A. Info File
Nama Malware : RecyBot
Asal : Bekasi, Jawa Barat
Ukuran File : 44.0 KB (45,056 bytes)
Packer : ~
Pemrograman : C++
Icon : Old Executable
Tipe : Worm, Trojan
B. About Malware
Namanya diambil dari gabungan antara worm Recyler dan worm NgrBot. Hal ini dikarenakan jarang sekali worm NgrBot membuat folder Recycler yang sama dengan worm Recyler. Umumnya worm NgrBot hanya membuat folder dengan nama RECYCLER dengan hanya 2 file di dalamnya, yaitu host NgrBot yang akan di eksekusi dan file desktop.ini. Akan tetapi Varian yang satu ini membuat folder di dalam folder RECYCLER sehingga autorunnya pun berubah.
Meski demikian, ciri utama worm RecyBot adalah pada thread-nya yang sama seperti worm NgrBot. Hampir selurh filenya menunjukan bahwa worm ini memang varian dari NgrBot. Berikut adalah penggalan string threads yang dibuat worm RecyBot.
000000012210 000002602210 0 This binary is invalid. 00000001222B 00000260222B 0 Main reasons: 00000001223A 00000260223A 0 – you stupid cracker 000000012250 000002602250 0 – you stupid cracker… 000000012269 000002602269 0 – you stupid cracker?! 000000012284 000002602284 0 ngrBot Error 000000012298 000002602298 0 state_%s
C. Companion/File yang dibuat
Pada removable disk, terdapat 3 buah file yang dibuat.
1. Autorun.inf
2. Shorcut.lnk
3. Host yang terdapat pada folder RECYLER
Host utamanya berada di folder Appliacation Data, Sedangkan yang lainnya adalah companion yang di download jika ada koneksi Internet.
D. Hasil Infeksi
Jika dilihat dari threads yang dibuatnya, RecyBot sama seperti NgrBot yang akan memantau username serta password yang diinput oleh user ke beberapa website tertentu.
Melakukan koneksi ke beberapa IP serta mendownload companion yang kemudian dijalankan untuk melakukan payload yang berbeda. Koneksi internet akan terasa sedikit lebih lambat karena worm RecyBot cukup banyak melakukan koneksi ke beberapa IP yang berbeda.
C. Companion/File yang dibuat
Pada removable disk, terdapat 3 buah file yang dibuat.
1. Autorun.inf
2. Shorcut.lnk
3. Host yang terdapat pada folder RECYLER
Host utamanya berada di folder Appliacation Data, Sedangkan yang lainnya adalah companion yang di download jika ada koneksi Internet.
D. Hasil Infeksi
Jika dilihat dari threads yang dibuatnya, RecyBot sama seperti NgrBot yang akan memantau username serta password yang diinput oleh user ke beberapa website tertentu.
Melakukan koneksi ke beberapa IP serta mendownload companion yang kemudian dijalankan untuk melakukan payload yang berbeda. Koneksi internet akan terasa sedikit lebih lambat karena worm RecyBot cukup banyak melakukan koneksi ke beberapa IP yang berbeda.
0 comments:
Posting Komentar