Penulis Topik: All About Bundpil (Shortcut dengan Folder Tanpa Nama di Flashdisk)  (Dibaca 8960 kali)

Offline Ki@mhu

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.575
  • Reputation: 790
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:All About Bundpil (Shortcut dengan Folder Tanpa Nama di Flashdisk)
« Jawab #10 pada: Juni 20, 2017, 09:04:45 PM »
Ya, termasuk fitur Auto-Update yang dimiliki virus.

Oh iya, kalo bisa, sejarahnya juga (?) ;D ;D ;D

Oke, mau cari bahan dulu.. :D

Waduh  ;D Virus juga mempunyai fitur Auto-Update ya ;D canggih juga  ;D  =))

Untuk ukurannya besar juga ya ??? Padahal ada av luar yang menerapkan sistem skip scan file yang ukurannya diatas 64 mb an ;D

Iya besar sekali, terkadang malas Uploadnya... ;D
Dari informasi Bro Ridzky, sampelnya di FD tidak begitu besar dan aslinya size sample di dalam sistem itu sama dengan di FD cuma sengaja dibuat menggelembung lagi.

Offline Fahli Saputra

  • Pro10
  • ***
  • Tulisan: 95
  • Reputation: 36
  • Jenis kelamin: Pria
    • Lihat Profil
    • Spentura Security
Re:All About Bundpil (Shortcut dengan Folder Tanpa Nama di Flashdisk)
« Jawab #11 pada: Juni 21, 2017, 09:11:42 AM »
Oke, mau cari bahan dulu.. :D

Iya besar sekali, terkadang malas Uploadnya... ;D
Dari informasi Bro Ridzky, sampelnya di FD tidak begitu besar dan aslinya size sample di dalam sistem itu sama dengan di FD cuma sengaja dibuat menggelembung lagi.

Nakal juga ya virusnya =))


Jangan lupa ke www.fahli.net untuk mendapatkan informasi tentang teknologi masa kini

Offline Ki@mhu

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.575
  • Reputation: 790
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:All About Bundpil (Shortcut dengan Folder Tanpa Nama di Flashdisk)
« Jawab #12 pada: November 16, 2017, 07:17:22 PM »
Pengen nambahin analisis tentang Symmi/Zusy.. Dalam waktu dekat..

Offline 3ndiixz

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.262
  • Reputation: 742
  • Jenis kelamin: Pria
  • .:: DOCTOR PENDIK ::.
    • Lihat Profil
    • PENDIK ASYIK
Re:All About Bundpil (Shortcut dengan Folder Tanpa Nama di Flashdisk)
« Jawab #13 pada: November 17, 2017, 11:21:56 AM »
Pengen nambahin analisis tentang Symmi/Zusy.. Dalam waktu dekat..
Mantappp jayaaa
Silahkan Om
jgn malu2,

Offline Ki@mhu

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.575
  • Reputation: 790
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:All About Bundpil (Shortcut dengan Folder Tanpa Nama di Flashdisk)
« Jawab #14 pada: November 17, 2017, 11:47:57 PM »
Mantappp jayaaa
Silahkan Om
jgn malu2,

Terima kasih, nih masih dalam proses mengumpulkan ScreenShot dan mengurutkan pembahasan. Semoga besok selesai.. :)

Offline Ki@mhu

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.575
  • Reputation: 790
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Varian Baru Mirip Bunpil Dengan Teknik yang Lebih Nakal
« Jawab #15 pada: November 18, 2017, 10:13:37 PM »
Akhir-akhir ini, muncul virus (belum diketahui namanya) pembuat Shortcut di FlashDisk yang cukup meresahkan. Pertama dilaporkan pada tanggal 3 Juni 2017. Awalnya, Saya mengira ini Bundpil, namun ternyata bukan.

Belum jelas apa nama virus ini. Sejauh ini, cuma ada dua sampel yang diupload oleh User yang berkonsultasi di konfirmasi.com. Sampel pertama, sebagian AntiVirus mendeteksinya sebagai Symmi dan sampel kedua, ebagian AntiVirus mendeteksinya sebagai Zusy.

