NgrBot: Trojan Pengambil Identitas/Password






NgrBot. Selain Ramnit yang memiliki kemampuan
rootkit canggih dan mampu menyebar serta menginfeksi dengan cepat, kini
telah hadir pendatang baru yang mampu membuat user berpikir dua kali
untuk mengetikkan ID pribadi seperti, e-mail, username dan password.
NgrBot, malware tipe trojan yang mampu menyebar cepat seperti worm
karena memanfaatkan shortcut yang sedikit berbeda dari shortcut pada
umumnya.

A. Info File
Nama Worm : NgrBot
Asal : UnKnown
Ukuran File : 316 KB
Packer : ~
Pemrograman : Microsoft Visual C++
Icon : Random
Tipe : Trojan, Worm

B. About Malware
NgrBot yang meyebar di indonesia, menyamar dengan icon berbentuk huruf-huruf dan terkesan tidak berbahaya.



Dibuat menggunakan bahasa pemrograman C++, dan ukuran sebenarnya
adalah 316 KB. Kemampuan lain dari NgrBot adalah dia tidak dapat
terlihat di memory atau bisa dikategorikan rootkit. Untuk melindungi
dirinya, NgrBot melakukan teknik hooking pada beberapa API function.
Namun, worm ini tidak aktif jika user sedang berada dalam safe mode.

Yang membuat malware ini menjadi sangat berbahaya ialah kemampuan
NgrBot dalam mencuri data user, baik itu ID atau akun pribadi berupa
email password dari website tertentu, akan otomatis di kirimkan oleh
malware. Akun website yang diincar antara lain adalah:

1. Web Hosting & Domain
- dotster
- 1and1.com
- enom.com
- moniker.com
- namecheap.com
- godaddy.com
- sms4file.com
- dyndns.com

2. Online Payment
- alertpay.com
- paypal.com

3. E Commerce
- netflix.com
- thepiratebay.org
- ebay.com

4. Hacking
- torrentleech.org
- hackforums.com

5. Premium Account
- vip-file.com
- what.cd
- loginid.com
- secure.logmein.com

6. FileHosting
- letitbit.net
- oron.com
- filesonic.com
- speedyshare.com
- uploaded.to.com
- uploading.com
- fileserve.com
- hotfile.com
- 4shared.com
- netload.in.com
- freakshare.com
- mediafire.com
- sendspace.com
- megaupload.com
- depositfiles.com

7. Internet Banking
- officebanking.cl.com
- moneybookers.com
- bcointernacional.com

8. Game
- runescape.com
- steampowered.com

9. Social Networking
- twitter.com
- facebook.com
- bebo.com
- friendster.com
- vkontakte.ru

10. WebMail
- yahoo.com
- mail.live.com
- gmx.com
- Gmail.com
- fastmail.com
- bigstring.com
- screenname.aol.com

11. WebPorn
- IKnowThatGirl.com
- YouPorn.com
- Brazzers.com

12. Etc
- YouTube.com

Merekam segala bentuk aktivitas keyboard pada aplikasi berikut ini:
- pidgin.exe
- wlcomm.exe
- msnmsgr.exe
- msmsgs.exe
- flock.exe
- opera.exe
- chrome.exe
- ieuser.exe
- iexplore.exe
- firefox.exe

C. Companion/File yang dibuat
NgrBot memiliki 10 Companion yang selalu sama. Berikut adalah penjelasan mengenai companion tersebut.

1. NgrBot
Host NgrBot yang berada di folder Application Data dengan nama
acak dan ekstensi (.exe / .tmp). Selain itu, NgrBot juga bersembunyi di
balik folder RECYCLER yang di buatnya setelah removable disk terhubung dengan komputer yang terinfeksi.

2. NgrBot.drp.A



Salah satu droper dari NgrBot yang berada di folder startup yang mengekstrak NgrBot.exe.A dan NgrBot.bat.

3. NgrBot.drp.B
Variant lain darin NgrBot.drp yang terdapat pada folder Application Data yang memiliki fungsi sama seperti NgrBot.drp.A.

4. NgrBot.lnk



Sedikit perbedaan dengan shortcut yang lain adalah, NgrBot menambahkan parameter lain pada shortcutnya.
Contohnya:

%windir%\system32\cmd.exe /c "start %cd%RECYCLER\bcd8f464.exe &&%windir%\explorer.exe %cd%Removal

• %windir%\system32\cmd.exe /c “start = memanggil
command prompt dengan menambahkan parameter “/c” yang di maksudkan agar
setelah mengeksekusi file, akan otomatis menutup command prompt. Selain
itu, ada juga “start yang dimaksudkan untuk memulai eksekusi file.
• %cd% = parameter untuk mengakses sebuah folder.
• RECYCLER\bcd8f464.exe = Dalam hal ini, folder yang di akses adalah folder RECYCLER yang di dalamnya terdapat host virus dengan nama “bcd8f464.exe”
• %windir%\explorer.exe = Memanggil Explorer.exe untuk
membuka folder yang namanya sesuai dengan nama shortcut yang di jalankan
agar mengesankan bahwa shortcut tersebut memang benar-benar folder
seperti biasa.
• Removal = contoh nama folder.

5. NgrBot.bat
Salah satu companion dari NgrBot yang berfungsi untuk mengeksekusi dan memberikan parameter khusus terhadap NgrBot.exe.A.



6. NgrBot.exe.A



Companion NgrBot yang di eksekusi oleh NgrBot.bat dan berada di path yang sama, yaitu pada folder temporary (temp).

7. NgrBot.dat



Companion yang seluruh isi tubuhnya hanyalah karakter acak dan
biasanya terdapat di folder system32 atau bisa juga di folder Documents
and Settings.

8. NgrBot.exe.B
NgrBot.exe.B selalu berada di folder User Profile. Membuat value key
baru pada registry dengan nama –“u” agar bisa berjalan saat startup.

9. NgrBot.inf



Sudah menjadi teknik malware saat ini yang mengunakan autorun.inf
sebagai salah satu companion yang dapat membantu dalam menjalankan
malware, begitu pula NgrBot yang membuat Autorun.inf, sama halnya dengan
beberapa worm lain yang baru-baru ini menyebar, autorun.infnya selalu
ditambahkan dengan karakter acak.

10. NgrBot.mem



Thread yang berada di memory dan tidak dapat dideteksi dengan teknik
pendeteksian biasa karena merupakan thread yang tersembunyi dengan
teknik rootkit, juga menggunakan teknik hooking sambil memantau
aktivitas user dan terus menyebarkan companion setiap kali removable
disk terkoneksi dengan komputer.

D. Hasil Infeksi
Seperti yang sudah di jelaskan di atas jika dilihat berdasarkan
kemampuan yang dimiliki NgrBot, berikut ini adalah klasifikasinya.
NgrBot dengan kemampuan Worm = mampu menyebar melalui media peyimpanan data seperti removable disk, external disk dan MMC.
NgrBot dengan kemampuan Trojan = mendownload beberapa companion lain yang bertujuan untuk melancarkan aksi lainnya setelah menginfeksi komputer korban.
NgrBot dengan kemampuan Rootkit = mampu bersembunyi dibalik
proses lain dan menyembunyikan file host maupun value key yang dibuatnya
pada registry editor sambil tetap melakukan payload yang tidak disadari
oleh user.

E. Pembersihan
Malware ini telah dikenali dan dapat dibersihkan pada PCMAV 5.3 Update Build2 ini berikut ini.

PCMAV 5.3 Update Build2

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.3 Update Build2 telah hadir dengan penambahan 68 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.3, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup
menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke
Internet. Jika koneksi Internet menggunakan proxy, tentukan
konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari
PCMAV akan secara otomatis men-download dan meng-update database dari
PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon
PCMAV pada system tray dan pilih Update.
Letakkan file hasil download tersebut (update.vdb) ke dalam folder
\vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya.
Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika
berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan
PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.3 Update Build2:

Ardamax
Ardamax.exe
BadShortcut
BancosKernel
BancosKernel.dat
Bobae
Bobae.flv.A
Bobae.flv.B
CryptocX
CryptocX.dll
DrwKills
FakeAV-Downloader.N
FakeAV-Downloader.N.dat
FakeAV-Downloader.N.dll.A
FakeAV-Downloader.N.dll.B
FakeAV-Downloader.N.drp
FakeAV-Downloader.N.exe
FakeAV-Downloader.N.lnk.A
FakeAV-Downloader.N.lnk.B
FakeAV-Downloader.N.lnk.C
FakeAV-Downloader.N.tmp
FakeDownloader.BL
FakeDownloader.BL.drp
FakeDownloader.BL.exe.A
FakeDownloader.BL.exe.B
FakeDownloader.BL.exe.C
FakeDownloader.BL.tmp
FakeDownloader.BL.zip
FightingDreamer.vbe.inf
Huppi
KeyKav
Maxthon
Maxthon.inf
NgrBot
NgrBot.bat
NgrBot.dat
NgrBot.drp.A
NgrBot.drp.B
NgrBot.exe.A
NgrBot.exe.B
NgrBot.inf
NgrBot.lnk
NhT
PrjHook
PrjHook.drp
PrjHook.exe.A
PrjHook.exe.B
Proklamasi
Proklamasi.exe
Proklamasi.lnk
Qvod
Qvod.A.dll.A
Qvod.A.dll.B
Qvod.A.dll.C
Qvod.A.inf
Qvod.A.local
Qvod.B
Qvod.B.dll
Qvod.exe.A
Ramnit.L.dropper
Ramnit.M.dropper
SpecialChar
StubeShark
StubeShark.tmp
TeraBit.txt
Tiopatinhas
Winbows
Wukill.D

Sehabis download file cheat, sebaiknya di scan pke PC MAV 5.5

Thx Infonya kakak

INFO YANG SANGAT BERGUNA KK....