SystemTools: Remove All Spyware from Your PC

SystemTools. Beberapa hari yang lalu, sebagian user di kagetkan dengan adanya aplikasi SystemTools yang tanpa mereka sadari aplikasi tersebut adalah “FakeAntivirus” atau “Antivirus Palsu”. Malware sejenis pernah di bahas pada postingan sebelumnya yang berjudul FakeAV-Downloader.G. Laporan di dapat dari user yang mendownload salah satu antivirus lokal dari website resminya yang kemudian justru menjalankan antivirus palsu.

A. Info Malware
Nama: SystemTools
Asal: Belum diketahui
Ukuran File: 397 KB (407,040 bytes)
Packer: -
Pemrograman: Visual C++
Icon: Random
Tipe: Trojan
B. Tentang Malware
Awalnya, kami mendapat laporan mengenai user yang mendapat pesan di Facebook dan isinya adalah sebuah link yang jika dibuka maka akan mendownload sebuah file dengan nama surprise.exe. Setelah file tersebut di jalankan, user merasakan keanehan yang terjadi pada komputernya. Contohnya seperti Firefox tidak bisa di buka, juga Task Manager dan beberapa file aplikasi lainnya.
Selain beberapa aplikasi tidak bisa di buka, wallpaper pada desktop komputer user berubah seperti pada gambar berikut.

Malware tipe Trojan ini mengingatkan kita pada salah satu virus yang sempat menghebohkan Indonesia yaitu Windx-Maxtrox pada tahun 2008 yang juga mengubah desktop. Kesuksesan SystemTools ini menyebar di indonesia adalah:
1. Menyebar melalui Facebook dan salah satu website yang menyediakan fasilitas download gratis.
2. Pada saat pengguna mengunduh SystemTools ini dari Internet, beberapa antivirus luar negeri belum ada yang mendeteksinya sebagai malware.

Dibuat menggunakan C++ tanpa di-pack, malware ini juga memiliki keistimewaan lain. Yaitu kemampuan untuk merubah DateTimeStamp pada informasi headernya. Sehingga hash MD5nya selalu berubah meskipun ukuran filenya sama.

Harga antivirus palsu ini juga tidak tanggung-tanggung.
1 tahun lisensi: $ 59.95
2 tahun lisensi: $ 69.95
Lifetime lisensi: $ 79.95
Lifetime premium support: $ 19.95
C. Companion/File yang dibuat
Setelah aktif di memory, system tools akan membuat beberapa file seperti:
1. Membuat file [nama acak].tmp yang sebenarnya adalah file gambar (BMP / Bitmap) dan nantinya akan dijadikan wallpaper dekstop pada folder C:\Documents and Settings\[nama user]\Local Settings\Temp

2. Membuat file yang akan di jalankan setelah startup dengan nama acak dan file lain tanpa ekstensi pada folder C:\Documents and Settings\All Users\Application Data\[folder dengan nama acak]
D. Hasil Infeksi
Setelah aktif di memory, malware ini akan memblok setiap file aplikasi, kecuali file dengan nama file system seperti pada gambar di bawah:

Malware juga memunculkan pesa-pesan palsu seperti gambar berikut:


Selain menampilkan wallpaper yang berubah seperti yang telah ditampilkan sebelumnya, malware juga terkadang menampilkan pesan Blue Screen Of Death (BSOD) yang menandakan seolah olah sistem komputer sudah benar-benar rusak.

Memaksa user untuk melakukan registrasi agar mendapatkan kode aktivasi dan membersihkan semua malware yang di laporkan oleh SystemTools.

Agar bisa berjalan saat startup, SystemTools membuat value registry baru di:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\[nama acak], “C:\Documents and Settings\All Users\Application Data\[nama folder aca]\[nama acak].exe”
E. Pembersihan
Untuk pembersihan, dapat dilakukan dengan 2 cara. Yaitu dengan cara manual dan cara langsung menggunakan PCMAV.
Cara manual:
1.Cari file task manager (taskmgr.exe) yang terdapat pada folder
C:\WINDOWS\system32\taskmgr.exe

2.Copy file tersebut ke My Documents, dengan klik kanan lalu pilih menu
Send to My Documents.
3.Buka folder My Documents, kemudian Rename file “taskmgr.exe” menjadi “Explorer.exe” dan jalankan file tersebut, maka akan tampil Task Manager.

4.Cari proses dengan nama aneh misalnya “eImHbDk02400.exe” kemudian kill proses tersebut (End Process).

5.Buka Windows Explorer, aktifkan fungsi “Show Hidden Files and Folders” pada “Folder Options” dengan memilih menu Tools – Folder Options – View, pilih Show Hidden Files and Folders, lalu klik OK.

6. Masuk ke folder “C:\Documents and Settings\All Users\Application Data” cari dan hapus folder dengan nama aneh, misalnya “eImHbDk02400″ yang di dalamnya terdapat file dari SystemTools.

7. (Opsional, jika boleh dilakukan atau tidak masalah jika tidak dilakukan) Masuk ke folder “C:\Documents and Settings\[nama user]\Local Settings\Temp“, cari dan hapus file Temporary (tmp) yang ukurannya tidak wajar (2MB ~ ) karena file tersebut adalah file bitmap yang dijadikan wallpaper pada desktop user yang terinfeksi.

8.Aktifkan Kembalikan fungsi “Do not show hidden files and folders“.
Pilih menu Tools – Folder Options – View, pilih “Do not show hidden files and folders“, dan klik OK.

9.Log Off Komputer.
10.Komputer kembali normal.