Virus ini cukup populer, bisa dilihat dari statistik yang didapatkan Smadav:



Yang unik dari virus ini adalah pertahanannya. Bayangkan saja, walaupun induk virusnya cuma satu file saja dan sudah terdeteksi oleh kebanyakan AntiVirus, tetap saja virus ini akan muncul kembali setelah dihapus. Padahal virus ini tidak menyebar kemana-mana, hanya di satu lokasi saja dan tidak menginfeksi file (seperti Sality, Ramnit, dkk). Bagaimana bisa dia tetap bertahan? Mari kita bahas satu per satu.

Penampakan Virus

Terlihat jelas sekali perbedaannya dengan Virus Bundpil pada bahasan sebelumnya. Bundpil membuat satu Shortcut saja dan memindahkan seluruh data di dalam FlashDisk ke dalam folder tanpa nama. Induk virus itu sendiri juga berada di dalam folder tanpa nama.



Sedangkan virus ini membuat Setiap Shortcut yang menuju ke setiap file/folder asli di dalam FlashDisk.



Pada gambar di atas, jika Shortcut Data dilihat Propertiesnya maka akan tertulis perintah sebagai berikut:

Kode: [Pilih]
%comspec% /c "{59369ed6-44ba-4a76-df5a-8a61c05f0295}\5da977a7-d68b-7612-a990-19bc08fa98ce.exe 'Data\'"
Begitu juga dengan Shortcut New Text Document.txt, bila dilihat Propertiesnya maka akan tertulis perintah sebagai berikut:

Kode: [Pilih]
%comspec% /c "{59369ed6-44ba-4a76-df5a-8a61c05f0295}\5da977a7-d68b-7612-a990-19bc08fa98ce.exe 'New Text Document.txt'"
Sorry but you are not allowed to view spoiler contents.

Shortcut ini bertugas untuk menjalankan induk virus dan membuka File/Folder tujuannya sekaligus.

Jika Shortcut ini dijalankan, maka dia akan menjalankan induk virus 5da977a7-d68b-7612-a990-19bc08fa98ce.exe yang ada di dalam folder {59369ed6-44ba-4a76-df5a-8a61c05f0295} dan sekaligus membuka File/Folder tujuan Shortcut tersebut.

Aksi Virus

Ketika Virus ini dijalankan, dia akan melakukan dua teknik unik (Run PE dan kemudian Inject Process) yang membuatnya selalu muncul kembali walaupun sudah dihapus.

Run PE

Informasi selengkapnya: https://www.adlice.com/runpe-hide-code-behind-legit-process/

Dengan tujuan penyamaran, Run PE adalah teknik memanggil dan menggunakan proses lain (yang bukan virus tentunya) untuk menjalankan tujuan yang diinginkan oleh si virus. Setelah dipanggil, tentunya proses korban hasil Run PE ini sepenuhnya dikontrol oleh si virus.

Ibarat sudah terhipnotis, Proses yang bukan virus akan bertindak sebagai virus. Tujuannya adalah agar User tidak curiga ketika melihat Task Manager, apalagi jika proses hasil Run PE adalah proses sistem Windows.

Teknik ini sudah tidak asing lagi, yang mana digunakan juga oleh seluruh varian Ramnit. Jadi ketika virus Ramnit berjalan, dia akan menggunakan iexplore.exe. Itulah sebabnya kita tidak pernah menemukan watermark.exe atau *mgr.exe di Task Manager.

Kembali kepada virus ini, pada hasil tes yang Saya lakukan, dia akan selalu memanggil svchost.exe



Ketika Sudah dijalankan dengan Run PE, svchost.exe akan melakukan urutan aksi sebagai berikut:
  • Membuat Task Scheduler
  • Menulis Registry
  • Melakukan Inject Proses
  • Membuat File induk di dalam sistem
  • Menyebarkan ke Drive USB

1. Membuat Task Scheduler

Membuat Task Scheduler agar 860c4a50.exe aktif otomatis setiap masuk Windows, fungsinya sama seperti Registry.







2. Membuat Value Registry Agar Dijalankan Otomatis Setiap Masuk Windows

Pada key:

Kode: [Pilih]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{B7A3B2FF-32BB-0611-6112-BCB58AD07239}
Dengan Value:

Kode: [Pilih]
c:\programdata\{2BB39ACF-1A8B-9A01-6112-BCB58AD07239}\860c4a50.exe
Dalam pembahasan ini, induk virusnya adalah 860c4a50.exe.

3. Melakukan Inject Pada Proses Windows yang Sedang Berjalan

Inject adalah memanipulasi proses yang sedang berjalan. Jika pada Run PE adalah memanipulasi proses yang baru dijalankan, maka pada Inject adalah memanipulasi proses yang sudah berjalan sebelumnya. Di sinilah letak kenakalan virus ini.

Svchost.exe akan menentukan salah satu proses Windows yang sedang berjalan untuk kemudian di-inject. Menurut pengalaman Saya, proses yang pernah di-Inject adalah taskhost.exe, taskeng.exe, dwm.exe, explorer.exe, bahkan pernah juga menginject proses yang bukan milik Windows (milik User). Untuk mempermudah, Saya anggap proses yang di-inject adalah taskhost.exe.

Setelah terinject, proses korban ini (taskhost.exe) akan selalu menjalankan ulang induk virusnya (860c4a50.exe), ketika svchost.exe di-kill.

4. Membuat File induk di Dalam Sistem

Dia akan membuat folder berkarakter acak bertutup kurawal di dalam Folder C:\programdata. File induk virusnya (yang juga berkarakter acak) disisipkan ke dalam folder ini. Sebagai contoh, pada hasil tes saya, dibuat di dalam:

Kode: [Pilih]
C:\programdata\{2BB39ACF-1A8B-9A01-6112-BCB58AD07239}\860c4a50.exe
Pertahanan yang unik dan menyebalkan

Mengapa disebut menyebalkan? Svchost.exe akan selalu membuat ulang 860c4a50.exe ketika dihapus. Dan taskhost.exe akan menjalankan ulang 860c4a50.exe (selanjutnya akan menjalankan lagi svchost.exe), ketika svchost.exe di-kill.


Ketika svchost.exe di-kill, taskhost.exe akan segera menjalankan 860c4a50.exe


Selanjutnya, 860c4a50.exe akan melakukan Run PE lagi terhadap svchost.exe

Singkatnya, kombinasi Run PE dan Inject inilah yang membuat proses hidup kembali setelah di-kill dan membuat file terbentuk kembali setelah dihapus (Bung Ryan menyebutnya Edo Tensei).


Edo Tensei

Kombinasi inilah yang membuat virus ini tetap muncul lagi walaupun induknya sudah terdeteksi dan dihapus oleh AntiVirus. Padahal induk virusnya cuma satu saja.

5. Menyebar ke Setiap Drive USB yang Sedang Tercolok

Membuat semua File dan Folder menjadi berartibut Hidden dan System, membuat induk virus dan Shortcut. Ciri-ciri Shortcut dan induk virus telah dijelaskan sebelumnya.

6. Menghapus File di Dalam Drive USB

Inilah bagian paling berbahaya. Dalam kondisi tertentu, virus ini bisa menghapus file di dalam Drive USB, penjelasan lebih lengkap ada di bagian akhir tulisan ini.

Cara Hapus

Melalui Safe Mode

Value Run Registry dan Task Scheduler tidak akan aktif di Safe Mode sehingga di Mode ini akan ampuh membersihkan File, Registry, dan Task Scheduler yang telah dibuatnya. Pembersihan ini bisa dilakukan secara manual ataupun dengan AntiVirus termasuk Smadav.

