Gamarue
adalah salah satu bentuk nyata semakin maraknya infeksi malware (malicious
software) dari luar yang menyebar di Indonesia. Gamarue adalah malware
bertipe worm berukuran 81.0 KB (82,944 bytes) tanpa di-pack. Gejala
infeksi yang disebabkan Gamarue ini dapat terlihat dari folder dan file pada
removable drive seperti flash drive yang tidak terlihat dan hanya tersisa satu
file shortcut.
Aksi
Ketika aktif di memory, Gamarue
meng-copy dirinya ke folder C:\Documents and Settings\All Users\Local
Settings\temp\ dengan nama acak dan ekstensi file acak ber-attribut hidden
dan system. Ekstensi file bisa berupa *.bat, *.cmd, *.exe, *.com, *.pif
atau *.scr.
Saat removable media dimasukkan ke
dalam komputer yang terinfeksi oleh Gamarue, maka Gamarue membuat suatu folder
baru untuk memindahkan semua file atau data pada removable drive dan mengubah
attribut folder tersebut menjadi hidden dan system.
Yang unik dari Gamarue
adalah membuat 5 file berbeda pada root removable drive yang saling berhubungan
satu sama lain, ke 5 file tersebut yaitu:
- Autorun.inf
- %nama_acak%.init Merupakan file *.dll yang berfungsi melakukan dekrip pada file thumbs.db. Jika file thumbs.db sudah di dekrip, maka file akan diletakkan pada C:\Temp dengan nama TrustedInstaller.exe.
- Thumbs.db Merupakan file executable yang di-enkrip.
- %nama_removable_drive% + %size%.lnk merupakan file shortcut untuk meng-eksekusi file *.init, nama file shortcut menyesuaikan nama label dan kapasitas removable drive, jika ber-label “DATA” dan ber-kapasitas 2GB maka file yang dibuat bernama DATA(2GB).lnk
- desktop.ini File ini bukanlah file system Windows tapi merupakan file yang berisi kode yang bisa dibaca dan dijalankan oleh Gamarue,
Selain itu proses Gamarue juga tidak
terlihat di memory karena Gamarue melakukan injeksi pada process wuauclt.exe
( Proses Windows Update )
Agar dapat aktif saat startup,
Gamarue membuat item startup di :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
%nama acak%= C:\Documents and Settings\All Users\Local Settings\temp\%nama acak%.%ekstensi acak%.
%nama acak%= C:\Documents and Settings\All Users\Local Settings\temp\%nama acak%.%ekstensi acak%.
PCMAV 9.3 Update Build1
Untuk membasmi malware ini ataupun
varian malware lainnya, PCMAV 9.3 Update Build1 telah hadir dengan
penambahan 15 pengenal varian malware baru. Bagi Anda pengguna
PCMAV 9.3, sangat disarankan segera melakukan update, agar PCMAV
Anda dapat mengenali dan membasmi malware lebih banyak lagi.
Untuk mendapatkan dan menggunakan
update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam
keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy,
tentukan konfigurasi proxy pada menu Setup – Updater. Fitur Automatic
Updates dari PCMAV akan secara otomatis men-download dan meng-update
database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik tombol “Check
for Updates” pada menu Update.
Bagi Anda yang ingin mendapatkan
file update tersebut secara manual, Anda bisa men-download file-nya melalui
link ini:
Download vx1.sig:
Letakkan file hasil download
tersebut (vx1.sig) ke dalam folder \vdb. Jika
sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya.
Pastikan sekali lagi, bahwa nama file update adalah vx1.sig, jika berbeda,
cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah
dalam keadaan kondisi ter-update.
File-file berikut harus di-update
manual:
Ekstrak dan letakkan file hasil
download tersebut (cure.dll) ke dalam folder \lib.
Jika sebelumnya telah terdapat file yang lama, Anda cukup menimpanya.
Daftar tambahan virus hingga PCMAV
9.3 Update Build1:
Bifrose
Brenasa
Brenasa.ini
Dracula.vbs
Dream
Dream.inf
Gamarue
Gamarue.exe.A
Gamarue.exe.B
Gamarue.exe.C
GPCoder.C
GPCoder.C.bmp
GPCoder.C.exe
GPCoder.C.txt
VB-Keylogger
Brenasa
Brenasa.ini
Dracula.vbs
Dream
Dream.inf
Gamarue
Gamarue.exe.A
Gamarue.exe.B
Gamarue.exe.C
GPCoder.C
GPCoder.C.bmp
GPCoder.C.exe
GPCoder.C.txt
VB-Keylogger
Sumber: virusindonesia
0 komentar:
Post a Comment