Antivirus dengan Web protectionnya akan memblokir semua akses ke situs malware
Melakukan Blokir akses situs Kemamanan

Untuk menjaga kelangsungan hidupnya, malware ini berusaha melakukan perlindungan dengan cara memblok akses ke situs keamanan dimana situs yang mengandung string berikut dibawah ini akan diblok aksesnya :
  •     avast
  •     avg
  •     avira
  •     bitdefender
  •     bullguard
  •     clamav
  •     comodo
  •     emsisoft
  •     eset
  •     fortinet
  •     f-secure
  •     garyshood
  •     gdatasoftware
  •     heck.tc
  •     iseclab
  •     jotti
  •     kaspersky
  •     lavasoft
  •     malwarebytes
  •     mcafee
  •     onecare.live
  •     norman
  •     norton
  •     novirusthank
  •     onlinemalwarescanner
  •     pandasecurity
  •     precisesecurity
  •     sophos
  •     sunbeltsoftware
  •     symantec
  •     threatexpert
  •     trendmicro
  •     virscan
  •     virus
  •     virusbuster
  •     nprotect
  •     viruschief
  •     virustotal
  •     webroot
 
Memonitor login user yang terinfeksi dan berusaha mencuri kredensial aksesnya jika mengunjungi situs web di bawah ini :
  •     *.moneybookers.*/*login.pl
  •     *1and1.com/xml/config*
  •     *4shared.com/login*
  •     *:2082/login*
  •     *:2083/login*
  •     *:2086/login*
  •     *:2222/CMD_LOGIN*
  •     *alertpay.com/login*
  •     *aol.*/*login.psp*
  •     *bcointernacional*login*
  •     *bigstring.*/*index.php*
  •     *clave=*
  •     *depositfiles.*/*/login*
  •     *dotster.com/*login*
  •     *dyndns*/account*
  •     *enom.com/login*
  •     *facebook.*/login.php*
  •     *fastmail.*/mail/*
  •     *fileserv.com/login*
  •     *filesonic.com/*login*
  •     *freakshare.com/login*
  •     *gmx.*/*FormLogin*
  •     *godaddy.com/login*
  •     *google.*/*ServiceLoginAuth*
  •     *hackforums.*/member.php
  •     *letitbit.net*
  •     *login.yahoo.*/*login*
  •     *mediafire.com/*login*
  •     *megaupload.*/*login*
  •     *members*.iknowthatgirl*/members*
  •     *members.brazzers.com*
  •     *moniker.com/*Login*
  •     *namecheap.com/*login*
  •     *netflix.com/*ogin*
  •     *netload.in/index*
  •     *no-ip*/login*
  •     *oron.com/login*
  •     *Passwd=*
  •     *paypal.*/webscr?cmd=_login-submit*
  •     *runescape*/*weblogin*
  •     *secure.logmein.*/*logincheck*
  •     *sendspace.com/login*
  •     *signin.ebay*SignIn
  •     *sms4file.com/*/signin-do*
  •     *speedyshare.com/login*
  •     *steampowered*/login*
  •     *thepiratebay.org/login*
  •     *torrentleech.org/*login*
  •     *twitter.com/sessions
  •     *uploaded.to/*login*
  •     *uploading.com/*login*
  •     *vip-file.com/*/signin-do*
  •     *webnames.ru/*user_login*
  •     *what.cd/login*
  •     *whcms*dologin*
  •     *youporn.*/login*
Melakukan Spaming dari dan ke email tertentu

Selain berusaha mencuri kredensial akses situs tertentu, ia juga akan menjadikan korbannya sebagai komputer agen spam dengan mengirimkan email ke alamat yang telah ditentukan dengan menggunakan smtp dibawah ini : (lihat gambar 8)

-         Col0-mc1-f.col0.hotmail.com

-         Col0-mc2-f.col0.hotmail.com

-         Col0-mc3-f.col0.hotmail.com

-         Col0-mc4-f.col0.hotmail.com

-         Mta-v4.mail.vip.ne1.yahoo.com

-         Mta-v4.mail.vip.gq1.yahoo.com

-         Mta-v6.mail.vip.ne1.yahoo.com

-         Bay0-mc1-f.bay0.hotmail.com

-         Bay0-mc2-f.bay0.hotmail.com

-         Bay0-mc3-f.bay0.hotmail.com

-         Bay0-mc4-f.bay0.hotmail.com
20131223I_varianshortcut08
Gambar 8, Aksi malware menjadikan komputer korbannya sebagai agen pengiriman spam
Membersihkan malware ini :

1. Scan komputer atau USB flashdisk dengan G Data liveCD (lihat gambar 9)
20131223I_varianshortcut09
Gambar 9, G Data Live CD in action
Jika anda belum memiliki G Data Live CD, anda dapat mengunduh file iso untuk di burning ke CD dari :

http://www.gdatasoftware.co.uk/?eID=PushFile&dl=06ffac985b%3AAFoFBA4%3D

Untuk tata cara penggunan G Data live CD dapat dilihat pada:

http://www.virusicu.com/liveicu/liveicu.php

2. Bersihkan registri virus dari komputer
  • Unduh tools autoruns.zip pada:
  • Ekstrak file autoruns.zip dan jalankan file autoruns.exe
  • Pilih tab ‘logon’
  • Hapus semua file pada “image path” yang bertuliskan awalan ‘file not found: . . . . ‘ (lihat gambar 10)
20131223I_varianshortcut10
Gambar 10, Bersihkan registri virus
3. Hapus file shortcut yang membuka file yg terhidden pada USB flashdisk

a. Hapus file shortcut
  • Klik pada drive Removable disk
  • Ketikan ‘*.lnk’ pada search Removable disk (ada pada sebelah pojok kanan atas)
  • Hapus semua file yang ditemukan oleh search (lihat gambar 11)
20131223I_varianshortcut11
Gambar 11, Hapus file shortcut yang dibuat virus
b. Membuka file system yang disembunyikan pada USB flashdisk
  • Buka notepad.exe
  • Ketikan: ‘attrib –s –a –r –h /s /d’
  • Simpan pada drive flashdisk dengan, file name: unlock.bat. Ingat, pilih :
Save as type: All Files (*.*)
  • Jalankan file unlock.bat yang baru anda simpan.
Catatan :

Komputer anda akan terlindungi dengan baik dari malware ini maupun variannya jika di komputer anda sudah terdapat Antivirus G Data. Web Protection G Data akan secara otomatis akan memblokir situs yang bervirus ketika anda mengakses web yang bervirus tersebut
20131223I_varianshortcut12
Salam,

Netsky Vista
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: