Penulis Topik: All About Bundpil (Shortcut dengan Folder Tanpa Nama di Flashdisk)  (Dibaca 3503 kali)

Offline Ki@mhu

  • Pro500
  • ******
  • Tulisan: 1.475
  • Reputation: 788
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog

Berhubung karena Smadav sedang fokus ke virus ini, izinkanlah Saya membuka Thread baru tentang ini. Smadav dengan cukup jeli menghapus virus ini di Flashdisk, tetapi masih terkendala menghapusnya di dalam sistem. Jadi dengan thread ini, diharapkan dapat dikumpulkan pengguna Smadav untuk tanya jawab mengenai virus ini, membantu pembersihan virus ini, mengumpulkan sampel, sharing berita terbaru mengenai virus ini, dan juga kritik/saran terhadap Smadav yang berhubungan dengan virus ini.

Semoga kita mendapatkan banyak sampel baru Bundpil yang belum bisa dideteksi Smadav di sini untuk dimasukkan dalam Database Smadav yang selanjutnya.

Dengan tidak bermaksud melangkahi pembahasan detil Bundpil di sini: http://www.viruslokal.com/2015/11/gen-bundpil-virus-yang-paling-banyak-menyebar-di-indonesia/

Bundpil/Gamaure/Andromeda adalah virus yang membuat Shortcut di Flashdisk. Shortcut ini meniru nama Drive USB, lengkap dengan keterangan Sizenya.



Yang mana isi seluruh file maupun folder yang ada di dalam Flashdisk itu dipindahkan ke dalam satu folder dengan karakter Unicode tanpa nama:







Virus ini juga akan menaruh induknya ke dalam Folder tanpa nama ini. Folder ini telah di-Hidden dan berartribut sistem. Yang mana hanya dapat dilihat jika settingan Folder Options sudah seperti ini: https://www.bleepingcomputer.com/tutorials/how-to-see-hidden-files-in-windows/

Jika Settingan Folder Options belum seperti yang dijelaskan di atas, User tidak bisa melihat folder tanpa nama ini. Mau tidak mau, dia akan membuka/menjalankan Shortcut tersebut karena tidak terilhat lagi file atau folder yang lain. Jadi, idenya adalah menyembunyikan semua file di dalam flashdisk dengan harapan user terpaksa menjalankan Shortcut ini untuk mencari datanya kembali.

Shortcut ini berisi perintah untuk menjalankan induknya (yang telah disimpannya di dalam folder tanpa nama ini juga) sekaligus membuka isi folder tanpa nama ini untuk memperlihatkan isinya.

Contoh isi perintah Shortcut (klik kanan Shortcutnya dan pilih Properties untuk melihatnya) dari Sampel Bundpil yang saya dapati:

Kode: [Pilih]
%SystemRoot%\\\\\system32\\\\rundll32.exe  \\\\\\\\\\\%~@~~@~~@%%~@%@@.1,aaaWeeaaaaeaeeau
Dan induk virus (di dalam folder tanpa nama itu) yang dituju dari perintah di atas adalah:



Kode: [Pilih]
%windir%\System32\rundll32.exe  \u.szd,gvcjazkvmjiyerba
Dan induk virus (di dalam folder tanpa nama itu) yang dituju dari perintah di atas adalah:



Kode: [Pilih]
C:\Windows\system32\rundll32.exe  \-___-_----_-___------__---_----_--__-----_-__--.{E10ADEC5-27C7-40F5-B304-A1111D9FD169},ONJFBA6zsunjfsrt
Dan induk virus (di dalam folder tanpa nama itu) yang dituju dari perintah di atas adalah:




Begitu dijalankan, Bundpil akan membuat induknya di dalam sistem, bisa di folder ini:

Kode: [Pilih]
C:\ProgramData
C:\Users\[Nama User]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Kemudian membuat Registry untuk otomatis menjalankan dirinya setiap kali Windows nyala.

Hal yang unik yang membuat Bundpil sulit terdeteksi oleh AntiVirus adalah, dia selalu menggunakan Proses Windows untuk menjalankan aksinya. Dari perintah shortcut di atas adalah rundll32.exe, ada juga yang menggunakan msiexec.exe.

Dengan penyamaran proses ini, diharapkan User maupun AntiVirus lebih sulit dalam mendeteksinya.

Jika sistem Anda sudah terkena virus ini dan sudah coba Scan dengan Smadav, namun virusnya hanya terdeteksi di flashdisk saja, di sistem tidak terdeteksi, coba langkah berikut ini:

Scan dengan Mencentang Opsi Deep-scan Uknown Start-Up



Sebelum mulai Scan, centang dulu opsi di atas. Nantinya Bundpil akan terdeteksi dan tinggal di Fix saja.

