Worm : Win32/Dorkbot
Keluarga worm ini dapat mencuri nama pengguna dan password dengan menonton apa yang anda lakukan secara online. Mereka juga dapat download malware lainnya dan menghentikan anda dari mengunjungi situs web yang berhubungan dengan keamanan. Beberapa varian dapat menggunakan PC anda dalam serangan Denial of Service (DoS).
Mereka menyebar melalui infeksi USB Flash Drive, atau dalam link kiriman berbahaya meskipun pesan instan program dan jaringan sosial.
Antivirus : Microsoft Security Essentials dan Trend Micro.
Informasi :
Dorkbot biasanya tiba sebagai link dalam atau jaringan sosial pesan instan. Link poin salinan worm yang dapat didownload dan berjalan di PC.
Ketika berjalan, varian dari Dorkbot mungkin menyalin diri ke folder %APPDATA% menggunakan nama file enam huruf dihasilkan secara acak, yang didasarkan nomor seri HDD, dengan menelepon GetVolumeInformation() API (misalnya : ozkqke.exe).
Dorkbot mungkin membuat folder bernama "RECYCLER" semua diakses USB Drive, dan mendaftarkannya sebagai Recycle Bin folder. Worm register pemberitahuan perangkat sehingga hal ini diberitahukan setiap kali pasang perangkat USB ke PC,. Kemudian menyalin sendiri ke perangkat USB, menggunakan nama variabel file, dan menciptakan Autorun file konfigurasi yang bernama "autorun.inf" menunjuk ke copy worm, file-file autorun.inf ini memberitahu sistem operasi untuk meluncurkan file worm secara otomatis ketika USB Drive ini diakses dari PC lain yang mendukung file autorun.
Menggunakan fungsi Backdoor, worm dapat dipesan oleh remote hacker menyebar melalui platform pemesanan instan seperti Windows Live Messenger, Pidgin Chat, Xchat, mIRC, dan Skype. Ia akan mengirimkan pesan ke semua kontak anda. Pesan yang dikirim dikonfigurasi oleh remote hacker.
Beberapa varian dorkbot dapat menyebar melalui skype APIs untuk mengirim link berbahaya ke semua kontak pada waktu interval tertentu, pesan yang mengandung tautan berbahaya mungkin terlihat sebagai berikut :
Keluarga worm ini dapat mencuri nama pengguna dan password dengan menonton apa yang anda lakukan secara online. Mereka juga dapat download malware lainnya dan menghentikan anda dari mengunjungi situs web yang berhubungan dengan keamanan. Beberapa varian dapat menggunakan PC anda dalam serangan Denial of Service (DoS).
Mereka menyebar melalui infeksi USB Flash Drive, atau dalam link kiriman berbahaya meskipun pesan instan program dan jaringan sosial.
Antivirus : Microsoft Security Essentials dan Trend Micro.
Informasi :
Dorkbot biasanya tiba sebagai link dalam atau jaringan sosial pesan instan. Link poin salinan worm yang dapat didownload dan berjalan di PC.
Ketika berjalan, varian dari Dorkbot mungkin menyalin diri ke folder %APPDATA% menggunakan nama file enam huruf dihasilkan secara acak, yang didasarkan nomor seri HDD, dengan menelepon GetVolumeInformation() API (misalnya : ozkqke.exe).
Dorkbot mungkin membuat folder bernama "RECYCLER" semua diakses USB Drive, dan mendaftarkannya sebagai Recycle Bin folder. Worm register pemberitahuan perangkat sehingga hal ini diberitahukan setiap kali pasang perangkat USB ke PC,. Kemudian menyalin sendiri ke perangkat USB, menggunakan nama variabel file, dan menciptakan Autorun file konfigurasi yang bernama "autorun.inf" menunjuk ke copy worm, file-file autorun.inf ini memberitahu sistem operasi untuk meluncurkan file worm secara otomatis ketika USB Drive ini diakses dari PC lain yang mendukung file autorun.
Menggunakan fungsi Backdoor, worm dapat dipesan oleh remote hacker menyebar melalui platform pemesanan instan seperti Windows Live Messenger, Pidgin Chat, Xchat, mIRC, dan Skype. Ia akan mengirimkan pesan ke semua kontak anda. Pesan yang dikirim dikonfigurasi oleh remote hacker.
