ShoutMix chat widget
Bhokalor

14 Feb 2011

Browse » » » Rascal: Malware Lama Bersemi Kembali

Rascal: Malware Lama Bersemi Kembali

Rascal

Rascal. Mungkin bagi sebagian orang tidak asing lagi mendengar nama worm Rascal. Beberapa forum dan blog pribadi banyak menyebutkan malware ini telah cukup lama menyebar. Beberapa minggu yang lalu pun ada pengguna yang mengirimkan sampel virus Rascal, dan menyebutkan bahwa komputernya terinfeksi malware dengan nama “Miyabi-New Episode(NO SENSOR)” dan “JapanPorn”.
A. File Info
Nama: Rascal
Asal: Bali
Ukuran File: 68.6 KB (70,321 bytes)
Packer: FSG v2.0   F[ast] S[mall] G[ood]  – www.xtreeme.prv.pl
Pemrograman: Visual Basic 6.0
Icon: Windows Media Player File
Tipe: Worm

B. Nama Malware
Namanya diambil dari Internal Name pada Properties file yang berisi kata “RASCAL.EXE”. Dengan Icon yang menyerupai file WMP File, worm ini mudah sekali membuat user untuk mengaktifkannya. Terlebih lagi dengan Description File yang berisi DAT File dan Company-nya yang berisi seolah-olah ukuran file sebesar 11,289 KB padahal file aslinya berukuran 68.6 KB.
Icon Rascal
C. Companion/File yang dibuat

  • Rascal membuat pesan yang terdapat di folder C:\Documments and Settings\[nama user]\My Document\JapanPorn.DAT. Sebenarnya file tersebut adalah file teks yang di dalamnya terdapat pesan:
Pesan DAT Rascal
  • Membackup aplikasi system Windows seperti msconfig.exe, regedit.exe, cmd.exe, Command.com, dxdiag.exe, sysedit.exe, taskmgr.exe ke folder “C:\pUkcaB_LACSAR\” yang kemudian di ubah ekstensinya menjadi “.RASCAL”. contohnya, cmd.RASCAL, Command.RASCAL, dxdiag.RASCAL, msconfig.RASCAL, regedit.RASCAL, sysedit.RASCAL, taskmgr.RASCAL.
  • Membuat beberapa file di flash disk dengan nama seperti , Ayam-kampus.exe, Miyabi-New Episode(NO SENSOR).exe, Miyabi-New Episode(NO SENSOR).DAT, dan Autorun.inf.
AutoRun Rascal
  • Mengcopy beberapa file yang nantinya akan dijadikan host untuk di aktifkan setelah proses startup.
?
1
2
3
4
5
6
7
C:\Miyabi-New Episode(NO SENSOR).EXE
C:\Miyabi-New Episode(NO SENSOR).DAT
C:\WINDOWS\msvbvm60.EXE
C:\WINDOWS\system32\rascal32.EXE
C:\Documents and Settings\[nama user]\Templates\userinit.EXE
C:\Documents and Settings\[nama user]\My Document\JapanPorn.EXE
C:\Documents and Settings\[nama user]\My Document\Miyabi-New Episode(NO SENSOR).EXE
  • Menambahkan Oeminfo agar bisa merubah isi Properties My Computer.
?
1
2
C:\WINDOWS\system32\oeminfo.ini
C:\WINDOWS\system32\oeminfo.bmp
System Properties Rascal
D. Hasil Infeksi

  • Melakukan overwrite pada file msconfig.exe, regedit.exe, cmd.exe, Command.com, dxdiag.exe, sysedit.exe dan taskmgr.exe yang kemudian dirubah menjadi aplikasi Notepad.exe.
Notepad
  • Mendisable fungsi windows seperti, Registry Editor, Disable Show Hidden File and Show Extension, Task Manager.
  • Membuat startup pada registry.
?
1
2
3
4
5
6
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Systemshell = explorer.exe C:\WINDOWS\system32\rascal32.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SystemSystem = C:\WINDOWS\msvbvm60.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SystemUserinit = userinit.exe,C:\Documents and Settings\Administrator\Templates\userinit.exe,
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows = C:\WINDOWS\msvbvm60.exe /register
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = C:\WINDOWS\system32\rascal32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NET-SERVICES = C:\WINDOWS\system32\rascal32.exe /register
  • Menampilkan pesan jika user menekan Enter pada keyboard dan menampilkan juga pesan Windows File Protection Change agar user menjalankan Proses instalasi windows.
Pesan Enter
  • Secara otomatis menutup semua proses yang sedang berjalan dan memiliki nama Caption seperti di bawah ini.
    1)registry
    2)tuneup
    3)anti
    4)avg
    5)ansav
    6)advanced
    7)virus
    8)killer
    9)processes
    10)process
    11)utility
    12)tool
    13)hacker
    14)cracker
    15)scanner
    16)vir
    17)hijack
    18)hex
    19)editor
    20)snif
    21)run
    22)free
    23)japan
    24)porn
    25)adult
    26)sex
    27)hot
    28)gadis
    29)bugil
    30)asia
    31)kamasutra
    32)blue
    33)samples
    34)mahasiswa
    35)mahasiswi
    36)lokal
    37)local
    38)siswi
    39)siswa
    40)telanjang
    41)smu
    42)sma
  • Ada beberapa key di regstry yang tidak berjalan dengan benar seperti:
?
1
2
3
4
5
6
7
8
9
10
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer
NoClose
NoLogOff
NoFind
NoControlPanel
NoViewContextMenu
NoFolderOptions
     
