Pengertian Dan Cara Kerja Virus Worm ALABAMA

Alabama. Awalnya kami pikir ini hanyalah worm yang sama seprti VB-Shortcut karena menggunakan icon standart aplikasi Visual Basic.  Namun setelah kami coba melakukan analisa lebih jauh, rupanya karakteristik worm ini berbeda dengan VB-Shortcut.  terdapat string "ALABAMA" yang terdapat dalam tubuh worm ViewFiles.  Aplikasi mengindikasikan worm ini berasal dari Alabama?

Info Malware

Nama : ViewFiles
Asal : kemungkinan dari Alabama
Ukuran File : 168 KB (172,032 bytes)
Pemrograman : Visual Basic
Icon : Aplikasi Visual Basic
Tipe : Worm

Tentang Malware
Selain shortcut yang sedang ramai dibuat oleh beberapa worm belakangan ini, icon aplikasi Visual Basic juga menjadi salah satu ciri Worm yang mulai banyak di laporkan sejak agustus 2010 kemarin.  Begitu juga yang dilakukan oleh pembuat worm ViewFilws.  Namanya diambil dari nama induknya yang menyebar di flash disk dan diberi nama ViewFilws.exe.

File yang dibuat
pada komputer yang terinfeksi, worm FiewFiles akan membuat file autorun dan file companion pada flash disk yang nantinya akan di panggil oleh autorun.

Isi dari autorun akan selalu berubah seperti contoh di bawah ini, hal ini di maksudkan untuk mengecoh pendeteksian oleh antivirus akan tetapi beberapa penting bagian tidak diubah oleh worm ini.

Hasil Infeksi
Worm ViewFiles akan bersembunyi di dalam folder RECYCLER dan membuat folder yang hampir sama seperti isi folder RECYCLER seperti gambar di bawah ini.

Agar bisa berjalan saat startup, worm ini membuat key dengan nama Taskman pada:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
NT/CurrentVersion/Winlogon/Taskman

Cara kerja System Tools Palsu "Remove All Spyware"

Beberapa hari yang lalu, sebagian user di kagetkan dengan adanya aplikasi System Tools yang tanpa mereka sadari aplikasi tersebut adalah  "FakeAntivirus"  atau   "Antivirus Palsu".  Malware .   Laporan di luar user yang mendownload salah satu antivirus lokal dari website resminya yang kemudian justru menjalankan antivirus Palsu.

A.  Info Malware

Nama:  System Tools
Asal: Belum diketahui
Ukuran File: 397 KB (407,040 bytes)
Packer: -
Pemrograman: Visual C++
Icon:  Random
Tipe: Trojan


B.  Tentang Malware
Awalnya, kami mendapat laporan mengenai user yang mendapat pesan di FaceBook dan asinya adalah sebuah link yang jika dibuka maka akan mendownload sebuah file dengan nama surprise.exe. Setelah file tersebut di jalankan, user merasakan keanehan yang  terjadi pada komputernya. Contohnya seperti Firefox tidak bisa dibuka, juga Task Manager dan beberapa file aplikasi lainnya.

Selain beberapa aplikasi tidak bisa di buka, wallpaper pada desktop komputer user berubah seperti pada gambar berikut ini:

Malware tipe Trojan ini mengingatkan kita pada salah satu virus yang sempat menghebohkan Indonesia yaitu Windx-Maxtrox  pada tahun 2008 yang juga mengubah desktop. kesukaan System Tools ini menyebar di Indonesia adalah:

• Menyebar melalui FaceBook dan salah satu website yang menyediakan fasilitas download gratis.
• Pada saat pengguna mengunduh System Tools ini dari Internet, beberapa antivirus luar negeri belum ada yang mendeteksinya sebagai malware.

Dibuat menggunakan C++ tanpa di-Pack, malware ini juga memiliki keistimewaan lain. Yaitu kemampuan untuk merubah DateTimeStamp pada informasi headernya.  Sehingga hash MD5nya selalu berubah meskipun ukuran file nya sama.

Harga antivirus palsu ini juga tidak tanggung-tanggung.

