Hallo sob, baru-baru gw nemuin virus/worm baru lho! Namanya Ramnit.C + Starter masih sama seperti stuxnet tapi bukan hanya sekedar exploit dan Rootkit bahkan mampu mengexcute file DLL, PE (EXE) bahkan file HTML berikut ini adalah analisa sementara dari Lab terhadap malware tersebut:
Jika sobat menjalankan Windows Explorer secara otomatis file pemicu dari W32/Ramnit.C ini akan jalan, kenapa bisa jalan karena memamfaatkan celah keamanan pada Windows Explorer yaitu: Bug Exploit CVE-2010 dan pemicu ini akan memanggil komponen DLL yang memiliki nama random dan berextensi *.CPL (Control Panel Items) pada folder yang meniru/menyerupai Recycler.
File EXE-nya menggunakan Ecrypt ZPACK dan bertugas membuat sebuah proses dan mengambil alih svchost.exe serta terhubung ke TCP port 443 yang biasa digunakan untuk SSL. File ini juga menambahkan Visual Basic for Scripting (VBS) script ke file HTML menggunakan taq iFrame HTML. Virus ini sangat berbahaya bagi Webmaster juga. Karena bisa menginfeksi HTML.
Perhatikan gambar-gambar berikut:
Penularan Pada Flashdisk:
- Copy of Shortcut to (1).lnk
- Copy of Shortcut to (2).lnk
- Copy of Shortcut to (3).lnk
- Copy of Shortcut to (4).lnk
- \RECYCLER\*\.*CPL
- \RECYCLER\*\.*EXE
Sampel Yang kami dapat didalam Folder RECYCLER
- \RECYCLER\*\AHjwMBNo.cpl
- \RECYCLER\*\AkNMFCRL.cpl
- \RECYCLER\*\aNDaUKNA.exe
- \RECYCLER\*\cLPVJkpK.cpl
- \RECYCLER\*\CwDUrJdB.cpl
- \RECYCLER\*\dagwlQkE.cpl
- \RECYCLER\*\drAVBwMZ.cpl
- \RECYCLER\*\eaMmSQoX.cpl
- \RECYCLER\*\fZpjyPPy.cpl
- \RECYCLER\*\geWjkwZi.cpl
- \RECYCLER\*\IEtRdrbh.cpl
- \RECYCLER\*\IHaGrBHY.cpl
- \RECYCLER\*\LKcPsJXH.cpl
- \RECYCLER\*\LndIcoXP.cpl
- \RECYCLER\*\lrpwohKp.cpl
- \RECYCLER\*\lupXyAAw.cpl
- \RECYCLER\*\LyVlnZdA.cpl
- \RECYCLER\*\lZevWmcg.cpl
- \RECYCLER\*\mafCbUPO.cpl
- \RECYCLER\*\mGbrWbij.cpl
- \RECYCLER\*\mQSMHcww.cpl
- \RECYCLER\*\MvcNinTi.cpl
- \RECYCLER\*\ndTjaxyh.cpl
- \RECYCLER\*\nmBWLrXh.cpl
- \RECYCLER\*\NuhOEyMD.cpl
- \RECYCLER\*\nWALofnr.cpl
- \RECYCLER\*\OaGOvJeG.cpl
- \RECYCLER\*\OMEGJQcl.cpl
- \RECYCLER\*\OVjsftsa.cpl
- \RECYCLER\*\pCUOOaHt.cpl
- \RECYCLER\*\PpXJOkIr.cpl
- \RECYCLER\*\pQPlgwMY.cpl
- \RECYCLER\*\pROfvClT.cpl
- \RECYCLER\*\QcnlZQeZ.cpl
- \RECYCLER\*\qxfhTIFG.exe
- \RECYCLER\*\RsrsKfla.cpl
- \RECYCLER\*\ryrrcqOx.cpl
- \RECYCLER\*\Tjlcctlt.cpl
- \RECYCLER\*\UvsgiOyE.cpl
- \RECYCLER\*\vNKreBrS.cpl
- \RECYCLER\*\vxscVUns.cpl
- \RECYCLER\*\WYtPelOt.exe
- \RECYCLER\*\XdmGZjNi.cpl
- \RECYCLER\*\xTdEispB.cpl
- \RECYCLER\*\ZcgiwHoK.cpl
- \RECYCLER\*\ZeXsqRJZ.cpl
- \RECYCLER\*\pvceZJVj.exe
- \RECYCLER\*\SHZsXAXH.exe
- \RECYCLER\*\tGDbxZoP.exe
- \RECYCLER\*\tLwKdSvE.exe
- \RECYCLER\*\CBToNhJS.exe
- \RECYCLER\*\hrCXBaSu.cpl
- \RECYCLER\*\iLGrGpyu.cpl
- \RECYCLER\*\klJUCocY.exe
- \RECYCLER\*\phQYFQck.exe
- \RECYCLER\*\PWwgkNPH.exe
- \RECYCLER\*\qiFGArit.cpl
- \RECYCLER\*\rRdTUqAp.cpl
- \RECYCLER\*\UdmvVDOB.cpl
- \RECYCLER\*\unEglHbj.exe
- Win-Trojan/Starter.3584.F (AhnLab)
- Trojan.Win32.Starter.yy (Kaspersky)
- W32/Runner.NZ (Norman)
- Trojan.Ramnit!iQNQL6zS3w0 (VirusBuster)
- TR/Starter.Y (Avira)
- Win32/Ramnit.H (CA)
- Trojan.Starter.1591 (Dr.Web)
- Win32/Ramnit.F (ESET)
- Trojan.Win32.Ramnit (Ikarus)
- W32/Ramnit.a (McAfee)
- Trj/Starter.G (Panda)
- TROJ_STARTER.SM (Trend Micro)
0 komentar:
Posting Komentar