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon
SFCScan

E. Pembersihan
Untuk membersihkan worm Rascal ini, serta mengembalikan seluruh registry dan file system yang di backup seperti yang sudah di jelaskan di atas, dapat menggunakan PCMAV 4.5 Update Build 2.
PCMAV Detection
PCMAV Cleaning

PCMAV 4.5 Update Build2
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.5 Update Build1 telah hadir dengan penambahan 96 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.5, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
SendSpace.com
ZippyShare.com (mirror)
Rapidshare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 4.5 Update Build2:
Autoit-ReplaceIcon.B
Autoit-ReplaceIcon.C
Autoit.FB
Autoit.FC
Autoit.FC.ini
Baidu
Baidu.dll
Baidu.dns
Baidu.host
Baidu.inf
Beds
Bekol
BudiLuhur.C
BudiLuhur.C.inf
DelPS
DelPS.ini
Ebetazijl.A
Ebetazijl.A.inf
Ebetazijl.B
Ebetazijl.B.lnk
FakeAV-Downloader.C
FakeAV-Downloader.C.lnk
FakeAV-Downloader.D
FakeAV-Downloader.D.dll
FakeAV-Downloader.E
FakeAV-Downloader.F
FakeAV-Downloader.F.exe
FakeAV-Downloader.F.job
FakeAV-Downloader.F.lnk.A
FakeAV-Downloader.F.lnk.B
FakeAV-Downloader.F.ref
FakeAV-Downloader.F.setup
FakeAV-Downloader.F.url
HB10
Malingsi.AA
Malingsi.Y
Malingsi.Z
Malingsi.Z.dll
Malingsi.Z.exe
Malingsi.Z.ini
Malingsi.Z.mrc
Mshearts.vbs.C
MsKunti.vbs
MsKunti.vbs.html
MsKunti.vbs.inf
MsKunti.vbs.ini
MsKunti.vbs.txt
Nami-Ternate
Nami-Ternate.bat.A
Nami-Ternate.bat.B
Nami-Ternate.bat.C
Nami-Ternate.bat.D
Nami-Ternate.inf.A
Nami-Ternate.inf.B
Nami-Ternate.ini.A
Nami-Ternate.ini.B
Nami-Ternate.ini.C
Nami-Ternate.txt.A
Nami-Ternate.txt.B
Poet-Kompti
Poet-Kompti.txt
Rascal
Rascal.bmp
Rascal.dat
Rascal.inf
Rascal.ini
Recycler.BK
Recycler.BK.inf
Recycler.BL
Recycler.BL.inf
Recycler.BM
Recycler.BM.inf
Recycler.BN
Recycler.BN.inf
RedWines.B
Restore.A
Restore.A.inf
Restore.B
Restore.B.inf
Restore.C
Restore.C.inf
Samok.vbs
Samok.vbs.bat
Samok.vbs.inf
Serviks.C
Serviks.C.html
Serviks.C.inf
Serviks.C.vbs
Sherry
VB-Shortcut-WLogon.A
VB-Shortcut-WLogon.B
VB-Shortcut-WLogon.C
VB-Shortcut-WLogon.D
VB-Shortcut-WLogon.E
VB-Shortcut-WLogon.F
VB-Shortcut-WLogon.G
Diposting oleh Agung Adityatama di Senin, Februari 14, 2011
Label:

0 komentar:

Posting Komentar

IP
English French German Spain Italian Dutch Russian Brazil Japanese Korean Arabic Chinese Simplified