Selamat membaca
Mengenal Virus Komputer “Amburadul”
semoga bermanfaat

Share It

Social Network

twitterfacebookgoogle plusrss feed

Selamat Datang

Mengenal Virus Komputer “Amburadul”

Amburadul merupakan virus komputer lokal yang dibuat menggunakan Visual Basic, yang memiliki ukuran file sekitar 50-an Kb dalam keadaaan ter-compress menggunakan UPX yang di-scrambled. Virus ini dapat menghapus koleksi video dan melancarkan serangan kebeberapa situs.
Beberapa antivirus mengenali virus ini sebagai Autorun. Virus ini menggunakan lambang mirip icon default untuk file gambar (.JPG) untuk penyebarannya ini masih menggunakan media penyimpanan data seperti flash disk. Virus ini sudah menyebar hampir ke seluruh Indonesia.

Pada saat virus aktif, ia akan membuat beberapa file induk yang akan dijalankan setiap kali komputer dinyalakan (file ini juga dibuat di semua drive termasuk di Flash Disk)
Beberapa ciri-ciri file yang akan di buat oleh Amburadul beserta variannya:
Icon         : Image (JPG)
Ukuran file     : Bervariasi sesuai dengan varian (51 KB, 52 KB, 54 KB dan 56 KB)
Ekstensi file     : EXE
Type File     : Application
Nama file yang digunakan yang dapat menarik perhatian user. Saat file-file virus tersebut dijalankan, yang muncul hanyalah sebuah jendela preview yang kosong tanpa gambar.
Di memory akan terdapat prosess virus dengan nama menyerupai prosess atau service di Windows, seperti csrss.exe, lsass.exe, service.exe, smss.exe, winlogon.exe, dan ~Paraysutki_VM_Community~, yang jika dilihat menggunakan program seperti Proses Explorer akan terlihat perbedaannya, karena virus ini menggunakan icon seperti file gambar. Ia juga melakukan serentetan perintah taskkil untuk menutup secara paksa prosess virus lain, antivirus, dan aplikasi lain, seperti ksoold.exe, tati.exe, wscript.exe, winamp.exe, dan firefox.exe

Berikut file induk yang akan dijalankan:
C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
csrcc.exe
smss.exe
lsass.exe
services.exe
winlogon.exe
Paraysutki_VM_Community.sys
msvbvm60.dll
C:\Autorun.inf
C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
C:\Friendster Community.exe
C:\J3MbataN K4HaYan.exe
C:\MyImages.exe (hidden file)
C:\PaLMa.exe
C:\Images
Ce_Pen9God4.exe
J34ñNy_Mö3tZ_CuTE.exe
M0D3L_P4ray_ 2008.exe
MalAm MinGGuan.exe
NonKroNG DJem8ataN K4H4yan.exe
Ph0to Ber5ama.exe
PiKnIk dT4ngKilin9.exe
RAja Nge5ex.exe
TrenD 9aya RAm8ut 2008.exe
C:\Images\_PAlbTN
(V.4.9)_D053n^908L0K.exe
~ G0YanG Ranjang ~.exe
GePaCar4an Neh!!!.exe
GuE... BgT!.exe
Ke.. TaUan N90C0k.exe
Ma5tURbas1 XL1M4xs.exe
PraPtih G4diEs PuJAAnku.exe
SirKuit BaLi SmunZa.exe

Untuk menyebarkan dirinya ke media “Flash Disk” ataupun “Disket” dengan membuat beberapa file induk dan beberapa file pendukung agar dirinya dapat aktif secara otomatis setiap kali user akses ke Flash Disk tersebut. Berikut beberapa file yang akan dibuat pada media Flash Disk atau Disket:
C:\Autorun.inf
C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
C:\Friendster Community.exe
C:\J3MbataN K4HaYan.exe
C:\MyImages.exe (hidden)
C:\PaLMa.exe
C:\Images
Ce_Pen9God4.exe
J34ñNy_Mö3tZ_CuTE.exe
M0D3L_P4ray_ 2008.exe
MalAm MinGGuan.exe
NonKroNG DJem8ataN K4H4yan.exe
Ph0to Ber5ama.exe
PiKnIk dT4ngKilin9.exe
RAja Nge5ex.exe
TrenD 9aya RAm8ut 2008.exe
C:\Images\_PAlbTN
(V.4.9)_D053n^908L0K.exe
~ G0YanG Ranjang ~.exe
GePaCar4an Neh!!!.exe
GuE... BgT!.exe
Ke.. TaUan N90C0k.exe
Ma5tURbas1 XL1M4xs.exe
PraPtih G4diEs PuJAAnku.exe
SirKuit BaLi SmunZa.exe

