WinZipper, Aplikasi Pengkompres Data Palsu

Posted in internet, Virus Asing on Nov 17, 2016

winzipper1

Program ini berwarna hitam, dengan gambaran seperti kotak kado, biasanya akan terdownload jika user mengklik salah satu iklan di situs web yang banyak iklannya.

Aksi Virus

winzipper2

Virus tersebut ternyata hanya sebagai Downloader & Launcher dari misi utama virus ini, yakni menanamkan program yang seakan berguna, namun seperti bakwan, ada udang dibalik bakwan, atau ada maksud (tidak etis) dibalik pembuatan program tersebut.

Semula, file yang didownload disimpan di “Temporary Internet Files“, yang berekstensi .exe, “wzp[1].exe” namanya. Walaupun berkestensi .exe, tamun antivirus yang terinstall di komputer user tidak menganggap file yang didownload tersebut sebagai ancaman, karena file tersebut sudah dienkripsi sebelumnya, sehingga Header dari MetaData sebuah file executable (MZ) sebuah virus tidak akan terbaca, maka tidak dianggap sebagai ancaman. Hmm…, kecuali file tersebut memang bukan executable, melainkan file terkompresi yang dienkripsi dan diberi ekstensi executable (.exe).

winzipper5

Setelah keseluruhan bit file selesai didownload, dengan ukuran 2,90 MB (3.044.134 bytes), file terenkripsi tersebut dipindah ke path lain “%temp%\ist68A3.tmp” dengan nama “dlzipdata“, dan ternyata ukuran mereka berdua sama, namun bedanya pada file bernama “dlzipdata” yang tanpa ekstensi itu sebenarnya file terkompres RAR. Berarti bukan file executable yang dienkripsi tadi, melainkan file RAR.

Proses Virus

winzipper6

Setelah semua terinstall dan masuk ke dalam Program Files, maka terkumpullah pasukan program pengkompres Zip palsu dengan nama “WinZipper“, dan mengaktikan proses bernama “winzipersvc.exe“, yang mana proses tersebut akan mengirim data ke servernya secara berkala.

Data tersebut adalah:

  1. d1wmnlsnh8rftl.cloudfront.net/v4/winzippers/hgstxhts545050a7e380_te8531l50k06ek0k06ekx?action=visit.svc.heartbeat&update0=ref,unkown&update1=nation,us&update2=version,2.2.67&update3=ref1,unknown&update4=os,win7_x86&timestamp=1479331196
  2. d1wmnlsnh8rftl.cloudfront.net/v4/winzippers/hgstxhts545050a7e380_te8531l50k06ek0k06ekx?action=app.install&timestamp=1479331379
  3. d1wmnlsnh8rftl.cloudfront.net/v4/winzippers/hgstxhts545050a7e380_te8531l50k06ek0k06ekx?action=visit
  4. d1qjc90738otwj.cloudfront.net/Request2/update?ptid=org&sid=wzp&n=us&ln=en&ver=2.2.67&uid=hgstxhts545050a7e380_te8531l50k06ek0k06ekx&pid=&data=W1NldHRpbmddDQpDb21wb25lbnRDb3VudD0wDQpbQ29tcG9uZW50MF0NCkNvbXBvbmVudElkPTgyDQpWZXJzaW9uPTIuMi42Nw==dc1c2e249518bb8b85c844c3176b90f0

Biasanya, setelah data terkirim, akan mendapat data balasan, antara lain:

  1. ok1
  2. 1
    1
    0
  3. ????

Data yang akan kita terima selainnya adalah yang belum kita ketahui, yang bisa saja berupa virus baru, atau virus yang sama dengan variant / versi terbaru yang lebih canggih dan lebih meyakinkan? Entahlah.

Penampilan Program Pengkompres Data Palsu

winzipper7

winzipper8

Ciri-ciri program ini adalah:

  1. Fitur yang disuguhkan sangatlah sedikit
  2. Mengganti fungsi “Klik kanan Rar file” dengan fungsi virus
  3. Tidak ada alamat situs web resminya
  4. Ada string alamat server yang diduga adalah server dimana virus dapat memperbarui dirinya, berikut string di dalam tubuh proses service virus yang aktif di komputer korban: http://broodmother.com/Upload/riyan/112016/winzipersvc.exe.txt
    Yakni server: d3n5qecywn11y3.cloudfront.net
    Dan server, hanya beda sub-domain: d1wmnlsnh8rftl.cloudfront.net
    Pokoknya: cloudfront.net
  5. Memiliki Digital Signature palsu dengan nama: Chencheng Cai

winzipper9

winzipper10

Cara Pembersihan

Sebelum terjadi hal yang tak diinginkan, disarankan untuk melepas / uninstall program tersebut dari komputer.

Walaupun Smadav belum mengenali dan memasukkan variant virus (trojan) ini ke dalam database Smadav, user tetap bisa membersihkan virus ini dari komputer dengan menambahkan program tersebut sebagai virus. Bagi yang belum tau, silakan baca caranya di sini: http://www.viruslokal.com/2016/11/mengenal-fitur-one-virus-by-user-dan-tips-cara-mendeteksi-virus-yang-belum-dikenal-smadav

 

3 Responses to “WinZipper, Aplikasi Pengkompres Data Palsu”


  1. jemal says:

    Good Antivirus. it is realy useful than others soft wares

     


Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Fri, 02:06 pm

    daniel hailu: smadave flash antivires

    yadetageemechi: install antivirus

    clement ouedraogo: C'est vraiment le meilleur

    Bouba SISSOKO: Je vous remercie pour le service. Je voudrai que mon ordinateur soit protégé contre les objets malveillants.

    andrywahyuni: aku ingin yang lebih baik lagi

    aidan d. kimath: good

    nanda: bagus

    PALOMAN: LAFIA KODA WAHABOU

    LAFIA KODA WAHABOU: merci d'abord pour votre aide . Je voudrais bien que mon ordinateur soit protégé en toute sécurité contre n'importe quels virus...merci pour votre aimable compréhension

    Fihir Saranani,S.Si: Bersatu Kita Teguh Bercerai Kita Runtuh

    » Tuliskan komentar Anda :