Recycler (Varian): Rahasia Kecil Di Balik Folder Recycler


Recycler (Varian). Maraknya malware yang beredar di masyarakat dengan kemampuan baru dalam memanfaatkan celah keamanan Windows, membuat user sempat melupakan malware yang selalu besembunyi di balik folder Recycler ini. Awal kemunculannya di tahun 2008 seiring dengan datangnya worm Conficker, semakin banyak malware dengan tipe worm dan virus baru yang menggunakan folder dengan nama Recycler sebagain tempat persembunyiaannya.

Autorun.inf adalah jalan utama dari malware ini agar bisa berjalan dengan baik, seperti yang terlihat pada screenshot di atas. Teknik ini hampir sama dengan teknik autorun.inf buatan virus Alman seperti yang terlihat pada gambar dibawah.

Jika dilihat lebih dalam, coding Autorun.inf milik salah satu varian Recycler (Recycler.BA) ini mengubah default Context Menu dari Drive, yaitu menu Open dan Explore yang nantinya akan di arahkan pada malware tersebut. Banyak user yang tidak sadar dan justru menjalankan fungsi autorun.inf buatan Recycler. Malware ini banyak memiliki varian yang dibuat dengan pemrograman yang berbeda seperti C++, Borland Delphi, Visual Basic dan Autoit. Beberapa di temukan dalam keadaan di-pack menggunaka UPX, ASPack, PE Compact, MEW, dll.

Teknik lain yang digunakan worm ini adalah membuat folder Recycler yang digunakan sebagai tempat persembunyian. Sebagian besar menggunakan folder:

RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013

Folder ini berbentuk seperti Recycler Bin, sementara varian lain menggunakan icon yang berbeda.

Agar user tidak menemukan file asli dari malware yang nantinya akan di panggil oleh autorun.inf, worm membuat folder dengan nama Recycler yang terlihat dan berfungsi seakan-akan sama seperti Recycle Bin pada Windows. Ada beberapa cara agar bisa membuat folder seperti ini, salah satunya dengan membuat Folder yang setara dengan Special Folder dan menambahkan file Desktop.ini di dalamnya.

Berikut contoh desktop.ini yang berada pada special folder My Pictures.

Jika desktop.ini diubah seperti pada gambar dibawah ini:

Maka perubahannya terlihat seperti pada gambar berikut:


Cara lainnya bisa dengan membuat folder dengan nama yang di gunakan oleh fungsi windows, contoh:

recycle.{645FF040-5081-101B-9F08-00AA002F954E}

Dengan menggunakan nama folder seperti contoh di atas, tidak membutuhkan file desktop.ini atau harus pada Special Folder. Untuk membuktikan begitu sederhana teknik persembunyian di balik Recycler Bin, dijelaskan pada gambar di bawah.


Comments