NgrBot. Selain Ramnit yang memiliki kemampuan rootkit canggih dan mampu menyebar serta menginfeksi dengan cepat, kini telah hadir pendatang baru yang mampu membuat user berpikir dua kali untuk mengetikkan ID pribadi seperti, e-mail, username dan password. NgrBot, malware tipe trojan yang mampu menyebar cepat seperti worm karena memanfaatkan shortcut yang sedikit berbeda dari shortcut pada umumnya.
A. Info File
Nama Worm : NgrBot
Asal : UnKnown
Ukuran File : 316 KB
Packer : ~
Pemrograman : Microsoft Visual C++
Icon : Random
Tipe : Trojan, Worm
B. About Malware
NgrBot yang meyebar di indonesia, menyamar dengan icon berbentuk huruf-huruf dan terkesan tidak berbahaya.
Dibuat menggunakan bahasa pemrograman C++, dan ukuran sebenarnya adalah 316 KB. Kemampuan lain dari NgrBot adalah dia tidak dapat terlihat di memory atau bisa dikategorikan rootkit. Untuk melindungi dirinya, NgrBot melakukan teknik hooking pada beberapa API function. Namun, worm ini tidak aktif jika user sedang berada dalam safe mode.
Yang membuat malware ini menjadi sangat berbahaya ialah kemampuan NgrBot dalam mencuri data user, baik itu ID atau akun pribadi berupa email password dari website tertentu, akan otomatis di kirimkan oleh malware. Akun website yang diincar antara lain adalah:
1. Web Hosting & Domain
- dotster
- 1and1.com
- enom.com
- moniker.com
- namecheap.com
- godaddy.com
- sms4file.com
- dyndns.com
2. Online Payment
- alertpay.com
- paypal.com
3. E Commerce
- netflix.com
- thepiratebay.org
- ebay.com
4. Hacking
- torrentleech.org
- hackforums.com
5. Premium Account
- vip-file.com
- what.cd
- loginid.com
- secure.logmein.com
6. FileHosting
- letitbit.net
- oron.com
- filesonic.com
- speedyshare.com
- uploaded.to.com
- uploading.com
- fileserve.com
- hotfile.com
- 4shared.com
- netload.in.com
- freakshare.com
- mediafire.com
- sendspace.com
- megaupload.com
- depositfiles.com
7. Internet Banking
- officebanking.cl.com
- moneybookers.com
- bcointernacional.com
8. Game
- runescape.com
- steampowered.com
9. Social Networking
- twitter.com
- facebook.com
- bebo.com
- friendster.com
- vkontakte.ru
10. WebMail
- yahoo.com
- mail.live.com
- gmx.com
- Gmail.com
- fastmail.com
- bigstring.com
- screenname.aol.com
11. WebPorn
- IKnowThatGirl.com
- YouPorn.com
- Brazzers.com
12. Etc
- YouTube.com
Merekam segala bentuk aktivitas keyboard pada aplikasi berikut ini:
- pidgin.exe
- wlcomm.exe
- msnmsgr.exe
- msmsgs.exe
- flock.exe
- opera.exe
- chrome.exe
- ieuser.exe
- iexplore.exe
- firefox.exe
C. Companion/File yang dibuat
NgrBot memiliki 10 Companion yang selalu sama. Berikut adalah penjelasan mengenai companion tersebut.
1. NgrBot
Host NgrBot yang berada di folder Application Data dengan nama acak dan ekstensi (.exe / .tmp). Selain itu, NgrBot juga bersembunyi di balik folder RECYCLER yang di buatnya setelah removable disk terhubung dengan komputer yang terinfeksi.
2. NgrBot.drp.A
Salah satu droper dari NgrBot yang berada di folder startup yang mengekstrak NgrBot.exe.A dan NgrBot.bat.
A. Info File
Nama Worm : NgrBot
Asal : UnKnown
Ukuran File : 316 KB
Packer : ~
Pemrograman : Microsoft Visual C++
Icon : Random
Tipe : Trojan, Worm
B. About Malware
NgrBot yang meyebar di indonesia, menyamar dengan icon berbentuk huruf-huruf dan terkesan tidak berbahaya.
Dibuat menggunakan bahasa pemrograman C++, dan ukuran sebenarnya adalah 316 KB. Kemampuan lain dari NgrBot adalah dia tidak dapat terlihat di memory atau bisa dikategorikan rootkit. Untuk melindungi dirinya, NgrBot melakukan teknik hooking pada beberapa API function. Namun, worm ini tidak aktif jika user sedang berada dalam safe mode.
