Trojan-Wom FlashPlayer.E

FlashPlayer.E. Iframe, Shortcut Exploit, Autorun.inf adalah beberapa companion yang dibuat oleh malware untuk membantu malware tersebut menginfeksi komputer korban. Contohnya seperti virus QVod yang jika menginfeksi komputer user kemudian menambahkan iframe pada bagian footer dari file HTML milik user, Shortcut Exploit buatan Stuxnet dan Autorun.inf dengan banyak modifikasi source code agar tidak terdeteksi oleh antivirus seperti autorun buatan Sality. Bagaimana denga email palsu dari akun user yang sudah di bajak? bukan cara baru, akan tetapi bisa saja lebih efektif dalam menginfeksi komputer korban.


A. Info File

Nama Malware                         : FlashPlayer.E Asal                                          : unknown Ukuran File                              : 32.0 KB (32,768 bytes) Packer                                      : ~ Pemrograman                          : Microsoft Visual C++ 6.0 Icon                                         : Old application Tipe                                         : Trojan, Worm

B. About Malware


Dibuat menggunakan bahasa pemrograman Visual C++, trojan FlashPlayer.E ini datang dengan ukuran yang relatif kecil meski tanpa di-pack. Tidak banyak berubah dari varian sebelumnya yang menggunakan icon file executable Windows, tetapi tetap saja, sebuah trojan memiliki tujuan serta teknik tertentu saat mengelabui user.
Dikutip dari sebuah sumber, yang menjelaskan bahwa trojan FlashPlayer.E ini dikirimkan melalui sebuah email dan berasal dari Taiwan. Dijelaskan juga, email palsu ini akan semakin meyakinkan user terlebih lagi dengan adanya signature asli dari pengirim.

C. Companion/File yang dibuat
Tidak banyak file yang dibuat, mengingat FlashPlayer.E tidak termasuk malware tipe worm yang menduplikasi diri. Setelah aktif di memory, trojan FlashPlayer.E akan membuat file host di folder Local Settings yang nantinya akan diaktifkan saat proses Startup, seperti yang terlihat pada gambar di bawah ini.




D. Hasil Infeksi
Jika ada koneksi internet pada komputer yang terinfeksi, trojan FlashPlayer.E akan mengirimkan paket ke IP yang setelah di trace berasal dari Korea. Tetapi hal ini tidak bisa di jadikan anggapan bawah FlashPlayer.E berasal dari Korea.

Sebenarnya bersembunyi dibalik proses lain tidak selalu disebut rootkit, contohnya adalah FlashPlayer.E. Sekilas proses yang sedang aktif di memory tidak terdapat proses dari virus, padahal jika diperhatikan lebih jauh, terdapat parameter yang digunakan untuk menjalankan host FlashPlayer.E yang terdapat pada folder Local Settings.



















D. Penanganan

• Antivirus Inter-Lokal (Avast, Avira, Bitdefender, Kaspersky, ESET, dll)
• PCMAV 8.5 Update Build1 
• SmadAV 2013 Rev.9.2.1

Referensi :
PC Media - Official Sites