Delp-Shortcut rupanya teror worm yang mengeksploitasi shortcut belum berakhir meskipun tahun 2010 telah dilewati. Kami mendapat banyak laporan dari unser mengenai adanya file shortcut yang tidak bisa di hapus dan file mencurugakan dengan nama mso.sys.
A. File info
Nama: Delp-shortcut
Asal: Brazil (masih dugaan)
Ukuran File: 25.5 KB (26,112 bytes
Packer: UPX
Pemrograman: Delphi
Icon: Menyerupai system file
Tipe: Worm
B. tentang Malware
Berbeda dengan kerabat dekatnya yaitu VB-Shortcut yang juga mengeksploitasi shortcut worm Delp-Shortcut dibuat menggunakan Delphi. Dengan menggunakan ekstensi *.sys, worm yang sebenarnya adalah file DLL32, mampu menyebar begitu cepat dengan bantuan shortcut yang diciptakannya. Agar bisa berjalan di memory, worm ini akan menempel pada file Run32dll.exe.
Kami menduga worm ini berasal dari Brazil, karena Delp-Shortcut mencoba mengakses sebuah alamat IP melalui port 1036, yang jika di trace berasal dari Brazil. Walau tidak tertutup kemungkinan IP tersebut hanyalah IP dominan / hosting yang sengaja dubuat oleh virus marker-nya dan kebetulan berada di Brazil.
C. Companion/ File yang dibuat
Delp-Shortcut akan membuat 5 buah file shortcut dengan nama Documment and Settings.Ink, Program files.Ink, RECYCLER. Ink, Syestem Volume Information.Ink dan WINDOWS.Ink seperti yang terlihat pada gambar di atas. Shortcut yang diciptakan worm ini hanya menginfeksi Drive C, D, E, F, dan G.
Selain itu semua file shortcut yang dibuat akan mengarah kepada file mso.sys yang kemudian mengktifkan Run32DLL.exe agar bisa berjalan di memory.
D. Hasil Infeksi
Beberapa kali kami mendapatkan Delp-shortcut mencoba membuat hang explorer.exe setelah mengakses IP yang sudah di jelaskan di atas. Agar bisa berjalan saat startup, worm ini membuat shortcut pada registry dan membuat companion dengan nama Microsoft Update.Ink di folder startup.
Selain itu, companion dari malware ini juga terdapat pada folder:
* C:/Documents and settings/-ede/favorites/Microsoft updete.Ink
*C:/Documents and Settings/All Users/Start menu/Internet Ekplorer.Ink
Tidak ada komentar:
Posting Komentar