TODO: Bersembunyi Di Balik Process

 Kali Ini saya akan membahas virus ini dan cara pembersihanya melalui PC-MAV :

 








TODO. Rootkit adalah salah satu teknik yang sering digunakan malware yang menyebar di masyarakat belakangan ini. Komputer yang terinfeksi seolah-olah berjalan dengan normal tanpa adanya gangguan dari malware. Memang terkadang tidak terlalu mempengaruhi kinerja komputer, karena beberapa malware melakukan payload yang tidak mengganggu aktivitas user agar tetap tidak diketahui keberadaannya, dan ini adalah salah satu perbedaan umum antara kebanyakan malware lokal dan malware yang berasal dari luar.  Seperti halnya TODO yang diam-diam berjalan dan tetap memberikan keuntungan lebih bagi pembuatnya (Virus Maker).
A. Info File
Nama Worm : TODO
Asal : Rusia (dugaan)
Ukuran File : 325 KB (333,312 bytes)
Packer : UPX -> Markus & Laszlo ver. [ 3.02 ]
Pemrograman : Microsoft Visual C++
Icon : Application
Tipe : Trojan, Rootkit
B. About Malware

Namanya di ambil dari Original File Name yang menunjukan nama TODO. Malware ini didapatkan setelah salah satu variant worm yang menyebar lewat facebook “Chat-Facebook” tengah dianalisa dan didapatkan mendownload malware ini, TODO dapat aktif setelah droppernya dijalankan. Dan droppernya bersembunyi di balik proses svchost.exe. Baik host TODO maupun droppernya (TODO.drp) sama-sama dibuat menggunakan pemrograman Microsoft Visual C++ dan dikompres menggunakan UPX yang ukuran sebenarnya adalah:
• TODO setelah di-pack = 325 KB (333,312 bytes)
• TODO sebelum di-pack = 847 KB (867,328 bytes)
• TODO.drp setelah di-pack = 35.5 KB (36,352 bytes)
• TODO.drp setelah di-pack = 86.0 KB (88,064 bytes)
C. Companion/File yang dibuat
Setelah aktif di memory, Trojan TODO melakukan pengecekan terhadap companionnya (TODO.drp) yang berfungsi untuk menyembunyikan prosesnya di memory. Selain itu, jika TODO.drp sudah aktif terlebih dahulu, maka akan melakukan hal yang sama untuk melakukan pengecekan kemudian menjalankan TODO dan yang terakhir adalah menyembunyikan prosesnya dibalik proses lain.

Process scvhost.exe palsu

Hasil Deteksi GMER

D. Hasil Infeksi
Tentunya agar mampu berjalan otomatis saat proses startup, TODO.drp membuat sebuah value key di registry. Dan yang menarik adalah bahwa TODO memang menunjukan aktivitas rootkit. Selain itu, TODO berusaha mengakses salah satu IP yang setelah di Trace, IP tersebut berasal dari Sweden / Swedia.
Network Connection 1

Network Connection 2

Trace IP

E. Pembersihan

Short Information:
Chat-Facebook sendiri sebenarnya memiliki beberapa tipe, ada yang hanya berfungsi sebagai Downloader (Trojan)dan beberapa ada yang memang membuat host dan menyebar layaknya worm. Sayangnya, Chat-Facebook diduga memiliki kemampuan untuk mengecek tanggal yang nantinya hanya akan berjalan sesuai tanggal yang ditentukan, selain itu akan menghapus host file yang sedang di analisa. Hal ini mungkin dimaksudkan untuk menghindari kegiatan Tracing dan Debugging dalam proses analisanya.
PCMAV 5.5 Update Build1
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.5 Update Build1 telah hadir dengan penambahan 26 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.5, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.