Cara masuk ke Safe Mode: https://support.eset.com/kb2268/?locale=en_US

Melalui Mode Normal

Pertama, harus dibedakan proses svchost.exe mana yang dijalankan virus (melalui Run PE) dan proses svchost.exe mana yang memang milik Windows.

Jika dilihat dari Process Explorer, svchost.exe hasil Run PE akan memiliki ciri-ciri sebagai berikut: satu garis dengan Explorer.exe.





Setelah menemukannya, klik kanan pada svchost.exe hasil Run PE tersebut dan klik Suspend dengan tujuan untuk menghentikan semua kegiatan virus tersebut sehingga 860c4a50.exe yang telah dihapus, tidak akan terbentuk lagi.



Jika berhasil di-Suspend, maka akan muncul arsiran berwarna abu-abu sebagai berikut:



Setelah ini, Jendela Process Explorer sudah boleh ditutup dan pembersihan dapat dilakukan dengan manual ataupun dengan bantuan AntiVirus.

Bagaimana dengan taskhost.exe hasil inject? Setelah Saya perhatikan, ternyata dia hanya menghidupkan kembali svchost.exe yang telah di-kill, bukan yang di-suspend. Jadi, taskhost.exe tidak akan mengganggu proses pembersihan.

Perlu diketahui bahwa setelah di-suspend, svchost.exe jangan di-kill agar tidak dihidupkan kembali oleh taskhost.exe, biarkan saja terus dalam keadaan suspend. Nantinya setelah komputer dihidupkan kembali, svchost.exe hasil Run PE tidak akan muncul lagi karena induk virus telah berhasil dihapus.

Bila Anda tidak nyaman menggunakan Process Explorer, Anda dapat juga menggunakan Tools yang dikhususkan untuk menghapus file/folder pada saat Restart, sehingga tidak perlu lagi melakukan Suspend. Contoh Tool yang dapat diandalkan adalah File Assassin.



Tool seperti ini akan menghapus virus pada saat masuk Windows, sebelum 860c4a50.exe sempat dijalankan.

Sekian dulu pembahasan Saya. Semoga dengan ini, bisa memancing tim Smadav untuk melakukan analisis lebih jauh mengenai virus ini untuk ditaruh pada halaman http://www.viruslokal.com/

Lebih jauh lagi, Saya berharap ini menjadi awal bagi Smadav untuk membuat Tool Cleaner terhadap virus ini, baik itu Tool yang dirilis secara terpisah ataupun yang disatukan dengan Smadav. Seperti yang baru mereka lakukan terhadap Virus Ground dan Paint pada Versi 11.7.

Terima kasih kepada:
  • Ridzky, atas penjelasan Run PE dan Inject
  • Ryan, atas pengalamannya dengan virus ini
  • Manggolo, atas penjelasan perintah %comspec%
  • Pendik dan Mozaik, atas sampel dan dukungannya
Perhatian!!!

Terima kasih kepada Pendik dan Manggolo yang telah melaporkan bahwa virus ini juga bisa menghapus file/folder di USB. Dengan ulasan ini, bisa mematahkan kepada semua tuduhan tidak berdasar bahwa Smadav bisa menghapus file di USB.

Selain rutin menyebar ke dalam USB, virus ini juga secara rutin melakukan pengecekan terhadap kondisi file di dalam USB tersebut. Pengecekan ini dilakukan 30 detik sekali (masih harus diklarifikasi selang waktu ini karena Saya mengukurnya dengan Stopwatch yang masih mengandung kesalahan pengukuran).

Virus ini akan menghapus File/Folder (dilakukan oleh svchost.exe) di dalam USB apabila memenuhi kedua syarat berikut ini:

  • Terdapat file/folder di dalam USB dengan Atribut selain Normal, yang berarti mencakup Atribut Hidden dan Hidden+System
  • Tidak ada pasangan Shortcutnya



Jika Anda menghapus Shortcut Data tanpa mengembalikan Artibut Folder Data menjadi Normal, maka Virus akan menghapus Folder data ini, begitu juga dengan Shortcut yang lain, file yang bersesuaian juga akan dihapusnya jika tidak di Unhide. Jika Anda menghapus semua Shortcutnya dan telat melakukan Unhide, habislah semua file dan folder dihapusnya.


