Trojan Remote Administration Tool (RAT) ini memiliki ukuran 294 KB dan dibuat menggunakan bahasa pemrograman .NET. Untuk mengakali aplikasi antivirus, trojan menggunakan digital signature dengan harapaan file tidak di-scan oleh antivirus.Penyebaran trojan dilakukan melalui aplikasi normal yang digabungkan dengan file trojan. Aplikasi yang tidak murni ini banyak disebar melalui Internet, termasuk di dalam file archive hasil download dari suatu aplikasi atau film.
Saat dijalankan, NetWiredRC.H mengecek apakah dirinya sedang dijalankan melalui aplikasi debugger atau tidak dengan menggunakan perintah API IsDebuggerPresent.
NetWiredRC.H memiliki kemampuan untuk merekan ketikan pengguna sebagai keylogger dan screen capture dengan memanfaatkan perintah API GetRawInputData, GetRawInputData, dan GetForegroundWindow. Semua rekaman disimpan di C:\Documents and Settings\Administrator\Application Data\Logs\15-09-2016). Folder terakhir merupakan tanggal rekaman dibuat.
Untuk dapat aktif di setiap startup, trojan ini membuat registry di
HKEY_CURRENT_USER\software\Microsoft\ Windows\CurrentVersion\Run\ securityscan
C:\Documents and Settings\ Administrator\trojan.exe
Terdapat banyak fungsi API Sleep yang digunakan oleh trojan ini. Diperkirakan pemanggilan fungsi yang bertujuan untuk melakukan penundaan eksekusi kode ini untuk mengecoh fungsi emulator dari aplikasi antivirus.
Setiap string pada badan malware terenkripsi sehingga sulit dianalisa oleh pihak antivirus.
Pembuat malware dapat mengontrol komputer yang terinfeksi atau membuat backdoor dengan cara membuat NetWiredRC.H mengakses mommyreal. ddns.net. Domain yang terkoneksi ini merupakan layanan dynamic DNS, dimana file trojan dapat berkomunikasi ke komputer pembuat malware tanpa diperlukan alamat IP yang konstan.
Komunikasi yang dilakukan oleh trojan pada protokol diamankan sehingga tidak dapat dianalisa dengan menggunakan enkripsi AES-256-OFB.
Informasi utama yang dikirim oleh trojan ke server yaitu nama komputer, info perangkat dan info sistem seperti proses yang aktif dan lainnya.
Rekomendasi Apabila suatu komputer terinfeksi dengan trojan yang berjenis RAT, langkah pertama yang dapat dilakukan yaitu dengan memutuskan koneksi Internet atau jaringan pada komputer tersebut. Perlu diingat, trojan dapat melakukan hal fatal seperti menghapus data pada komputer sesuai perintah yang diterima trojan dari server.
Gunakan antivirus ter-update untuk memastikan tidak ada proses malware yang aktif di memory maupun di harddisk. Beberapa Antivirus produk Indonesia sudah bisa mengenali varian malware yang menyebar di semua wilayah Indonesia termasuk NetWiredRC.H dan malware lainnya. Pastikan juga untuk selalu mengupdate Antivirus atau carilah Antivirus yang mempunya fasilitas Autoupdate sehingga Antivirus yang kita gunakan akan selalu terbaharukan apabila sudah terhubung internet. Di beberapa situs web terkemuka seperti suara.com/, okezone.com/, merdeka.com/, kapanlagi.com/, liputan6.com/, kompas.com/, detik.com/, tribunnews.com/, www.tempo.co/, kompiajaib.com, arlinadzgn.com, idntheme.com, gigapurbalingga.net, inilah.com/, mayangkaranews.com/, antaranews.com/, jawapos.com/, metrotvnews.com/, sindonews.com/, inipasti.com/, www.bola.net/, www.viva.co.id/, www.republika.co.id/, jalantikus.com/ mungkin tidak akan anda temukan tentang informasi ini namun saya coba sajikan secara sederhana dan simpel pada blog ini.
Terima kasih saya ucapkan kerena sudah mengikuti pembahasan singkat tentang Mengenal Sepak Terjang Torjang dalam Membuat Kerusakan Sistem. Mudah-mudahan akan memberikan manfaat bagi kita semua, jangan lupa masukan berupa saran, kritik atau sekedar komen selalu saya tunggu.
Show Parser Hide Parser