Yang membuat malware ini menjadi sangat berbahaya ialah kemampuan NgrBot dalam mencuri data user, baik itu ID atau akun pribadi berupa email password dari website tertentu, akan otomatis di kirimkan oleh malware. Akun website yang diincar antara lain adalah:
1. Web Hosting & Domain
- dotster
- 1and1.com
- enom.com
- moniker.com
- namecheap.com
- godaddy.com
- sms4file.com
- dyndns.com
2. Online Payment
- alertpay.com
- paypal.com
3. E Commerce
- netflix.com
- thepiratebay.org
- ebay.com
4. Hacking
- torrentleech.org
- hackforums.com
5. Premium Account
- vip-file.com
- what.cd
- loginid.com
- secure.logmein.com
6. FileHosting
- letitbit.net
- oron.com
- filesonic.com
- speedyshare.com
- uploaded.to.com
- uploading.com
- fileserve.com
- hotfile.com
- 4shared.com
- netload.in.com
- freakshare.com
- mediafire.com
- sendspace.com
- megaupload.com
- depositfiles.com
7. Internet Banking
- officebanking.cl.com
- moneybookers.com
- bcointernacional.com
8. Game
- runescape.com
- steampowered.com
9. Social Networking
- twitter.com
- facebook.com
- bebo.com
- friendster.com
- vkontakte.ru
10. WebMail
- yahoo.com
- mail.live.com
- gmx.com
- Gmail.com
- fastmail.com
- bigstring.com
- screenname.aol.com
11. WebPorn
- IKnowThatGirl.com
- YouPorn.com
- Brazzers.com
12. Etc
- YouTube.com
Merekam segala bentuk aktivitas keyboard pada aplikasi berikut ini:
- pidgin.exe
- wlcomm.exe
- msnmsgr.exe
- msmsgs.exe
- flock.exe
- opera.exe
- chrome.exe
- ieuser.exe
- iexplore.exe
- firefox.exe
C. Companion/File yang dibuat
NgrBot memiliki 10 Companion yang selalu sama. Berikut adalah penjelasan mengenai companion tersebut.
1. NgrBot
Host NgrBot yang berada di folder Application Data dengan nama acak dan ekstensi (.exe / .tmp). Selain itu, NgrBot juga bersembunyi di balik folder RECYCLER yang di buatnya setelah removable disk terhubung dengan komputer yang terinfeksi.
2. NgrBot.drp.A
Salah satu droper dari NgrBot yang berada di folder startup yang mengekstrak NgrBot.exe.A dan NgrBot.bat.
3. NgrBot.drp.B
Variant lain darin NgrBot.drp yang terdapat pada folder Application Data yang memiliki fungsi sama seperti NgrBot.drp.A.
4. NgrBot.lnk
Sedikit perbedaan dengan shortcut yang lain adalah, NgrBot menambahkan parameter lain pada shortcutnya.
Contohnya:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\bcd8f464.exe
&&%windir%\explorer.exe %cd%Removal
&&%windir%\explorer.exe %cd%Removal
- %windir%\system32\cmd.exe /c “start = memanggil command prompt dengan menambahkan parameter “/c” yang di maksudkan agar setelah mengeksekusi file, akan otomatis menutup command prompt. Selain itu, ada juga “start yang dimaksudkan untuk memulai eksekusi file.
- %cd% = parameter untuk mengakses sebuah folder.
- RECYCLER\bcd8f464.exe = Dalam hal ini, folder yang di akses adalah folder RECYCLER yang di dalamnya terdapat host virus dengan nama “bcd8f464.exe”
- %windir%\explorer.exe = Memanggil Explorer.exe untuk membuka folder yang namanya sesuai dengan nama shortcut yang di jalankan agar mengesankan bahwa shortcut tersebut memang benar-benar folder seperti biasa.
- Removal = contoh nama folder.
Salah satu companion dari NgrBot yang berfungsi untuk mengeksekusi dan memberikan parameter khusus terhadap NgrBot.exe.A.
6. NgrBot.exe.A
Companion NgrBot yang di eksekusi oleh NgrBot.bat dan berada di path yang sama, yaitu pada folder temporary (temp).
7. NgrBot.dat
Companion yang seluruh isi tubuhnya hanyalah karakter acak dan biasanya terdapat di folder system32 atau bisa juga di folder Documents and Settings.
