Archive for November 4th, 2009

W32/Moonlight.L: Cahaya Bulan Berbahaya

“Moonlight”, begitu program jahat berjenis worm ini menamai dirinya. Worm lokal ini sebenarnya sudah ada sejak jamannya W32/Brontok atau W32/Rontokbro, tetapi masih tetap eksis sampai sekarang. Ini karena variannya yang terus bermunculan. Bahkan, masih banyak laporan dari pengguna AVI yang komputernya terinfeksi oleh worm ini. Karena itu, kami pun tertarik untuk membahas Moonlight pada edisi kali ini.

Karakteristik
W32/Moonlight dibuat menggunakan compiler andalan vxer (sebutan bagi pembuat program jahat) lokal yakni VB6 (Visual Basic 6) dan dimampatkan menggunakan program PE packer FSG. Ukuran aslinya sebesar 324 KB, lalu setelah dimampatkan menjadi 144 KB. Identitasnya sendiri menggunakan icon folder Windows XP standar.

Aksi (Payload)
Ketika pertama kali berjalan, W32/Moonlight.L akan membuat file “systear.dll” pada direktori system, contoh: “C:-WINDOWS-system32-systear.dll”. File ini merupakan file inisialisasi agar worm dapat mengenali dirinya dan sebagai penanda posisi di mana worm telah disebarkan. Setelah itu, Moonlight membuat file penunjang berbentuk dynamic link library (DLL) “moonlight.dll” pada direktori Windows (contoh: “C:-WINDOWS-moonlight.dll”) dan mengekstraksi file musik berformat MIDI “onceinabluemoon.mid” ke direktori Windows. Setelah itu, worm ini membuat direktori dengan nama acak pada subdirektori Windows dan System dengan format “C:-WINDOWS-[acak]”. Maksud “[acak]” disini berisi nama acak misalnya:
Continue reading

Advertisements