Langsung ke konten utama

MALWARE 2011



Top Malware
Seperti tidak ada habisnya serangan dari malware yang berasal dari dalam maupun luar negeri. Antara lain Conficker yang mengawali serangan pada tahun 2008, dan berbagai varian worm VB-Shortcut yang memulai aksinya di pertengahan 2010, serta berbagai malware lainnya, berhasil memberikan teror di sampai akhir tahun 2010 karena tingkat penyebarannya.
Berdasarkan data yang kami kumpulkan yang sebagian besar dari kiriman pengguna PCMAV, 10 malware teratas yang paling banyak menyebar adalah:

1. Sality Variant
2. VB-Shortcut
3. Alman
4. Virut
5. Serviks.vbs Variant
6. 74BE16
7. Conficker
8. Autoit-ReplaceIcon Variant
9. Saphira.A
10. Autoit.EA
Malware lain yang juga banyak dilaporkan:
- EsTeh
- Stuxnet
- Runouce
- Nebula
- Delp-Shortcut
- TripleBox
- Bebek.A
- Malingsi Variant
Selain itu, berikut beberapa review malware yang relatif merupakan nama-nama baru yang menghebohkan di tahun 2010 ini.
1. Zhola.
ZholaWorm Zhola sebenarnya merupakan hasil edit dari malware tipe worm yang source codenya banyak beredar. Dengan merubah bentuk icon dan isi autorunnya, worm ini membuat banyak pengguna salah satu antivirus lokal terinfeksi karenanya, terlebih karena worm ini sengaja diletakkan pada website yang menyediakan Free File Sharing sehingga dapat di-download siapa saja. Pertama kali ditemukan worm ini menggunakan nama “Smadav 7.3”. Worm Zhola akan memperbanyak companion-nya jika menemukan file dengan ekstensi *.doc *.jpg *.mp3 *.avi *.mpeg *.3gp *.flv *.mpg *.mov *.wmv *.wav *.3gp2 dan membuat file dengan nama yang sama.
2. EsTeh.
EsTeh
Dibuat dengan menggunakan bahasa pemrograman Visual Basic 6.0 tanpa di- pack, memiliki icon yang beragam pada setiap file yang dibuatnya. Worm ini membuat banyak file pada flash disk dengan menggunakan icon yang sudah terdapat pada komputer yang sudah terinfeksi sebelumnya dan terdapat pada folder:
C:\Documents and Settings\[nama user]\Local Settings\Temp\doc.ico
C:\Documents and Settings\[nama user]\Local Settings\Temp\folder.ico
C:\Documents and Settings\[nama user]\Local Settings\Temp\mptre.ico
C:\Documents and Settings\[nama user]\Local Settings\Temp\rar.ico
C:\Documents and Settings\[nama user]\Local Settings\Temp\txt.ico
C:\Documents and Settings\[nama user]\Local Settings\Temp\wmp.ico
C:\Documents and Settings\[nama user]\Local Settings\Temp\xls.ico
Selain itu, worm ini juga membuat file yang dijadikan hostnya seperti:
C:\WINDOWS\system32\32rc.exe
C:\WINDOWS\system32\3dPAD.exe
C:\WINDOWS\system32\Epen.exe
C:\WINDOWS\system32\sym32.exe
C:\WINDOWS\system32\temp32.exe
C:\WINDOWS\system32\userinity.exe
C:\Documents and Settings\[nama user]\Local Settings\Temp\Usbconeted.exe
Worm ini juga membuat file Autorun.inf seperti pada gambar di atas.
Ulasan selebihnya dapat dibaca pada http://virusindonesia.com/2010/02/26/esteh-pcmav-23-update-build4/
3. MyLovely.
Malware tipe worm, memiliki icon menyerupai file image tipe jpg. Hasil infeksi worm MyLovely akan ditemukan pada setiap drive dengan nama Gambar Lucu.exe, Kasihku.exe, Photo 01.exe, Wallpaper.exe.  Beberapa aplikasi dengan nama di bawah ini akan diubah sehingga menjalankan file malware di C:\wallpaper.exe:
1. ansav.exe
2. ansav32.exe
3. BLUESOLEIL.exe
4. call.exe
5. Ccapp.exe
6. cclaw.exe
7. cmd.exe
8. dfrg.exe
9. DXDIAG.exe
10. Fixinstall.exe
11. FORMAT.exe
12. freecell.exe
13. GRAPH.exe
14. IEXPLORE.exe
15. install.exe
16. keygen.exe
17. mplayer.exe
18. msconfig.exe
19. MSPAINT.exe
20. Nip.exe
21. Nipsvc.exe
22. Niu.exe
23. Njeeves.exe
24. nod32.exe
25. NOD32krn.exe
26. notepad.exe
27. Nvccf.exe
28. Nvcoas.exe
29. Nvcod.exe
30. Nvcsched.exe
31. OIS.exe
32. PCMAV.exe
33. PCMV-CLN.exe
34. PCMV-RTP.exe
35. ppclean.exe
36. Procexp.exe
37. regedit.exe
38. RemoteCmdSvc.exe
39. Restore my files.exe
40. RSTRUI.exe
41. save.exe
42. SCRNSAVE.exe
43. setup.exe
44. shutdown.exe
45. Taskkill.exe
46. tasklist.exe
47. taskmgr.exe
48. Unins000.exe
49. Uninstall.exe
50. unlocer.exe
51. unlocker.exe
52. Update.exe
53. vb6.exe
54. VFP9.exe
55. VPREVIEW.exe
56. VProConsole.exe
57. VProConsole_.exe
58. wmplayer.exe
59. ypsr.exe
60. ypsrru.exe
61. Zanda.exe
62. Zlh.exe
Selama beberapa detik worm ini akan membuat layar menjadi black screeen yang jika di double click akan muncul gambar dibawah ini:
MyLovely
4. SetRun.
Berikut ini adalah gambar simulasi worm SetRun yang seakan mencirikan sebuah virus padahal termasuk tipe worm.
SetRun
Dengan menggunakan icon menyerupai Microsoft Word, worm SetRun dibuat menggunakan bahasa pemrograman Delphi tanpa di-pack dan memiliki ukuran yang selalu berubah agar menyulitkan antivirus untuk mendeteksinya. Sesuai dengan gambar di atas, jika worm SetRun menemukan file *.doc, *.xls, dan *.pdf, ia akan merename file aslinya mulai dari belakang, kemudia di tambahkan karakter “pns” dan kondisinya ter-hidden. Sedangkan nama file dijadikan replika dari worm SetRun.
5. Nebula.
Nebula
Gambar di atas adalah pesan yang dibuat oleh malware tipe virus bernama Nebula. Kemampuannya menginfeksi beberapa file dengan tipe seperti, *.doc, *.docx, *.xls, *.xlsx, *.avi, *.3gp , *.exe (hanya untuk file *.exe tertentu, seperti YahooMessenger.exe, Firefox.exe, Iexplore.exe, Opera.exe) hampir sama seperti virus Kspoold. Virus ini merubah file dengan ekstensi yang sudah di jelaskan di atas menjadi exe. Beberapa antivirus mampu mengenali malware ini, akan tetapi sebagian besar menghapus file yang sudah terinfeksinya, padahal virus ini belum menghapus file asli, hanya menyimpan di dalam tubuhnya dengan enkripsi tertentu.
6. Serviks.vbs.B.
Serviks
Menggunakan enkripsi dan manipulasi ekstensi, worm ini menyebar dengan cepat. Diduga dibuat oleh orang yang membuat worm Vinurika.vbs dan Yuyun.vbs. keistimewaan lain worm ini adalah shortcut yang dibuatnya. Berbeda dengan worm shortcut yang lain, Serviks.vbs.B ini mampu menyebarkan shortcut sampai ke sub folder sampai 4 level kedalaman. dan didalam shortcutnya sudah dibuat agar mampu menjalankan malware tipe VBScript yang ekstensinya bukan *.vbs dengan perintah:
Wscript.exe //E:VBScript [nama malware]
7. Runouce.
Runouce
Beberapa malware memiliki payload yang destruktif, seperti menghapus, mengenkripsi, atau merusak data. Salah satunya adalah virus Runouce ini. Selain nama Runouce, virus ini juga dikenal oleh antivirus luar dengan nama lain seperti: Chir.B, ChiHack, Runonce, atau EmailWorm. Virus ini berasal dari luar (diduga dari China). Walaupun bukan termasuk virus baru, Runouce masih menyebar cukup luas termasuk di Indonesia. Ia memiliki karakteristik worm karena dapat menyebar melalui e-mail dengan mengirimkan dirinya sebagai attachment, Runouce juga merupakan sebuah virus yang menginfeksi executable file, yang terdapat pada komputer lokal maupun jaringan.
8. Nami-Ternate.
Nami-Ternate
Beberapa pengguna suka dengan tampilan yang berbeda. Tetapi waspadai jika tahu-tahu Anda mendapatkan tampilan seperti pada gambar di atas, karena bisa jadi itu merupakan indikasi bahwa malware Nami-Ternate telah aktif. Dibuat menggunakan Visual Basic tanpa di-pack, worm ini dapat membuat flash disk dan semua drive pada komputer Anda memiliki background seperti pada gambar. Worm juga mendisable beberapa fungsi seperti Task Manager, Regedit, dan lain lain.
9. VB-Shortcut-WinLogon.
VB-Shortcut-WinLogon
Dari sebagian banyak worm VB-Shortcut, VB-Shortcut-WinLogon adalah salah satu varian yang paling merepotkan pengguna yang terinfeksi. Kemampuan meng-kill beberapa tools dan perlindungan diri dari antivirus membuat worm ini tidak mudah dilumpuhkan. Begitu banyak registry yang di rubah worm ini, berikut adalah nama-nama program yang di-block oleh VB-Shortcut-WinLogon.

a2servic.exe, ackwin32.exe, acs.exe, advxdwin.exe, agentsvr.exe, agentw.exe, ahnsd.exe, alerter.exe, alertsvc.exe, alogserv.exe, amon.exe, amon9x.exe, anti-trojan.exe, antigen.exe, antivirus.exe, ants.exe, apimonitor.exe, aplica32.exe, apvxdwin.exe, ashWebSv.exe, atcon.exe, atguard.exe, atro55en.exe, atupdater.exe, atwatch.exe, aupdate.exe, autodown.exe, autotrace.exe, autoupdate.exe, avcenter.exe, avconfig.exe, avconsol.exe, ave32.exe, avgcc32.exe, avgctrl.exe, avgemc.exe, avgnt.exe, avgserv.exe, avgserv9.exe, avguard.exe, avgw.exe, avkpop.exe, avkserv.exe, avkservice.exe, avkwcl9.exe, avkwctl9.exe, avnotify.exe, avnt.exe, avp.exe, avp32.exe, avpcc.exe, avpdos32.exe, avpexec.exe, avpinst.exe, avpm.exe, avpmon.exe, avpnt.exe, avptc32.exe, avpupd.exe, avrescue.exe, avscanavshadow.exe, avsched32.exe, avsynmgr.exe, avupgsvc.exe, avwebloader.exe, avwin95.exe, avwinnt.exe, avwsc.exe, avwupd32.exe, avxmonitor9x.exe, avxmonitornt.exe, avxquar.exe, avxw.exe, azonealarm.exe, bd_professional.exe, bidef.exe, bidserver.exe, bipcp.exe, bipcpevalsetup.exe, bisp.exe, blackd.exe