Panduan Teknologi Penuh Inspirasi

 


ImRAT, Trojan Generator Lokal Pencuri Data

0
Posted March 16, 2016 by Fajar Anggiawan in Virus
Tampilan ImRAT

Bagaimana mengendalikan komputer orang lain, merekam ketikan target hingga mencuri password yang tersimpan di suatu sistem dengan cara yang mudah? Jawabannya mungkin yaitu menggunakan trojan berjenis RAT atau Remote Administration Tool.

Tidak perlu jauh-jauh, di Indonesia sendiri trojan RAT seringkali disebarkan melalui link jebakan. Bahkan, trojan RAT ada yang berbahasa Indonesia dan juga sering dipublikasikan di website jejaring sosial seperti Facebook.

Salah satu contoh trojan RAT yang terkenal di Indonesia yaitu ImRAT. Hacking menggunakan trojan tergolong kategori mudah karena tidak diperlukan pemahaman suatu sistem melainkan hanya mengandalkan teknik social engineering alias menipu.

ImRAT sendiri sudah ada yang berbahasa Indonesia. Jangan berpikir terlalu tinggi dulu, ImRAT yang berbahasa Indonesia ini hanyalah hasil modifikasi dari njRAT. njRAT merupakan trojan RAT open source terkenal yang bukan sama sekali buatan orang Indonesia. ImRAT dan njRAT sendiri dideteksi oleh PC Media Antivirus sebagai MSIL-Bladabindi.

Dibuat menggunakan bahasa pemrograman berbasis .NET sehingga bagi pengguna Windows XP, ada kemungkinan trojan ini tidak dapat dijalankan karena dibutuhkannya .NET framework. Biasanya pengguna ImRAT akan menjual akun korban yang terinfeksi trojan hingga menjual generator trojan dan tutorial penggunaannya.

Daftar Korban ImRATSelain menjual generator trojan, ada program crypter yang juga ikut disertakan. Crypter bertujuan untuk membuat trojan yang dibuat agar tidak terdeteksi oleh antivirus. Meskipun demikian, proram crypter juga harus selalu di update agar tidak dikenali lagi oleh antivirus.

Crypter Rania merupakan salah salah satu program crypter yang digunakan oleh pembuat malware di Indonesia. Crypter ini memiliki fitur yang lumayan lengkap yaitu pengubah icon, penyebaran via USB drive, perubahan informasi file, anti aplikasi sekuriti, pesan palsu, aktif di startup serta pengenkripsi string di dalam file.

Tampilan Rania CrypterSaat trojan aktif di komputer target, trojan akan menotifikasi program client atau pembuat malware.  Di client akan muncul nama trojan, IP, nama komputer, nama pengguna, negara, sistem operasi dan lainnya. Satu client dapat menampung lebih dari satu korban/server.

Trojan akan melakukan koneksi ke server yang memiliki IP dinamis seperti NO-IP.com sehingga akan dapat terus berkomunikasi dengan client. Zaman dulu, untuk me-remote suatu komputer, di program clientlah yang harus memasukan IP dari komputer yang ditargetkan. Dengan adanya layanan IP dinamis, kiini trojan secara otomatis menotifikasi client. Semua prosedur ini dijelaskan di dalam penjualan ImRAT. Tidak hanya cara membuat akun di NO-IP.com, cara untuk port forwarding pun dijelaskan beserta video tutorial lengkap di Youtube.

 

Analisa Trojan ImRAT

Saat trojan hasil generate ImRAT dijalankan, ia akan mengecek ada tidaknya debugger dengan menggunakan fungsi IsDebuggerPresent. Dengan adanya pengecekan ini, trojan berusaha mengetahui jika dirinya sedang dianalisa atau tidak. Jika sedang dianalisa maka trojan tidak akan aktif.

Trojan akan aktif di setiap startup komputer dengan mengkopikan dirinya ke folder startup dengan nama acak. Pada folder %UserProfile% juga ada file induk dari trojan. Di lokasi ini memang sudah ada pengaturan untuk membuat file induk beserta registry startup dengan nama acak di HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run  yang memanggil file ini sedangkan file di folder Startup merupakan inisitif dari pembuat generator.

Trojan yang dideteksi PCMAV sebagai MSIL.Bladabindi.var memiliki fitur keylogger dengan menggunakan fungsi GetAsyncKeyState, GetKeyState, GetKeyboardState, GetForegroundWindow dan GetWindowTextLength. Mendapatkan nama komputer terinfeksi dengan menggunakan fungsi GetComputerName.

Untuk berusaha melewati lapisan firewall, trojan ini memanggil perintah berikut:

netsh firewall add allowedprogram

Pada Windows XP, trojan ini dapat mengakibatkan BSOD jika prosesnya dimatikan secara normal baik menggunakan Task Manager. Meskipun demikian, seharusnya seiring perkembangan zaman, penggunaan Windows XP sedang ditinggalkan saat ini. Untuk membuat rutin di Windows XP tersebut, trojan ini menggunakan fungsi RtlSetProcessIsCritical. PCMAV mampu membasmi trojan hasil generate ImRAT ini hingga bersih dari sistem.

 

Kesimpulan

Selalu waspada dalam men-download atau menjalankan aplikasi yang didapat dari Internet. Ada kemungkinan aplikasi yang dijalankan telah digabungkan dengan trojan atau malware yang berakibat fatal bagi privasi Anda dalam berkomputer.

Tidak hanya pencurian data, setiap kegiatan yang dilakukan sat berkomputer dapat dimonitor oleh pembuat malware. Dari file-file yang dapat dieksplorasi, password yang dapat dibaca bahkan ketika sedang menggunakan webcam sekalipun, wajah Anda dapat terlihat.

Tidak semua pengguna komputer sadar ketika sistemnya terinfeksi oleh malware karena aplikasi yang dijalankannya dapat terbuka. Oleh karena itu, perilaku berkomputer yang sehat dan penggunaan antivirus yang ter-uptodate selalu direkomendasikan untuk menghindari ancaman malware terbaru.

Mirisnya, pembuat malware secara terang-terangan pamer tentang korban dari ImRAT meskipun hal demikian sebenarnya sudah diatur secara hukum untuk tidak menyebarkan malware atau memasuki suatu sistem secara ilegal.

PCMAV 10.1.4 dapat mengenali trojan hasil ImRAT dan hasil modifikasi dari Crypter Rania sehingga setiap trojan baru yang dibuat atau dimodifikasi oleh kedua program ini dapat terdeteksi dan menutup ancaman malware ini terhadap pengguna komputer.

(Visited 2,432 times, 3 visits today)

Share artikel ini melalui:
Share on Facebook14Tweet about this on TwitterShare on Google+1Share on LinkedIn0Email this to someone

About the Author

Fajar Anggiawan
Fajar Anggiawan

>> malware researcher - IT translator - journalist <<

Latest
 
 

Read more:
Yang Salah Dari Linux (dan Windows)

  Dalam menguji mesin waktu, saya berkesempatan bertemu Shakespeare yang mengatakan "What's in a name? Roses with others names smell...

Close