Rascal: Malware Lama Bersemi Kembali

Rascal. Mungkin bagi sebagian orang tidak asing lagi mendengar nama worm Rascal. Beberapa forum dan blog pribadi banyak menyebutkan malware ini telah cukup lama menyebar. Beberapa minggu yang lalu pun ada pengguna yang mengirimkan sampel virus Rascal, dan menyebutkan bahwa komputernya terinfeksi malware dengan nama “Miyabi-New Episode(NO SENSOR)” dan “JapanPorn”.

A. File Info

Nama: Rascal
Asal: Bali
Ukuran File: 68.6 KB (70,321 bytes)
Packer: FSG v2.0 F[ast] S[mall] G[ood] – www.xtreeme.prv.pl
Pemrograman: Visual Basic 6.0
Icon: Windows Media Player File
Tipe: Worm

B. Nama Malware

Namanya diambil dari Internal Name pada Properties file yang berisi kata “RASCAL.EXE”. Dengan Icon yang menyerupai file WMP File, worm ini mudah sekali membuat user untuk mengaktifkannya. Terlebih lagi dengan Description File yang berisi DAT File dan Company-nya yang berisi seolah-olah ukuran file sebesar 11,289 KB padahal file aslinya berukuran 68.6 KB.

C. Companion/File yang dibuat

Rascal membuat pesan yang terdapat di folder C:\Documments and Settings\[nama user]\My Document\JapanPorn.DAT. Sebenarnya file tersebut adalah file teks yang di dalamnya terdapat pesan:

Membackup aplikasi system Windows seperti msconfig.exe, regedit.exe, cmd.exe, Command.com, dxdiag.exe, sysedit.exe, taskmgr.exe ke folder “C:\pUkcaB_LACSAR\” yang kemudian di ubah ekstensinya menjadi “.RASCAL”. contohnya, cmd.RASCAL, Command.RASCAL, dxdiag.RASCAL, msconfig.RASCAL, regedit.RASCAL, sysedit.RASCAL, taskmgr.RASCAL.

Membuat beberapa file di flash disk dengan nama seperti , Ayam-kampus.exe, Miyabi-New Episode(NO SENSOR).exe, Miyabi-New Episode(NO SENSOR).DAT, dan Autorun.inf.

Mengcopy beberapa file yang nantinya akan dijadikan host untuk di aktifkan setelah proses startup.

1

2

3

4

5

6

7

C:\Miyabi-New Episode(NO SENSOR).EXE
C:\Miyabi-New Episode(NO SENSOR).DAT
C:\WINDOWS\msvbvm60.EXE
C:\WINDOWS\system32\rascal32.EXE
C:\Documents and Settings\[nama user]\Templates\userinit.EXE
C:\Documents and Settings\[nama user]\My Document\JapanPorn.EXE
C:\Documents and Settings\[nama user]\My Document\Miyabi-New Episode(NO SENSOR).EXE

Menambahkan Oeminfo agar bisa merubah isi Properties My Computer.

1 2	`C:\WINDOWS\system32\oeminfo.ini` `C:\WINDOWS\system32\oeminfo.bmp`

D. Hasil Infeksi

Melakukan overwrite pada file msconfig.exe, regedit.exe, cmd.exe, Command.com, dxdiag.exe, sysedit.exe dan taskmgr.exe yang kemudian dirubah menjadi aplikasi Notepad.exe.

Mendisable fungsi windows seperti, Registry Editor, Disable Show Hidden File and Show Extension, Task Manager.

Membuat startup pada registry.

1

2

3

4

5

6

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Systemshell = explorer.exe C:\WINDOWS\system32\rascal32.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SystemSystem = C:\WINDOWS\msvbvm60.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SystemUserinit = userinit.exe,C:\Documents and Settings\Administrator\Templates\userinit.exe,
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows = C:\WINDOWS\msvbvm60.exe /register
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = C:\WINDOWS\system32\rascal32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NET-SERVICES = C:\WINDOWS\system32\rascal32.exe /register

Menampilkan pesan jika user menekan Enter pada keyboard dan menampilkan juga pesan Windows File Protection Change agar user menjalankan Proses instalasi windows.

Secara otomatis menutup semua proses yang sedang berjalan dan memiliki nama Caption seperti di bawah ini.
1)registry
2)tuneup
3)anti
4)avg
5)ansav
6)advanced
7)virus
8)killer
9)processes
10)process
11)utility
12)tool
13)hacker
14)cracker
15)scanner
16)vir
17)hijack
18)hex
19)editor
20)snif
21)run
22)free
23)japan
24)porn
25)adult
26)sex
27)hot
28)gadis
29)bugil
30)asia
31)kamasutra
32)blue
33)samples
34)mahasiswa
35)mahasiswi
36)lokal
37)local
38)siswi
39)siswa
40)telanjang
41)smu
42)sma

Ada beberapa key di regstry yang tidak berjalan dengan benar seperti:

HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer
NoClose
NoLogOff
NoFind
NoControlPanel
NoViewContextMenu
NoFolderOptions
     
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon
SFCScan

E. Pembersihan
Untuk membersihkan worm Rascal ini, serta mengembalikan seluruh registry dan file system yang di backup seperti yang sudah di jelaskan di atas, dapat menggunakan PCMAV 4.5 Update Build 2.

PCMAV 4.5 Update Build2

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.5 Update Build1 telah hadir dengan penambahan 96 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.5, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

Update Build 2 : SendSpace or Rapidshare or ZippyShare or Ziddu

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.5 Update Build2:
Autoit-ReplaceIcon.B
Autoit-ReplaceIcon.C
Autoit.FB
Autoit.FC
Autoit.FC.ini
Baidu
Baidu.dll
Baidu.dns
Baidu.host
Baidu.inf
Beds
Bekol
BudiLuhur.C
BudiLuhur.C.inf
DelPS
DelPS.ini
Ebetazijl.A
Ebetazijl.A.inf
Ebetazijl.B
Ebetazijl.B.lnk
FakeAV-Downloader.C
FakeAV-Downloader.C.lnk
FakeAV-Downloader.D
FakeAV-Downloader.D.dll
FakeAV-Downloader.E
FakeAV-Downloader.F
FakeAV-Downloader.F.exe
FakeAV-Downloader.F.job
FakeAV-Downloader.F.lnk.A
FakeAV-Downloader.F.lnk.B
FakeAV-Downloader.F.ref
FakeAV-Downloader.F.setup
FakeAV-Downloader.F.url
HB10
Malingsi.AA
Malingsi.Y
Malingsi.Z
Malingsi.Z.dll
Malingsi.Z.exe
Malingsi.Z.ini
Malingsi.Z.mrc
Mshearts.vbs.C
MsKunti.vbs
MsKunti.vbs.html
MsKunti.vbs.inf
MsKunti.vbs.ini
MsKunti.vbs.txt
Nami-Ternate
Nami-Ternate.bat.A
Nami-Ternate.bat.B
Nami-Ternate.bat.C
Nami-Ternate.bat.D
Nami-Ternate.inf.A
Nami-Ternate.inf.B
Nami-Ternate.ini.A
Nami-Ternate.ini.B
Nami-Ternate.ini.C
Nami-Ternate.txt.A
Nami-Ternate.txt.B
Poet-Kompti
Poet-Kompti.txt
Rascal
Rascal.bmp
Rascal.dat
Rascal.inf
Rascal.ini
Recycler.BK
Recycler.BK.inf
Recycler.BL
Recycler.BL.inf
Recycler.BM
Recycler.BM.inf
Recycler.BN
Recycler.BN.inf
RedWines.B
Restore.A
Restore.A.inf
Restore.B
Restore.B.inf
Restore.C
Restore.C.inf
Samok.vbs
Samok.vbs.bat
Samok.vbs.inf
Serviks.C
Serviks.C.html
Serviks.C.inf
Serviks.C.vbs
Sherry
VB-Shortcut-WLogon.A
VB-Shortcut-WLogon.B
VB-Shortcut-WLogon.C
VB-Shortcut-WLogon.D
VB-Shortcut-WLogon.E
VB-Shortcut-WLogon.F
VB-Shortcut-WLogon.G

DOWNLOAD LINK :

PCMAV 4.5

Update Build 2 : SendSpace or Rapidshare or ZippyShare or Ziddu

Pages

HIMAPALA UNESA

ORGANISASI

Maecenas nisl est

Lorem ipsum dolor sit amet

Popular Posts

Blog Archive

Sample Text

Rascal: Malware Lama Bersemi Kembali

News from My Blog

Another Templates

Followers