.webp)
Namanya cukup menarik perhatian, si seksi Zusy. Namun sekali menginfeksi, dijamin Anda akan dibuat pusing dengan ulahnya.
Zusy bukan nama seorang wanita cantik. Melainkan program jahat yang suka menginfeksi komputer. Aksi merugikan yang dilancarkannya adalah menghabiskan bandwidth, mengakses situs-situs berbahaya seperti situs malware dan situs judi serta menjadikan komputer Anda sebagai zombie untuk melakukan keinginannya.
Malware yang terdeteksi oleh G Data sebagai Gen:Variant.Zusy.74842, atau Trojan Downloader: Win32/Cutwail.BS ini adalah varian dari Win32 Cutwail.
SCROLL TO CONTINUE WITH CONTENT
Secara umum, variant Cutwail digunakan untuk remote komputer dan mengarahkan mereka dengan berbagai cara untuk keuntungan pembuat malware, biasanya untuk keuntungan finansial.
Malware ini dapat beroperasi di komputer yang terinfeksi untuk mendistribusikan malware tambahan, mengirim spam, menghasilkan pendapatan iklan 'bayar per klik', mencuri alamat email dan melakukan bruteforce -- suatu cara yang digunakan cracker untuk menebak password.
Komponennya bervariasi, tetapi mencakup trojan downloader, spammer dan virus. Cutwail juga menggunakan rootkit dan teknik lain untuk menghindari pendeteksian dan penghapusan.
Dalam aksinya yang menjadikan komputer korbannya zombie dan menginfeksikan malware lain ke komputer korbannya, Cutwail tidak terlalu kentara menghabiskan sumber daya komputer.
Sebaliknya, kalau diamati dengan seksama, terjadi penurunan yang cukup berarti pada performa jaringan. Jika dilihat dari tools analisa, malware ini bekerja pada protocol NBNS NetBios Naming Services (sistem penamaan untuk mendaftarkan nama user pada jaringan) yang melakukan broadcast (mengirimkan banyak paket data) terus menerus pada domain random .kz .com .fr .net .ca .ru .pl .de dan .org.
Kemungkinan ini adalah aksi Cutwail berusaha mencari C&C Command and Control Server guna mendapatkan perintah selanjutnya apa yang harus dilakukan oleh Cutwail dari komputer korbannya. Aksi inilah yang akhirnya akan membuat jaringan komputer menjadi lambat (lihat gambar 2).
Gambar 2: IP client yang terinfeksi selalu mengakses ke domain acak
Beberapa contoh domain yang diakses malware ini adalah: (lihat gambar 3)
β’ QAXEAGEAMIBU.KZ
β’ PUWIMJOREBDU.KZ
β’ COQOSNECPAL/KZ
β’ KOQWALPOZO.KZ
β’ FABIXLAGITNE.KZ
β’ RUZPIFEKNE.KZ
β’ SIHUVIJEIRIC.KZ
β’ KADEOXERENUP.KZ
β’ MANCEKSEK.KZ
β’ POZIJANMITCU
β’ BISEAZARURQI.KZ
β’ PIFIFOMIVUZ.KZ
β’ XOQWADXIP.KZ
β’ KALDEABIPI.KZ
β’ XIWUDACOGBI.KZ
Gambar 3: Pada protocol NBNS diatas terlihat IP yang terinfeksi selalu mengakses ke domain berakhiran .kz (Kazakhstan)
Proses Malware Aktif
Jika pada saat infeksi tidak memberikan pengaruh yang signifikan, sebaliknya pada saat malware ini aktif Anda dijamin akan jengkel dan terganggu karena aksi malware ini menyedot bandwidth.
Berikut perbedaan aktivitas jaringan komputer pada Gambar A yang tidak terinfeksi malware dan Gambar B yang terinfeksi malware. (lihat gambar 4)
Gambar 4: Dalam waktu 22 menit, aktivitas jaringan yang dikirim dan diterima pada Gambar A hanya mencapai 106 packets yang dikirim dan 16 packet yang diterima, sedangkan pada Gambar B mencapai 8.577 packets yang dikirim dan 46 packet yang diterima dalam keadaan komputer tidak di operasikan oleh user.
Cara Kerja Malware
Malware ini memodifikasi entri registry untuk mengaktifkan dirinya, menambah nilai: "veanosudxeax" dengan data: "C:Documents and Settingveanosudxeax.exe.
Zusy juga melakukan aksi menghubungi remote host, kemungkinan untuk menjalankan aksi berikutnya sesuai dengan keinginan pembuat malware ini.
Adapun beberapa kemungkinan perintah yang dilakukan adalah:
-. Untuk menerima perintah tambahan dari pembuat malware seperti menyerang satu alamat situs tertentu (Ddos).
-. Mengunduh malware lain dan mengeksekusinya seperti kasus yang terjadi pada Zbot yang mengunduh Cryptolocker.
-. Mencuri data dari komputer yang terinfeksi
-. Menjadi mesin pencari uang seperti yang ditentukan oleh komputer remote seperti: mengirimkan spam, melakukan klik atas iklan guna kepentingan pembuat malware, menghubungi situs tertentu sesuai perintah CC&C server sampai menyerang IP / komputer lain jika diperlukan.
Beberapa contoh situs yang kemungkinan akan menjadi tempat pembuat malware menempatkan file/perintah tambahan guna meremote komputer korban malware dan diakses oleh Zusy adalah (lihat gambar 5).
Gambar 5: Malware mengakses situs-situs ini tanpa persetujuan / sepengetahuan pemilik komputer.
HTTP requests
- URL: http://leadershipforum.us
TYPE: POST
- URL: http://sspackaginggroup.com/
TYPE: POST
- URL: http://beechwoodmetalworks.com/
TYPE: POST
- URL: http://myfilecenter.com/
TYPE: POST
- URL: http://espace-hotelier.com/
TYPE: POST
- URL: http://urantiaproject.com/
TYPE: POST
- URL: http://jeangatz.com/
TYPE: POST
Selain mengakses URL di atasm Zusy juga mengakses DNS seperti: (lihat gambar 6). Jika Zusy berhasil mengalihkan DNS komputer yang di infeksinya, hal ini harus diwaspadai dan menjadi perhatian Anda, karena DNS server bisa digunakan untuk mengalihkan akses ke situs yang dituju ke situs phishing yang telah dipersiapkan.
Hal ini sangat berpotensi menimbulkan kerugian finansial besar khususnya jika komputer yang terinfeksi banyak digunakan untuk melakukan aktivitas internet banking atau e-commerce.
Gambar 6: Beberapa DNS yang diakses oleh Malware ini.
DNS requests
β’ smtp.live.com
β’ gamblingonlinemagazine.com
β’ berkshirebusiness.org
β’ automa.it
β’ guberman.com.br
β’ austriansurfing.at
β’ ompgp.co.jp
β’ goodvaluecenter.com
β’ ctr4process.org
β’ redconeretreat.com
β’ unslp.edu.bo
β’ plus.ba
β’ jeangatz.com
Selain hal-hal yang merugikan di atas, malware ini juga mengakses banyak situs, termasuk situs yang dilarang seperti gamblingonlinemagazine.com, guberman.com dan lainnya. (lihat gambar 7)
Gambar 7: Situs judi yang yang diakses oleh Zusy ini.
(ash/ash)
Tautan telah disalin