NgrBot Variant: Hati-hati Account Facebook Anda

NgrBot Variant. Jangan merasa aneh jika salah satu kawan facebook Anda secara tiba-tiba mengirimkan chat yang berisi sebuah link/URL dan membuat penasaran lalu mengakses link tersebut. Setelah di buka, ternyata link tersebut mengarahkan untuk mendownload file dengan nama seperti yang terlihat pada gambar diatas. Sayangnya, file yang akan di download nantinya bukanlah file gambar dengan ekstensi (.jpg) melainkan file lain.

A. Info File
Nama Worm : NgrBot.D, NgrBot.E, NgrBot.F, NgrBot.G
Asal : Unknown
Ukuran File : Random
Packer : ~
Pemrograman : C++
Icon : Random
Tipe : Worm, Trojan, Keylogger


B. About Malware
NgrBot yang meyebar di indonesia, menyamar dengan icon berbentuk huruf-huruf dan terkesan tidak berbahaya.Dibuat menggunakan bahasa pemrograman C++, dan ukuran sebenarnya adalah 316 KB. Kemampuan lain dari NgrBot adalah dia tidak dapat terlihat di memory atau bisa dikategorikan rootkit. Untuk melindungi dirinya, NgrBot melakukan teknik hooking pada beberapa API function. Namun, worm ini tidak aktif jika user sedang berada dalam safe mode.

Yang membuat malware ini menjadi sangat berbahaya ialah kemampuan NgrBot dalam mencuri data user, baik itu ID atau akun pribadi berupa email password dari website tertentu, akan otomatis di kirimkan oleh malware.

Berikut adalah icon yang digunakan NgrBot.A sampai NgrBot.C dengan ciri khasnya yang membentuk karakter tertentu.

Dan sekarang sudah menyebar juga varian lainnya. Antara lain NgrBot.D dan NgrBot.E yang tidak lagi menggunakan icon berbentuk karakter, melainkan icon menyerupai image.

Varian lainnya yaitu NgrBot.F yang menggunakan icon bernuansa pornografi. Tergantung variannya, NgrBot membuat beberapa mutex yang berbeda, antara lain seperti terlihat dibawah ini.


C. Companion/File yang dibuat
Tidak jauh berbeda dengan varian sebelumnya , setelah aktif di memory NgrBot akan mendownload beberapa file yang nantinya dijalankan pada saat startup Windows.

D. Pembersihan
Gunakan update build untuk mendeteksi keberadaan NgrBot, jika NgrBot telah menjangkiti komputer, gunakan PCMAV Express for NgrBot pada halaman http://virusindonesia.com/2011/08/09/pcmav-express-for-ngrbot/ untuk pembersihan secara menyeluruh.

Sumber : VirusIndonesia.com