Review Malware 2010

Seperti tidak ada habisnya serangan dari malware yang berasal dari dalam maupun luar negeri. Antara lain Conficker yang mengawali serangan pada tahun 2008, dan berbagai varian worm VB-Shortcut yang memulai aksinya di pertengahan 2010, serta berbagai malware lainnya, berhasil memberikan teror di sampai akhir tahun 2010 karena tingkat penyebarannya.

Berdasarkan data yang kami kumpulkan yang sebagian besar dari kiriman pengguna PCMAV, 10 malware teratas yang paling banyak menyebar adalah:
1. Sality Variant
2. VB-Shortcut
3. Alman
4. Virut
5. Serviks.vbs Variant
6. 74BE16
7. Conficker
8. Autoit-ReplaceIcon Variant
9. Saphira.A
10. Autoit.EA

Malware lain yang juga banyak dilaporkan:
- EsTeh
- Stuxnet
- Runouce
- Nebula
- Delp-Shortcut
- TripleBox
- Bebek.A
- Malingsi Variant

Selain itu, berikut beberapa review malware yang relatif merupakan nama-nama baru yang menghebohkan di tahun 2010 ini.

1. Zhola.

Worm Zhola sebenarnya merupakan hasil edit dari malware tipe worm yang source codenya banyak beredar. Dengan merubah bentuk icon dan isi autorunnya, worm ini membuat banyak pengguna salah satu antivirus lokal terinfeksi karenanya, terlebih karena worm ini sengaja diletakkan pada website yang menyediakan Free File Sharing sehingga dapat di-download siapa saja. Pertama kali ditemukan worm ini menggunakan nama “Smadav 7.3”. Worm Zhola akan memperbanyak companion-nya jika menemukan file dengan ekstensi *.doc *.jpg *.mp3 *.avi *.mpeg *.3gp *.flv *.mpg *.mov *.wmv *.wav *.3gp2 dan membuat file dengan nama yang sama.

2. EsTeh.

Dibuat dengan menggunakan bahasa pemrograman Visual Basic 6.0 tanpa di- pack, memiliki icon yang beragam pada setiap file yang dibuatnya. Worm ini membuat banyak file pada flash disk dengan menggunakan icon yang sudah terdapat pada komputer yang sudah terinfeksi sebelumnya dan terdapat pada folder:

C:\Documents and Settings\[nama user]\Local Settings\Temp\doc.ico
C:\Documents and Settings\[nama user]\Local Settings\Temp\folder.ico
C:\Documents and Settings\[nama user]\Local Settings\Temp\mptre.ico
C:\Documents and Settings\[nama user]\Local Settings\Temp\rar.ico
C:\Documents and Settings\[nama user]\Local Settings\Temp\txt.ico
C:\Documents and Settings\[nama user]\Local Settings\Temp\wmp.ico
C:\Documents and Settings\[nama user]\Local Settings\Temp\xls.ico

Selain itu, worm ini juga membuat file yang dijadikan hostnya seperti:

C:\WINDOWS\system32\32rc.exe
C:\WINDOWS\system32\3dPAD.exe
C:\WINDOWS\system32\Epen.exe
C:\WINDOWS\system32\sym32.exe
C:\WINDOWS\system32\temp32.exe
C:\WINDOWS\system32\userinity.exe
C:\Documents and Settings\[nama user]\Local Settings\Temp\Usbconeted.exe

Worm ini juga membuat file Autorun.inf seperti pada gambar di atas.

3. MyLovely.

Malware tipe worm, memiliki icon menyerupai file image tipe jpg. Hasil infeksi worm MyLovely akan ditemukan pada setiap drive dengan nama Gambar Lucu.exe, Kasihku.exe, Photo 01.exe, Wallpaper.exe.  Beberapa aplikasi dengan nama di bawah ini akan diubah sehingga menjalankan file malware di C:\wallpaper.exe:

1. ansav.exe
2. ansav32.exe
3. BLUESOLEIL.exe
4. call.exe
5. Ccapp.exe
6. cclaw.exe
7. cmd.exe
8. dfrg.exe
9. DXDIAG.exe
10. Fixinstall.exe
11. FORMAT.exe
12. freecell.exe
13. GRAPH.exe
14. IEXPLORE.exe
15. install.exe
16. keygen.exe
17. mplayer.exe
18. msconfig.exe
19. MSPAINT.exe
20. Nip.exe
21. Nipsvc.exe
22. Niu.exe
23. Njeeves.exe
24. nod32.exe
25. NOD32krn.exe
26. notepad.exe
27. Nvccf.exe
28. Nvcoas.exe
29. Nvcod.exe
30. Nvcsched.exe
31. OIS.exe
32. PCMAV.exe
33. PCMV-CLN.exe
34. PCMV-RTP.exe
35. ppclean.exe
36. Procexp.exe
37. regedit.exe
38. RemoteCmdSvc.exe
39. Restore my files.exe
40. RSTRUI.exe
41. save.exe
42. SCRNSAVE.exe
43. setup.exe
44. shutdown.exe
45. Taskkill.exe
46. tasklist.exe
47. taskmgr.exe
48. Unins000.exe
49. Uninstall.exe
50. unlocer.exe
51. unlocker.exe
52. Update.exe
53. vb6.exe
54. VFP9.exe
55. VPREVIEW.exe
56. VProConsole.exe
57. VProConsole_.exe
58. wmplayer.exe
59. ypsr.exe
60. ypsrru.exe
61. Zanda.exe
62. Zlh.exe

Selama beberapa detik worm ini akan membuat layar menjadi black screeen yang jika di double click akan muncul gambar dibawah ini: