SystemCheck. Siapa yang tidak khawatir jika data yang terdapat pada hard drive-nya terancam hilang karena adanya kerusakan pada hard disk, atau komputer yang semula berjalan normal tiba-tiba menampilkan puluhan pesan error kemudian muncul program yang tidak dikenal yang memberikan peringatan bahwa komputer harus melakukan pengecekan, dan yang paling buruk adalah, melakukan penghapusan terhadap setiap shortcut serta file yang terdapat pada desktop.
A. Info File
Nama Worm: SystemCheck
Asal Pengirim: Malang, Jawa Timur
Ukuran File : 339 KB (347,384 bytes)
Packer : ~
Pemrograman: Microsoft Visual C++ ver 5.0/6.0
Icon: Malware Icon
Tipe : Trojan
B. About Malware
SystemCheck sampelnya dikirimkan oleh user yang berasal dari Malang, Jawa Timur. Malware tipe trojan ini memang sedikit berbeda, karena umumnya adalah antivirus palsu, kali ini software palsu. Antivirus palsu bukanlan merupakan malware baru, beberapa menggunakan payload yang berbeda dengan sedikit perubahan pada tampilan serta pesan yang dibuat, membuat user akan semakin kebingungan setelah komputernya terinfeksi. Berikut ini adalah tampilan dari SystemCheck.
C. Companion/File yang dibuat
Membuat companion 2 companion yang akan dijadikan host serta 1 companion berupa file temporari pada foler:
C:\Documents and Settings\All Users\Application Data
Meski 2 buah file host dengan nama acak tersebut terlihat berbeda, sebenarnya 2 file ini saling melengkapi. Dan jika teliti lebih dalam, 2 file companion ini memiliki kesamaan fisik file.
D. Hasil Infeksi
Modifikasi registry sudah pasti dilakukan dan kali ini Task Manager yang di disable. Selain itu ada beberapa registry lain yang di modifikasi, antara lain adalah:
Add DWord (value 1)Menghapus semua file atau folder yang terdapat pada Start Menu dan desktop. Sehingga hasilnya adalah seperti ini:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
Delete String
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Recent
Membuat pesan sebanyak 20 saat proses startup. hal ini akan membuat komputer yang memiliki memory kecil menjadi semakin lambat.
SystemCheck juga membuat hampir seluruh folder memiliki atribut hidden. Bahkan folder “My Documents” yang merupakan salah satu special folder juga di-hidden.
E. Pembersihan
1. Dapat Memakai PC Media 6.3 Update Build2
2. Antivirus Lainya Lewat Save Mode
By : PC Media
0 komentar:
Posting Komentar