Bayangkan jika file dengan ukuran 4.12 MB ada di setiap folder pada flash disk Anda dan resource komputer terasa begitu lambat karena digunakan oleh aktivitas malware untuk membuat file tersebut. Jika ada 10 folder pada flash disk Anda, maka worm ini akan menghabiskan kapasitas 41.2 MB, dan jika ada 200 folder maka worm akan menghabiskan kapasitas sebesar 824 MB file dalam flash disk Anda.
Info Malware :Nama: Autoit.FF
Asal: -
Ukuran File: 4.12 MB (4,321,280 bytes)
Packer: -
Pemrograman: Autoit
Icon: Folder
Tipe: Worm
Asal: -
Ukuran File: 4.12 MB (4,321,280 bytes)
Packer: -
Pemrograman: Autoit
Icon: Folder
Tipe: Worm
Tentang Malware
Tidak seperti yang terlihat bahwa worm ini berukuran lebih dari 4 MB, sebenarnya ukuran asli worm ini hanyalah 751 KB. Hal ini dikarenakan banyaknya data sampah yang sebenarnya tidak diperlukan disimpan oleh worm ini.
Seperti yang terlihat pada gambar di atas, terdapat 4 buah section yaitu UPX0, UPX1, .rsrc dan .MUPX1. Section UPX itu sendiri adalah section hasil compressing file, sedangkan .rsrc adalah tubuh asli dari worm. Yang menarik adalah .MUPX1 karena jika section ini di pisahkan (dump) maka akan dihasilkan sebuah file dump yang berukuran 3.83 MB (4,016,640 bytes) dan salah satu penggalan isinya adalah seperti gambar di bawah ini:
Companion/File yang dibuat
Setelah aktif di memory, worm ini akan membuat beberapa file yang akan dijadikan hostnya seperti:
C:\WINDOWS\regsvr.exe
C:\WINDOWS\system32\regsvr.exe
C:\WINDOWS\system32\svchost .exe
C:\WINDOWS\system32\setting.ini
C:\WINDOWS\system32\setup.ini
C:\WINDOWS\system32\regsvr.exe
C:\WINDOWS\system32\svchost .exe
C:\WINDOWS\system32\setting.ini
C:\WINDOWS\system32\setup.ini
Selain banyaknya file yang dibuat pada flash disk, worm ini akan membuat file autorun.inf dan 2 buah file utama yang salah satunya akan dieksekusi jika user menjalankan fungsi autoplaynya.
Hasil InfeksiAgar bisa berjalan saat startup, worm ini membuat startup di registry.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ Msn Messsenger
C:\WINDOWS\system32\regsvr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe, regsvr.exe
C:\WINDOWS\system32\regsvr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe, regsvr.exe
Diduga kuat worm ini menyebar juga melalui Email, terbukti dengan worm ini membaca seluruh nama user yang terdapat pada phone book serta mengakses beberapa IP dan website seperti:
67.195.xx.xx (disamarkan)
www.yahoo.com
yahoo.com
www.yahoo.com
yahoo.com
0 komentar:
Posting Komentar