• Fitur

W32/Moonlight.L: Cahaya Bulan Berbahaya - Payload

PostDateIconSelasa, 27 Oktober 2009 17:22 | PostAuthorIconDitulis oleh Redaksi Infokom |

Indeks Artikel
W32/Moonlight.L: Cahaya Bulan Berbahaya
Karakteristik
Payload
Penyebaran & Pembersihan
Semua Halaman

Halaman 3 dari 4


Aksi (Payload)
Ketika pertama kali berjalan, W32/Moonlight.L akan membuat file systear.dllâ pada direktori system, contoh: C:-WINDOWS-system32-systear.dll. File ini merupakan file inisialisasi agar worm dapat mengenali dirinya dan sebagai penanda posisi di mana worm telah disebarkan. Setelah itu, Moonlight membuat file penunjang berbentuk dynamic link library (DLL) moonlight.dllpada direktori Windows (contoh: C:-WINDOWS-moonlight.dll) dan mengekstraksi file musik berformat MIDI onceinabluemoon.mid ke direktori Windows. Setelah itu, worm ini membuat direktori dengan nama acak pada subdirektori Windows dan System dengan format C:-WINDOWS-[acak]. Maksud [acak] disini berisi nama acak misalnya:

C:-WINDOWS-FLR1S4G

C:-WINDOWS-system32-LDF6I7R
Penggunaan nama acak tersebut kemungkinan dimaksudkan untuk mempersulit proses investigasi dan pembersihan.
Kemudian worm akan menggandakan dirinya pada tempat-tempat berikut:
* C:-WINDOWS-[acak]-service.exe
* C:-WINDOWS-[acak]-smss.exe
* C:-WINDOWS-[acak]-system.exe
* C:-WINDOWS-[acak]-winlogon.exe
* C:-WINDOWS-lsass.exe
* C:-WINDOWS-system32-[acak]-[acak].cmd
* C:-WINDOWS-[acak].exe
* C:-WINDOWS-system32-[acak].exe
* C:-WINDOWS-[acak]-[acak].com

W32/Moonlight.L sengaja menggandakan dirinya dengan nama-nama mirip servis bawaan Windows seperti smss.exe, service.exe dengan maksud agar prosesnya tidak mudah dihentikan menggunakan Task manager bawaan Windows. Perlu diketahui, Task manager akan menolak menghentikan proses dengan nama meliputi: service.exe, smss.exeâ,system.exe,winlogon.exeâ, dan lsass.exe.

Karena worm dibuat menggunakan VB6, dan karena setiap aplikasi VB6 membutuhkan runtime yang bernama msvbvm60.dll, worm ini melakukan strategi cerdik agar file runtime tersebut tidak dihapus atau terhapus (yang membuat worm tidak bisa berjalan). Caranya, dengan membuat  backup file runtime tersebut ke C:-WINDOWS-system-msvbvm60.dll.
Hal lain yang dilakukan Moontime adalah membuat file bernama MooNlight.txt pada direktori Windows (contoh: C:-Windows-MooNlight.txt). File ini berisi pesan dari pembuatnya yang mengaku bernama nick Lunalight alias Moonlight:




 
Sekuriti Lainnya:

12 Ramalan Keamanan TI di Tahun 2012

25 Password Terburuk Sepanjang 2011

Agar Flashdisk Kebal Virus

ESET Top 10 Threat Tahun 2010

Menyisir Jejak Forensik Digital

  • Artikel Terkait
  • Polling InfoKomputer
Apa yang paling Anda butuhkan dari InfoKomputer Online?
  • tabloidnova
  • haionline
  • duniasoccer
  • ideaonline
  • intisari-online
  • nationalgeographic
  • kidnesia
  • otomotifnet
  • sajiansedap
  • sekar
  • chip
  • tabloidsinyal
  • chicmagz
  • preventionindonesia
Copyright © Info Komputer, All Rights Reserved 2011.
Tentang KamiGramedia AppsGramedia Widget
logoKG