SlenfBot. Sampai tulisan ini dibuat, kami masih mendapatkan beberapa sampel varian SlenfBot. Anehnya URL yang di akses oleh SlenfBot masih bisa di akses sampai sekarang. Sehingga kemungkinan besar varian SlenfBot akan terus bertambah selama websitenya masih bisa diakses.
A. Info File
Nama Worm : SlenfBot
Asal : ~
Ukuran File : acak
Packer : ~
Pemrograman : Microsoft Visual C++ 9.0 – Visual Studio 2008 (E8)
Icon : Malware Icon
Tipe : Worm, Trojan, Rootkit
B. About Malware
Seiring dengan menyebarnya NgrBot yang juga dilaporkan menyebar melalui jejaring sosial seperti Facebook, trojan SlenfBot adalah salah satu yang memanfaatkan kericuhan ini. Mungkin beberapa user ada yang masih ingat dengan virus chat Facebook, dimana salah seorang teman Facebook tiba-tiba mengirimkan pesan berupa URL. Varian SlentBot kali ini cukup berbeda, kerena icon yang digunakan terlihat lebih beragam dengan banyak kombinasi warna gradasi.
SlenfBot memiliki banyak keistimewaan dibanding worm lain, bahkan mungkin sedikit mirip dengan Conficker yang mampu menyebar pada jaringan. Dengan menggunakan tools anti rootkit seperti GMER, terlihat jelas bahwa SlenfBot menyembunyikan prosesnya.
Saat SlenfBot aktif di memory, meski file fisiknya dapat dilihat dengan hanya men-disable fungsi “Hide protected operating system files” pada Folder Options, host tersebut tidak bisa langsung dihapus. Karena, untuk membantu prosesnya agar tetap berjalan, SlenfBot membuat threads yang ditempelkan pada proses explorer.exe.
Jika proses threads-nya di dump, maka terlihat jelas beberapa string yang memang menunjukan bahwa threads tersebut adalah buatan SlenfBot.
00000000F90E 00000000F90E 0 &>%7?645INKQHNG
00000000F988 00000000F988 0 CMD /C START
00000000F998 00000000F998 0 [Autorun]
00000000F9A4 00000000F9A4 0 open=
00000000F9AC 00000000F9AC 0 icon=%windir%\system32\SHELL32.dll,3
00000000F9D4 00000000F9D4 0 action=Browse the contents of the drive.
00000000FA00 00000000FA00 0 shell\open=Open
00000000FA10 00000000FA10 0 shell\open\command=
00000000FA24 00000000FA24 0 shell\open\default=1
00000000FA3C 00000000FA3C 0 shell\explore=Explore
00000000FA54 00000000FA54 0 shell\explore\command=
00000000FA6C 00000000FA6C 0 shell\search=Search...
00000000FA84 00000000FA84 0 shell\search\command=
00000000FA9C 00000000FA9C 0 useautoplay=1
00000000FAC0 00000000FAC0 0 \*.exe
00000000FAC8 00000000FAC8 0 bad allocation
C. Companion/File yang dibuatMungkin salah satu ciri utama SlenfBot adalah membuat host di folder system32. Hal ini dapat dengan mudah diketahui dengan adanya aplikasi baru pada MSConfig yang akan di jalankan nantinya pada saat proses startup.
Selain itu, SlenfBot juga membuat companion di removable disk berupa 1 buah file autorun dan 1 buah file host yang disembunyikan didalam folder dengan nama yang selalu berubah akan tetapi memiliki 1 ciri khas yang sudah pasti sama.
`
1. Host didalam folder Recycler Bin
Pernah dijelaskan mengenai fungsi CLSID yang digunakan oleh malware untuk menyimpan hostnya pada removable disk. Sebut saja QVod, variant RECYCLER dan masih banyak lagi malware yang membuat folder dengan nama yang nantinya dapat merubah folder tersebut menjadi folder Recycler. Sama seperti SlenfBot yang membuat folder dengan nama yang mengandung unsur CLSID. Contohnya adalah:
Sysmount.{645ff040-5081-101b-9f08-00aa002f954e}Selain itu, host SlenfBot pada flash disk juga dibuat dengan nama yang cukup bervariasi. Sehingga harus menggunakan parameter tambahan untuk coding autorun.inf-nya
Bootdev.{645ff040-5081-101b-9f08-00aa002f954e}
SysCore.{645ff040-5081-101b-9f08-00aa002f954e}
2. Autorun.inf
Dibuat dengan menambahkan karakter acak dan dengan sengaja membuat ukuran filenya menjadi lebih besar daripada ukuran file autorun pada umumnya bahkan sampai ada yang berukuran 1.02 MB. Dan yang menarik adalah, seperti yang sudah di jelaskan di atas bahwa SlenfBot menggunakan parameter tersendiri untuk bisa mengeksekusi file executable yang tidak menggunakan extensi exe.
D. Hasil Infeksi
SlenfBot mengingatkan kami pada Conficker, yang mampu menyebar melalui jaringan. Ada laporan yang menyebutkan bahwa salah satu varian SlenfBot menyebar dalam sebuah warnet. Dari hasil pengujian kami, memang benar bahwa SlenfBot mampu menyebar melalui jaringan, seperti yang terlihat pada gambar berikut:
Meng-hidden folder system32 serta melakukan payload untuk meng-enable “Hide portected operating system files” meski sudah dibuat dalam keadaan disable.
E. Pembersihan
PCMAV 6.4 Update Build1
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 6.4 Update Build1 telah hadir dengan penambahan 45 pengenal varian virus baru. Bagi Anda pengguna PCMAV 6.4, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
SendSpace.com
ZippyShare.com (mirror)
RapidShare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 6.4 Update Build1:
ErrorReport
NgrBot-Builder
NgrBot-Builder.exe
NgrBot-Builder.zip
NgrBot.AK
NgrBot.AL
NgrBot.AL.exe
NgrBot.AM
NgrBot.AM.exe
NgrBot.AN
NgrBot.AN.exe
NgrBot.AO
NgrBot.AO.exe.A
NgrBot.AO.exe.B
NgrBot.AO.exe.C
NgrBot.AO.exe.D
NgrBot.AO.exe.E
NgrBot.AO.exe.F
NgrBot.AO.exe.G
NgrBot.AO.exe.H
NgrBot.AO.exe.I
NgrBot.AO.exe.J
NgrBot.AO.exe.K
NgrBot.AO.exe.L
NgrBot.AO.exe.M
NgrBot.AO.exe.N
NgrBot.AO.exe.O
NgrBot.AO.exe.P
NgrBot.AO.exe.Q
NgrBot.AO.exe.R
NgrBot.AO.exe.S
NgrBot.AO.exe.T
NgrBot.AO.exe.U
NgrBot.AO.exe.V
NgrBot.AO.exe.W
NgrBot.AP
Pikir
SlenfBot.A
SlenfBot.B
SystemCheck
SystemCheck.tmp
Vobfus.drp.C
Vobfus.drp.D
Vobfus.exe.AF
Vobfus.prm
www.virusindoesia.com