Lolsix. Berkurangnya laporan user akan adanya ancaman malware lokal, seakan menggambarkan tanda-tanda kepunahan malware lokal. Namun salah satu user yang berasal dari Jakarta mengirimkan kami sampel malware tipe worm yang sekilas hanyalah file HTML biasa.
A. Info File
Nama Worm : Lolsix.vbe
Asal : Jakarta
Ukuran File : 12.0 KB (12,318 bytes)
Packer : ~
Pemrograman : Visual Basic Script
Icon : VBS File
Tipe : Worm
Nama Worm : Lolsix.vbe
Asal : Jakarta
Ukuran File : 12.0 KB (12,318 bytes)
Packer : ~
Pemrograman : Visual Basic Script
Icon : VBS File
Tipe : Worm
Lolsix terbilang worm yang cukup menarik. Secara fisik, worm ini menyebar dalam keadaan terencode menggunakan Microsoft Script Encoder sehingga akan terlihat sangat acak. Pada bagian awal coding, terdapat pula source code HTML yang digunakan untuk menipu user yang mencoba untuk melihat source code dari Lolsix.
Untuk sebuah worm, terutama yang dibuat menggunakan bahasa pemrograman Visual Basic Script, Lolsix memiliki ukuran file yang cukup besar karena pada umumnya worm VBS berukuran kurang dari 10 KB.
C. Companion/File yang dibuat
Worm Lolsix akan men-drop beberapa file setelah aktif di memory. Dan worm ini memang sengaja membuat user tidak bisa mengakses beberapa website antivirus karena di blok oleh file hosts buatannya. Berikut ini adalah beberapa website yang di blok oleh worm Lolsix.
Worm Lolsix akan men-drop beberapa file setelah aktif di memory. Dan worm ini memang sengaja membuat user tidak bisa mengakses beberapa website antivirus karena di blok oleh file hosts buatannya. Berikut ini adalah beberapa website yang di blok oleh worm Lolsix.
- www.avira.com
- www.ahnlab.com
- www.antiy.net
- www.avast.com
- www.avg.com
- www.bitdefender.com
- www.bytehero.com
- www.quickheal.com
- www.clamav.net
- www.commtouch.com
- www.comodo.com
- www.emsisoft.com
- www.safenet-inc.com
- www.ca.com
- www.f-prot.com
- www.f-secure.com
- www.fortinet.com
- www.gdatasoftware.com
- www.ikarus.at
- www.global.jiangmin.com
- www.k7computing.com
- www.kaspersky.com
- www.mcafee.com
- www.microsoft.com
- www.eset.com
- www.norman.com
- www.nprotect.com
- www.pandasecurity.com
- www.pctools.com
- www.rising-global.com
- www.sophos.com
- www.superantispyware.com
- www.symantec.com
- www.symantec-norton.com
- www.hacksoft.com.pe
- www.trendmicro.com
- www.trendmicro.com
- www.anti-virus.by
- www.vipreantivirus.com
- www.virusbuster.hu
Jika diperhatikan lebih jauh, beberapa website yang di blok adalah website antivirus yang terdaftar pada VirusTotal.com. selain itu, ada juga file yang di drop pada folder temporary dengan nama acak. Pesan yang disampaikan worm Lolsix, adalah berupa file HTML yang terdapat pada folder My Pictures.
Untuk setiap root drive terdapat 2 buah file yang terdiri dari:
- Tip.html
- Autorun.inf
D. Hasil Infeksi
Untuk melindungi dirinya, worm ini men-disable beberapa aplikasi yang dapat menghentikan payload worm Lolsix.
Untuk melindungi dirinya, worm ini men-disable beberapa aplikasi yang dapat menghentikan payload worm Lolsix.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
• regedit.exe
• regedit32.exe
• taskmgr.exe
• commandprompt.exe
• cmd.exe
• msconfig.exe
• procexp.exe
• ProcessHacker.exe
Dengan men-disable aplikasi tersebut, maka jika user mencoba menjalankannya, yang akan muncul adalah peringatan seperti ini:
0 komentar:
Posting Komentar