Virus tersebut ternyata hanya sebagai Downloader & Launcher dari misi utama virus ini, yakni menanamkan program yang seakan berguna, namun seperti bakwan, ada udang dibalik bakwan, atau ada maksud (tidak etis) dibalik pembuatan program tersebut.
Semula, file yang didownload disimpan di “Temporary Internet Files“, yang berekstensi .exe, “wzp[1].exe” namanya. Walaupun berkestensi .exe, tamun antivirus yang terinstall di komputer user tidak menganggap file yang didownload tersebut sebagai ancaman, karena file tersebut sudah dienkripsi sebelumnya, sehingga Header dari MetaData sebuah file executable (MZ) sebuah virus tidak akan terbaca, maka tidak dianggap sebagai ancaman. Hmm…, kecuali file tersebut memang bukan executable, melainkan file terkompresi yang dienkripsi dan diberi ekstensi executable (.exe).
Setelah keseluruhan bit file selesai didownload, dengan ukuran 2,90 MB (3.044.134 bytes), file terenkripsi tersebut dipindah ke path lain “%temp%\ist68A3.tmp” dengan nama “dlzipdata“, dan ternyata ukuran mereka berdua sama, namun bedanya pada file bernama “dlzipdata” yang tanpa ekstensi itu sebenarnya file terkompres RAR. Berarti bukan file executable yang dienkripsi tadi, melainkan file RAR.
Proses Virus
Setelah semua terinstall dan masuk ke dalam Program Files, maka terkumpullah pasukan program pengkompres Zip palsu dengan nama “WinZipper“, dan mengaktikan proses bernama “winzipersvc.exe“, yang mana proses tersebut akan mengirim data ke servernya secara berkala.
Data tersebut adalah:
- d1wmnlsnh8rftl.cloudfront.net/v4/winzippers/hgstxhts545050a7e380_te8531l50k06ek0k06ekx?action=visit.svc.heartbeat&update0=ref,unkown&update1=nation,us&update2=version,2.2.67&update3=ref1,unknown&update4=os,win7_x86×tamp=1479331196
- d1wmnlsnh8rftl.cloudfront.net/v4/winzippers/hgstxhts545050a7e380_te8531l50k06ek0k06ekx?action=app.install×tamp=1479331379
- d1wmnlsnh8rftl.cloudfront.net/v4/winzippers/hgstxhts545050a7e380_te8531l50k06ek0k06ekx?action=visit
- d1qjc90738otwj.cloudfront.net/Request2/update?ptid=org&sid=wzp&n=us&ln=en&ver=2.2.67&uid=hgstxhts545050a7e380_te8531l50k06ek0k06ekx&pid=&data=W1NldHRpbmddDQpDb21wb25lbnRDb3VudD0wDQpbQ29tcG9uZW50MF0NCkNvbXBvbmVudElkPTgyDQpWZXJzaW9uPTIuMi42Nw==dc1c2e249518bb8b85c844c3176b90f0
Biasanya, setelah data terkirim, akan mendapat data balasan, antara lain:
- ok1
- 1
1
0 - ????
Data yang akan kita terima selainnya adalah yang belum kita ketahui, yang bisa saja berupa virus baru, atau virus yang sama dengan variant / versi terbaru yang lebih canggih dan lebih meyakinkan? Entahlah.
Penampilan Program Pengkompres Data Palsu
Ciri-ciri program ini adalah:
- Fitur yang disuguhkan sangatlah sedikit
- Mengganti fungsi “Klik kanan Rar file” dengan fungsi virus
- Tidak ada alamat situs web resminya
- Ada string alamat server yang diduga adalah server dimana virus dapat memperbarui dirinya, berikut string di dalam tubuh proses service virus yang aktif di komputer korban: http://broodmother.com/Upload/riyan/112016/winzipersvc.exe.txt
Yakni server: d3n5qecywn11y3.cloudfront.net
Dan server, hanya beda sub-domain: d1wmnlsnh8rftl.cloudfront.net
Pokoknya: cloudfront.net - Memiliki Digital Signature palsu dengan nama: Chencheng Cai
Kami sangat menghargai pendapat dan pengalaman Anda. Silakan berbagi wawasan, komentar, atau pertanyaan di bawah ini.
1. Harap hindari meninggalkan tautan aktif.
2. Tidak ada spam atau tautan palsu, karena kami menghargai interaksi yang jujur.
3. Hindari menyalin dan menempel tanpa izin dari admin; kami menghormati hak kekayaan intelektual.
4. Jika Anda menikmati postingan ini, tolong bagikan kepada teman-teman Anda. Bersama-sama, kita bisa mengubah dunia!
PLEASE WAKE UP. ONE VOICE CAN MAKE A DIFFERENCE AND A MILLION CAN CHANGE THE WORLD.