Minggu, 22 September 2013

[Analisa] Worm Vobfus

Minggu, September 22, 2013 by 

VB+Obfuscate atau Vobfus adalah Worm yang dibuat dengan VB 6.0 dan banyak memliki variant .Mempunyai kemampuan untuk mengubah atau mengupdate resource icon sehingga icon file bisa berupa seperti folder,video dan gambar sehingga hasil hash atau checksum error bisa berubah-ubah, juga dengan nama-nama yang menipu dan menarik rasa ingin tahu seperti porn,video,sexy,passwords (terlihat pada gambar diatas)  =))

berikut analisa singkat tentang Worm Vobfus ini
mengcopy dirinya ke :

fixed drive
\Documents and Settings\%nama user%\%nama acak%.exe
Attribute         : hidden+system

removable drive
\root %:\autorun.inf
Attribute        : hidden+system
mengarah ke file dengan nama acak di root

\root % \x.mpeg
file ini bersize 0 bytes (kosong)

\root % \%nama acak%.exe
Attribute       : hidden+system

\root % \nama folder%.exe
:\root % \nama file%.exe
\root % \Secret.exe
\root % \Sexy.exe
\root % \Porn.exe
\root % \Passwords.exe
Attribute      : normal.

Ketika Removable drive (misal : flashdisk) yang terinfeksi oleh Vobfus dimasukkan ke Komputer yang bersih meskipun fitur AutoPlay atau Autorun pada komputer tersebut tidak diaktifkan, Vobfus tidak akan khawatir dirinya tidak bisa aktif ,karena Vobfus membuat file copy dengan nama yang menarik bagi user agar mengaktifkan dirinya secara manual, jadi bisa dibilang Worm Vobfus juga mempraktikkan tehnik social engineering seperti Worm Lokal  =))

Agar dapat berjalan ketika Startup, Vobfus membuat value sebagai berikut :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run [%nama acak%: % drive % :\Documents and Settings\%nama user%\%nama acak%.exe /f"]

 Mengatur agar file dengan attribut Hidden atau Hidden + System tidak terlihat
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden: 0x00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden: 0x00000000

Menonaktifkan Fitur Windows Auto-Update
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate:0x00000001

Selain itu, Vobfus dapat mendownload Malware lain yang disebut Trojan Beebone, dan si Beebone sendiri akan mendownload varian Vobfus terbaru dan malware lainnya dan akan terus berulang sehingga keduanya bisa saling "mengupdate" dirinya.

referensi : http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Worm%3aWin32%2fVobfus.HG#tab=2
               http://support.microsoft.com/kb/328010

Semoga Bermanfaat

Artikel ini dibuat oleh Yudha Tri Putra sebagai penulis artikel, diperbolehkan menyalin artikel ini secara utuh tanpa mengubah atau menambah isi artikel.

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)
(C) 2018. Diberdayakan oleh Blogger.

Categories

Followers