Zusy,
si
seksi dari
Kazakhstan
pemakan
bandwidth yang
suka judi
Gdata
:
Gen:Variant.Zusy.74842
Dalam
mencari
teman bergaul,
tentunya kita
menghindari
teman yang
suka moroti,
berjudi atau
membawa-bawa
nama kita dan
menggunakannya
untuk
kepentingannya
tanpa
sepengetahuan
kita. Kalau
untuk teman
saja anda
menghindari 3
hal di atas,
sudah pasti
anda akan
sangat
berhati-hati
dengan malware
yang satu ini.
Namanya cukup
menarik seksi:
Zusy, namun
sekali
menginfeksi
komputer anda,
dijamin anda
akan pusing 3
keliling
karena 3
aktivitas
utama yang
dilakukan
tadi.
Menghabiskan
bandwidth
(moroti) anda,
mengakses
situs-situs
berbahaya
seperti situs
malware dan
situs judi dan
terakhir
menjadikan
komputer anda
sebagai zombie
untuk
melakukan
keinginannya.
Untuk
informasi
lebih detail
silahkan lihat
artikel di
bawah ini dan
bagi anda yang
memiliki akses
ke Youtube,
silahkan
nikmati video
Youtube dari
artikel ini di
http://youtu.be/aqwtPOb5opY
Malware
yang
terdeteksi
oleh G Data
sebagai
Gen:Variant.Zusy.74842,
atau Trojan
Downloader:
Win32/Cutwail.BS
adalah varian
dari Win32
Cutwail.
Varian
malware
yang dapat
mengunduh dan
mengeksekusi
file tanpa
sepengetahuan
pemilik
komputer.
Fungsi ini
terutama
digunakan
untuk
menginstal
komponen
Cutwail
tambahan dan
malware lain
pada komputer
yang
terinfeksi
seperti yang
dilakukan oleh
Zbot yang
mengunduh
Cryprolocker
ke komputer
yang berhasil
di infeksinya.
Secara umum,
variant
Cutwail
digunakan
untuk remote
komputer dan
mengarahkan
mereka dengan
berbagai cara
untuk
keuntungan
pembuat
malware,
biasanya untuk
keuntungan
finansial.
Malware ini
dapat
beroperasi
dikomputer
yang
terinfeksi
untuk
mendistribusikan
malware
tambahan,
mengirim spam,
menghasilkan
pendapatan
iklan 'bayar
per klik',
mencuri alamat
email dan
melakukan
bruteforce
(suatu cara
yang digunakan
cracker untuk
menebak
password).
Komponennya
bervariasi,
tetapi
mencakup
trojan
downloader,
spammer dan
virus. Cutwail
juga
menggunakan
rootkit dan
teknik lain
untuk
menghindari
pendeteksian
dan
penghapusan.
Jika anda
pengguna G
Data, Cutwail
dan variannya
tetap dapat
terdeteksi
seperti yang
terlihat pada
gambar 1 di
bawah ini.
Gambar
1,
G Data bisa
mendeteksi
varian Cutwail
sebagai
Zusy.74842
Dalam
aksinya
yang
menjadikan
komputer
korbannya
zombie dan
menginfeksikan
malware lain
ke komputer
korbannya,
Cutwail tidak
terlalu
kentara
menghabiskan
sumberdaya
komputer.
Sebaliknya,
kalau diamati
dengan
seksama,
terjadi
penurunan yang
cukup berarti
pada performa
jaringan. Jika
dilihat dari
tools analisa,
malware ini
bekerja pada
protocol NBNS
NetBios Naming
Services
(sistem
penamaan untuk
mendaftarkan
nama user pada
jaringan) yang
melakukan
broadcast
(mengirimkan
banyak paket
data) terus
menerus pada
domain random
.kz .com .fr
.net .ca .ru
.pl .de dan
.org.
Kemungkinan
ini adalah
aksi Cutwail
berusaha
mencari
C&C
Command and
Control Server
guna
mendapatkan
perintah
selanjutnya
apa yang harus
dilakukan oleh
Cutwail dari
komputer
korbannya.
Aksi inilah
yang akhirnya
akan membuat
jaringan
komputer
menjadi lambat
(lihat gambar
2).
Gambar
2.
IP client yang
terinfeksi
selalu
mengakses ke
domain acak
Beberapa
contoh
domain yang
diakses
malware ini
adalah :
(lihat gambar
3)
-
QAXEAGEAMIBU.KZ
-
PUWIMJOREBDU.KZ
-
COQOSNECPAL/KZ
-
KOQWALPOZO.KZ
-
FABIXLAGITNE.KZ
-
RUZPIFEKNE.KZ
-
SIHUVIJEIRIC.KZ
-
KADEOXERENUP.KZ
-
MANCEKSEK.KZ
-
POZIJANMITCU
-
BISEAZARURQI.KZ
-
PIFIFOMIVUZ.KZ
-
XOQWADXIP.KZ
-
KALDEABIPI.KZ
-
XIWUDACOGBI.KZ
Gambar
3.
Pada protocol
NBNS diatas
terlihat IP
yang
terinfeksi
selalu
mekakses ke
domain
berakhiran .kz
(Kazakhstan)
Proses
malware
aktif
Jika
pada
saat infeksi
tidak
memberikan
pengaruh yang
signifikan,
sebaliknya
pada saat
malware ini
aktif anda
dijamin akan
jengkel dan
terganggu
karena aksi
malware ini
menyedot
bandwidth.
Berikut
perbedaan
aktivitas
jaringan
komputer pada
Gambar
A
yang tidak
terinfeksi
malware dan
Gambar
B
yang
terinfeksi
malware.
