Loading ...
Sorry, an error occurred while loading the content.

Low Risk, Menyerang Win NT, 2000 dan XP

Expand Messages
  • Vaksincom
    Mumu 3 Juli 2003 Menyerang Win NT, 2000 dan XP Virus ini akan menaruh beberapa file dan komponen yang berbahaya. Setelah disekusi, MUMU.EXE akan membuat 2
    Message 1 of 1 , Jul 2, 2003
    View Source
    • 0 Attachment
      Message

      Mumu   3 Juli 2003

      Menyerang Win NT, 2000 dan XP

       

      Virus ini akan menaruh beberapa file dan komponen yang berbahaya. Setelah disekusi, MUMU.EXE akan membuat 2 buah mutex untuk memeriksa memorii :

      -          qjinfo1mutex

      -          qjinfo2mutex

      Kemudian, menempatkan beberapa komponen di bawah ini :

      • %Windows%\bboy.exe (21KB)
      • %System%\last.exe (21KB)
      • %System%\bboy.dll (37KB)
      • %System%\kavfind.exe (31KB)
      • %System%\psexec.exe (37KB)
      • %System%\IPCPass.txt (1KB)
      • %System%\mumu.exe (295KB)

      MUMU.EXE adalah kopi dirinya sendiri, di mana BBOY.EXE dan LAST.EXE adalah komponen yang indentik. BBOY.DLL digunakan untuk keylogging dan proses mematikan aktifitas di dalam komputer.

      IPCPass.txt berisi sebuah list dari passwords yang digunakan untuk menembus Server Message Block SMB shares. Dikenal sebagai komponen dari virus BAT_SPYBOT.A.

      PSEXEC.EXE adalah sebuah program yang asli dari sysinternals.com, dikompres dengan menggunakan UPX utility dimana KAVFIND.EXE adalah sebuah Trojan lainnya yag dikenal sebagai TROJ_HACLINE.A.  

      MUMU.EXE dan LAST.EXE aktif secara simultan.

      Worm ini juga membuat sebuah registry di bawah ini untuk menyimpan network ID dari komputer yang terinfeksi:

      HKEY_LOCAL_MACHINE\Software\mumu

      Sebagai contoh, jika komputer yang terinfeksi mempunyai IP address 10.10.1.100, registry tersebut akan berisi sebuah value, 10.10.1.

      BBOY.EXE dan BBOY.DLL

      Setelah worm ini diesekusi, ia akan menempatkan sebuah komponen atau file BBOY.EXE, file tersebut akan diregistri seperti contoh di bawah ini, sehingga secara otomatis akan dijalankan setiap kali komputer startup :

      HKEY_LOCAL_MACHINE\Software\Microsoft\
      Windows\CurrentVersion\Run,
      Kernel ="%Windows%\bboy.exe"

      Kemudian, worm akan menempatkan sebuah komponen BBOY.DLL, yang mana akan digunakan untuk menginstall sebuah keyboard hook dan mematikan beberapa proses seperti di bawah ini :

      • kvapfw.exe
      • kvfw.exe
      • DFVSNET.exe
      • Password Guard.exe
      • Eghost.exe
      • IPArmor.exe
      • pfw.exe

      Komponen ini akan membuat log semua hentakan keyboard pada komputer yang terinfeksi dan menempatkannya pada file QJINFO.INI. Kemudian ia akan mengirimkan semua log data ke sebuah email address yang mana sebagian besar  kemungkinan milik seseorang yang mempunyai niat jahat. Format dari email tersebut seperti contoh di bawah ini :

      From: babyj@...
      To: terminal2000@...
      BCC: cq@...

      Ia menggunakan sebuah Webmail site, http://www. 58589.com.com untuk mengirimkan log yang telah dibuat.

      KAVFIND.EXE dan IPCPass.txt

      Kedua file ini menggunakan sebuah list password yang mudah ditebak untuk menyerang SMB shares dan melihat default Admin share, Admin$.

      File yang diletakkan yaitu file KAVFIND.EXE, dijadikan sebagai sebuah Trojan utiliti, yang akan memindai seluruh range dari class C network dan memeriksa kelemahan dan IP address. Trojan ini dikenal sebagai TROJ_HACLINE.A.

      Untuk memperoleh akses yang digunakan untuk meremote sebuah komputer,KAVFIND.EXE berusaha menembus targetnya dengan menggunakan brute-force password-guessing attack. Ini digunakan dengan memakai list password yang mudah ditebak, dimana telah tersedia di dalam file yang bernama IPCPass.txt untuk masuk ke dalam targetnya ::

      • %null%
      • %username%
      • %username%12
      • %username%123
      • %username%1234
      • 123
      • 1234
      • 12345
      • 123456
      • 1234567
      • 12345678
      • 654321
      • 54321
      • 1
      • 111
      • 11111
      • 111111
      • 11111111
      • 000000
      • 00000000
      • 888888
      • 88888888
      • 5201314
      • pass
      • passwd
      • password
      • sql
      • database
      • admin
      • root
      • secret
      • oracle
      • sybase
      • test
      • server
      • computer
      • Internet
      • super
      • user
      • manager
      • security
      • public
      • private
      • default
      • 1234qwer
      • 123qwe
      • abcd
      • abc123
      • 123abc
      • abc
      • 123asd
      • asdf
      • asdfgh
      • !@#$
      • !@#$%
      • !@#$%^
      • !@#$%^&
      • !@#$%^&*
      • !@#$%^&*(
      • !@#$%^&*()
      • KKKKKKK

      Ketika memidai sebuah jaringan,  ia menyimpan setiap kelemahan dari komputer untuk diserang pada saat nanti dan salinan ini akan disimpan pada file IPCFind.txt. Format dari file log tersebut adalah sebagai berikut :

      IP Address Username/Password

      Contoh :

      10.10.1.3 Administrator/12345
      10.10.5.100 Administrator/123asd

      It connects to each vulnerable system using the following command:

      Net use \\%target_pc% "%password%" /u:"%user%"

      Di mana :
      %target_pc% - IP address dari remote PC
      %password% - password dari ipcfind.txt
      %user% - username dari ipcfind.txt

      Kemudian, ia mengcopykan sebuah file worm mumu.exe pada Admin$\system32.

      Catatan: Admin$ maksudhnya %root%\WINNT dalam keadaan default.

      Ia menggunakan program yang legal psexec.exe dari sysinternals.com untuk meremote pengcopian dari file mumu.exe dengan menggunakan perintah seperti di bawah ini :

      start /i /min /wait /B psexec \\%s -u "%s" -p "%s" -d mumu.exe

      Ia kemudian menghapus log dari file IPCFind.txt.

      Disamping IP scanning untuk mencari komputer target. Ia menjalankan sebuah perintah dalam 1 menit untuk mendapatkan kemungkinan sebuah hubungan dan menyimpannya dalam sebuah file yang bernama :

      CMD /c netstat -n|find \":\" >A.TMP

      Kemudian mengirimkan perintah PING ke semua komputer dan mempertimbangkan string “reply” sebagai sebuah success reply. Output dari perintah PING output hasilnya sementara disimpan dalam sebuah file yang bernama B.TMP file.

      Ketika hubungan tersebut sukses , ia akan mengcopykan sebuah worm ke komputer lainnya sebagai Admin$\Winnt\MUMU.EXE dan mengaktifkan worm tersebut. Kemudian menghapus file A.TMP dan  B.TMP setelah semuanya berjalan.

       

      Koneksi SMTP

      Worm ini mengandung sebuah perintah SMTP (Simple Mail Transfer Protocol) untuk menghubungkan SMTP server, SMTP.SINA.COM.CN.

      Ia akan membuat sebuah email seperti contoh di bawah ini :

      To: reint0.student@...
      From: sendmail2.student@...
      Subject: 27<Computer Name>
      Date: <Current Date>

      Worm ini juga membuat sebuah pop-up dalam bentuk mini child window dengan class name, “Systary” dan kemudian memodifikasi registry seperti di bawah ini:

      HKEY_LOCAL_MACHINE\Software\Microsoft\
      Windows\CurrentVersion\Run
      Folder Service = qjinfo.exe

      Worm ini hanya menyerang pada Windows NT, Windows 2000, Windows XP

      Sumber : TrendMicro

      Marcel Gemini Man

       

       
      ----- Virus Outside -----
      PT. Vaksincom
      Antivirus Specialist
      ----- Virus Outside -----
       
       
    Your message has been successfully submitted and would be delivered to recipients shortly.