Virus ini (svchost.exe) sedang menghapus File dan Folder di dalam Flashdisk

Yang artinya? Anda harus berhati-hati dalam membersihkan FD yang terinfeksi virus ini. Ada kemungkinan data di dalam FD Anda akan terhapus apabila virusnya (svchost.exe) masih aktif di dalam sistem. Menghapus Salah satu Shortcut di FD tanpa melakukan Unhide Data (ataupun telat 30 detik saja), akan mengakibatkan data Anda dihapus oleh Virus ini.

Bagaimana jika ketemu File/Folder Artibut Normal tanpa pasangan Shortcut (misalkan pada kasus, yang mana dimasukkan data baru ke dalam FD yang telah terinfeksi sebelumnya)? Virus ini akan mengubah (bukan menghapusnya) atribut File/Folder tersebut menjadi Atribut H+S dan membuat Shortcutnya jika belum ada.

Jadi, bisa disimpulkan bahwa Virus ini tidak menghapus data di dalam USB jika kita tidak berusaha menghapus Shortcut yang sudah dibuatnya.
« Edit Terakhir: Desember 08, 2017, 10:27:35 PM oleh Ki@mhu »

Offline 3ndiixz

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.262
  • Reputation: 742
  • Jenis kelamin: Pria
  • .:: DOCTOR PENDIK ::.
    • Lihat Profil
    • PENDIK ASYIK
Re:All About Bundpil (Shortcut dengan Folder Tanpa Nama di Flashdisk)
« Jawab #16 pada: November 19, 2017, 01:14:00 AM »
Mantap sekali, semoga artikel ini bermanfaat untuk penelitian dan pengamatan terhadap virus ini kedepannya.
Terima kasih banyak Om Ki@mhu.

Offline Fahli Saputra

  • Pro10
  • ***
  • Tulisan: 95
  • Reputation: 36
  • Jenis kelamin: Pria
    • Lihat Profil
    • Spentura Security
Re:All About Bundpil (Shortcut dengan Folder Tanpa Nama di Flashdisk)
« Jawab #17 pada: November 19, 2017, 03:33:03 AM »
Penjelasan yang rinci :-bd keren om Ki@mhu


Jangan lupa ke www.fahli.net untuk mendapatkan informasi tentang teknologi masa kini

Offline Ryan BeKaBe

  • Admin
  • Pro500
  • *******
  • Tulisan: 1.946
  • Reputation: 65534
  • ToS (Team of SmadAV)
    • Lihat Profil
    • BeKaBe
Re:All About Bundpil (Shortcut dengan Folder Tanpa Nama di Flashdisk)
« Jawab #18 pada: November 19, 2017, 03:40:55 AM »
Eso Tensei terhadap 4 Hokage.
Kereen....
:SalahFokus:
Kembangkan dan aplikasikan imajinasi mu!
Janganlah kau biarkan layu!
I believe you can do it!

Offline Ki@mhu

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.575
  • Reputation: 790
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:All About Bundpil (Shortcut dengan Folder Tanpa Nama di Flashdisk)
« Jawab #19 pada: November 19, 2017, 12:16:02 PM »
Mantap sekali, semoga artikel ini bermanfaat untuk penelitian dan pengamatan terhadap virus ini kedepannya.
Terima kasih banyak Om Ki@mhu.

Terima kasih.. Mohon sarannya jika masih ada yang kurang lagi.

Penjelasan yang rinci :-bd keren om Ki@mhu

Terima kasih.. Mohon sarannya jika masih ada yang kurang.

Eso Tensei terhadap 4 Hokage.
Kereen....
:SalahFokus:

Haha.. Scene 4 Hokage ini yang bikin seru, titik balik pertempuran.