W32/Moonlight.L: Cahaya Bulan Berbahaya

Meski tergolong veteran, worm satu ini tetap eksis berkat munculnya berbagai varian. “Moonlight”, begitu program jahat berjenis worm ini menamai dirinya. Worm lokal ini sebenarnya sudah ada sejak jamannya W32/Brontok atau W32/Rontokbro, tetapi masih tetap eksis sampai sekarang. Ini karena variannya yang terus bermunculan. Bahkan, masih banyak laporan dari pengguna AVI yang komputernya terinfeksi oleh worm ini. Karena itu, kami pun tertarik untuk membahas Moonlight pada edisi kali ini.

Karakteristik

W32/Moonlight dibuat menggunakan compiler andalan vxer (sebutan bagi pembuat program jahat) lokal yakni VB6 (Visual Basic 6) dan dimampatkan menggunakan program PE packer FSG. Ukuran aslinya sebesar 324 KB, lalu setelah dimampatkan menjadi 144 KB. Identitasnya sendiri menggunakan icon folder Windows XP standar.

Aksi (Payload)
Ketika pertama kali berjalan, W32/Moonlight.L akan membuat file “systear.dll” pada direktori system, contoh: “C:-WINDOWS-system32-systear.dll”. File ini merupakan file inisialisasi agar worm dapat mengenali dirinya dan sebagai penanda posisi di mana worm telah disebarkan. Setelah itu, Moonlight membuat file penunjang berbentuk dynamic link library (DLL) “moonlight.dll” pada direktori Windows (contoh: “C:-WINDOWS-moonlight.dll”) dan mengekstraksi file musik berformat MIDI “onceinabluemoon.mid” ke direktori Windows. Setelah itu, worm ini membuat direktori dengan nama acak pada subdirektori Windows dan System dengan format “C:-WINDOWS-[acak]”. Maksud “[acak]” disini berisi nama acak misalnya:

“C:-WINDOWS-FLR1S4G”
“C:-WINDOWS-system32-LDF6I7R”

Penggunaan nama acak tersebut kemungkinan dimaksudkan untuk mempersulit proses investigasi dan pembersihan.
Kemudian worm akan menggandakan dirinya pada tempat-tempat berikut:
* C:-WINDOWS-[acak]-service.exe
* C:-WINDOWS-[acak]-smss.exe
* C:-WINDOWS-[acak]-system.exe
* C:-WINDOWS-[acak]-winlogon.exe
* C:-WINDOWS-lsass.exe
* C:-WINDOWS-system32-[acak]-[acak].cmd
* C:-WINDOWS-[acak].exe
* C:-WINDOWS-system32-[acak].exe
* C:-WINDOWS-[acak]-[acak].com

W32/Moonlight.L sengaja menggandakan dirinya dengan nama-nama mirip servis bawaan Windows seperti “smss.exe”, “service.exe” dengan maksud agar prosesnya tidak mudah dihentikan menggunakan Task manager bawaan Windows. Perlu diketahui, Task manager akan menolak menghentikan proses dengan nama meliputi: “service.exe”, “smss.exe”,”system.exe”,”winlogon.exe”, dan “lsass.exe”.

Karena worm dibuat menggunakan VB6, dan karena setiap aplikasi VB6 membutuhkan runtime yang bernama “msvbvm60.dll”, worm ini melakukan strategi cerdik agar file runtime tersebut tidak dihapus atau terhapus (yang membuat worm tidak bisa berjalan). Caranya, dengan membuat backup file runtime tersebut ke “C:-WINDOWS-system-msvbvm60.dll”.
Hal lain yang dilakukan Moontime adalah membuat file bernama “MooNlight.txt” pada direktori Windows (contoh: “C:-Windows-MooNlight.txt”). File ini berisi pesan dari pembuatnya yang mengaku bernama nick “Lunalight” alias “Moonlight”:

Penyebaran
Cara penyebaran W32/Moonlight.L sangat mirip dengan worm legendaris W32/Brontok alias W32/Rontokbro, yaitu dengan menggandakan dirinya ke setiap direktori dengan nama sama dengan direktori induknya.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: