Win32/Olmasco.R, Lampaui Kemampuan Malware Modern

JAKARTA, SENIN –  Malware TDL4, alias Win32/Olmarik, ternyata terus berevolusi. Varian terbarunya, Win32/Olmasco.R, bahkan melebihi kemampuan malware modern. Ia bisa memeriksa apakah semua komponen bisa dijalankan di environment virtual di dalam sistem.

Win32/Olmasco.R juga mampu mengirimkan informasi yang sudah dicopy dari komputer korban ke C&C (Command & Control server) selama proses instalasi rootkit ke sistem komputer korban. Selama proses instalasi malware, terjadi aktivitas virtual yang kontra terhadap bot trackers untuk melakukan pengecekan apakah dropper bisa dijalankan pada sebuah environment virtual dan informasinya, lalu dikirimkan ke C&C.

Pada varian baru ini, saat MBR (Master Boot Record) terinfeksi, akan tersedia ruang di bootable hard drive sebagai cadangan untuk menyimpan komponen jahat. Pada tabel partisi di hard drive yang menggunakan Windows Vista atau sistem operasi Windows yang lebih baru, kita akan menemukan unpartitioned (atau unallocated) space pada bootable hard drive. Biasanya ruang atau space tersebut berukuran cukup besar untuk menampung komponen-komponen rootkit. Adakalanya ruang yang dipartisi akan lebih besar lagi. Pada kasus demikian, partisi jahat akan dibatasi sampai 50GB. Kemudian malware akan membuat partisi tersembunyi dengan memodifikasi entry pada tabel partisi.

Komponen bootkit pada malware TDL4 varian terbaru atau yang diidentifikasi oleh ESET sebagai Win32/Olmasco.R, sama dengan TDL4 versi sebelumnya kecuali jika nama di malicious file system telah diubah.

 

 New Old
VBR of malicious partition  Infected MBR
\boot  ldr16
\dbg32,\dbg64  ldr32/ldr64

 

 Layout dari hidden file system juga telah berubah, mampu menampung 15 file – terlepas dari ukuran ruang yang tersedia.

Berdasarkan analisis Eset, komponen malware yang berubah adalah kernel-mode driver dan user-mode payload. Perubahan itu mengindikasikan dua kemungkinan, yaitu perubahan susunan dari time pengembang TDL 4, dan pengembang TDL4 mengkomersialkan atau memperjualbelikan bootkit builder ke kelompok cybercrime lain.

Wiwiek Juwono

Senior Editor di InfoKomputer dan PCplus. Memiliki spesialisasi di penulisan fitur, berita, serta pengujian gadget dan asesori komputer

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.