Scan Bundpil Detector

Dikutip dari sini: http://www.viruslokal.com/2017/04/basmi-tuntas-virus-shortcut-bundpil/

Download: Link1 | Link2

Cara penggunaanya juga cukup mudah :

Sorry but you are not allowed to view spoiler contents.


Bagaimana jika tidak bersih juga?

Cari file hasil karantina oleh Bundpil Detector terhadap file yang terdeteksi di Flashdisk. Lokasi folder karantinanya adalah:

Kode: [Pilih]
C:\Program Files\Bundpil Detector\Karantinaatau
Kode: [Pilih]
C:\Program Files (x86)\Bundpil Detector\Karantina
Upload file zip di dalam folder karantina ini ke forum ini, caranya adalah:

Sorry but you are not allowed to view spoiler contents.

Akan kami teliti untuk dimasukkan ke dalam Database Smadav yang selanjutnya.

Terus, bagaimana cara membersihkannya?

Selagi menunggu Smadav melakukan Update, kami bisa membantu Anda membersihkannya secara manual. Untuk tujuan itu, silahkan melampirkan dua buah log farbar: http://www.konfirmasi.com/index.php?qa=877&qa_1=mohon-baca-ini-sebelum-melakukan-konsultasi-virus
« Edit Terakhir: Juni 20, 2017, 10:55:46 AM oleh Ki@mhu »

Offline Ki@mhu

  • Pro500
  • ******
  • Tulisan: 1.475
  • Reputation: 788
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:All About Bundpil (Virus Shortcut dengan Folder Tanpa Nama di Flashdisk)
« Jawab #1 pada: Juni 19, 2017, 05:17:54 PM »
IndexerVolumeGuid

File ini berisi konfigurasi untuk virus ini.

File IndexerVolumeGuid aslinya berisi GUID dari Device tersebut, terutama sistem NTFS yan biasanya ada di dalam folder System Volume Information. Jika letaknya di luar folder  System Volume Information dan isinya bukan berisi GUIS, bisa dipastikan itu file virus. (Ryan & Ridzky)

Auto-Update

Dugaan sementara, Bundpil juga melakukan Auto-Update yang selalu memperbaharui dirinya agar tidak gampang dideteksi AntiVirus. Jika sudah mengalami Update, Bundpil versi lama di sebuah komputer akan memperbaharui dirinya menjadi versi terbaru. (Ridzky)

Menghapus File

Selain menyembunyikan file, ada juga varian Bundpil yang menghapus file di dalam Flashdisk.

Ukuran File yang Besar

Ukuran file exe induk Bundpil di dalam sistem sengaja dibuat besar (biasanya di atas 60 MB) untuk mempersulit upload, sehingga memperlambat proses penambahan database AntiVirus terhadap dirinya.

Beberapa AntiVirus luar bahkan ada yang menerapkan sistem skip scan file yang ukurannya diatas 64 MB. (Fahli Saputra)

Namun size aslinya adalah sampel yang ada di dalam Flashdisk yang tidak sebesar ketika di dalam sistem. Seharusnya size aslinya adalah seperti yang ada di dalam Flashdisk, sedangkan yang ada di dalam sistem itu sengaja dibuat besar Sizenya. (Ridzky)
« Edit Terakhir: Juni 20, 2017, 09:12:39 PM oleh Ki@mhu »

Offline MozaikTM

  • Moderator
  • Pro500
  • *****
  • Tulisan: 1.788
  • Reputation: 791
  • Jenis kelamin: Pria
  • ...
    • Lihat Profil
    • MozaikTM
Re:All About Bundpil (Virus Shortcut dengan Folder Tanpa Nama di Flashdisk)
« Jawab #2 pada: Juni 19, 2017, 05:26:25 PM »
Kalo buat penyebarannya gimana?

Soalnya ini virus, bisa dibilang, gak mau kalah ama antivirus.
Begitu antivirus terbaru keluar, Bundpil versi terbaru juga ikut keluar & menyebar  ~x( ~x(
Brain.EXE has stopped working. Error 0x00000007 (Out Of Memory).
Failed to Understand.

Offline Ki@mhu

  • Pro500
  • ******
  • Tulisan: 1.475
  • Reputation: 788
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:All About Bundpil (Virus Shortcut dengan Folder Tanpa Nama di Flashdisk)
« Jawab #3 pada: Juni 19, 2017, 05:31:19 PM »
Kalo buat penyebarannya gimana?

Soalnya ini virus, bisa dibilang, gak mau kalah ama antivirus.
Begitu antivirus terbaru keluar, Bundpil versi terbaru juga ikut keluar & menyebar  ~x( ~x(

Penyebaran maksudnya gimana sampai bisa masuk dalam sistem ya?

