Sabtu, 30 Maret 2013

[Analisa] Trojan GPCoder


Pada posting kali ini saya ingin membahas tentang Trojan GPCoder

Pendahuluan
Trojan GPCoder [Kaspersky=Trojan-Ransom.Win32.Gpcode.e] adalah salah satu malware yang merupakan tipe ransomware. Berbeda dari trojan lainnya tipe ransomware berukuran 116.0 KB ( 118784 bytes ) ini meminta sejumlah "tebusan" yang biasanya harus dikirimkan ke sang pembuat malware melalui liberty reverse dan sebagainya.

Trojan GPCoder pertama kali dtemukan sekitar tahun 2005 [23.06.2005 05:47 dari time date stampnya] dan beberapa variannya masih tersebar hingga tahun 2008 dan sampai sekarang masih bisa ditemukan beberapa varian dari Trojan GPCoder tersebut.

Risk, Tehnik Enkripsi
Trojan GPCoder termasuk malware dengan tingkat risk yang tinggi,karena mampu meng-enkripsi file tertentu dengan cara "mengoverwrite" yaitu menghapus file asli kemudian membuat file enkripsi,misalnya file coba.txt akan dibuat copy filenya menjadi codercoba.txt kemudian file coba.txt dihapus lalu file codercoba.txt akan di rename menjadi coba.txt.

 Tehnik enkripsi Trojan GPCoder menggunakan RSA-1024 dan AES-256 membuat recovery file menjadi sangat sulit. Jenis file yang dapat di enkripsi pun bermacam-macam,seperti dikutip dari securelist, berikut beberapa extensi yang di infeksi :

7zabkabdacad
arharjacearx
asmbzbz2bak
bcbccccdb
cdwcdrcercgi
chmcntcppcss
csvdbdb1db2
db3db4dbadbb
dbcdbddbedbf
dbtdbmdbodbq
dbxDjvudocdok
dprdwgdxfebd
emleniertfax
flbfrmfrtfrx
frggtdgzgzip
gfagfrgfdh
incigsigesjar
jadJavajpgjpeg
Jfifjpejsjsp
hpphtmhtmlkey
kwmLdiflstlsp
lzhlzwldrman
mdbmhtmmfmns
mnbmnumomsb
msgmxloldp12
pakpaspdfpem
pfxphpphp3php4
plprfpgpprx
pstpwpwapwl
pwmpm3pm4pm5
pm6rarrmrrnd
rtfSafesarsig
sqltartbbtbk
tdftgztxtuue
vbvcfwabxls
xml

Analysis
saat dijalankan,Trojan GPCoder membuat mutex encoder_v1.1,pada beberapa variannya dia akan membuat mutex bernama "_G_P_C_."

pada folder yang terdapat file hasil enkripsi Trojan GPCoder akan terdapat file text seperti berikut:
Some files are coded.
To buy decoder mail: md56@mail.ru          
with subject: PGPcoder md56

di file terenkripsi terdapat header sebagai berikut : PGPcoder md56
string body Trojan GPCoder:


Pada beberapa antivirus,file yang di enkripsi oleh Trojan GPCoder ini akan dideteksi sebagai malware atau file terinfeksi. Cara aman untuk menghindari Trojan GPCoder ini adalah update AntiVirus anda dan selalu backup file anda. Tidak semua Tools yang beredar menjamin bisa mengembalikan file hasil enkripsi Trojan GPCoder ini 100%.

referensi :
http://www.securelist.com/en/descriptions/old313444
http://en.wikipedia.org/wiki/PGPCoder

Semoga Bermanfaat

Artikel ini dibuat oleh Yudha Tri Putra sebagai penulis artikel, diperbolehkan menyalin artikel ini secara utuh tanpa mengubah atau menambah isi artikel.

0 komentar:

Posting Komentar

(C) 2018. Diberdayakan oleh Blogger.

Categories

Followers