Agar virus tersebut dapat aktif secara otomatis setiap kali user akses ke Drive atau Flash Disk ia akan menggunakan fitur Autorun windows dengan membuat file autorun.inf pada root Flash Disk atau Drive. File Autorun ini akan menjalankan file MyImage.exe, dimana file ini akan disembunyikan agar tidak mudah dihapus oleh user.

Setiap kali menyembunyikan file, sebagai jejaknya ia akan mencatatkan lognya dalam file C:\Windows\ Amburadul_List.txt
File yang menjadi target virus ini adalah file gambar (JPG/BMP/PNG/TIFF/GIF), tetapi ia hanya akan menyembunyikan file gambar yang ada di Flash Disk. Untuk mengelabui user ia akan membuat file duplikat yang mempunyai nama yang sama dengan nama file yang disembunyikan dengan ciri-ciri:
Icon JPG
Ukuran “acak” (tergantung varian -> 51 KB / 52 KB / 54 KB / 56 KB)
Ekstensi .xx`.exe, dimana xx menunjukan ekstensi dari file gambar aslinya. Contohnya jika file gambar asli mempunyai nama data.bmp maka virus ini akan membuat file duplikat dengan nama data.bmp`.exe.
Type File “Application”
Virus ini juga akan mencari file dengan extention seperti .JPEG, .BMP, .PNG, .GIF, .TIFF, .TIF, dan .3GP, untuk disembunyikan dan digantikan dengan nama file yang hampir sama. Dan mencari file dengan extension .AVI, .MP4, .WMV, . MPG, .VBS dan .EML, yang tanpa ragu akan dihapus setiap ia menemukannya. Di varian tertentu, setiap file yang disembunyikan atau dihilangkan akan dicatat, dan disimpannya pada sebuah file log bernama Amburadul_List.txt yang bisa ditemukan pada direktori X:\WINDOWS\Temp.

Saat virus aktif, ia akan melancarkan beberapa perintah yang mengarah kepada DDoS attack (distributed denial-of-service attack). Perintah tersebut berupa ping dengan request packet yang besar yang dilancarkan pada beberapa situs yang sudah ditentukan :
www.duniasex.com
www.data0.net
www.rasasayang.com.my

Amburadul dan variannya mempunyai misi membasmi keluarga Hokage (VBWorm.Gen16) dengan blok file virus tersebut agar tidak dapat dijalankan. Hal ini dipertegas dengan merubah judul pada aplikasi Internet Explorer (perhatikan gambar). Untuk melakukan hal tersebut ia akan membuat beberapa string pada registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Window Title = ++++ Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places, Wanna start a War ++++
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
Debugger = cmd.exe /c del

No comments:

Post a Comment

Komentar di moderasi, Silahkan tinggalkan komentar sesuai topik dan judul. Komentar yang menyertakan link aktif, iklan, pornografi, dan semacamnya akan dihapus atau dianggap sebagai SPAM. Kotak komentar ini support smilley, kode, gambar, ataupun video.

Catatan :
1. Untuk menyisipkan kode gunakan kode yang akan disisipkan
2. Untuk menyisipkan kode panjang gunakan kode yang akan disisipkan
3. Untuk menyisipkan quote gunakan catatan anda
4. Untuk menyisipkan gambar gunakan URL gambar
5. Untuk menyisipkan video gunakan URL Video youtube

Keterangan :
Gunakan HTML konverter sebelum menyisipkan kode.
Contoh link image : http://blablabla.com/image.jpg.
Broken link pada kotak komentar akan dihapus.



© 2014 Blog BDAYA✔

Popular Posts

Other Blog Sang Petualang