Offline 3ndiixz

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.096
  • Reputation: 742
  • Jenis kelamin: Pria
  • .:: DOCTOR PENDIK ::.
    • Lihat Profil
    • Install Ulang Windows Modif XP, 7, 8.1, 10 Mojokerto
Re:All About Bundpil (Shortcut dengan Folder Tanpa Nama di Flashdisk)
« Jawab #4 pada: Juni 19, 2017, 10:31:53 PM »
saya memantau perkembangannya saja,,
thanks Om Ki@mhu akan Herman Salim
::: :x :x :x S.M.A.D.Δ.V [[Δ۞Δ۞Δ]] AV LOKAL :x :x :x :::
                    GO INTERNASIONAL

Offline Ki@mhu

  • Pro500
  • ******
  • Tulisan: 1.475
  • Reputation: 788
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:All About Bundpil (Shortcut dengan Folder Tanpa Nama di Flashdisk)
« Jawab #5 pada: Juni 20, 2017, 12:30:50 AM »
saya memantau perkembangannya saja,,
thanks Om Ki@mhu akan Herman Salim

Oke, kalo ada perkembangan baru atau sampek baru, kabari di siin aja.. :)

Offline Ryan BeKaBe

  • Admin
  • Pro500
  • *******
  • Tulisan: 1.927
  • Reputation: 65534
  • ToS (Team of SmadAV)
    • Lihat Profil
    • BeKaBe
Re:All About Bundpil (Shortcut dengan Folder Tanpa Nama di Flashdisk)
« Jawab #6 pada: Juni 20, 2017, 03:02:42 AM »
Inisiatif yang bagus rekan Ki@mhu.

Oh iya, itu ingat namanya Andromeda/Gamarue, hati-hati typo. Nanti Google salah alamat.
Nama-nama komponennya juga, seperti IndexerVolumeGuid, dkk, selain digambar / SS, usahakan di tulis juga, agar Google bisa menemukannya.
Selain untuk SEO, berguna juga untuk kita kalau sewaktu membutuhkan referensi thread ini lagi.
Tak dipungkiri, akhir-akhir ini semua mata tim tertuju pada Bundpil.
Kembangkan dan aplikasikan imajinasi mu!
Janganlah kau biarkan layu!
I believe you can do it!

Offline Ki@mhu

  • Pro500
  • ******
  • Tulisan: 1.475
  • Reputation: 788
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:All About Bundpil (Shortcut dengan Folder Tanpa Nama di Flashdisk)
« Jawab #7 pada: Juni 20, 2017, 10:13:44 AM »
Inisiatif yang bagus rekan Ki@mhu.
Terima kasih.. :)

Kutip
Oh iya, itu ingat namanya Andromeda/Gamarue, hati-hati typo. Nanti Google salah alamat
Maksudnya gimana ya, gan? Andromeda dan Gamaure dihapus saja namanya?

Kutip
Nama-nama komponennya juga, seperti IndexerVolumeGuid, dkk, selain digambar / SS, usahakan di tulis juga, agar Google bisa menemukannya.
Selain untuk SEO, berguna juga untuk kita kalau sewaktu membutuhkan referensi thread ini lagi.
Oke, akan ane taruh nama filenya.. Trims sarannya.. :D

Offline MozaikTM

  • Moderator
  • Pro500
  • *****
  • Tulisan: 1.788
  • Reputation: 791
  • Jenis kelamin: Pria
  • ...
    • Lihat Profil
    • MozaikTM
Re:All About Bundpil (Shortcut dengan Folder Tanpa Nama di Flashdisk)
« Jawab #8 pada: Juni 20, 2017, 04:51:48 PM »
Penyebaran maksudnya gimana sampai bisa masuk dalam sistem ya?
Ya, termasuk fitur Auto-Update yang dimiliki virus.

Oh iya, kalo bisa, sejarahnya juga (?) ;D ;D ;D
Brain.EXE has stopped working. Error 0x00000007 (Out Of Memory).
Failed to Understand.

Offline Fahli Saputra

  • Pro10
  • ***
  • Tulisan: 93
  • Reputation: 36
  • Jenis kelamin: Pria
    • Lihat Profil
    • Smartsoft Antivirus
Re:All About Bundpil (Shortcut dengan Folder Tanpa Nama di Flashdisk)
« Jawab #9 pada: Juni 20, 2017, 05:52:42 PM »
Waduh  ;D Virus juga mempunyai fitur Auto-Update ya ;D canggih juga  ;D  =))

Untuk ukurannya besar juga ya ??? Padahal ada av luar yang menerapkan sistem skip scan file yang ukurannya diatas 64 mb an ;D
« Edit Terakhir: Juni 20, 2017, 05:54:40 PM oleh Fahli Saputra »


Kunjungi Juga Blog www.fahlisaputra.tk dapatkan template blog & tips SEO