Penulis Topik: Adware DealPly / WisdomEye  (Dibaca 1134 kali)

Offline Ryan BeKaBe

  • Admin
  • Pro500
  • *******
  • Tulisan: 1.946
  • Reputation: 65534
  • ToS (Team of SmadAV)
    • Lihat Profil
    • BeKaBe
Adware DealPly / WisdomEye
« pada: Pebruari 16, 2018, 07:02:50 AM »
Berawal dari saat saya ingin download CamStudio untuk ScreenRecording, coba akses ke web resminya, camstudioOrg, download 'downloader'nya, install, eh ikut terinstall ByteFence dan DealPly.
Berikut rekaman videonya: https://youtu.be/QSmbWEaXQBM

Konon virus/adware DealPly ini cukup banyak beredar, namun susah dianalisa.
Berikut ciri-cirinya:
1. Dibundle dalam 'downloader',
2. Setiap DealPly yang didownload dari 'downloader', belum tentu file yang sama, karena dia di-compile ulang, atau semacam teknik Polymorphic,
3. Dibuat menggunakan Delphi,
4. Saat diklik untuk dijalankan, hanya menampilkan tampilan form polos, dan tidak ada reaksi apa-apa,
5. Web induknya baru dibuat sekitar 1 periode ini (1 tahun masa sewa domain).

Apakah rekan di sini ada yang terkena dampak DealPly ini dan merasakan reaksi tertentu akibat ulahnya?
Oh iya, yang pastinya tujuan utama adware DealPly membuat iklan dibrowser, semacam teknik hooking pada browser.
Kembangkan dan aplikasikan imajinasi mu!
Janganlah kau biarkan layu!
I believe you can do it!

Offline 3ndiixz

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.264
  • Reputation: 742
  • Jenis kelamin: Pria
  • .:: DOCTOR PENDIK ::.
    • Lihat Profil
    • PENDIK ASYIK
Re:Adware DealPly / WisdomEye
« Jawab #1 pada: Pebruari 17, 2018, 07:44:04 AM »
Nyimak kelanjutannya saja Om

Offline descrates

  • Pro500
  • ******
  • Tulisan: 674
  • Reputation: 5076
    • Lihat Profil
Re:Adware DealPly / WisdomEye
« Jawab #2 pada: Pebruari 17, 2018, 04:11:47 PM »
Belum pernah kena gw, kurang ngerti
TASKKILL /F /IM SMΔRTP.exe /T

Win7 32bit [kernel patch] --- 2x2,8GHz Intel --- 8GB RAM DDR3 --- 512MB 9600M GT NVidia --- Iron 15 beta --- Opera Mini Proxies

other OS: Lucid Puppy, XP SP2 [custom], XP SP3, Win7 64bit, Tails

Offline Ryan BeKaBe

  • Admin
  • Pro500
  • *******
  • Tulisan: 1.946
  • Reputation: 65534
  • ToS (Team of SmadAV)
    • Lihat Profil
    • BeKaBe
Re:Adware DealPly / WisdomEye
« Jawab #3 pada: Pebruari 17, 2018, 05:48:54 PM »
Final case dari Camstudio sebagai salah satu server penyebaran DealPly.

DealPly menyusup/bundle melalui aplikasi downloader, dan point-pointnya:
1. camstudioOrg Server: Apache/2.2.31 (Unix), namun Allow: GET,HEAD,POST,OPTIONS,TRACE, hal ini bisa saja dimanfaatkan Hacker untuk menguasai file dari server yang diserang secara remote;
2. Berdasarkan video postingan awal, apakah ada juga yang setelah download installer/downloader dari camstudioOrg, maka tampilannya 2x pada form yang ada tombol "Accept"nya? Jika ada, berarti OSnya masih perawan. Jika tidak ada, disini lah keahlian dari installer/downloader digunakan;
3. Installer/downloader memiliki pemikiran tersendiri terhadap sistem yang akan teman-temannya huni, dan teman-temannya itu rutin di-compile, entah manual compile atau auto compile. Kalau saya sih capek compile terus, tapi mungkin saja karena iming-imingnya $ yang banyak, maka tim Adware Maker tak bosan meng-compile terus dengan variant yang baru dari keluarga DealPly yang sama;
4. Kita tidak bisa memaksa agar DealPly berjalan, meski kita memiliki parameter/commandnya: DealPly.exe /mhp /mds /mnt /ext:pilp /inst_loc=26,11,646,504 /RSF=5492 /gu:10 /aflt=bgy_camstd_18_07 /instlref=s4  /noadmin /nochrome /adt=tE1L1R1V2Y1L1QzutByE0F0DyDtByB0B0B0DyC0ByCtD0B0BtTtE1L1R1V1B1Q2ZzutBtDt
Namun jika kata si Programmer yang mengendalikan server zombie (portalNepedosul-dosCom) "Masuk ke mode Hibernate", ya Hibernate dia;
5. Kemungkinan user terkena DealPly tentu akan selalu ada, karena server si DealPly memiliki masa hidup sekitar 1 periode (sewa web pertahun). Ini kalau dari 1 web CamStudio, belum lagi kalau di web lain, bisa panjang periode hidupnya;
6. Ciri utama DealPly "Dibuat menggunakan Delphi", kemungkinan, tapi hanya kemungkinan sih, kemungkinan Antvirus yang bisa mendeteksi setiap variant DealPly menggunakan Heuristic.
Kembangkan dan aplikasikan imajinasi mu!
Janganlah kau biarkan layu!
I believe you can do it!

Offline syafiq*_*

  • Pro100
  • ****
  • Tulisan: 120
  • Reputation: 109
  • Jenis kelamin: Pria
    • Lihat Profil
Re:Adware DealPly / WisdomEye
« Jawab #4 pada: Pebruari 17, 2018, 06:11:28 PM »
@Ryan Bekabe Pakai Unchecky aja om, biar nggak kena adware/Pup kayak begituan : https://unchecky.com/  :)