Thursday, December 1, 2011

BlackLabel: Adult Content as Fake Online Scanner



BlackLabel. Terkadang kita mendapatkan sesuatu yang tidak pernah kita bayangkan atau kita minta. Bahkan ada kalanya kita mendapatkan sesuatu yang tidak kita inginkan. Sama seperti kejadian yang dilaporkan oleh salah satu user kepada kami, yang katanya sedang mencari sebuah gambar dengan menggunakan keyword yang sebenarnya amat jauh dari kesan malware.

A. Info File
Nama Worm : BlackLabel
Asal : ~
Ukuran File : random
Packer : UPX
Pemrograman : Microsoft Visual C++
Icon : Old Application
Tipe : Trojan, Worm

B. About Malware

Seperti yang sudah dijelaskan di atas, malware yang diberi nama BlackLabel ini berasal dari salah satu website yang diluar dugaan justru mengarahkan pada situs yang berisi malware. Wajar jika seorang user akan langsung kaget setelah ditemukan adanya virus di komputernya. Padahal, sebenarnya user tersebut sedang membuka browser dan mengakses website yang mensimulasikan sebuah antivirus melakukan proses scanning. Website ini akan memaksa user untuk mendownload file yang nantinya jika di jalankan akan mendownload varian malware yang lain.
Sebelum user mendapatkan komputernya seolah-olah terinfeksi oleh banyak malware, terdapat 1 buah halaman webiste yang dibuat sengaja untuk mengarahkan user agar tertarik dan mengakses website yang sudah ditentukan.

Jika user memilih YES, akan muncul sebuah pesan peringatan adanya malware yang sedang aktif di komputernya.

Apapun pilihan user, baik itu menekan tombol OK atau Cancel, maka akan tetap masuk ke halaman yang sama. Dan pada akhirnya, user akan dipaksa untuk mendownload file yang sudah disiapkan oleh website tersebut.

C. Companion/File yang dibuat
Sampai saat ini PCMAV bisa mendeteksi sampai 9 varian. Hal ini dikarenakan begitu banyak file yang didownload oleh BlackLabel ini. Berikut ini adalah companion BlackLabel yang terdapat pada folder temporary. Menariknya, BlackLabel sudah menyiapkan 1 buah file dengan nama 123.tmp yang isinya adalah list alamat companion yang akan didownload. Hebatnya, bukan hanya 1 alamat website yang dijadikan tempat menyimpan companion yang akan di download. Hal ini menyebabkan sulit ntuk melacak keberadaan host BlackLabel yang sebenarnya.

D. Hasil Infeksi
Payload yang lain dari malware ini adalah melakukan koneksi Internet untuk mendownload beberapa file companion yang nantinya akan diaktifkan dan saling melindungi proses hostnya.

Meskipun mendownload companion, hanya beberapa yang diaktifkan saat proses startup. Terhitung hanyak 2 companion dan 1 lagi adalah dropper yang bertugas untuk mendownload file-file tersebut.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[nama acak 1]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[nama acak 2]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[nama acak 3]
E. Pembersihan









sumber : virusindonesia.com

0 comments:

Post a Comment

Silahkan komentari Postingan ini, semoga bermanfaat buat sobat Blogger