Varian Baru Malware TDL 4 Muncul

TEMPO.CO, Jakarta - Setelah kemunculan versi terbarunya pada Juli lalu, TDL yang pada saat itu terdeteksi oleh ESET dan dikenal dengan nama Win32/Olmarik, masih terus berevolusi.

Para peneliti ESET secara khusus meneliti dan melacak jejak malware TDL 4 tersebut. Dalam periode waktu tersebut, terdapat fase-fase kemunculan varian baru dari TDL 4.

Fase kemunculan terbaru adalah teridentifikasinya malware Win32/Olmasco.R, varian terbaru dari TDL 4 yang telah mengalami pengembangan pada beberapa bagian, terutama pada cara rootkit menginfeksi sistem dan kemampuan mengubah layout dari sistem hidden file.

Berdasarkan analisis yang dilakukan pada komponen-komponen malware terdapat beberapa perubahan, yaitu pada kernel-mode driver dan user-mode payload. Adapun komponen lainnya, khususnya komponen rootkit, masih sama dengan versi sebelumnya.

Perubahan tersebut mengindikasikan pada dua kemungkinan. Pertama, terdapat perubahan susunan pada tim yang mengembangkan TDL 4. Kedua, pengembang TDL 4 mengkomersilkan atau menjual bootkit builder ke kelompok cybercrime lain.

Analisis tersebut menunjukkan bahwa Win32/Olmasco.R mampu mengirimkan informasi yang sudah di-copy dari komputer korban ke C&C (Command & Control Server) selama proses instalasi rootkit ke dalam sistem komputer korban.

Lebih jauh, ketika terjadi kesalahan pada proses tersebut, malware akan mengirimkan laporan lengkap tentang kesalahan yang terjadi ke pengembang malware TDL4. Laporan ini akan menjadi masukan untuk mengetahui penyebab kegagalan instalasi rootkit.

Ditemukan juga sebuah aktivitas virtual yang kontra terhadap boot trackers selama proses instalasi malware, untuk melakukan pengecekan apakah dropper bisa dijalankan pada sebuah environment virtual dan informasinya lalu dikirimkan ke C&C.

Aktivitas lain yang ditemukan adalah memeriksa apakah semua komponen bisa dijalankan di environment virtual di dalam sistem. Aktivitas inilah yang menjadi keistimewaan dari Win32/Olmasco.R, karena telah melebihi kemampuan malware modern.

Susunan Boot

Komponen bootkit pada malware telah mengalami perubahan sejak dilakukannya modifikasi pada TDL4 varian terdahulu. Yang berbeda adalah, pada varian baru ini saat MBR (Master Boot Record) terinfeksi akan tersedia ruang di bootable hard drive sebagai cadangan untuk menyimpan komponen jahat. Selain itu, juga ada perbedaan cara dalam menginfeksi sistem komputer korban.

Pertama, malware akan membuat partisi pada bootable hard drive. Jika dilihat pada tabel partisi di hard drive yang menggunakan Windows Vista atau sistem operasi Windows yang lebih baru, akan ditemukan unpartitioned (atau unallocated) space pada bootable hard drive.

Biasanya ruang tersebut berukuran cukup besar untuk menampung komponen rootkit. Terkadang ruang yang dipartisi akan lebih besar lagi. Pada kasus tersebut, besaran dari partisi jahat akan dibatasi sampai 50 GB. Kedua, malware akan membuat partisi tersembunyi dengan memodifikasi entry pada tabel partisi.

Perlu dicatat bahwa MBR berisi sebuah tabel partisi pada offset 0x1BE. Tabel ini terdiri dari empat bagian yang masing-masing entry-nya 6-bytes, yang masing-masing saling berhubungan. Selain itu juga terdapat maksimum empat partisi utama pada hard drive dan satu partisi lagi yang bertanda aktif, yang artinya dari partisi itulah OS akan di-boot.

Malware yang overwrites akan menempati entry kosong di dalam tabel partisi dengan parameter untuk partisi jahat, menandainya sebagai partisi aktif, dan berubah menjadi VBR (Volume Boot Record) dari partisi yang baru dibuat.

Jika tidak ditemukan entry kosong pada tabel partisi, malware kemudian akan mengirim laporan pada C&C server dan menghentikan proses instalasi. Sebagai hasil dari manipulasi, code MBR tidak akan bisa tersentuh dan satu-satunya yang perlu diubah adalah tabel partisi.

Saat komputer terinfeksi dan control boot berubah menjadi malicious VBR (VBR hasil partisi TDL4) tepat setelah code MBR dimatikan. Dengan demikian, malware akan mengambil alih kontrol pada sistem sebelum sistem operasi bekerja.

Ketika malicious VBR menerima peran kontrol tersebut, kemudian ia akan membaca sebuah file dengan nama “boot” dari root directory sistem file TDL 4, lalu mentransfer peran kontrol ke file boot.

Komponen bootkit pada malware TDL 4 varian terbaru atau yang diidentifikasi oleh ESET sebagai Win32/Olmasco.R, sama dengan TDL 4 versi sebelumnya kecuali jika nama di malicious file system telah diubah.

ESET | FIRMAN