Jumat, 09 Maret 2012

SlenfBot: Rootkit yang Selalu Update


SlenfBot. Sampai tulisan ini dibuat, kami masih mendapatkan beberapa sampel varian SlenfBot. Anehnya URL yang di akses oleh SlenfBot masih bisa di akses sampai sekarang. Sehingga kemungkinan besar varian SlenfBot akan terus bertambah selama websitenya masih bisa diakses.

A. Info File
Nama Worm : SlenfBot
Asal : ~
Ukuran File : acak
Packer : ~
Pemrograman : Microsoft Visual C++ 9.0 – Visual Studio 2008 (E8)
Icon : Malware Icon
Tipe : Worm, Trojan, Rootkit
B. About Malware
Seiring dengan menyebarnya NgrBot yang juga dilaporkan menyebar melalui jejaring sosial seperti Facebook, trojan SlenfBot adalah salah satu yang memanfaatkan kericuhan ini. Mungkin beberapa user ada yang masih ingat dengan virus chat Facebook, dimana salah seorang teman Facebook tiba-tiba mengirimkan pesan berupa URL. Varian SlentBot kali ini cukup berbeda, kerena icon yang digunakan terlihat lebih beragam dengan banyak kombinasi warna gradasi.

SlenfBot memiliki banyak keistimewaan dibanding worm lain, bahkan mungkin sedikit mirip dengan Conficker yang mampu menyebar pada jaringan. Dengan menggunakan tools anti rootkit seperti GMER, terlihat jelas bahwa SlenfBot menyembunyikan prosesnya.

Saat SlenfBot aktif di memory, meski file fisiknya dapat dilihat dengan hanya men-disable fungsi Hide protected operating system files” pada Folder Options, host tersebut tidak bisa langsung dihapus. Karena, untuk membantu prosesnya agar tetap berjalan, SlenfBot membuat threads yang ditempelkan pada proses explorer.exe.

Jika proses threads-nya di dump, maka terlihat jelas beberapa string yang memang menunjukan bahwa threads tersebut adalah buatan SlenfBot.
00000000F90E 00000000F90E 0 &>%7?645INKQHNG
00000000F988 00000000F988 0 CMD /C START
00000000F998 00000000F998 0 [Autorun]
00000000F9A4 00000000F9A4 0 open=
00000000F9AC 00000000F9AC 0 icon=%windir%\system32\SHELL32.dll,3
00000000F9D4 00000000F9D4 0 action=Browse the contents of the drive.
00000000FA00 00000000FA00 0 shell\open=Open
00000000FA10 00000000FA10 0 shell\open\command=
00000000FA24 00000000FA24 0 shell\open\default=1
00000000FA3C 00000000FA3C 0 shell\explore=Explore
00000000FA54 00000000FA54 0 shell\explore\command=
00000000FA6C 00000000FA6C 0 shell\search=Search...
00000000FA84 00000000FA84 0 shell\search\command=
00000000FA9C 00000000FA9C 0 useautoplay=1
00000000FAC0 00000000FAC0 0 \*.exe
00000000FAC8 00000000FAC8 0 bad allocation
C. Companion/File yang dibuat
Mungkin salah satu ciri utama SlenfBot adalah membuat host di folder system32. Hal ini dapat dengan mudah diketahui dengan adanya aplikasi baru pada MSConfig yang akan di jalankan nantinya pada saat proses startup.
Selain itu, SlenfBot juga membuat companion di removable disk berupa 1 buah file autorun dan 1 buah file host yang disembunyikan didalam folder dengan nama yang selalu berubah akan tetapi memiliki 1 ciri khas yang sudah pasti sama.

`
1. Host didalam folder Recycler Bin
Pernah dijelaskan mengenai fungsi CLSID yang digunakan oleh malware untuk menyimpan hostnya pada removable disk. Sebut saja QVod, variant RECYCLER dan masih banyak lagi malware yang membuat folder dengan nama yang nantinya dapat merubah folder tersebut menjadi folder Recycler. Sama seperti SlenfBot yang membuat folder dengan nama yang mengandung unsur CLSID. Contohnya adalah:
Sysmount.{645ff040-5081-101b-9f08-00aa002f954e}
Bootdev.{645ff040-5081-101b-9f08-00aa002f954e}
SysCore.{645ff040-5081-101b-9f08-00aa002f954e}
Selain itu, host SlenfBot pada flash disk juga dibuat dengan nama yang cukup bervariasi. Sehingga harus menggunakan parameter tambahan untuk coding autorun.inf-nya
2. Autorun.inf
Dibuat dengan menambahkan karakter acak dan dengan sengaja membuat ukuran filenya menjadi lebih besar daripada ukuran file autorun pada umumnya bahkan sampai ada yang berukuran 1.02 MB. Dan yang menarik adalah, seperti yang sudah di jelaskan di atas bahwa SlenfBot menggunakan parameter tersendiri untuk bisa mengeksekusi file executable yang tidak menggunakan extensi exe.

D. Hasil Infeksi
SlenfBot mengingatkan kami pada Conficker, yang mampu menyebar melalui jaringan. Ada laporan yang menyebutkan bahwa salah satu varian SlenfBot menyebar dalam sebuah warnet. Dari hasil pengujian kami, memang benar bahwa SlenfBot mampu menyebar melalui jaringan, seperti yang terlihat pada gambar berikut:

Meng-hidden folder system32 serta melakukan payload untuk meng-enable “Hide portected operating system files” meski sudah dibuat dalam keadaan disable.
E. Pembersihan


PCMAV 6.4 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 6.4 Update Build1 telah hadir dengan penambahan 45 pengenal varian virus baru. Bagi Anda pengguna PCMAV 6.4, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
SendSpace.com
ZippyShare.com (mirror)
RapidShare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 6.4 Update Build1:
ErrorReport
NgrBot-Builder
NgrBot-Builder.exe
NgrBot-Builder.zip
NgrBot.AK
NgrBot.AL
NgrBot.AL.exe
NgrBot.AM
NgrBot.AM.exe
NgrBot.AN
NgrBot.AN.exe
NgrBot.AO
NgrBot.AO.exe.A
NgrBot.AO.exe.B
NgrBot.AO.exe.C
NgrBot.AO.exe.D
NgrBot.AO.exe.E
NgrBot.AO.exe.F
NgrBot.AO.exe.G
NgrBot.AO.exe.H
NgrBot.AO.exe.I
NgrBot.AO.exe.J
NgrBot.AO.exe.K
NgrBot.AO.exe.L
NgrBot.AO.exe.M
NgrBot.AO.exe.N
NgrBot.AO.exe.O
NgrBot.AO.exe.P
NgrBot.AO.exe.Q
NgrBot.AO.exe.R
NgrBot.AO.exe.S
NgrBot.AO.exe.T
NgrBot.AO.exe.U
NgrBot.AO.exe.V
NgrBot.AO.exe.W
NgrBot.AP
Pikir
SlenfBot.A
SlenfBot.B
SystemCheck
SystemCheck.tmp
Vobfus.drp.C
Vobfus.drp.D
Vobfus.exe.AF
Vobfus.prm

www.virusindoesia.com

Samsung Patenkan Teknologi untuk ’Smart Device-Skin’


Penulis: Fauzi  (www.tabloidpulsa.co.id)
Saturday, 10 March 2012 08:41
Kantor paten dan merek terdaftar di Amerika Serikat belum lama ini menerbitkan secara detail sebuah paten baru milik Samsung.
Paten baru tersebut sebagaimana dikutip PULSAonline via Patentbolt, merupakan sebauah penemuan yang akan memungkinan pengguna untuk mengambil foto digital atau grafis yang secara elektronis 'dikemas' ke perangkat itu.
Penemuan ini menggunakan sebuah alat bernama 'smart device-skin' atau 'film layer' yang diintegrasikan ke dalam perangkat. Berkat teknologi 'mirip bunglon' yang juga disertakan, pada saat tertentu, pengguna dapat mengubah tampilan pada perangkat.
Vendor smartphone papan itu percaya bahwa teknologi ’smart device-skin’ baru ini akan menjadi sesuatu yang besar di masa yang akan datang. Bahkan, vendor berbasis di Korea itu tengah mempertimbangkan versi ritel untuk dijual sebagai sebuah aksesori untuk smartphone Samsung yang telah beredar. (Ozi)

Share To