[Analisa] Cybergate RAT

Pada artikel ini, saya ingin menganalisa salah satu Trojan yang dideteksi oleh DrWeb dan Nano AntiVirus sebagai CyberGate. Cybergate adalah software Remote Administration Tool (RAT) berbayar yang dibuat oleh Cyber Software,meksipun begitu jika anda menjadi "korban" dari aksi Cybergate ini sangatlah tidak menyenangkan =)).

Cybergate ini persistence di memory sehingga sulit di remove secara manual, jika anda ingin mendeteksinya secara manual, anda bisa membaca artikel saya sebelumnya di Mendeteksi virus atau malware di memory.

Detail file CyberGate

Nama file : server.exe

Size : 568.0 KB ( 581632 bytes )

Compiler : VB 6

Platform : Win32

Hash MD5 : 57e19566a3963c6a04a607bab82e600c

Original Name : sabusa apurera.exe

Aksi

Ketika aktif di memory, CyberGate akan menginjeksi process IEXPLORE.EXE seperti gambar di bawah ini

SSDT Hooking - NtQuerySystemInformation

Lihat gambar di atas? mengapa process notepad.exe tidak terlihat di Process Hacker?

Pada artikel ini, saya mencoba membahas SSDT Hooking, SSDT atau System Service Descriptor Table digunakan oleh sistem operasi Microsoft Windows untuk menyimpan lokasi system service pada sistem operasi yang di index berdasarkan ID pada SSDT atau disebut juga System Calls Table, lokasi system service tersebut sesuai dengan fungsi yang terdapat pada ntoskrnl.exe (dimana setiap fungsi diawali dengan NT,misalnya NTQuerySystemInformation, NTQueryDirectoryFile dan sebagainya)
.
Jika dilihat berdasarkan user mode dan kernel mode, maka SSDT hook berada di kernel mode

Mendeteksi Virus atau Malware di Memory secara Manual

Pernahkah anda mengalami ketika anda membuka Task Manager kemudian muncul process bernama "mspaint.exe" aktif dengan sendirinya? padahal anda tidak menjalankan Aplikasi mspaint tersebut?lalu benarkah itu Virus?benarkah komputer anda sedang terinfeksi virus?

Berikut saya berikan tips cara Mendeteksi Virus atau Malware di Memory secara Manual dengan Process Hacker (bisa juga dari tools lain seperti sysinternal suite,) . Jika anda sudah memasang AntiVirus namun tidak mendeteksi apa-apa, ada kemungkinan virus ini tidak terdeteksi oleh antivirus anda karena memang varian baru atau vendor AntiVirus tersebut belum mendapatkan sample =))

Cek Network

Malware ketika aktif, biasanya akan melakukan koneksi ke remote address tertentu atau web tertentu secara continue, anda bisa langsung mencurigai process yang terus-menerus melakukan koneksi ke "antah-berantah :D " seperti di bawah ini.

Untuk virus atau malware yang melakukan injeksi process saat aktif di memory. Berikut screenshot Malware yang sudah menginjeksi process mspaint.exe.

Deteksi Varian Sality dengan PEiD

Selamat hari minggu  bagi yang merayakannya =)). Tutorial ini menjelaskan bagaimana cara mendeteksi file apakah terinfeksi virus, dan akan kita bahas tentang varian dari virus sality menggunakan Software bernama PEiD.

Biasanya PEiD digunakan untuk melakukan cek apakah file di pack atau file ini di compile dengan apa. Nah pada tutorial ini akan saya buat agar PEiD mampu mendeteksi file yang terinfeksi varian virus sality.Oke langsung saja ya.

Buka file USERDB.TXT pada folder tempat PEiD berada, kemudian tambahkan signaturenya seperti berikut:

[terinfeksi Sality -> Yudha's World]
signature = 60 E8 54 00 00 00 8D BD 00 10 40 00 B8 ?? ?? ?? ?? 03 F8 8B F7 50 9B DB E3
ep_only = true

atau lihat gambar berikut ini untuk lebih jelasnya