SLINGUP.C: BERAKSINYA BOTNET VB6

JS NEWS Sebagai paket komplet murah meriah, slingup.C merupakan botnet dengan segudang fitur. Slingup.dibuat menggunakan bahasa pemrograman yang mudah dan sempat menjadi tren bagi pembuatan malware lokal, yaitu visual basic 6.

Dengan kode yang terdiri dari 59 module, botnet ini memiliki kode yang tersusun meskipun kode php pada panel yang digunakan untuk mengkontrol komputer terinfeksi, terdapat celah keamanan yang critical.

Malware ini didistribusikan lewat forum underground melalui program generator virus komersil bernama diamondfox. Selain mencuri data sebagai keylogger, botnet ini juga memiliki kemampuan dalam mengincar sistem point of sale dengan memilah informasi di ram untuk mencuri data kartu kredit.

Sebagai malware berjenis botnet, slingup.C membuka celah hingga komputer yang terkoneksi dapat dikendalikan oleh pembuat malware untuk melakukan aksi tertentu seperti distributed denail of system ( DdoS ) alias mengirim paket secara kontinu dengan tujuan sistem target menjadi terganggu.

Analis Slingup.C

Ketika dijalankan, malware akan membuat beberapa file dengan tujuanyang berbeda – beda.

  • C:\WINDOWS\dwm.exe
  • C:\WINDOWS\ky.config
  • C:\WINDOWS\logger.p
  • C:\WINDOWS\POS.exe
  • C:\WINDOWS\svchost.exe
  • C:\Documents and Settings\Administrator\Start Menu\ Programs\Startup\Wordpad.exe

Kemudian malware akan menghapus file dirinya menggunakan file bat seketika aktif di memory atau dikenal dengan istilah melting.

Agar dapat aktif di startup,malware membuat registery berikut.

HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\currentversion\winlogon\userinit

C:\WINDOWS\system32\Userinit.exe,C:\WINDOWS\svchost.exe

HKEY_CURRENT_USER\software\Microsoft\Windows\Currentversion\run\svchost C:\WINDOWS\svchost.exe

File malware di folder startup pun akan terksekusi setelah ssitem booting.

Adapun slamat server yang dijadikan c & c server, yaitu server 115.neubox.net. malwrae men-download file dariwebsite firefox- upgrades.com dan corner-update.net.

Konfigurasi sistem yang diubah malware ini ialah menonaktifkan regedit dan task manger menggunakan kode berikut.

Reg add hkcu\software\microsoft\windows\currentversion\policcies\system/v disableregistrytools/t reg_dword/ d “ & Chr (34 ) & “0” & Chr(34) & “/f

Reg add hkcu\software\microsoft\windows\currentversion\policcies\system/v disabletaskmgr/t reg_dword/ d “ & Chr (34 ) & “0” &Chr(34) & “/f

Aksi yang dilakukan slingup.C banyak menggunakan file vbs dan bat. Guna memuluskan kerja malware maka fitur pengaman di windows seperti uac dan lua juga dimatikan melalui registry.

HKEY_LOCAL_MACHINE\Softawre\Microsoft\Security Center\UACDisableNotify

HKEY_LOCAL_MACHINE\Softawre\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA

Untuk berkumunikasi dengan c&c server, malware akan mengakses halaman gate.php dan mengirim informasi komputer korban seperti nama sistem operasi, serial harddisk, arsitektur, nama user, nama komputer, antivirus yang ter-install dan lainnya.

Oleh sebab itu, untuk menghindari malware mudah dianalisis, ada beberapa cara yang dapat dilakukan agar malware tidak aktif dijalankan di dalam debugger, sandbox atau virtual machine.

Berikut adalah contoh nama file library yang dicek oleh malware untuk memastikan malware tidak akan aktif jika file berikut aktif di memory.

  • dll
  • dll
  • dll
  • dll

contoh aplikasi yang akan dicek terlebih dahulu oleh malware

  • Olly
  • Malwr
  • Norman
  • Wine
  • Anubis
  • Sysanalize

Uniknya, malware juga mengecek nama komputer agar dapat aktif atau tidak. Berikut nama komputer yang membuat malware tidak akan aktif.

  • ANTIVIRUS
  • VWINXP-MALTEST
  • MALWARE-STAR
  • VMG-CLIENT
  • HOME-OFF-D5F0AC
  • NAMAMO-AAAFC41B
  • BRIAN-BCAD2EA45
  • CANON
  • PAN-1E6ECC1F78B
  • VM_WINXP
  • WOLF
  • TEST
  • COMPUTERNAME
  • USER-2A6E79DA98
  • CITY5
  • Z-235
  • XP-SILO5YEITKEX
  • JH-C64A2618CF31
  • SYSTEM-78358297

Penyebaran malware sendiri dapat melalui flashdisk dan folder dropbox.

Payload

Slingup.C memiliki kemampuan untuk merekam layar desktop, menyimpannya di plugins/screenshot.p untuk dikirim secara berkala ke c&c server.

Pengguna mata unag digital seperti bitcoin, multibit dan armory pun diincar dengan cara mencuri wallet. Malware akan merekam ketika user, membaca memory untuk mendapatkan data kartu kredit hingga password remote desktop protocol.

Adapun daftar browser yang diincar, yaitu chrome, firefox, opera, iexplorer dan safari. Sementara filezilla merupakan program ftp yang akan dicuri informasi accountnya.

Kesimpulan

Malware yang dibuat menggunakan visual basic 6 memiliki ukuran yang tergolong kecil, yakni tidak lebih dari 80 kb. Jenis malware botnet yang mencuri data user tergolong malware berbahaya karena komputer dapat dikendalikan dan dapat diakses oleh pembuat malware.

Hindari menjalankan file dari sumber yang tidak dikenali mengingat malware ini dijual secara terbatas dan mengincar target tertentu sehingga belum tentu dikenal luas oleh berbagai antivirus.

Pcmav 10.1.1 dapat mengenali slingup.c dan variannya dari hasil generator beserta malware lainnya. Pastikan juga untuk selalu meng-update signatures dengan update build terbaru yang bisa diperoleh melalui online/blog virusindonesia.com.

Sumber : PCMedia Edisi : 11/2015 ( Diakses pada tanggal : 15/02/2016 )

Share Is Cool

4 thoughts on “SLINGUP.C: BERAKSINYA BOTNET VB6

Leave a Reply

Your email address will not be published.