8. NgrBot.exe.B
NgrBot.exe.B selalu berada di folder User Profile. Membuat value key baru pada registry dengan nama –“u” agar bisa berjalan saat startup.
9. NgrBot.inf
Sudah menjadi teknik malware saat ini yang mengunakan autorun.inf sebagai salah satu companion yang dapat membantu dalam menjalankan malware, begitu pula NgrBot yang membuat Autorun.inf, sama halnya dengan beberapa worm lain yang baru-baru ini menyebar, autorun.infnya selalu ditambahkan dengan karakter acak.
10. NgrBot.mem
Thread yang berada di memory dan tidak dapat dideteksi dengan teknik pendeteksian biasa karena merupakan thread yang tersembunyi dengan teknik rootkit, juga menggunakan teknik hooking sambil memantau aktivitas user dan terus menyebarkan companion setiap kali removable disk terkoneksi dengan komputer.
D. Hasil Infeksi
Seperti yang sudah di jelaskan di atas jika dilihat berdasarkan kemampuan yang dimiliki NgrBot, berikut ini adalah klasifikasinya.
NgrBot dengan kemampuan Worm = mampu menyebar melalui media peyimpanan data seperti removable disk, external disk dan MMC.
NgrBot dengan kemampuan Trojan = mendownload beberapa companion lain yang bertujuan untuk melancarkan aksi lainnya setelah menginfeksi komputer korban.
NgrBot dengan kemampuan Rootkit = mampu bersembunyi dibalik proses lain dan menyembunyikan file host maupun value key yang dibuatnya pada registry editor sambil tetap melakukan payload yang tidak disadari oleh user.
NgrBot dengan kemampuan Worm = mampu menyebar melalui media peyimpanan data seperti removable disk, external disk dan MMC.
NgrBot dengan kemampuan Trojan = mendownload beberapa companion lain yang bertujuan untuk melancarkan aksi lainnya setelah menginfeksi komputer korban.
NgrBot dengan kemampuan Rootkit = mampu bersembunyi dibalik proses lain dan menyembunyikan file host maupun value key yang dibuatnya pada registry editor sambil tetap melakukan payload yang tidak disadari oleh user.
E. Pembersihan
Malware ini telah dikenali dan dapat dibersihkan pada PCMAV 5.3 Update Build2 ini berikut ini.
PCMAV 5.3 Update Build2
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.3 Update Build2 telah hadir dengan penambahan 68 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.3, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
SendSpace.com
ZippyShare.com (mirror)
RapidShare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 5.3 Update Build2:
Ardamax
Ardamax.exe
BadShortcut
BancosKernel
BancosKernel.dat
Bobae
Bobae.flv.A
Bobae.flv.B
CryptocX
CryptocX.dll
DrwKills
FakeAV-Downloader.N
FakeAV-Downloader.N.dat
FakeAV-Downloader.N.dll.A
FakeAV-Downloader.N.dll.B
FakeAV-Downloader.N.drp
FakeAV-Downloader.N.exe
FakeAV-Downloader.N.lnk.A
FakeAV-Downloader.N.lnk.B
FakeAV-Downloader.N.lnk.C
FakeAV-Downloader.N.tmp
FakeDownloader.BL
FakeDownloader.BL.drp
FakeDownloader.BL.exe.A
FakeDownloader.BL.exe.B
FakeDownloader.BL.exe.C
FakeDownloader.BL.tmp
FakeDownloader.BL.zip
FightingDreamer.vbe.inf
Huppi
KeyKav
Maxthon
Maxthon.inf
NgrBot
NgrBot.bat
NgrBot.dat
NgrBot.drp.A
NgrBot.drp.B
NgrBot.exe.A
NgrBot.exe.B
NgrBot.inf
NgrBot.lnk
NhT
PrjHook
PrjHook.drp
PrjHook.exe.A
PrjHook.exe.B
Proklamasi
Proklamasi.exe
Proklamasi.lnk
Qvod
Qvod.A.dll.A
Qvod.A.dll.B
Qvod.A.dll.C
Qvod.A.inf
Qvod.A.local
Qvod.B
Qvod.B.dll
Qvod.exe.A
Ramnit.L.dropper
Ramnit.M.dropper
SpecialChar
StubeShark
StubeShark.tmp
TeraBit.txt
Tiopatinhas
Winbows
Wukill.D
Sumber: VirusIndonesia.com
Thanks infonya mas :D
wah parah nie virus
winkom.blogspot
http://nyoman-chandra.blogspot.com/ visit back