, blackice.exe, boot.exe, bootwarn.exe, borg2.exe, bs120.exe, BullGuard.exe, callmsi.exe, ccapp.exe, ccevtmgr.exe, cclaw.exe, ccpxysvc.exe, ccsetmgr.exe, ccshtdwn.exe, cdp.exe, cfgwiz.exe, cfiadmin.exe, cfiaudit.exe, cfind.exe, cfinet.exe, cfinet32.exe, chrome.exe, ChromeSetup.exe, clamauto.exe, claw95.exe, claw95cf.exe, claw95ct.exe, clean.exe, cleaner.exe, cleaner3.exe, cleanpc.exe, cmd.exe, cmgrdian.exe, cmon016.exe, connectionmonitor.exe, consent.exe, cpd.exe, cpdclnt.exe, cpf.exe, cpf9x206.exe, cpfnt206.exe, crashreporter.exe, csinject.exe, csinsm32.exe, css1631.exe, ctfmon.exe, ctrl.exe, cv.exe, cwnb181.exe, cwntdwmo.exe, defalert.exe, defscangui.exe, defwatch.exe, deputy.exe, Diskmon.exe, doors.exe, dpf.exe, drvins32.exe, drwatson.exe, drweb32.exe, dumphive.exe, dv95.exe, dv95_o.exe, dvp95.exe, dvp95_0.exe, earthagent.exe, ecengine.exe, ecls.exe, ecmd.exe, edi.exe, efinet32.exe, efpeadm.exe, egui.exe, EHttpSrv.exe, ekrn.exe, ent.exe, esafe.exe, escanh95.exe, escanhnt.exe, escanv95.exe, espwatch.exe, etrustcipe.exe, evpn.exe, ewido.exe, exantivirus-cnet.exe, exit.exe, expert.exe, explored.exe, f-agnt95.exe, f-prot.exe, f-prot95.exe, f-stopw.exe, fa-setup.exe, fact.exe, fameh32.exe, fast.exe, fch32.exe, fih32.exe, Filemon.exe, findviru.exe, firefox.exe, firewall.exe, FirewallControlPanel.exe, FirewallSettings.exe, fix-it.exe, flowprotector.exe, fnrb32.exe, fp-win.exe, fp-win_trial.exe, FPAVServer.exe, fprot.exe, fprot95.exe, frw.exe, fsaa.exe, fsav.exe, fsav32.exe, fsav530stbyb.exe, fsav530wtbyb.exe, fsav95.exe, fsave32.exe, fsgk32.exe, fslaunch.exe, fsm32.exe, fsma32.exe, fsmb32.exe, fssm32.exe, fwenc.exe, fwinstall.exe, gbmenu.exe, gbpoll.exe, GenericRenosFix.exe, generics.exe, gibe.exe, GoogleToolbarInstaller_download_signed.exe, gpedit.exe, guard.exe, guarddog.exe, guardgui.exe, guardhlp.exe, hacktracersetup.exe, helper.exe, HiJackThis.exe, HJTInstall.exe, HostsChk.exe, htlog.exe, hwpe.exe, iamapp.exe, iamserv.exe, iamstats.exe, ibmasn.exe, ibmavsp.exe, icload95.exe, icloadnt.exe, icmon.exe, icmoon.exe, icssuppnt.exe, icsupp.exe, icsupp95.exe, icsuppnt.exe, IEDFix.exe, iface.exe, ifw2000.exe, iomon98.exe, iparmor.exe, iris.exe, isrv95.exe, jammer.exe, jed.exe, jedi.exe, kav8.0.0.357es.exe, kavlite40eng.exe, kavpers40eng.exe, kavsvc.exe, kerio-pf-213-en-win.exe, kerio-wrl-421-en-win.exe, kerio-wrp-421-en-win.exe, killprocesssetup161.exe, kis8.0.0.506latam.exe, kpf.exe, kpfw32.exe, ldnetmon.exe, ldpro.exe, ldpromenu.exe, ldscan.exe, licmgr.exe, localnet.exe, lockdown.exe, lockdown2000.exe, lookout.exe, lsetup.exe, luall.exe, luau.exe, lucomserver.exe, luinit.exe, luspt.exe, mbam.exe, mbamgui.exe, mbamservice.exe, mcagent.exe, mcmnhdlr.exe, mcshield.exe, mctool.exe, mcuimgr.exe, mcupdate.exe, mcvsrte.exe, mcvsshld.exe, mdll.exe, mfw2en.exe, mfweng3.02d30.exe, mgavrtcl.exe, mgavrte.exe, mghtml.exe, mgui.exe, minilog.exe, monitor.exe, monsys32.exe, monsysnt.exe, monwow.exe, moolive.exe, mpfagent.exe, mpfservice.exe, mpftray.exe, mrflux.exe, MSASCui.exe, msblast.exe, msconfig.exe, msinfo32.exe, msn.exe, mspatch.exe, mssmmc32.exe, mu0311ad.exe, mwatch.exe, mxtask.exe, n32scan.exe, n32scanw.exe, nai_vs_stat.exe, nav32_loader.exe, nav80try.exe, navap.exe, navapsvc.exe, navapw32.exe, navauto-protect.exe, navdx.exe, naveng.exe, navengnavex15.exe, navex15.exe, navlu32.exe, navnt.exe, navrunr.exe, navsched.exe, navstub.exe, navw.exe, navw32.exe, navwnt.exe, nc2000.exe, ncinst4.exe, nd98spst.exe, ndd32.exe, ndntspst.exe, neomonitor.exe, neowatchlog.exe, netarmor.exe, netcfg.exe, netinfo.exe, netmon.exe, netscanpro.exe, Netscape.exe, netspyhunter-1.2.exe, netstat.exe, netutils.exe, nisserv.exe, nisum.exe, nmain.exe, nod32.exe, normist.exe, norton_internet_secu_3.0_407.exe, notstart.exe, npf40_tw_98_nt_me_2k.exe, npfmessenger.exe, nprotect.exe, npscheck.exe, npssvc.exe, nsched32.exe, ntdetect.exe, ntrtscan.exe, ntxconfig.exe, nui.exe, nupdate.exe, nupgrade.exe, nvapsvc.exe, nvarch16.exe, nvc95.exe, nvlaunch.exe, nvsvc32.exe, nwinst4.exe, nwservice.exe, nwtool16.exe, offguard.exe, ogrc.exe, opera.exe, Opera_964_int_Setup.exe, ostronet.exe, outpost.exe, outpostinstall.exe, outpostproinstall.exe, padmin.exe, panixk.exe, pathping.exe, pavcl.exe, pavproxy.exe, pavsched.exe, pavw.exe, pcc2002s902.exe, pcc2k_76_1436.exe, pccclient.exe, pccguide.exe, pcciomon.exe, pccmain.exe, pccntmon.exe, pccpfw.exe, pccwin97.exe, pccwin98.exe, pcdsetup.exe, pcfwallicon.exe, pcip10117_0.exe, pcscan.exe, pcscanpdsetup.exe, penis32.exe, periscope.exe, persfw.exe, perswf.exe, pf2.exe, pfwadmin.exe, ping.exe, pingscan.exe, platin.exe, pop3trap.exe, poproxy.exe, popscan.exe, portdetective.exe, portmon.exe, portmonitor.exe, ppinupdt.exe, pptbc.exe, ppvstop.exe, prckiller.exe, Process.exe, processmonitor.exe, procexp.exe, procexplorerv1.0.exe, Procmon.exe, programauditor.exe, proport.exe, protectx.exe, pspf.exe, purge.exe, pview.exe, pview95.exe, qconsole.exe, qserver.exe, rapapp.exe, rav.exe, rav7.exe, rav7win.exe, rav8win32eng.exe, realmon.exe, regedit.exe, regedt32.exe, Regmon.exe, rescue.exe, rescue32.exe, Restart.exe, route.exe, routemon.exe, rrguard.exe, rshell.exe, rstrui.exe, rtvscn95.exe, rulaunch.exe, Safari.exe, safeweb.exe, SandboxieBITS.exe, SandboxieCrypto.exe, SandboxieDcomLaunch.exe, SandboxieRpcSs.exe, SandboxieWUAU.exe, SbieCtrl.exe, SbieSvc.exe, sbserv.exe, scan32.exe, scan95.exe, scanpm.exe, sched.exe, schedapp.exe, scrscan.exe, scvhosl.exe, sd.exe, sdclt.exe, serv95.exe, setupvameeval.exe, setup_flowprotector_us.exe, sgssfw32.exe, sh.exe, sharedaccess.exe, shellspyinstall.exe, shn.exe, smc.exe, SmitfraudFix.exe, sofi.exe, spf.exe, sphinx.exe, spider.exe, spysweeper.exe, spyxx.exe, SrchSTS.exe, srwatch.exe, ss3edit.exe, st2.exe, supftrl.exe, supporter5.exe, sweep.exe, sweep95.exe, sweepnet.exe, sweepsrv.sys.exe, swnetsup.exe, swsc.exe, swxcacls.exe, symproxysvc.exe, symtray.exe, sysdoc32.exe, syshelp.exe, taskkill.exe, tasklist.exe, taskmgr.exe, taskmon.exe, taumon.exe, tauscan.exe, tbscan.exe, tc.exe, tca.exe, tcm.exe, tcpsvs32.exe, tds-3.exe, tds2-98.exe, tds2-nt.exe, tds2.exe, tfak.exe, tfak5.exe, tftpd.exe, tgbob.exe, titanin.exe, titaninxp.exe, tmlisten.exe, tmntsrv.exe, tracerpt.exe, tracert.exe, trjscan.exe, trjsetup.exe, trojantrap3.exe, UCCLSID.exe, UI0Detect.exe, undoboot.exe, unzip.exe, update.exe, updater.exe, UserAccountControlSettings.exe, VACFix.exe, vbcmserv.exe, vbcons.exe, vbust.exe, vbwin9x.exe, vbwinntw.exe, vccmserv.exe, vcleaner.exe, vcontrol.exe, vcsetup.exe, vet32.exe, vet95.exe, vet98.exe, vettray.exe, vfsetup.exe, vir-help.exe, virusmdpersonalfirewall.exe, vmsrvc.exe, vnlan300.exe, vnpc3000.exe, vpc32.exe, vpc42.exe, vpcmap.exe, vpfw30s.exe, vptray.exe, vscan.exe, vscan40.exe, vscenu6.02d30.exe, vsched.exe, vsecomr.exe, vshwin32.exe, vsisetup.exe, vsmain.exe, vsmon.exe, vsscan40.exe, vsstat.exe, vswin9xe.exe, vswinntse.exe, vswinperse.exe, vvstat.exe, w32dsm89.exe, w9x.exe, watchdog.exe, webscan.exe, webscanx.exe, webtrap.exe, WerFault.exe, wfindv32.exe, wgfe95.exe, whoswatchingme.exe, wimmun32.exe, wingate.exe, winhlpp32.exe, wink.exe, winmgm32.exe, winppr32.exe, winrecon.exe, winroute.exe, winservices.exe, winsfcm.exe, wmias.exe, wmiav.exe, wnt.exe, wradmin.exe, wrctrl.exe, WS2Fix.exe, wsbgate.exe, wuauclt.exe, wyvernworksfirewall.exe, xpf202en.exe, xscan.exe, zapro.exe, zapsetup3001.exe, zatutor.exe, zatutorzauinst.exe, zauinst.exe, zlh.exe, zonalarm.exe, zonalm2601.exe, zonealarm.exe, _avp.exe, _avp32.exe, _avpcc.exe, _avpm.exe, _findviru.exe
10. Aisyalam.vbs.
Aisyalam.vbs
Worm tipe VBScript yang dibuat dengan sangat rapi tanpa di-enkripsi ini sama seperti hasil edit dari beberapa worm VBS. Aisyalam.vbs membuat 4 file di tiap drive, Ibab-AisyalaM.Iat, autoruN.inF, Mp3-AisyalaM.mp3, dan desktOp.ini. Tidak ada system yang di disable, hanya perbedaan pada tampilan Windows seperti, icon pada start menu yang berubah menjadi besar, dan warna dasar windows yang berubah menjadi hijau muda (default putih).

Komentar