Panduan Teknologi Penuh Inspirasi

 


Pencuri Data Paranoid di Indonesia

1
Posted May 27, 2016 by Fajar Anggiawan in Virus
HTTP Header Dari Badan Malware

Carberp, malware yang satu ini cukup menarik dibicarakan. Bukan hanya karena karakteristiknya yang berusaha tidak dideteksi antivirus, melainkan juga menyebar luas di Indonesia secara tersembunyi.

Awal mula penyebaran malware ini tidak dideteksi oleh 56 antivirus yang terdapat di layanan scan virus secara online yaitu VirusTotal.  Mengapa demikian? Malware berjenis trojan ini tidak akan aktif jika sistem ter-install oleh aplikasi antivirus atau terdapat aplikasi sekuriti lainnya. Itulah sebabnya file malware tidak pernah menjadi file mencurigakan atau berbahaya bagi pengguna komputer.

Saat tulisan ini dibuat, malware ini sudah dideteksi 35 dari 56 antivirus yang terdapat di VirusTotal. Namun, varian dari Carberp masih berpotensi besar mengancam sistem Anda secara tersembunyi.

Selain memeriksa lebih dari  400 aplikasi sekuriti, Carberp juga memblok sekitar 250 website yang berhubungan dengan antivirus dan sekuriti dengan cara memodifikasi hosts serta mencegah service DNS filtering dengan menganti filtering  nameserver menjadi public nameserver seperti Google.

Disebar dengan nama native.dll , malware berukuran 295 KB ini dibuat dengan menggunakan Microsoft Visual C++ serta merupakan file berjenis driver (*.SYS).  Meskipun tidak akan aktif di komputer yang memiliki aplikasi yang berhubungan dengan sekuriti, malware ini melakukan rutin yang sepertinya dapat membuat pengguna komputer mnenyadari jika komputernya telah terinfeksi malware, yaitu dengan memblok Task Manager.

Informasi File Carberp Melalui Exeinfo PE

Analisa Malware

Mengingat file sample Carberp merupakan file driver, untuk menjalankan malware ini yaitu dengan membuat service secara manual dengan menggunakan perintah CMD:

sc create Carberp binPath= native.dll type= kernel

serta menjalankannya dengan perintah:

Carberp akan memeriksa registry yang jika terdapat nama aplikasi antivirus, maka malware tidak akan aktif. Aplikasi virtual machine dan emulator pun juga diperiksa sebelum menjalankan aksinya. Jika malware dijalankan melalui virtual machine atau emulator, malware akan menolak untuk aktif.

Apa yang dilakukan oleh Carberp sudah baik dalam menerapkan konsep agar tidak terdeteksi oleh banyak antivirus, namun ada aksi pada sistem yang terinfeksi yang mengakibatkan blunder alias kecurigaan pada korban. Dengan menonaktifkan Windows Security Center, firewall, CMD dan Task Manager.

Driver ini akan membuat file rdpinst.exe yang diambil dari bagian dirinya yang terenkripsi.

Untuk dapat aktif di startup, file rdpinst.exe dipanggil melalui registry berikut:

File rdpinst.exe berfungsi untuk mengirim informasi mengenai sistem yang terinfeksi yaitu nama komputer, waktu instalasi Windows, daftar driver, daftar proses yang aktif, daftar aplikasi ter-install, daftar aplikasi di registry Run dan daftar service yang aktif ke server pembuat malware. Informasi tertentu pada sistem juga dikirim sebagai penanda apakah payload sudah dijalankan atau tidak oleh server yang menerima respon dari sistem terinfeksi tersebut. Server sendiri akan mengirim 3 file yang merupakan malware dengan tujuan yang berbeda-beda. Dengan adanya penanda ini, sepertinya untuk mencegah 3 file tersebut didapatkan untuk dianalisa oleh ahli sekuriti.

Daftar website antivirus yang berusaha diblok malware ini yaitu Avast, Avira, BullGuard, BitDefender, Dr.Web, MalwareBytes, Baidu, Symantec, Lavasoft, Kaspersky, Comodo, Eset, Sunbelt, Zillya, Gdata dan lainnya.

Alamat Registry Dari Badan MalwareTeknik lain yang digunakan untuk memblok antivirus dan aplikasi sekuriti yaitu dengan mengalihkan nama file aplikasi sehingga tidak dapat dipanggil serta mencari judul window yang aktif untuk ditutup.

 

Payloads

Ketiga file yang di-download oleh Carberp memiliki peran yang berbeda-beda. File pertama yang di-download memanggil perintah powercfg untuk menonaktifkan sleep mode dan hibernation mode. Dengan mematikan kedua mode ini, komputer akan selalu aktif sehingga kegiatan malware akan tetap juga aktif.

File kedua yang dijalankan yaitu malware bernama Pony. Bersifat sebagai data stealer, password dan informasi lainnya akan dicuri dan dikirim kembali ke server.

File ketiga yang di-download berbeda dengan file lain karena diproteksi alias di-packed. Hal yang pasti untuk payload ketiga ini yaitu adanya komunikasi ke server dengan domain Rusia.

 

Statistik Penginfeksian

Server sample Carberp varian awal sendiri memiliki celah keamanan sehingga data yang terkirim dari komputer terinfeksi dapat dilihat. Berdasarkan anasalisa oleh website malware-reversing dari 24 Februari 2016 hingga 26 April 2016, total komputer yang terinfeksi yaitu 15060. Indonesia merupakan negara kedelapan yang memiliki tingkat penginfeksian tertinggi. Urutan tertinggi sendiri yaitu Ukraina, Vietnam, Brasil, Rusia, India, Rumania dan Italia.

 

Kesimpulan

Carberp merupakan malware yang didesain untuk menyebar secara perlahan dan tetap tidak terdeteksi oleh antivirus. Dengan melakukan pengecekan terlebih dahulu untuk memastikan tidak ada antivirus yang teri-install serta tidak dijalankan di virtual machine atau emulator, malware ini berhasil lolos dari pendeteksian antivirus. Tentu saja, malware ini menggunakan teknik obfuscation dengan mengenkripsi string dan resource yang nantinya menjadi dropper.

Dengan hanya jalan ketika tidak ada antivirus yang aktif, malware ini leluasa melewati proteksi firewall internel sehingga dirinya dapat melakukan koneksi ke server luar. Dalam kasus ini yaitu server Rusia yang berlokasi di Ukraina.

Carberp merupakan contoh dari sekian banyak jenis downloader yang berfungsi men-download malware lainnya.

Pastikan selalu menggunakan aplikasi antivirus sebagai perlindungan yang bersifat real-time sehingga ancaman malware dapat diminimalisir.

PCMAV 10.1.6 dapat mengenali berbagai varian malware terbaru yang dilaporkan menyebar di Indonesia termasuk Carberp dan malware lainnya. Pastikan juga untuk selalu mengupdate signatures dengan Update Build terbaru yang didapatkan melalui update online atau blog VirusIndonesia.com untuk mendeteksi ancaman malware terbaru.

(Visited 424 times, 1 visits today)

Share artikel ini melalui:
Share on Facebook5Tweet about this on TwitterShare on Google+0Share on LinkedIn0Email this to someone

About the Author

Fajar Anggiawan
Fajar Anggiawan

stream to bytes

Latest
 
  • Huion H640 H950
 

Read more:
AMD Kenalkan Dual-GPU Fiji Card

Pada event PC Gaming Show hari ini, CEO dari AMD Lisa Su memperkenalkan produk terbarunya yaitu Dual-GPU Fiji Card (Rilis...

Close