Friday, 29 December 2017

Virus AutoIt googleupdate.a3x a.k.a Verecno

Virus Verecno mengcopykan diri ke Flashdisk

Bukan hanya di flashdisk, tapi disetiap folder yang ia temui, akan ia buatkan file shortcut yang jika di-klik maka akan menjalankan script virus yang telah di-enkripsi.

Virus error saat tidak menemukan AutoIt3.exe

Sebenarnya virus ini bukan program yang seperti biasa, saat kita klik dua kali, maka akan berjalan (Executable). Virus utama berada pada file script dengan ekstensi "a3x", biasanya berada pada "C:\Google\googleupdate.a3x", yang hanya akan bisa dijalankan oleh "AutoIt3.exe", nama file ini bisa dirubah sekehendak si Programmer.


Path (alamat folder/file) dan file yang dijadikan lokasi menanamkan diri untuk penyebarannya antara lain:

  • $VBSS="WindowsUpdate.lnk"
  • $A3XN="googleupdate.a3x"
  • "C:\Google"
  • "Skypee"
  • "googleupdate.exe"
  • "WindowsUpdate.lnk"
  • googleupdate.vbs

Command yang ia gunakan untuk menjalankan dirinya:

  • C:\Google\AutoIt3.exe /AutoIt3ExecuteScript C:\Google\googleupdate.a3x & exit


Registry yang dimanipulasi antara lain:

  • IF REGREAD("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run",$SSSNAME)<>$START THEN REGWRITE("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run",$SSSNAME,"REG_SZ",$START)
  • IF REGREAD("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run",$SSSNAME)<>$START THEN REGWRITE("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run",$SSSNAME,"REG_SZ",$START)
  • IF REGREAD("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run","JavaUpdate")<>$START THEN REGWRITE("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run","JavaUpdate","REG_SZ",$SCRIPTDIR&"\GoogleUpdate.lnk")
  • IF REGREAD("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run","AdopeUpdate")<>$START THEN REGWRITE("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run","AdopeUpdate","REG_SZ",$SCRIPTDIR&"\GoogleUpdate.lnk")
  • IF REGREAD("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run","NewJavaInstall")<>$START THEN REGWRITE("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run","NewJavaInstall","REG_SZ",$NEWH)
  • IF REGREAD("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run","AdopeFlash")<>$START THEN REGWRITE("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run","AdopeFlash","REG_SZ",$NEWH)



Muncul error saat menemukan program debugger

Virus Verecno ini memiliki beberapa variant, diantaranya ada yang memiliki kemampuan mendeteksi program (aplikasi) debugger atau Virtual Machine (VM) agar virus ini susah dianalisa.

Adapun trik Anti_VMnya antara lain :

  • $SSEARCH[0]="snxhk.dll"
  • $SSEARCH[1]="tracer.dll"
  • $SSEARCH[2]="SbieDll.dll"
  • $SSEARCH[3]="api_log.dll"
  • $SSEARCH[4]="dir_watch.dll"
  • $SSEARCH[7]="dbghelp.dll"
  • $SSEARCH[8]="monitornet.dll"
  • $SSEARCH[9]="cuckoo"
  • $SSEARCH[10]="SandCastle"
  • $SSEARCH[11]="sandbox"
  • $SSEARCH[12]="tracer.dll"
  • $SSEARCH[13]="tracer.dll"
  • $SSEARCH[14]="tracer.dll"
  • $SSEARCH[15]="tracer.dll"
  • $SSEARCH[16]="tracer.dll"
  • $SSEARCH[17]="tracer.dll"
  • $SSEARCH[18]="tracer.dll"
  • $SSEARCH[19]="tracer.dll"
  • $SSEARCH[20]="tracer.dll"


  • $SSEARCH[0] = "VBoxService.exe"
  • $SSEARCH[1] = "VBoxTray.exe"
  • $SSEARCH[2] = "guninraik.exe"
  • $SSEARCH[3] = "SbieSvc.exe"
  • $SSEARCH[4] = "VMwareTray.exe"
  • $SSEARCH[7] = "VMwareUser.exe"
  • $SSEARCH[8] = "VMwareService.exe"
  • $SSEARCH[9] = "VMwareUser.exe"
  • $SSEARCH[10] = "FortiTracer.exe"
  • $SSEARCH[11] = "vmacthlp.exe"
  • $SSEARCH[12] = "vmtoolsd.exe"
  • $SSEARCH[13] = "BehaviorDumper.exe"
  • $SSEARCH[14] = "FakeHTTPServer.exe"
  • $SSEARCH[15] = "FakeServer.exe"
  • $SSEARCH[16] = "FakeHTTPServer.exe"
  • $SSEARCH[17] = "FakeHTTPServer.exe"
  • $SSEARCH[18] = "FakeHTTPServer.exe"
  • $SSEARCH[19] = "FakeHTTPServer.exe"



  • If StringInStr($SSTDOUTREAD, "Bochs") Then Return "VM"
  • If StringInStr($SSTDOUTREAD, "innotek") Then Return "VM"
  • If StringInStr($SSTDOUTREAD, "VMware") Then Return "VM"


Adapun virus ini bersifat Trojan, dengan alamat server: superyou.zapto.org
Pada port: 86
Namun alamat server tersebut sudah mati, karena virus ini merupakan virus lama, yang menyebar sekitar tahun 2014 lalu, namun efeknya masih sampai saat ini, berdasarkan statistik yang tim kami terima.

Virus ini mengingatkan saya pada virus VBS ter-enkripsi, DiniHou (Houdini VBS): http://www.viruslokal.com/2014/01/menguak-trik-dinihou-vbs/

Tanya: Kenapa menggunakan script? Tidak langsung ".exe" saja? Kan langsung jalan, portable.
Jawab: Ini bukan tentang portable, melainkan tentang seni.

Menjadi seorang Programmer,  tentulah memiliki fashion tersendiri dalam menulis kode atau membuat program. Mulai dari memilih bahasa yang akan ia tekuni; pemilihan fungsi seleksi-kondisi yang akan terapkan; Text Editor kesukaan; GUI / CLI; algoritma; trik cryptography kesukaan, hingga ruang lingkup dimana program akan berjalan seperti pertanyaan tadi, "Apakah program berjalan secara interpreter (plain text), atau eksekutabel (.exe)...?"
Selain dari hal tersebut, pembuat virus ini pastilah merupakan senior dalam Dunia Persilatan (Underground) Virus, bukan anak kemarin sore. Kemungkinan juga merupakan kesengajaan dia (VX / Virus Maker / Virus Programmer) membuat virus berbasis script (bukan executable), agar para peneliti virus bisa bekerja keras untuk merapikan kembali kekacauan yang ia lakukan.

Oh iya, bagaimana bisa membaca isi source code virus yang nama filenya "googleupdate.a3x" tadi?
Bersambung....
Sambungan Youtube, Decrypt AutoIt A3X: https://www.youtube.com/watch?v=LOsd1Tmc2W8
Verecno in Cuckoo Sandbox: https://www.youtube.com/watch?v=QdqbOHqBSJk

Ref:

  • Tim Smadav Antivirus

No comments: