File malicious yang saya dapatkan memiliki icon bergambar seorang wanita, dengan nama file "facebook-pic% number%.exe", yang dalam analisa singkat saya menunjukan bahwa malware ini cukup berbahaya.
Saat dijalankan malware ini akan meng-extract file utama dari tubuhnya pada direktori “C:\Document and Settings\%username%\Application Data\”, pada mesin tes berbasis Windows XP yang saya gunakan. Nama file yang digunakan akan di-generate menggunakan serial number HDD sebagai kunci awal, jika ia gagal mendapatkan serial number HDD, maka ia akan menggunkan “1337B00B” (baca: bahasa elite) sebagai kunci awalnya.
Salah satu fiturnya adalah ia dapat memblok akses ke berbagai situs security, termasuk emsisoft.com. Dan secara tidak langsung ini juga akan menghambat program security untuk melakukan update. Pada tubuh virus tersebut terdapat nama – nama situs yang di blok yang terdapat pada section .data yang ter-encrypt:
Sebagai tambahan, ia juga mendownload sebuah file teks yang beralamat di http://212.7.214.16/list.txt, yang berisi 1269 domain situs dan blog yang terkait dengan keamanan komputer.
Sebagai pertahanan diri, malware ini juga memiliki kemampuan rootkit untuk menyembunyikan file dan registry yang dibuatnya. Ia melakukan systemwide hook, meng-inject dirinya ke seluruh process aktif dan melakukan hooking pada beberapa fungsi berikut ini:
- advapi32.dll.RegCreateKeyExW
- advapi32.dll.RegCreateKeyExA
- ntdll.dl.NtQueryDirectoryFile
- ntdll.dl.NtEnumerateValueKey
- ntdll.dl.NtResumeThread
- ntdll.dl.LdrLoadDll
- kernel32.dll.CopyFileW
- kernel32.dll.CopyFileA
- kernel32.dll.CreateFileW
- kernel32.dll.CreateFileA
- kernel32.dll.MoveFileW
- kernel32.dll.MoveFileA
- wininet.dll.InternetWriteFile
- wininet.dll.HttpSendRequestW
- wininet.dll.HttpSendRequestA
- ws2_32.dll.getaddrinfo
- ws2_32.dll.send
- nspr4.dll.PR_Write
Untuk menandai kehadirannya, ia membuat mutex "s5rBKCUVfOF8JLVi", dan pada setiap proses yang telah di-inject juga akan terdapat mutex dengan nama “hex-Mutex”.
Dari daftar tersebut terlihat beberapa fungsi yang terkait dengan komunikasi data internet, artinya ia dapat memantau aktivitas browsing dari korban. Malware ini dapat berkomunikasi dengan C&C melalui protokol IRC, jadi ia dapat mengirimkan segala informasi yang ditemukan pada komputer korban kepada pembuatnya. Dan juga, pembuatnya bisa memerintahkan malware ini untuk berbuat sesuatu, seperti contohnya men-download update file binary malware tersebut.
Ini jelas akan sangat berbahaya apabila korban melakukan login ke akun email, Facebook, Twitter, atau bahkan aktivitas online banking, seperti yang terlihat pada string berikut ini, yang ditemukan pada proses yang dibajak:
Dari sana Anda bias melihat beberapa situs online banking seperti officebanking.cl, Alertpay, Moneybookers and PayPal, and lain sebagainya.
Pada komputer terinfeksi, ia akan mengumpulkan berbagai informasi pada komputer korban, contohnya ia melakukan koneksi ke alamat http://api.wipmania.com/ untuk mendapatkan alamat IP dan negara asal korban.
Halaman default dari browser korban juga diubahnya, menjadi mengarah ke situs http://redirecturls.info/. Yang selanjutnya dapat me-redirect pengguna ke situs-situs berikut ini:
- hxxp://best-articles.li
- hxxp://bestarticles-ever.blogspot.com
- hxxp://amazingarticles.info
- hxxp://mega-articles.info
MSN Messenger juga digunakan sebagai salah satu teknik penyebarannya. Yang ia lakukan adalah, mencegat pesan yang dikirimkan oleh user lalu membajak pesan tersebut secara on-the-fly.
Contohnya pada kasus ini, saya mencoba mengirimkan pesan “Hello” kepada seorang teman, namun ternyata teman saya malah mendapatkan pesan “LOL http://[MALICIOUS_LINK]”. URL yang diterima pun bisa berubah-ubah, tergantung apa yang diinstruksikan oleh host server atau C&C. Selanjutnya malware tersebut akan melaporkan aksinya ini kepada host server.
Itulah beberapa "feature" yang dimiliki oleh Ngrbot. Terakhir dan tidak kalah pentingnya, ia juga memiliki sebuah pesan bagi orang yang mencoba me-reverse atau menganalisis malware ini:
* Artikel ini merupakan versi bahasa Indonesia dari artikel yang berjudul Warning: New malware wants to steal your passwords yang dipublikasikan pada blog Emsisoft.
Hallo gan, saat ini saya sedang mengalaminya. Semua browser saya di ubah hompage-nya menjadi hxxp:// redirecturls.info/.
BalasHapusLalu bagaimana cara mengatasiny?
saya belum menemukan tulisan seperti ini di blog lain.
Hi! Sudah coba scan komputer Anda? Jangan lupa untuk update antivirus-nya terlebih dahulu. Jika masih menemui masalah, kabari saya. Akan saya coba bantu.
BalasHapus