Panduan Teknologi Penuh Inspirasi

 


VB-Spy.S: Pencuri Ketikan Cerdik

0
Posted August 4, 2016 by Fajar Anggiawan in Virus

Pencurian data merupakan hal yang merugikan bagi pengguna komputer karena akun suatu website dapat diketahui oleh pihak lain secara ilegal. Ada berbagai teknik pencurian data oleh malware, namun yang paling sederhana yaitu menggunakan teknik keylogger atau mencatat ketikan pengguna.

Malware berukuran 397 KB ini menggunakan icon file JPEG untuk mengecoh pengguna komputer. Dengan dibuat menggunakan Visual Basic 6, VB-Spy.S dipacked dengan aplikasi UPX.

Saat tulisan ini dibuat, malware ini belum pernah di-upload ke layanan scan virus secara online yaitu VirusTotal. Dapat dikatakan jika kemungkinan besar file malware belum disadari sebagai ancaman oleh pengguna komputer sehingga belum pernah di-upload ke VirusTotal. Meskipun demikian, terdapat 26 antivirus yang sudah mendeteksi dari total 57 antivirus yang  telah menscan sample malware ini. Beberapa antivirus terkemuka seperti Avast, Baidu, Malwarebytes, McAfee, Panda, Sophos dan TrendMicro belum dapat mendeteksi malware yang dideteksi PCMAV sebagai VB-Spy.S.

Ketika dijalankan, malware yang menyebar melalui removable disk ini membuat file di lokasi berikut:

C:\Documents and Settings\Administrator\Application Data\nvdisp.exe

Untuk dapat aktif di setiap startup, VB-Spy.S membuat registry di lokasi berikut:

Meskipun terdapat 3 lokasi startup untuk menjalankan malware, namun hanya ada 1 proses yang akan jalan karena malware ini membuat mutex dengan nama:

Untuk menyembunyikan aksi pemanggilan proses malware dengan menggunakan jenis pengguna yang berbeda, berikut perintah yang dipakai:

Salah satu hal yang tidak diinginkan malware yaitu dianalisa oleh pakar antivirus. Oleh karena itu, malware ini menggunakan teknik anti-debugging dengan perintah berikut:

Penyebaran malware menggunakan removable disk seperti flashdisk dengan membuat duplikat file dan file Autorun.inf yang mengarah ke file duplikat di disk tersebut.

Untuk dapat melewati proteksi firewall sehingga malware dapat berkomunikasi dengan C&C server, berikut perintah yang dijalankan menggunakan CMD:

Tidak ada DNS yang berusaha dikoneksikan oleh malware saat proses analisa, namun terjadi proses listening pada port 53 sehingga ada kemungkinan malware bersifat sebagai backdoor. Ada perintah API yang berfungsi untuk mendapatkan nama komputer, yaitu:

Hal menarik pada malware ini yaitu teknik obfuscation untuk menghindari pendeteksian antivirus yaitu dengan menaruh string dan informasi yang menandakan file dibuat menggunakan AutoIt.

Informasi AutoIt Pada Badan File

Payload Malware

Tidak banyak aksi atau payload yang dilakukan VB-Spy.S selain menjadi pencuri data dan keylogger dengan merekam ketikan pengguna dan menyimpan hasil ketikan tersebut di lokasi berikut:

Perintah-perintah API yang dimanfaatkan malware untuk merekam ketikan yaitu:

Ada beberapa kode registrasi atau password yang coba dicuri oleh VB-Spy.S, yaitu:

PCMAV dengan fitur AntiKeylogger Protection dapat memblok aktifitas keylogger sehingga tidak ada ketikan yang dapat direkam oleh VB-Spy.S.

 Fitur AntiKeylogger Protection Pada PCMAV Memblok Aktifitas Keylogger

Pencegahan

Ada beberapa cara yang dapat diterapkan untuk dapat menghindari penginfeksian keylogger atau mengurangi resiko jika pun telah terkena ancaman keylogger, yaitu dengan menggunakan aplikasi firewall untuk memblok koneksi Internet yang masuk maupun keluar, terkecuali dari service atau proses yang terpercaya.

Gunakan password yang kompleks pada setiap aplikasi, terutama penggunaan master password pada browser untuk mengunci password yang tersimpan.

Selalu aktifkan UAC untuk sebagai notifikasi adanya aplikasi yang mencoba mengakses lebih jauh ke sistem.

Disable AutoPlay dan Autorun untuk meminimalisir ancaman malware dari removable disk. Matikan file sharing jika tidak dibutuhkan atau gunakan password untuk membatasi akses.

Pastikan selalu menggunakan aplikasi antivirus sebagai perlindungan yang bersifat real-time sehingga ancaman malware dapat diminimalisir. Update sistem operasi untuk mencegah malware memanfaatkan exploit yang dapat dengan mudah mengaktifkan malware di sistem.

PCMAV 10.1.8 dapat mengenali berbagai varian malware terbaru yang dilaporkan menyebar di Indonesia termasuk VB-Spy.S dan malware lainnya. Pastikan juga untuk selalu mengupdate signatures dengan Update Build terbaru yang didapatkan melalui update online atau blog VirusIndonesia.com untuk mendeteksi ancaman malware terbaru.

(Visited 494 times, 1 visits today)

Share artikel ini melalui:
Share on Facebook2Tweet about this on TwitterShare on Google+0Share on LinkedIn0Email this to someone

About the Author

Fajar Anggiawan
Fajar Anggiawan

stream to bytes

Latest
 
  • Huion H640 H950
 

Read more:
Makers.id 04/2016

Telah hadir Makers.id – 04/2016. Dapatkan secara GRATIS untuk iPad, Tablet, Android, PC dan Smartphone Anda Majalah Makers.id – 04/2016. Link...

Close