WinZipper, Aplikasi Pengkompres Data Palsu

Posted in internet, Virus Asing on Nov 17, 2016

winzipper1

Program ini berwarna hitam, dengan gambaran seperti kotak kado, biasanya akan terdownload jika user mengklik salah satu iklan di situs web yang banyak iklannya.

Aksi Virus

winzipper2

Virus tersebut ternyata hanya sebagai Downloader & Launcher dari misi utama virus ini, yakni menanamkan program yang seakan berguna, namun seperti bakwan, ada udang dibalik bakwan, atau ada maksud (tidak etis) dibalik pembuatan program tersebut.

Semula, file yang didownload disimpan di “Temporary Internet Files“, yang berekstensi .exe, “wzp[1].exe” namanya. Walaupun berkestensi .exe, tamun antivirus yang terinstall di komputer user tidak menganggap file yang didownload tersebut sebagai ancaman, karena file tersebut sudah dienkripsi sebelumnya, sehingga Header dari MetaData sebuah file executable (MZ) sebuah virus tidak akan terbaca, maka tidak dianggap sebagai ancaman. Hmm…, kecuali file tersebut memang bukan executable, melainkan file terkompresi yang dienkripsi dan diberi ekstensi executable (.exe).

winzipper5

Setelah keseluruhan bit file selesai didownload, dengan ukuran 2,90 MB (3.044.134 bytes), file terenkripsi tersebut dipindah ke path lain “%temp%\ist68A3.tmp” dengan nama “dlzipdata“, dan ternyata ukuran mereka berdua sama, namun bedanya pada file bernama “dlzipdata” yang tanpa ekstensi itu sebenarnya file terkompres RAR. Berarti bukan file executable yang dienkripsi tadi, melainkan file RAR.

Proses Virus

winzipper6

Setelah semua terinstall dan masuk ke dalam Program Files, maka terkumpullah pasukan program pengkompres Zip palsu dengan nama “WinZipper“, dan mengaktikan proses bernama “winzipersvc.exe“, yang mana proses tersebut akan mengirim data ke servernya secara berkala.

Data tersebut adalah:

  1. d1wmnlsnh8rftl.cloudfront.net/v4/winzippers/hgstxhts545050a7e380_te8531l50k06ek0k06ekx?action=visit.svc.heartbeat&update0=ref,unkown&update1=nation,us&update2=version,2.2.67&update3=ref1,unknown&update4=os,win7_x86&timestamp=1479331196
  2. d1wmnlsnh8rftl.cloudfront.net/v4/winzippers/hgstxhts545050a7e380_te8531l50k06ek0k06ekx?action=app.install&timestamp=1479331379
  3. d1wmnlsnh8rftl.cloudfront.net/v4/winzippers/hgstxhts545050a7e380_te8531l50k06ek0k06ekx?action=visit
  4. d1qjc90738otwj.cloudfront.net/Request2/update?ptid=org&sid=wzp&n=us&ln=en&ver=2.2.67&uid=hgstxhts545050a7e380_te8531l50k06ek0k06ekx&pid=&data=W1NldHRpbmddDQpDb21wb25lbnRDb3VudD0wDQpbQ29tcG9uZW50MF0NCkNvbXBvbmVudElkPTgyDQpWZXJzaW9uPTIuMi42Nw==dc1c2e249518bb8b85c844c3176b90f0

Biasanya, setelah data terkirim, akan mendapat data balasan, antara lain:

  1. ok1
  2. 1
    1
    0
  3. ????

Data yang akan kita terima selainnya adalah yang belum kita ketahui, yang bisa saja berupa virus baru, atau virus yang sama dengan variant / versi terbaru yang lebih canggih dan lebih meyakinkan? Entahlah.

Penampilan Program Pengkompres Data Palsu

winzipper7

winzipper8

Ciri-ciri program ini adalah:

  1. Fitur yang disuguhkan sangatlah sedikit
  2. Mengganti fungsi “Klik kanan Rar file” dengan fungsi virus
  3. Tidak ada alamat situs web resminya
  4. Ada string alamat server yang diduga adalah server dimana virus dapat memperbarui dirinya, berikut string di dalam tubuh proses service virus yang aktif di komputer korban: http://broodmother.com/Upload/riyan/112016/winzipersvc.exe.txt
    Yakni server: d3n5qecywn11y3.cloudfront.net
    Dan server, hanya beda sub-domain: d1wmnlsnh8rftl.cloudfront.net
    Pokoknya: cloudfront.net
  5. Memiliki Digital Signature palsu dengan nama: Chencheng Cai

winzipper9

winzipper10

Cara Pembersihan

Sebelum terjadi hal yang tak diinginkan, disarankan untuk melepas / uninstall program tersebut dari komputer.

Walaupun Smadav belum mengenali dan memasukkan variant virus (trojan) ini ke dalam database Smadav, user tetap bisa membersihkan virus ini dari komputer dengan menambahkan program tersebut sebagai virus. Bagi yang belum tau, silakan baca caranya di sini: http://www.viruslokal.com/2016/11/mengenal-fitur-one-virus-by-user-dan-tips-cara-mendeteksi-virus-yang-belum-dikenal-smadav

 

Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Mon, 12:16 am

    Mimose Desir: Je suis contente d'avoir cette nouvelle version

    Burlington coupons: Great product! Fast shipping! Thanks. Burlington coupons http://www.burlingtoncoatcoupons.com

    titus: good one

    titus: good

    ochitiga muzamil: perfect one

    djkaybee: good one

    okochi emmanuel: perfect service

    Asmawi: Ingin yang terbaik

    carolyn: very good

    mubarak rabiu: good experiance

    » Tuliskan komentar Anda :