JAKARTA, SENIN – Malware TDL4, alias Win32/Olmarik, ternyata terus berevolusi. Varian terbarunya, Win32/Olmasco.R, bahkan melebihi kemampuan malware modern. Ia bisa memeriksa apakah semua komponen bisa dijalankan di environment virtual di dalam sistem.
Win32/Olmasco.R juga mampu mengirimkan informasi yang sudah dicopy dari komputer korban ke CC (Command Control server) selama proses instalasi rootkit ke sistem komputer korban. Selama proses instalasi malware, terjadi aktivitas virtual yang kontra terhadap bot trackers untuk melakukan pengecekan apakah dropper bisa dijalankan pada sebuah environment virtual dan informasinya, lalu dikirimkan ke CC.
Pada varian baru ini, saat MBR (Master Boot Record) terinfeksi, akan tersedia ruang di bootable hard drive sebagai cadangan untuk menyimpan komponen jahat. Pada tabel partisi di hard drive yang menggunakan Windows Vista atau sistem operasi Windows yang lebih baru, kita akan menemukan unpartitioned (atau unallocated) space pada bootable hard drive. Biasanya ruang atau space tersebut berukuran cukup besar untuk menampung komponen-komponen rootkit. Adakalanya ruang yang dipartisi akan lebih besar lagi. Pada kasus demikian, partisi jahat akan dibatasi sampai 50GB. Kemudian malware akan membuat partisi tersembunyi dengan memodifikasi entry pada tabel partisi.
Komponen bootkit pada malware TDL4 varian terbaru atau yang diidentifikasi oleh ESET sebagai Win32/Olmasco.R, sama dengan TDL4 versi sebelumnya kecuali jika nama di malicious file system telah diubah.
Layout dari hidden file system juga telah berubah, mampu menampung 15 file – terlepas dari ukuran ruang yang tersedia.
Berdasarkan analisis Eset, komponen malware yang berubah adalah kernel-mode driver dan user-mode payload. Perubahan itu mengindikasikan dua kemungkinan, yaitu perubahan susunan dari time pengembang TDL 4, dan pengembang TDL4 mengkomersialkan atau memperjualbelikan bootkit builder ke kelompok cybercrime lain.
Article source: http://www.tabloidpcplus.com/2011/10/berita-teknologi/win32olmasco-r-lampaui-kemampuan-malware-modern/
View full post on National Cyber Security » Virus/Malware/Worms