Beberapa varian dorkbot dapat menyebar melalui skype APIs untuk mengirim link berbahaya ke semua kontak pada waktu interval tertentu, pesan yang mengandung tautan berbahaya mungkin terlihat sebagai berikut :
Jika kontak anda menerima dan kunjungi link, Worm men-download ke PC.
Catatan : Pesan mungkin berbeda berdasarkan pada lokasi saat ini dan lokal.
Varian dorkbot dapat dipesan untuk menyebarkan melalui layanan jaringan sosial seperti Facebook, Twitter, Bebo dll. Mirip dengan mengirimkan pesan instan, worm akan membajak pesan terkirim dan menggantinya dengan pesan yang berisi link copy worm. Jumlah pesan yang dikirim link berbahaya juga dikonfigurasi oleh remote hacker.
Varian dari dorkbot mungkin terhubung ke server IRC, bergabung dengan sebuah channel dan menunggu perintah. Worm menggunakan server IRC di domain berikut :
> lovealiy.com
> shuwhyyu.com
> syegyege.com
Menggunakan backdoor ini, remote hacker dapat melakukan tindakan tertentu.
Worm menggunakan rootkit mode pengguna untuk mencegah dari melihat atau gangguan dengan file.
Ketika berjalan, worm menyuntikkan kode ke "explorer.exe" serta banyak proses lainnya berjalan pada PC.
Worm menghasilkan IRC dengan menghubungkan ke "api.wipmania" menggabungkan kode negara, versi sistem operasi, jenis pengguna dan string acak.
> Versi sistem operasi dapat menjadi salah satu berikut : XP, 2K3, VIS, 2K8, W7, ERR (Error)
> Kode negara adalah dua digit kode negara (misalnya : US-USA, ID-Indonesia, RU-Rusia dll).
> Jenis pengguna adalah "a" (administrator) atau "u" (pengguna)
Menggunakan hasil dan server IRC informasi dari konfigurasinya internal, menghubungkan ke server IRC untuk mengambil data lebih lanjut atau infeksi parameter seperti download link, pesan Windows Live Messenger, dan daftar domain diantara informasi lainnya.
Jika log diaktifkan oleh hacker, setiap perintah yang berjalan adalah login dan dikirim ke server IRC dan ditampilkan dalam channel IRC yang mana bot terhubung.
Dorkbot terkait beberapa APIs untuk berbagai keperluan, seperti menyembunyikan komponen, penyebaran nama pengguna, dan sandi.
Karena dorkbot dapat men-download dan menjalankan file, sebagai mekanisme mendistribusikan perangkat lunak jahat mereka. Dalam wild, Dorkbot telah digunakan untuk download dan menjalankan Injector, Ransomware, dan malware lainnya.
Dorkbot berisi petunjuk untuk menghapus file download dan berjalan setelah reboot. perlu fitur yang harus diaktifkan hacker.
Worm menggunakan "pengawasan perilaku" untuk mengidentifikasi dan menghapus file yang muncul untuk berkomunikasi melalui Internet Relay Chat (IRC) atau menunjukkan perilaku worm seperti menyebar melalui USB media atau Removable Drive.
Dorkbot mampu mencegat browser internet dengan berbagai situs dan mendapatkan informasi sensitif. Hal ini dilakukan dengan mengaitkan berbagai APIs dalam Firefox dan Internet Explorer. Worm dapat pula menargetkan kredensial FTP.
Worm mungkin diperintahkan untuk login ke server FTP dan menginfeksi berbagai file HTML dengan menambahkan sebuah IFrame. Tndakan ini dapat memfasilitasi worm.
Worm juga dapat mengunduh daftar domain tambahan atau diperbarui dari sebuah situs web yang tepencil.
Ketika berjalan, melakukan pemeriksaan diri-integritas. Jika gagal, itu menunjukkan kotak pesan dan upaya untuk korup hard drive dengan menulis data sampah ke hard drive.
Ini juga menciptakan mutex untuk menghindari beberapa contoh dari dirinya sendiri, dan menandai kehadirannya. Kebanyakan varian menggunakan "hex-Mutex".
Tidak ada komentar:
Posting Komentar