Jumat, 02 September 2016

[Analisa] Virus Dorifel


Virus Dorifel pertama kali menginfeksi ribuan komputer di Belanda dan akhirnya menyebar ke negara-negara eropa dan negara lainnya, termasuk Indonesia. Berdasarkan laporan dari forum dan beberapa komunitas, Dorifel menyebar melalui flashdisk yang sudah terinfeksi Dorifel. Berbeda dengan Virus penginfeksi dokumen pada umumnya, file yang terinfeksi Dorifel akan di enkripsi dengan metode enkripsi RC4.

Virus Dorifel oleh beberapa AntiVirus lain dikenal dengan nama xDocCrypt atau Quervar. Dorifel pertama yang saya temukan di tahun 2013 lalu virus tersebut dicompile dengan Microsoft Visual C++ ver. ~6.0~7.10

Aksi
Ketika aktif di memory,Dorifel akan membuat folder pada \% Users\Application Data %\ dengan nama acak. Pada folder tersebut, Dorifel akan membuat file dropper dengan nama acak ber-ekstensi *.exe dengan ukuran antara 100-300 KB. Dorifel juga membuat shortcut dengan nama seperti file dropper dengan parameter “-launcher” yang mengarah ke file dropper pada folder tersebut.

Agar dapat segera aktif ketika computer di nyalakan, maka Dorifel membuat item startup pada registry yang mengarah ke file shortcut Dorifel sebagai berikut:
Root Key =HKEY_CURRENT_USER
Key = Software\Microsoft\Windows NT\CurrentVersion\Windows
Value Data = load
Value Data = C: \Documents and Settings\%username%\Application Data\%nama acak%.exe.lnk

Ketika file shortcut Dorifel dijalankan atau aktif karena computer direstart atau baru dinyalakan, maka dropper dari Dorifel akan otomatis ter-load ke memory dan membuat file ber-ekstensi *.ini dengan nama seperti file droppernya. File *.ini milik Dorifel tersebut berisi karakter acak.

File Dropper Dorifel berperan sebagai Infector dan akan terus menginfeksi secara terus-menerus (infinite looping) dan jika Dorifel mendeteksi adanya process dengan nama taskmgr.exe (walaupun bukan proses milik task manager sebenarnya) telah aktif di memory maka file dropper Dorifel akan men-terminate atau mengakhiri prosesnya sendiri.Saat di lakukan analisa secara code, terlihat dorifel menggunakan sebuah timer bernama "KillTimer"

Hal yang sama juga terjadi Jika file Dropper dijalankan secara manual bukan dijalankan dengan shortcut,
karena file dropper harus dijalankan dengan parameter “-launcher” seperti pada file shortcut dorifel .

Infeksi Dokumen dan File Executable
Dorifel akan menginfeksi file ber-ekstensi *.doc,  *.docx (Microsoft Office Word), *.xls (Microsoft Office Excel) dan *.exe (PE 32-bit). Dalam aksinya, Dorifel tidak hanya membaca ekstensi file saja, tetapi membaca header file tersebut sehingga jika di test dengan suatu file *.txt yang direname menjadi *.doc tentu tidak akan terinfeksi.
Saat melakukan infeksi, File asli akan diletakkan pada akhir file executable Dorifel dalam keadaan ter-enkripsi. Pada file terinfeksi tersebut terdapat karakter Unicode “Right To Left Mark”  atau “U+202E” pada nama file, sehingga pada versi Windows Vista ke atas seperti Windows 7 dan lainnya ,  ekstensi file seakan tidak berubah .
Sebagai contoh file bernama “tugas.doc” telah terinfeksi oleh dorifel, maka akan terlihat dengan nama “tugasrcs.doc” dan meskipun ber-ekstensi akhir *.doc , file type pada file terinfeksi tersebut tetap menjadi “Screen Saver” sehingga jika di buka maka akan mengaktifkan Dorifel.

Berbeda jika file tersebut dilihat pada system operasi Windows XP, nama yang terlihat adalah “tugas %karakter unicode right to left mark% cod.scr” sehingga user akan segera mengetahui file dokumen miliknya telah berubah ekstensi. Khusus file *.exe yang terinfeksi dorifel, maka ekstensi file akan tetap sama.

File yang terinfeksi Dorifel akan di enkripsi dengan metode enkripsi RC4 dengan key yang berbeda pada setiap variannya. Untuk mengetahui Key RC4 yang digunakan dorifel untuk proses enkripsi dan dekripsi, anda harus bisa melakukan reverse engineering.

Terdapat pula marker pada file terinfeksi yang menandakan file tersebut sudah terinfeksi oleh Dorifel dan juga sebagai “header” dari file hasil enkripsi, marker juga berbeda-beda tergantung varian Dorifel yang menginfeksi, antara lain adalah:
[+++scarface+++]
[---zxfgthbv---]
[---deadline---]

Marker Dorifel juga di ubah menggunakan fungsi chipper rot13 (rotate by 13 places) yang mengganti suatu karakter dengan 13 karakter selanjutnya. Misalnya pada varian A, marker Dorifel adalah  [+++scarface+++] lalu pada beberapa file terinfeksi, marker tersebut bisa berubah menjadi [+++fpnenspr+++]. Sehingga jika suatu AntiVirus tidak menyadarinya, maka saat proses dis-infeksi file bisa menyebabkan kegagalan.

Ketika file dokumen terinfeksi dibuka, Dorifel meng-ekstrak file asli dengan ekstensi sebenarnya dan membukanya. File ekstrak tersebut akan segera terhapus walaupun file belum ditutup, Berbeda dengan file executable yang terinfeksi Dorifel, jika dijalankan maka dorifel akan meng-ekstrak file dengan nama acak tanpa ekstensi ber-attribut hidden dan system.


Ketika Dilihat dari process hacker, maka file ekstrak tersebut berjalan di bawah proses file terinfeksi kemudian parent proses yaitu file terinfeksi akan men-terminate dirinya sendiri dan tentu file executable dapat berjalan normal seperti biasa. Sama halnya seperti file dokumen, hasil ekstrak file executable terinfeksi pun akan segera terhapus setelah proses dihentikan.

Pembersihan
gunakan antivirus kepercayaan anda untuk melakukan pembersihan. Banyak juga tools untuk melakukan removal untuk Dorifel ini salah satunya yaitu PCMAV Express For Dorifel ;)

Semoga Bermanfaat

Artikel ini dibuat oleh Yudha Tri Putra sebagai penulis artikel, diperbolehkan menyalin artikel ini secara utuh tanpa mengubah atau menambah isi artikel.

0 komentar:

Posting Komentar

(C) 2018. Diberdayakan oleh Blogger.

Categories

Followers