1 tahun lisensi: $59.95

2 tahun lisensi: $69.95

Lifetime lisensi: $79.95

Lifetime premium support:  $19.95

C.  File Yang dibuat

Setelah aktif di memory, system tools akan membuat beberapa file seperti:

• Membuat file [nama acak].tmp yang sebenarnya adalah file gambar (BMP / Bitmap) dan nantinya akan dijadikan wallpaper desktop pada folder SettingsC:/Documents and Settings/[nama user]/Local /Temp.
• Membuat file yang akan di jalankan setelah startup dengan nama acak dan file lain tanpa ekstensi pada folder C:/Documents and settings/All User/Aplication Data/[Foder dengan nama acak]

D.  Hasil Infeksi

Setelah aktif di memory, malware ini akan memblok setiap file aplikasi, kecuali file dengan nama file system seperti pada gambar di bawah:

Malware juga memunculkan pesan-pesan palsu seperti gambar berikut:

Selain menampilkan wallpaper yang berubah seperti yang telah ditampilkan sebelumnya, Malware juga terkadang menampilkan pesan Blue Screen Of Death  (BSOD) yang menandakan seolah-olah sistem komputer sudah benar-benar rusak.

Memaksa user untuk melakukan registrasi agar mendapatkan kode aktivasi dan membersihkan semua malware yang dilaporkan oleh System Tools.

Agar bisa berjalan saat startup, System Tools membuat value registry baru di:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce/[Nama acak],  "C:/Documents and Settings/All User/Aplication Data/[Nama folder acak]/[nama acak].exe.

Cara membersihkan System Tools palsu:

1. Cari file task manager (taskmgr.exe) yang terdapat pada folder C:/Windows/system32/taskmgr.exe

2.  Copy file tersebut ke My Documents, dengan klik kanan lalu pilih menu send to my documents

3.  Buka folder My Documents, kemudian Reneme file "taskmgr.exe" menjadi "Explorer.exe"  dan jalankan file tersebut, maka akan tampil Task Manager.

4.  Cari proses dengan nama aneh misalnya  "eImHbDko2400.exe"  kemudian kill proses tersebut (End Process).

5.  Membuka Windows Explorer, aktifkan fungsi "show Hidden Files and Folders"  pada "Folder Options"  dengan memilih menu Tools - Folder Options - View,  pilih Show Hidden Files and Folders, lalu klik OK.

6.   Musuk ke folder  C:/Documents and Settings/All Users/Aplication Data" cari dan hapus folder dengan nama aneh, misalnya "eImHbDko2400" yang di dalamnya terdapat file dari System Tools.

7.   (Opsional, jika boleh dilakukan atau tidak masalah jika tidak dilakukan) Masuk ke folder  "C:/Documents and Settings/[Nama user]/Local Settings/Temp", cari dan hapuslah file Temporary (tmp) yang ukuranya tidak wajar (2MB~)  karena file tersebut adalah file bitmap yang dijadikan wallpaper pada desktop user yang terinfeksi.

8.  Aktifkan kembali fungsi "Do not show hidden files end foders".  pilih menu Tools _ folder Options _View, pilih  "Do not show hidden files end folders",  dan klik OK.

9.  log Off Komputer.

10. komputer kembali normal.

Cara Kerja Worm "Dhoos"

Biasanya malware berniat untuk merusak komputer korban/mendapat informasi tertentu, akan tetapi hal ini sedikit berbeda dengan worm bernama Dhoos ini.  Meskipun beberapa kebiasaan malware yang memanfaatkan website adalah mendownload file tertentu, worm Dhoos hanya seolah menawarkan beberapa produk yang bisa di beli secara online. Meskipun website yang di akses menggunakan bahasa china.

A. File Info  

Nama:  Dhoos
Asal:  China
Pocker:  UPX
Pemrogram: Delphi
Icon:  Folder
Tipe:  Worm

B.  Tentang Malware

Namanya di ambil dari bagian tubuhnya yang banyak menyebutkan Dhoos.  Ukuran asli worm ini jika tanpa packer adalah 528 KB (541,672 bytes).  Di duga worm ini mulai menyebar di Indonesia pada awal Januari 2011, akan tetapi beberapa antivirus sudah mampu mengenali worm ini dengan teknik heuristic-nya termasuk PCMAV.  Meskipun demikian, ada saja user yang komputernya terinfeksi worm Dhoos kemudian mengirimkan sampelnya kepada kami. Pada komputer yang belum menginstall Windows Asian Language akan menyebabkan nama file worm seperti sebuah karakter acak.


