Beberapa hari yang lalu, sebagian user di kagetkan dengan adanya aplikasi System Tools yang tanpa mereka sadari aplikasi tersebut adalah "FakeAntivirus" atau "Antivirus Palsu". Malware . Laporan di luar user yang mendownload salah satu antivirus lokal dari website resminya yang kemudian justru menjalankan antivirus Palsu.
A. Info Malware
Nama: System Tools
Asal: Belum diketahui
Ukuran File: 397 KB (407,040 bytes)
Packer: -
Pemrograman: Visual C++
Icon: Random
Tipe: Trojan
B. Tentang Malware
Awalnya, kami mendapat laporan mengenai user yang mendapat pesan di FaceBook dan asinya adalah sebuah link yang jika dibuka maka akan mendownload sebuah file dengan nama surprise.exe. Setelah file tersebut di jalankan, user merasakan keanehan yang terjadi pada komputernya. Contohnya seperti Firefox tidak bisa dibuka, juga Task Manager dan beberapa file aplikasi lainnya.
Selain beberapa aplikasi tidak bisa di buka, wallpaper pada desktop komputer user berubah seperti pada gambar berikut ini:
Malware tipe Trojan ini mengingatkan kita pada salah satu virus yang sempat menghebohkan Indonesia yaitu Windx-Maxtrox pada tahun 2008 yang juga mengubah desktop. kesukaan System Tools ini menyebar di Indonesia adalah:
- Menyebar melalui FaceBook dan salah satu website yang menyediakan fasilitas download gratis.
- Pada saat pengguna mengunduh System Tools ini dari Internet, beberapa antivirus luar negeri belum ada yang mendeteksinya sebagai malware.
Dibuat menggunakan C++ tanpa di-Pack, malware ini juga memiliki keistimewaan lain. Yaitu kemampuan untuk merubah DateTimeStamp pada informasi headernya. Sehingga hash MD5nya selalu berubah meskipun ukuran file nya sama.
Harga antivirus palsu ini juga tidak tanggung-tanggung.
1 tahun lisensi: $59.95
2 tahun lisensi: $69.95
Lifetime lisensi: $79.95
Lifetime premium support: $19.95
C. File Yang dibuat
Setelah aktif di memory, system tools akan membuat beberapa file seperti:
- Membuat file [nama acak].tmp yang sebenarnya adalah file gambar (BMP / Bitmap) dan nantinya akan dijadikan wallpaper desktop pada folder SettingsC:/Documents and Settings/[nama user]/Local /Temp.
- Membuat file yang akan di jalankan setelah startup dengan nama acak dan file lain tanpa ekstensi pada folder C:/Documents and settings/All User/Aplication Data/[Foder dengan nama acak]
D. Hasil Infeksi
Setelah aktif di memory, malware ini akan memblok setiap file aplikasi, kecuali file dengan nama file system seperti pada gambar di bawah:
Malware juga memunculkan pesan-pesan palsu seperti gambar berikut:
Selain menampilkan wallpaper yang berubah seperti yang telah ditampilkan sebelumnya, Malware juga terkadang menampilkan pesan Blue Screen Of Death (BSOD) yang menandakan seolah-olah sistem komputer sudah benar-benar rusak.
Memaksa user untuk melakukan registrasi agar mendapatkan kode aktivasi dan membersihkan semua malware yang dilaporkan oleh System Tools.
Agar bisa berjalan saat startup, System Tools membuat value registry baru di:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce/[Nama acak], "C:/Documents and Settings/All User/Aplication Data/[Nama folder acak]/[nama acak].exe.
Cara membersihkan System Tools palsu:
- Cari file task manager (taskmgr.exe) yang terdapat pada folder C:/Windows/system32/taskmgr.exe
2. Copy file tersebut ke My Documents, dengan klik kanan lalu pilih menu send to my documents
3. Buka folder My Documents, kemudian Reneme file "taskmgr.exe" menjadi "Explorer.exe" dan jalankan file tersebut, maka akan tampil Task Manager.
4. Cari proses dengan nama aneh misalnya "eImHbDko2400.exe" kemudian kill proses tersebut (End Process).
5. Membuka Windows Explorer, aktifkan fungsi "show Hidden Files and Folders" pada "Folder Options" dengan memilih menu Tools - Folder Options - View, pilih Show Hidden Files and Folders, lalu klik OK.
6. Musuk ke folder C:/Documents and Settings/All Users/Aplication Data" cari dan hapus folder dengan nama aneh, misalnya "eImHbDko2400" yang di dalamnya terdapat file dari System Tools.
7. (Opsional, jika boleh dilakukan atau tidak masalah jika tidak dilakukan) Masuk ke folder "C:/Documents and Settings/[Nama user]/Local Settings/Temp", cari dan hapuslah file Temporary (tmp) yang ukuranya tidak wajar (2MB~) karena file tersebut adalah file bitmap yang dijadikan wallpaper pada desktop user yang terinfeksi.
8. Aktifkan kembali fungsi "Do not show hidden files end foders". pilih menu Tools _ folder Options _View, pilih "Do not show hidden files end folders", dan klik OK.
9. log Off Komputer.
10. komputer kembali normal.
Tidak ada komentar:
Posting Komentar