- Back to Home »
- Virus GEN.Golebert, Varian dari Trasher?
Posted by : Unknown
Tuesday, March 25, 2014
Kali ini, dengan penamaan virus GEN.Golebert, penulis menyatakan bahwa ini adalah varian (jenis) dari virus Trasher.
Bagaimana tidak, tingkah lakunya pun persis seperti yang dilakukan oleh virus Trasher, hanya saja pada varian kali ini si virus maker sepertinya memanfaatkan nama produk program lain untuk virus anakannya, yaitu TrueCrypt (yang hampir saja membuat penulis mengira bahwa ini adalah virus yang bernamaCryptolocker), hanya saja ukuran hanya sekitar 300-an KB, berbeda denganTrueCrypt yang resmi dari http://www.truecrypt.org/ yang memiliki ukuran file 1 MB-an dan memiliki Digital Signatures pada Properties filenya.
Bagaimana tidak, tingkah lakunya pun persis seperti yang dilakukan oleh virus Trasher, hanya saja pada varian kali ini si virus maker sepertinya memanfaatkan nama produk program lain untuk virus anakannya, yaitu TrueCrypt (yang hampir saja membuat penulis mengira bahwa ini adalah virus yang bernamaCryptolocker), hanya saja ukuran hanya sekitar 300-an KB, berbeda denganTrueCrypt yang resmi dari http://www.truecrypt.org/ yang memiliki ukuran file 1 MB-an dan memiliki Digital Signatures pada Properties filenya.
Kararteristik Virus
Ukuran file: 123 KB (126,464 bytes)
Dibuat menggunakan: [Tidak diketahui]
FileDescription: Golebert Boj
Nama file: [Acak]
Dibuat menggunakan: [Tidak diketahui]
FileDescription: Golebert Boj
Nama file: [Acak]
File Induk Virus
Saat pertama virus aktif, virus akan mengcopykan dirinya ke “C:\Documents and Settings\User\Local Settings\Temp\Adobe\” dengan menyamar sebagai bagian dari program Adobe dengan nama “Reader_sl.exe” yang nantinya akan otomatis aktif saat komputer dihidupkan karena telah dibuat nilai Autorun pada Registry.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“Adobe System Incorporated”=”C:\\DOCUME~1\\[User]\\LOCALS~1\\Temp\\Adobe\\Reader_sl.exe”
Juga mengcopykan diri pada ‘folder sementara’ (temporary directory) dengan nama acak atau berubah ubah, yang nantinya akan dijalankan ketika user tak sengaja meng-klik file shortcut yang telah dibuat virus pada setiap data (baik folder maupun file) yang ada pada root (direktori utama) flashdisk.
Setelah berhasil mengcopykan diri ke komputer, akan dijalankannya “notepad” (yang dimanfaatkan sebagai jembatan untuk mendownload virus anakan beralamat di IP Public : 194.1.247.242) dengan bantuan “svchost”, juga menjalanakan “charmap” dan “calc”.
Ulah Virus
Menyembunyikan file maupun folder asli yang berada pada direktori utama flashdisk untuk digantikannya dengan file shortcut hasil modifikasi virus,Trash.Shortcut.
Pembersihan
Lakukan scan menyeluruh pada komputer dan flashdisk, dan pastikan Smadav sudah terupdate (pada artikel ini menggunakan Smadav 9.7.1) yang dapat didowload di www.smadav.net
Gambar atas saat selesai scaning menggunakan Smadav.
Gambar bawah saat selesai scaning Smadav lalu “Fix All”.
Tambahan
Jika proses “calc”, “charmap” dan “notepad” tak jua berhenti, silakan hentikan manual menggunakan fitur “Tools” dari Smadav. Pilih panel “Tools”, klik pada tab “Process Manager”, pada “Process Name” perhatikan 3 nama di atas (“calc”, “charmap” dan “notepad” ), jika sudah ditemukan, klik kanan pada nama proses tersebut, “Action”, lalu “Kill”.
Sumber : http://www.viruslokal.com/2014/03/virus-gen-golebert-varian-dari-trasher/#more-962