C.  Companion/ File yang Dibuat

*Setelah aktif, worm ini akan membuat 4 buah shorcut URL pada desktop dan semuanya mengarah pada wesite : http://www.sfc***.com/

*Disetiap driver terdapat file dari worm dengan nama My Documamts.axe

* Membuat file DLL dengan nama BSOC pada folder

   C:/Program Files/Common File/BSOC.dll.

* Membuat folder pada dengan "VSPS" pada drive C:/ dan membuat pula companion dengan nama           VSPS.exe

* Membuat folder dengan nama acak seperti "gqyjwihwwn"  dan  "qloyaagnml"  yang didalamnya terdapat host dari worm dengan nama "explorer.exe"  sedangkan yang satunya adalah  "smss.exe".

* Tidak membuat startup pada registry, worm ini mengcopykan companionnya ke folder startup

   C:/Documents and Settings/All Users/Start Menu/Programs/Stratup/liyfmphhgv.exe.

D.  Hasil Infeksi

Tidak tanggung-tanggung worm ini belokan fungsi 187 file aplikasi dengan nama tertentu ke fungsi "ntsd -d".   187 nama file yang tidak bisa dibuka adalah:

1. ~.exe

2. 360rpt.exe

3. 360safe.exe

4. 360safebox.exe

5. 360sd.exe

6. 360sdrum.exe

7. 360tray.exe

8. 799d.exe

9. adam.exe

10. AgentSvr.exe

11. AntiU.exe

12. AoYun.exe

13. appdllman.exe

14. AppSvc32.exe

15. ArSwp.exe

16. ArSwp2.exe

17. ArSwp3.exe

18. AST.exe

19. atpup.exe

20. auto.exe

21. AutoRun.exe

22. autoruns.exe

23. av.exe

24. AvastU3.exe

25. avconsol.exe

26. avgreevc.exe

27. AvMonitor.exe

28. avp.com

29. avp.exe

30. AvU3Launcher.exe

31. CCenter.exe

32. ccSvcHst.exe

33. cross.exe

34. Discovery.exe

35. DSMain.exe

36. EGHOST.exe

37. FileDsty.exe

38. filmst.exe

39. FT CleanerShell.exe

40. FYFireWall.exe

41. ghost.exe

42. guangd.exe

43. HijackThis.exe

44. IceSword.exe

45. iparmo.exe

46. Iparmor.exe

47. irsetup.exe

48. isPwdSvc.exe

49. jisu.exe

50. kabaload.exe

51. KaScrScn.exe

52. KASMain.exe

53. KASTask.exe

54. KAV32.exe

55. KAVDX.exe

56. KAVPF.exe

57. KAVPFW.exe

58. KAVSetup.exe

59. kavstar.exe

60. kernelwind32.exe

61. KISLnchr.exe

62. kissvc.exe

63. KMailMon.exe

64. KMFilter.exe

65. knsd.exe

66. knsdave.exe

67. knsdtray.exe

68. KPFW32.exe

69. KPFW32X.exe

70. KPfwSvc.exe

71. KRegEx.exe

72. KRepair.com

73. KsLoader.exe

74. KSWebShield.exe

75. KVCenter.kxp

76. KvDetect.exe

77. KvfwMcl.exe

78. KVMonXP.kxp

79. KVMonXP_1.kxp

80. kvol.exe

81. kvolself.exe

82. KvReport.kxp

83. KVScan.kxp

84. KVSrvXP.exe

85. KVStub.kxp

86. kvupload.exe

87. kvwsc.exe

88. KvXP.kxp

89. KvXP_1.kxp

90. KWatch.exe

91. kWatch9x.exe

92. KWatch9x.exe

93. KWSMain.exe

94. kwstray.exe

95. KWSUpd.exe

96. loaddll.exe

97. logogo.exe

98. MagicSet.exe

99. mcconsol.exe

100. mmqczj.exe

101. mmsk.exe

102. Navapsvc.exe

103. Navapw32.exe

104. NAVSetup.exe

105. niu.exe

106. nod32.exe

107. nod32krn.exe

108. nod32kui.exe

109. NPFMntor.exe.

110. pagefile.exe

111. pagefile.pif

112. pfserver.exe

113. PFW.exe

114. PFWLiveUpdate.exe

115. qheart.exe

116. QHSET.exe

117. QQDoctor.exe

118. QQDoctorMain.exe

119. QQDoctorRtp.exe

120. QQKav.exe

121. QQPCMgr.exe

122. QQPCRTP.exe

123. QQPCSmashFile.exe

