0
Bersihkan virus autoit.FF
A. Info Malware
Nama: Autoit.FF
Asal: -
Ukuran File: 4.12 MB (4,321,280 bytes)
Packer: -
Pemrograman: Autoit
Icon: Folder
Tipe: Worm
B. Tentang Malware
Tidak seperti yang terlihat bahwa worm ini berukuran lebih dari 4 MB, sebenarnya ukuran asli worm ini hanyalah 751 KB. Hal ini dikarenakan banyaknya data sampah yang sebenarnya tidak diperlukan disimpan oleh worm ini.
Autoit.FF Section
Seperti yang terlihat pada gambar di atas, terdapat 4 buah section yaitu UPX0, UPX1, .rsrc dan .MUPX1. Section UPX itu sendiri adalah section hasil compressing file, sedangkan .rsrc adalah tubuh asli dari worm. Yang menarik adalah .MUPX1 karena jika section ini di pisahkan (dump) maka akan dihasilkan sebuah file dump yang berukuran 3.83 MB (4,016,640 bytes) dan salah satu penggalan isinya adalah seperti gambar di bawah:
Autoit.FF Empty
C. Companion/File yang dibuat
Setelah aktif di memory, worm ini akan membuat beberapa file yang akan dijadikan hostnya seperti:
C:\WINDOWS\regsvr.exe
C:\WINDOWS\system32\regsvr.exe
C:\WINDOWS\system32\svchost .exe
C:\WINDOWS\system32\setting.ini
C:\WINDOWS\system32\setup.ini
Selain banyaknya file yang dibuat pada flash disk, worm ini akan membuat file autorun.inf dan 2 buah file utama yang salah satunya akan dieksekusi jika user menjalankan fungsi autoplaynya.
Autoit.FF Autorun
D. Hasil Infeksi
Agar bisa berjalan saat startup, worm ini membuat startup di registry.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\ Msn Messsenger
C:\WINDOWS\system32\regsvr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe, regsvr.exe
Diduga kuat worm ini menyebar juga melalui Email, terbukti dengan worm ini membaca seluruh nama user yang terdapat pada phone book serta mengakses beberapa IP dan website seperti:
67.195.xx.xx (disamarkan)
yahoo.com
0Awesome Comments!