ErrorReport: USPS Delivery Failure Notification


ErrorReport. Pemberitahuan melalui email yang menjelaskan bahwa paket kiriman tidak sampai karena salah alamat. Kemudian muncul sebuah pertanyaan “siapa yang mengirimkan paket serta apa paket yang dikirimkannya?”. Seperti yang terlihat pada gambar di atas, penerima email diinstruksikan mendownload file dokumen yang terlampir, kemudian mencetak dokumen tersebut. Tetapi sebenarnya, dokumen tersebut adalah malware.

A. Info File
Nama Malware : ErrorReport
Asal : Rusia (dugaan sementara)
Ukuran File : ~random
Packer : ~
Pemrograman : Microsoft Visual C++
Icon : Adobe Application
Tipe : Trojan

B. About Malware
Teknik malware menyebarkan diri melalui email ini termasuk teknik yang cukup ampuh. Dari sampel yang kami dapatkan, terlihat email target tidak hanya satu, melainkan banyak sehingga terkesan spam. Antara lain:

  • edwdir@email
  • egus28@email
  • ekaies4val@email
  • dbenko4359@email
  • earieljeffers@email
  • dustinsturner@email
  • ede_baka@email
  • boobz1r@email
  • eddie5712000@email
  • chadiakamal@email
  • eddotha@email
  • carmen35825@email
  • edw-yang@email
  • dowenloader@email
  • dtrobins@email
  • alwassandylicious69@email
  • duffbigpond@email
  • paintbynumber68038@email
  • midn_reynolds@email
  • graymouser1313@email
  • piermontm@email
  • florida_activity_gal@email
  • mahkikm@email
  • lil_cali_chic05@email
  • ltlebrsmom8@email
  • teaboxer40@email
  • ishreal642001@email
  • singh.shalinder@email
  • lykhaai2002@email
  • sheffika2003@email
  • little_sweetheart9594@email
  • bebe032207@email
C. Companion/File yang dibuat

ErrorReport akan membuat host di dalam folder:

C:\Document and Settings\All User\Local Settings\Temp\[nama acak].exe


Salah satu companion yang di downloadnya, memiliki payload yg mirip dengan kebanyakan malware lokal, yaitu mendisable proses dari Registry Editor, serta process viewer seperti Task Manager atau Process Explorer.

D. Hasil Infeksi
Secara teknis, ErrorReport menggunakan teknik menyembunyikan process di balik process lain yang juga dilakukan beberapa malware (misalnya Delp-Shortcut), namun perbedaanya adalah process yang digunakan. Delp-Shortcut bersembunyi dibalik proses Rundll32.exe, sedangkan ErrorReport bersembunyi dibalik proses wuauclt.exe (Windows Automatically Update). Jika dilihat lebih detail, ErrorReport membuat sebuah mutex dengan nama:
• \BaseNamedObjects\3166214296


Selain itu, ErrorReport juga mencoba mengakses website yang saat ini sudah tidak bisa di akses. Dari nama domainnya, website tersebut menggunakan domanin (.ru / rusia).

Comments

Post a Comment