Jumat, 20 April 2012

RecyBot: Kombinasi Worm Recyler dan NgrBot [Sumber :virusindonesia.com]



RecyBot. Worm Recycler dan worm NgrBot, persamaan dari kedua worm ini adalah pada penggunaan folder Recycler untuk menyimpan host yang akan di panggil nantinya baik oleh autorun atau shortcut pada removable disk.  Belum lagi dengan beberapa companion yg di download serta kemampuan rootkit yang cukup sulit dihentikan dengan teknik biasa.
A. Info File
Nama Malware : RecyBot
Asal : Bekasi, Jawa Barat
Ukuran File : 44.0 KB (45,056 bytes)
Packer : ~
Pemrograman : C++
Icon : Old Executable
Tipe : Worm, Trojan
B. About Malware
Namanya diambil dari gabungan antara worm Recyler dan worm NgrBot. Hal ini dikarenakan jarang sekali worm NgrBot membuat folder Recycler yang sama dengan worm Recyler. Umumnya worm NgrBot 

hanya membuat folder dengan nama RECYCLER dengan hanya 2 file di dalamnya, yaitu host NgrBot yang akan di eksekusi dan file desktop.ini.  Akan tetapi Varian yang satu ini membuat folder di dalam folder RECYCLER sehingga autorunnya pun berubah.
Berikut ini adalah penggalan source code autorun worm RecyBot.
Meski demikian, ciri utama worm RecyBot adalah pada thread-nya yang sama seperti worm NgrBot. Hampir selurh filenya menunjukan bahwa worm ini memang varian dari NgrBot. Berikut adalah penggalan string threads yang dibuat worm RecyBot.
000000012210 000002602210 0 This binary is invalid. 00000001222B 00000260222B 0 Main reasons: 00000001223A 00000260223A 0 – you stupid cracker 000000012250 000002602250 0 – you stupid cracker… 000000012269 000002602269 0 – you stupid cracker?! 000000012284 000002602284 0 ngrBot Error 000000012298 000002602298 0 state_%s
C. Companion/File yang dibuat
Pada removable disk, terdapat 3 buah file yang dibuat.
1. Autorun.inf
2. Shorcut.lnk
3. Host yang terdapat pada folder RECYLER

Host utamanya berada di folder Appliacation Data, Sedangkan yang lainnya adalah companion yang di download jika ada koneksi Internet.
D. Hasil Infeksi
Jika dilihat dari threads yang dibuatnya, RecyBot sama seperti NgrBot yang akan memantau username serta password yang diinput oleh user ke beberapa website tertentu.
0000000117B0 0000026017B0 0 *officebanking.cl/*login.asp* 0000000117D0 0000026017D0 0 OfficeBanking 0000000117E0 0000026017E0 0 *secure.logmein.*/*logincheck* 000000011800 000002601800 0 LogMeIn 000000011808 000002601808 0 *megaupload.*/*login 000000011820 000002601820 0 Megaupload 00000001182C 00000260182C 0 loginUserPassword 000000011840 000002601840 0 loginUserName 000000011850 000002601850 0 *loginUserPassword=* 000000011868 000002601868 0 *fileserve.*/login* 00000001187C 00000260187C 0 FileServe 000000011888 000002601888 0 session[password] 00000001189C 00000260189C 0 session[username_or_email] 0000000118B8 0000026018B8 0 *password]=* 0000000118C8 0000026018C8 0 *twitter.com/sessions 0000000118E0 0000026018E0 0 Twitter 0000000118E8 0000026018E8 0 *:2086/login* 0000000118F8 0000026018F8 0 *:2083/login* 000000011908 000002601908 0 Password 000000011914 000002601914 0 EmailName 000000011920 000002601920 0 *&Password=* 000000011930 000002601930 0 *.alertpay.*/*login.aspx 00000001194C 00000260194C 0 AlertPay 000000011958 000002601958 0 txtPassword 000000011964 000002601964 0 txtEmail 000000011970 000002601970 0 *&txtPassword=* 000000011980 000002601980 0 *.moneybookers.*/*login.pl 00000001199C 00000260199C 0 Moneybookers 0000000119AC 0000026019AC 0 *runescape*/*weblogin* 0000000119C4 0000026019C4 0 Runescape 0000000119D0 0000026019D0 0 *dyndns*/account* 0000000119E4 0000026019E4 0 DynDNS 0000000119EC 0000026019EC 0 *&password=* 0000000119FC 0000026019FC 0 *no-ip*/login* 000000011A14 000002601A14 0 *steampowered*/login* 000000011A2C 000002601A2C 0 Steam 000000011A34 000002601A34 0 quick_password 000000011A44 000002601A44 0 quick_username 000000011A54 000002601A54 0 username 000000011A60 000002601A60 0 *hackforums.*/member.php 000000011A7C 000002601A7C 0 Hackforums 000000011A88 000002601A88 0 email 000000011A90 000002601A90 0 *facebook.*/login.php* 000000011AA8 000002601AA8 0 Facebook 000000011AB4 000002601AB4 0 *login.yahoo.*/*login* 000000011ACC 000002601ACC 0 Yahoo 000000011AD4 000002601AD4 0 passwd 000000011ADC 000002601ADC 0 login 000000011AE4 000002601AE4 0 *passwd=* 000000011AF0 000002601AF0 0 *login.live.*/*post.srf* 000000011B14 000002601B14 0 TextfieldPassword 000000011B28 000002601B28 0 TextfieldEmail 000000011B38 000002601B38 0 *TextfieldPassword=*
Melakukan koneksi ke beberapa IP serta mendownload companion yang kemudian dijalankan untuk melakukan payload yang berbeda. Koneksi internet akan terasa sedikit lebih lambat karena worm RecyBot cukup banyak melakukan koneksi ke beberapa IP yang berbeda.



0 komentar:

Posting Komentar