124. QQPCTray.exe

125. QQSC.exe

126. qsetup.exe

127. Ras.exe

128. Rav.exe

129. ravcopy.exe

130. RavMon.exe

131. RavMonD.exe

132. RavStub.exe

133. RavTask.exe

134. RegClean.exe

135. rfwcfg.exe

136. rfwmain.exe

137. rfwproxy.exe

138. rfwsrv.exe

139. RsAgent.exe

140. Rsaupd.exe

141. rsnetsvr.exe

142. RsTray.exe

143. rstrui.exe

144. runiep.exe

145. safeboxTray.exe

146. safelive.exe

147. scan32.exe

148. ScanFrm.exe

149. ScanU3.exe

150. SDGames.exe

151. SelfUpdate.exe

152. servet.exe

153. shcfg32.exe

154. SmartUp.exe

155. sos.exe

156. SREng.EXE

157. SREngPS.EXE
158. stromii.exe

159. sxgame.exe

160. symlcsvc.exe

161. SysSafe.exe

162. tmp.exe

163. TNT.Exe

164. TrojanDetector.exe

165. Trojanwall.exe

166. TrojDie.exe

167. TxoMou.Exe

168. UFO.exe

169. UIHost.exe

170. UmxAgent.exe

171. UmxAttachment.exe

172. UmxCfg.exe

173. UmxFwHpl.exe

174. Umxpol.exe

175. upiea.exe

176. UpLine.exe

177. USBCleaner.exe

178. vsstat.exe

179. wbapp.exe

180. webscanx.exe

181. WoptiClean.exe

182. Wsyscheck.exe

183. XDelBox.exe

184. XP.exe

185. zhudongfangyu.exe

186. zjb.exe

187. zxsweep.exe

Memiliki kemampuan Rookit yang tersembunyi pada Explorer.exe.

Ini adalah aktivitas worm yang terlihat pada Process Explorer:

Karena worm ini membuat user mengakses web dengan bahasa China, maka setiap membuka broweser Internet Explorer, maka akan muncul peringatan untuk menginstall paket "Chinese Simplified" trlebih dahulu:

Untuk flash disk yang terhubung dengan komputer yang terinfeksi maka semua foldernya akan hidden dan digantikan dengan file worm.

Cara Kerja Worm "Delp-Shortcut

Delp-Shortcut rupanya teror worm yang mengeksploitasi shortcut belum berakhir meskipun tahun 2010 telah dilewati.  Kami mendapat banyak laporan dari unser mengenai adanya file shortcut yang tidak bisa di hapus dan file mencurugakan dengan nama mso.sys.

A. File info

Nama: Delp-shortcut
Asal: Brazil (masih dugaan)
Ukuran File: 25.5 KB (26,112 bytes
Packer: UPX
Pemrograman: Delphi
Icon: Menyerupai system file
Tipe: Worm

B.  tentang Malware
Berbeda dengan kerabat dekatnya yaitu VB-Shortcut yang juga mengeksploitasi shortcut worm Delp-Shortcut dibuat menggunakan Delphi. Dengan menggunakan ekstensi  *.sys, worm yang sebenarnya adalah file DLL32, mampu menyebar begitu cepat dengan bantuan shortcut yang diciptakannya. Agar bisa berjalan di memory, worm ini akan menempel pada file Run32dll.exe.

Kami menduga worm ini berasal dari Brazil, karena Delp-Shortcut mencoba mengakses sebuah alamat IP melalui port 1036, yang jika di trace berasal dari Brazil. Walau tidak tertutup kemungkinan IP tersebut hanyalah IP dominan / hosting yang sengaja dubuat oleh virus marker-nya dan kebetulan berada di Brazil.

C. Companion/ File yang dibuat
Delp-Shortcut akan membuat 5 buah file shortcut dengan nama Documment and Settings.Ink, Program files.Ink,  RECYCLER. Ink,  Syestem Volume Information.Ink dan WINDOWS.Ink  seperti yang terlihat pada gambar di atas. Shortcut yang diciptakan worm ini hanya menginfeksi Drive C, D, E, F, dan G.

