Sabtu, 04 Desember 2010

Recycler (Varian): Rahasia Kecil Di Balik Folder Recycler


Recycler
Recycler (Varian). Maraknya malware yang beredar di masyarakat dengan kemampuan baru dalam memanfaatkan celah keamanan Windows, membuat user sempat melupakan malware yang selalu besembunyi di balik folder Recycler ini. Awal kemunculannya di tahun 2008 seiring dengan datangnya worm Conficker, semakin banyak malware dengan tipe worm dan virus baru yang menggunakan folder dengan nama Recycler sebagain tempat persembunyiaannya.

Autorun.inf adalah jalan utama dari malware ini agar bisa berjalan dengan baik, seperti yang terlihat pada screenshot di atas. Teknik ini hampir sama dengan teknik autorun.inf buatan virus Alman seperti yang terlihat pada gambar dibawah.
Komparasi Kode Virus
Jika dilihat lebih dalam, coding Autorun.inf milik salah satu varian Recycler (Recycler.BA) ini mengubah default Context Menu dari Drive, yaitu menu Open dan Explore yang nantinya akan di arahkan pada malware tersebut. Banyak user yang tidak sadar dan justru menjalankan fungsi autorun.inf buatan Recycler. Malware ini banyak memiliki varian yang dibuat dengan pemrograman yang berbeda seperti C++, Borland Delphi, Visual Basic dan Autoit. Beberapa di temukan dalam keadaan di-pack menggunaka UPX, ASPack, PE Compact, MEW, dll.
Teknik lain yang digunakan worm ini adalah membuat folder Recycler yang digunakan sebagai tempat persembunyian. Sebagian besar menggunakan folder:
RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013
Folder ini berbentuk seperti Recycler Bin, sementara varian lain menggunakan icon yang berbeda.
Agar user tidak menemukan file asli dari malware yang nantinya akan di panggil oleh autorun.inf, worm membuat folder dengan nama Recycler yang terlihat dan berfungsi seakan-akan sama seperti Recycle Bin pada Windows. Ada beberapa cara agar bisa membuat folder seperti ini, salah satunya dengan membuat Folder yang setara dengan Special Folder dan menambahkan file Desktop.ini di dalamnya.
Berikut contoh desktop.ini yang berada pada special folder My Pictures.
Kode My Pictures
Jika desktop.ini diubah seperti pada gambar dibawah ini:
Desktop
Maka perubahannya terlihat seperti pada gambar berikut:
Perubahan pada My Pictures
Cara lainnya bisa dengan membuat folder dengan nama yang di gunakan oleh fungsi windows, contoh:
recycle.{645FF040-5081-101B-9F08-00AA002F954E}
Contoh Recycle
Dengan menggunakan nama folder seperti contoh di atas, tidak membutuhkan file desktop.ini atau harus pada Special Folder. Untuk membuktikan begitu sederhana teknik persembunyian di balik Recycler Bin, dijelaskan pada gambar di bawah.
Contoh Cara Mengubah Recycle

Lalu Bagai Mana Mengatasinya
PCMAV 4.1 Update Build2
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.1 Update Build2 telah hadir dengan penambahan 126 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet (non-proxy). Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV.
Namun bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
SendSpace.com
ZippyShare.com (mirror)
Rapidshare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)