WinZipper, Aplikasi Pengkompres Data Palsu

Posted in internet, Virus Asing on Nov 17, 2016

winzipper1

Program ini berwarna hitam, dengan gambaran seperti kotak kado, biasanya akan terdownload jika user mengklik salah satu iklan di situs web yang banyak iklannya.

Aksi Virus

winzipper2

Virus tersebut ternyata hanya sebagai Downloader & Launcher dari misi utama virus ini, yakni menanamkan program yang seakan berguna, namun seperti bakwan, ada udang dibalik bakwan, atau ada maksud (tidak etis) dibalik pembuatan program tersebut.

Semula, file yang didownload disimpan di “Temporary Internet Files“, yang berekstensi .exe, “wzp[1].exe” namanya. Walaupun berkestensi .exe, tamun antivirus yang terinstall di komputer user tidak menganggap file yang didownload tersebut sebagai ancaman, karena file tersebut sudah dienkripsi sebelumnya, sehingga Header dari MetaData sebuah file executable (MZ) sebuah virus tidak akan terbaca, maka tidak dianggap sebagai ancaman. Hmm…, kecuali file tersebut memang bukan executable, melainkan file terkompresi yang dienkripsi dan diberi ekstensi executable (.exe).

winzipper5

Setelah keseluruhan bit file selesai didownload, dengan ukuran 2,90 MB (3.044.134 bytes), file terenkripsi tersebut dipindah ke path lain “%temp%\ist68A3.tmp” dengan nama “dlzipdata“, dan ternyata ukuran mereka berdua sama, namun bedanya pada file bernama “dlzipdata” yang tanpa ekstensi itu sebenarnya file terkompres RAR. Berarti bukan file executable yang dienkripsi tadi, melainkan file RAR.

Proses Virus

winzipper6

Setelah semua terinstall dan masuk ke dalam Program Files, maka terkumpullah pasukan program pengkompres Zip palsu dengan nama “WinZipper“, dan mengaktikan proses bernama “winzipersvc.exe“, yang mana proses tersebut akan mengirim data ke servernya secara berkala.

Data tersebut adalah:

  1. d1wmnlsnh8rftl.cloudfront.net/v4/winzippers/hgstxhts545050a7e380_te8531l50k06ek0k06ekx?action=visit.svc.heartbeat&update0=ref,unkown&update1=nation,us&update2=version,2.2.67&update3=ref1,unknown&update4=os,win7_x86&timestamp=1479331196
  2. d1wmnlsnh8rftl.cloudfront.net/v4/winzippers/hgstxhts545050a7e380_te8531l50k06ek0k06ekx?action=app.install&timestamp=1479331379
  3. d1wmnlsnh8rftl.cloudfront.net/v4/winzippers/hgstxhts545050a7e380_te8531l50k06ek0k06ekx?action=visit
  4. d1qjc90738otwj.cloudfront.net/Request2/update?ptid=org&sid=wzp&n=us&ln=en&ver=2.2.67&uid=hgstxhts545050a7e380_te8531l50k06ek0k06ekx&pid=&data=W1NldHRpbmddDQpDb21wb25lbnRDb3VudD0wDQpbQ29tcG9uZW50MF0NCkNvbXBvbmVudElkPTgyDQpWZXJzaW9uPTIuMi42Nw==dc1c2e249518bb8b85c844c3176b90f0

Biasanya, setelah data terkirim, akan mendapat data balasan, antara lain:

  1. ok1
  2. 1
    1
    0
  3. ????

Data yang akan kita terima selainnya adalah yang belum kita ketahui, yang bisa saja berupa virus baru, atau virus yang sama dengan variant / versi terbaru yang lebih canggih dan lebih meyakinkan? Entahlah.

Penampilan Program Pengkompres Data Palsu

winzipper7

winzipper8

Ciri-ciri program ini adalah:

  1. Fitur yang disuguhkan sangatlah sedikit
  2. Mengganti fungsi “Klik kanan Rar file” dengan fungsi virus
  3. Tidak ada alamat situs web resminya
  4. Ada string alamat server yang diduga adalah server dimana virus dapat memperbarui dirinya, berikut string di dalam tubuh proses service virus yang aktif di komputer korban: http://broodmother.com/Upload/riyan/112016/winzipersvc.exe.txt
    Yakni server: d3n5qecywn11y3.cloudfront.net
    Dan server, hanya beda sub-domain: d1wmnlsnh8rftl.cloudfront.net
    Pokoknya: cloudfront.net
  5. Memiliki Digital Signature palsu dengan nama: Chencheng Cai

winzipper9

winzipper10

Cara Pembersihan

Sebelum terjadi hal yang tak diinginkan, disarankan untuk melepas / uninstall program tersebut dari komputer.

Walaupun Smadav belum mengenali dan memasukkan variant virus (trojan) ini ke dalam database Smadav, user tetap bisa membersihkan virus ini dari komputer dengan menambahkan program tersebut sebagai virus. Bagi yang belum tau, silakan baca caranya di sini: http://www.viruslokal.com/2016/11/mengenal-fitur-one-virus-by-user-dan-tips-cara-mendeteksi-virus-yang-belum-dikenal-smadav

 

Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Fri, 08:20 pm

    Azis: @ CEMEWEW, you can go to on http://www.konfirmasi.com/ fo asking to the Smadav Team.

    Azis: @Ransford Odumang, you can inform it to on Smadav email: Smadav@gmail.com.

    Ransford Odumang: I lost my licence key by formatting my pc , i want it back

    CEMEWEW: gan,, ane kna virus yg ngehidden file, tapi bukan virus shortcut, didalemnya ada folder 2 folder {2a40100f-de55-d1ca-1c90-ac00adec4c50} dan autorun.inf di dalem autorun.inf ada file protection for autorun, gimana tuh [...]

    Azis: @fajar, download lagi di http://www.smadav.net

    fajar: tolong mengapa komputer sayatidak bisa buat donwlod

    Azis: @evalyn kasivo, If you wanna get it, You go to on http://www.smadav.net/?lang=en to download it.

    evalyn kasivo: how can i get into this

    Bentshu maitele lincoln: GREAT

    Ricky: Sebagai catatan : Smadav adalah antivirus pelengkap.. dan sebagai antivirus pelengkap maka smadav sudah tergolong the best made in Indonesia free antivirus.. Saran saya gabungkan avast [...]

    » Tuliskan komentar Anda :