(lihat gambar
4)
Gambar
4.
Dalam waktu 22
menit,
aktivitas
jaringan yang
dikirim dan
diterima pada
Gambar A hanya
mencapai 106
packets yang
dikirim dan 16
packet yang
diterima,
sedangkan pada
Gambar B
mencapai 8.577
packets yang
dikirim dan 46
packet yang
diterima dalam
keadaan
komputer tidak
di operasikan
oleh user.
Cara
Kerja
Malware
Malware
ini
memodifikasi
entri registry
untuk
mengaktifkan
dirinya,
menambah
nilai:
"veanosudxeax"
dengan data:
"C:\Documents
and
Setting\<user>\veanosudxeax.exe
(lihat gambar
5)
Gambar
5.
Jalannya
malware pada
image path
c:\documents
and
settings\<user>\
veanosudxeax.exe
Ke
subkunci:
HKCU\Software\Microsoft\windows\currentversion\run
Zusy
juga
melakukan aksi
menghubungi
remote host,
kemungkinan
untuk
menjalankan
aksi
berikutnya
sesuai dengan
keinginan
pembuat
malware ini.
Adapun
beberapa
kemungkinan
perintah yang
dilakukan
adalah :
-
Untuk menerima perintah tambahan dari pembuat malware seperti menyerang satu alamat situs tertentu (Ddos).
-
Mengunduh malware lain dan mengeksekusinya seperti kasus yang terjadi pada Zbot yang mengunduh Cryptolocker.
-
Mencuri data dari komputer yang terinfeksi
-
Menjadi mesin pencari uang seperti yang ditentukan oleh komputer remote seperti : mengirimkan spam, melakukan klik atas iklan guna kepentingan pembuat malware, menghubungi situs tertentu sesuai perintah CC&C server sampai menyerang IP / komputer lain jika diperlukan
Beberapa
contoh
situs yang
kemungkinan
akan menjadi
tempat pembuat
malware
menempatkan
file /
perintah
tambahan guna
meremote
komputer
korban malware
dan diakses
oleh Zusy
adalah (lihat
gambar 6).
Gambar
6.
Malware
mengakses
situs-situs
ini tanpa
persetujuan /
sepengetahuan
pemilik
komputer
HTTP
requests
TYPE:
POST
TYPE:
POST
TYPE:
POST
TYPE:
POST
-
URL:
http://espace-hotelier.com/
TYPE:
POST
TYPE:
POST
TYPE:
POST
Selain
mengakses
URL di atasm
Zusy juga
mengakses DNS
seperti :
(lihat gambar
7). Jika Zusy
berhasil
mengalihkan
DNS komputer
yang di
infeksinya,
hal ini harus
diwaspadai dan
menjadi
perhatian
anda, karena
DNS server
bisa digunakan
untuk
mengalihkan
akses ke situs
yang dituju ke
situs phishing
yang telah
dipersiapkan.
Hal ini sangat
berpotensi
menimbulkan
kerugian
finansial
besar
khususnya jika
komputer yang
terinfeksi
banyak
digunakan
untuk
melakukan
aktivitas
internet
banking atau
e-commerce.
Gambar
7.
Beberapa DNS
yang diakses
oleh Malware
ini
DNS
requests
-
smtp.live.com
-
gamblingonlinemagazine.com
-
berkshirebusiness.org
-
automa.it
-
guberman.com.br
-
austriansurfing.at
-
ompgp.co.jp
-
goodvaluecenter.com
-
ctr4process.org
-
redconeretreat.com
-
unslp.edu.bo
-
plus.ba
-
jeangatz.com
Selain
hal-hal
yang merugikan
di atas,
malware ini
juga mengakses
banyak situs,
termasuk situs
yang dilarang
oleh Ustad
seperti
gamblingonlinemagazine.com,
guberman.com
dan lainnya.
(lihat gambar
7)
Gambar
7.
Situs judi
yang yang
diakses oleh
Zusy ini
Pembersihan
Zusy:
-
Bersihkan malware ini dengan G data Antivirus. (lihat gambar 8)
Gambar
8. Bersihkan
Zusy dengan G
data
Untuk mengunduh G Data Antivirus silahkan kun jungi situs virusicu.com di
http://www.virusicu.com/product/antivirus2014.php untuk G Data Antivirus 2014 atauhttp://www.virusicu.com/product/Totalprotection2014.php untuk G Data Total Protection
Untuk
menghadapi
malware yang
membandel,
anda bisa
menggunakan G
Data Boot CD
yang bisa anda
buat secara
gratis jika
anda
menggunakan G
Data Antivirus
atau G Data
total
Protection (lihat
gambar
9).
Gambar
9.
Scaning
menggunakan G
Data Boot CD
Untuk
menghapus
registri yang
dibuat oleh
malware dapat
menggunakan
script
registry
dibawah ini :
[Version]
signature="$Chicago$"
Provider=vaksicom
Oyee
2014
[DefaultInstall]
DelReg=del
[del]
HKCU,
Software\Microsoft\Windows\CurrentVersion,
AppManagement
HKCU,
Software\Microsoft\Windows\CurrentVersion,
veanosudxeaxzap
HKCU,
Software\Microsoft\Windows\CurrentVersion\Run,
veanosudxeax
Masukan
script
tersebut
didalam
notepad,
kemudian
simpan dengan
nama DelReg.inf
(Save As Type
menjadi All
Files agar
tidak terjadi
kesalahan).
Kemudian
jalankan
DelReg.inf
dengan klik
kanan,
kemudian pilih
install.
Salam,
Fazar
Dwi
Herdiana
info@vaksin.com
Tidak ada komentar:
Posting Komentar