Selain itu semua file shortcut yang dibuat akan mengarah kepada file mso.sys yang kemudian mengktifkan Run32DLL.exe agar bisa berjalan di memory.

D.  Hasil Infeksi
Beberapa kali kami mendapatkan Delp-shortcut mencoba membuat hang explorer.exe  setelah mengakses IP yang sudah di jelaskan di atas. Agar bisa berjalan saat startup, worm ini membuat shortcut pada registry dan membuat companion dengan nama Microsoft Update.Ink di folder startup.

Selain itu, companion dari malware ini juga terdapat pada folder:

* C:/Documents and settings/-ede/favorites/Microsoft updete.Ink
*C:/Documents and Settings/All Users/Start menu/Internet Ekplorer.Ink

Pengertian Cache

Cache adalah memory berukuran kecil yang sifatnya temporary (sementara). Walaupun ukuran filenya sangat kecil,  namun kecepatannya sangat tinggi. Dalam terminologi hardware, istilah ini biasanya merujuk pada memory berkecepatan tinggi yang menjembatani aliran data antara processor dengan memory utama (RAM) yang biasanya memiliki kecepatan jauh lebih rendah.

Dalam terminologi hardware, istilah ini biasanya merujuk pada memory berkecepatan tinggi yang menjembatani aliran data antara processor dengan memory utama (RAM) yang biasanya memiliki kecepatan jauh lebih rendah. Penggunaan cache ditunjukkan untuk meminimalisir terjadinya bottleneck dalam aliran data antara processor dan RAM. Sedangkan dalam terminologi software, istilah ini merujuk pada tempat penyimpanan sementara untuk beberapa file yang sering diakses (biasanya diterapkan dalam network).

Cache umumnya terbagi menjadi beberapa jenis, seperti L1 cache, L2 cache dan L3 cache. Kan udah ada memory utama (RAM), apa kegunaannya?


Fungsi Cache Processor
Cache berfungsi sebagai tempat penyimpanan sementara untuk data atau intruksi yang diperlukan oleh processor. Secara gamblangnya, cache berfungsi untuk mempercepat akses data pada komputer karena cache penyimpanan data/informasi yang telah diakses oleh suatu buffer, sehingga meringankan kerja processor.

Dalam internet sebuah proxy cache dapat dipercepat proses browsing dengan cara menyimpan data yang telah diakses di komputer yang berjarak dekat dengan komputer pengakses.  Jika kemudian ada user yang mengakses data yang sama,  proxy cache akan mengirim data tersebut dari cache-nya, bukan dari tempat yang lama diakses. Dengan mekanisme HTTP, data yang diberikan oleh proxy selalu data yang terbaru, karena proxy server akan selalu mencocok kan data yang ada di cache-nya dengan data yang ada di server luar.



Kecepatan Cache
Transfer data dari L1 cache ke processor terjadi paling cepat dibandingkan L2 cache maupun L3 cache (bila ada).  Kecepatannya mendekati kecepatan register. L1 cache ini dukunci pada kecepatan yang sama pada processor. Secara fisik L1 cache tidak bisa dilihat dengan mata telanjang. L1 cache adalah lokasi pertama yang diakses oleh processor ketika mencari pasokan data. Kapasitas simpan datanya paling kecil, antara puluhan hingga ribuan byte tergantung processor. Pada beberapa jenis processor pentium kapasitasnya 16 KB yang terbag menjadi dua bagian, yaitu 8 KB untuk menyimpan intruksi, dan 8 KB untuk menyimpan data.

Transfer data tercepat kedua setelah L1 cache adalah L2 cache. Processor dapat mengambil data dari cache L2 yang terintegrasi (on-cip) lebih cepat dari pada cache L2 yang tidak terintegrasi. Kapasitas simpan datanya lebih besar dibandingkan L1 cache, antara ratusan ribu byte hingga jutaan byte, ada yang 128 KB, 256 KB, 512 KB, 1 MB, 2 MB, bahkan 8 MB, tergantung jenis processornya. Kapasitas simpan data untuk L3 cache lebih besar lagi, bisa ratusan juta byte (ratusan mega byte).