A. Info File
Nama Malware : HackToolz
Asal : Jakarta
Ukuran File : 100 KB (102,400 bytes)
Packer : ~
Pemrograman : Visual Basic
Icon : Installer
Tipe : MS Visual Basic 5.0-6.0
B. About Malware
Mirip seperti worm yang pernah dibahas sebelumnya, yaitu worm Angel2 dan worm Pikir. Ciri utama adalah memperbanyak diri, namun ada yang menarik dari worm HackToolz. Setelah di-eksekusi, worm ini akan membuat sebuah pesan yang selalu mengulang dan tidak bisa dihentikan seperti gambar diatas, kecuali langsung menggunakan Task Manager atau tool process viewer lainnya seperti Process Hacker atau Process Explorer.
Worm yang terbilang cukup sederhana, dan mungkin bisa dikatakan juga worm yang belum selesai atau memiliki bugs. Karena beberapa procedure yang seharusnya dijalankan, tidak sesuai dengan apa yang dihasilkan. Contohnya adalah men-disable tool Windows seperti Command Prompt yang meski worm HackTools telah aktif di memory, Command Prompt tetap bisa dijalankan. Berikut ini adalah penggalan string pada HackToolz.
C. Companion/File yang dibuat
Terdapat beberapa path yang dijadikan tempat menyimpan host serta companion worm HackToolz. Contohnya seperti:
1. Folder Drives di system32.
Dibuat dengan nama acak dan ada juga yang menggunakan ekstensi .sys.
2. Root drive.
Pada setiap root drive, terdapat 2 buah file companion yang juga menggunakan nama acak. Tanpa autorun, companion ini hanya menunggu user untuk mengeksekusinya.
3. Removable Disk.
Disaat user disibukkan dengan message box yang tidak bisa di-close, worm HackToolz mengcopykan companion yang cukup banyak ke dalam flash disk. Ditambah lagi dengan nama-nama yang acak dan pada awal penamaannya menggunakan karakter unicode Segitiga Penrose (https://id.wikipedia.org/wiki/Segitiga_Penrose)
D. Hasil Infeksi
File yang dibuat pada flash disk sepertinya adalah efek terbesar yang dibuat oleh worm HackToolz. Dalam waktu singkat, worm HackToolz dapat membuat companion pada flash disk dengan jumlah yang tidak sedikit seperti pada gambar berikut ini.
Selain itu, terdapat juga beberapa companion yang namanya menggunakan karakter unicode, dan jika dieksekusi maka akan berakibat Windows mengalami Blue Screen Of Dead (BSOD).
Worm HackToolz juga membuat cukup banyak modifikasi pada registry, dan salah satunya adalah menambahkan entry untuk menjalankan hostnya pada saat proses startup. Entry untuk startup ini dibuat terlalu banyak sehingga bisa mengakibatkan Windows harus melakukan recovery sistem setelah proses seperti yang terlihat pada gambar berikut ini.
E. Pembersihan
PCMAV 7.2 Update Build1
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 7.2 Update Build1 telah hadir dengan penambahan 23 pengenal varian virus baru. Bagi Anda pengguna PCMAV 7.2, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada menu Setup – Updater. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik tombol “Check for Updates” pada menu Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui link ini:
SendSpace.com
Letakkan file hasil download tersebut (vx1.sig) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah vx1.sig, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 7.2 Update Build1:
Abgila
Autorunme.H
ECleaner
FakeDownloader.FP
FakeDownloader.FQ
FakeDownloader.FR
FakeDownloader.FS
GPCode.C
HackToolz
InFrom.B
Lamechi
list.txt
MountSide
MountSide.exe
PInject.AQ
PInject.AR
PInject.AS
PInject.AT
PInject.AU
Protector
Reader.A
Reader.B
SysAnti
Toffse
Sumber : www.virusindonesia.com