Indofiles.net 10StarMovies.com CompMovies.com Gratis4Download.com Cinema3Satu.com Ganool.com NurCellMovies.com Film-Ku.com thehack3r.com mediafiremoviez.com 300mbunited.com united300.com Cinema-Bioskop.com asian-horror-movies.com/ azmovie.net dragonballclassics.com zone-anime.com NwAnime.com Subtitle Movies RnuNugraha.com SubtitleSeeker.com Subscene.com
Stafaband.info GudangLagu.com mp3locker.net ZumaDigital.com MissHacker.com Dimazdizon.com lalightsindiefest.com Mp3boo.com Beepmp3.com Mp34Shared.com 991Tabs.com Ultimate-Guitar.com Lyricsmode.com LirikLagu.net SonyMusic.co.id
MicrosoftSecurityBulletin Smadav Avira Update Avira 10 manual Avast AVG Kaspersky Ansav Symantec Bitdefender Norman Malware Mcafee Pcmav PcmavConficker Masters Anti Virus Vaksin.com
Befunky.com Gickr.com Photofunia.com Slide.com Photobucket.com Picnik.com Fotoflexer.com Framephotoeditor.com PicreSize.com
Rnunugraha.tv reogtv.co.cc Mivo.tv TV.Ayo-Cari.com Cintaindonesiaku.com indoweb.tv tomsproduction.com Binus.com Indonesiaindonesia.com seleb.tv wwitv.com movies-links.tv
TheLastDisaster.com IndonesiaMetal.com MetalHeadIndonesia.com SlammingBrutalDeath.com PribumiMetal.com Xdgmx.com CimanggiSexTremmedia.com Metal-Archives.com RoadRunnerRecords.com OzzFest.com Fr.MetalShip.org Musikator.com MetalSucks.net
VideoPimp.org YouTube.com PunkRockVids.com MetalVideo.com MetalVideo.net allmetalvideos.net lbvidz.com MyOYeah.com Video.Google.com DailyMotion.com Music.Aol.com YouKu.com
Rollingstone.com Revolvermag.com BolaNews.com/ Cinemags.Net Hai-Online.com TraxMagz.com Gadis.co.id GQ.com Maxim.com PlayBoy.com NationalGeographic.com RoadAndTrack.com SingleTrackWorld.com SuaraMerdeka.com Kompas.com
AthenaSoldier.com Putrefaction.com TheAngeloBand.com SuksesImpian.com UpikDi.com Remo-XP.com KangMoeler.com TortureArt.com MoroRene.com MainstreamCenter.com YukKitaNyanyi.com Rock-Hell.co.cc MoroMrene.com Restu88.com Iwan013.com
Heroturko.Org Sedut.net AllDownload.org Manojentertainment.com MySiteMyWay.com Claycauleyink.com GothicCrossJewelry.com Html-Color-Codes.info Color-Hex.com PhotoCube3d.com Mozilla.com GemsCool.com Tupperware.co.id
nyarikerja.com Info-Lowongan.com lowongan.com USMlowongan.com Unikalowongan.com bilaboong-kerja.blogspot.com lowongankerja-semarangraya.com berniaga.com Astra-Honda.com yamaha-motor.com suzuki.co.id daihatsu.co.id BursaKerja-Jateng.com jakjobs.com klikkarir.com infobursakerja.com pertamina-ep.com pertamina.com garudafood.com nyonyameneer.com bluebirdgroup.com coca-colabottling.co.id ptphapros.co.id jicftunnes.blogspot.com polines.ac.id
Kaskus.Us jne.co.id posindonesia.co.id kereta-api.co.id lionair.co.id Zedge.Net Ownskin.com OneManga.com MangaFox.com Marvel.com DcComics.com CoolROM.com KapanLagi.com Detik.com OkeZone.com KickAndy.com KlikBCA.com QiblaLocator.com artikata.com Gmail.com Yahoo.com
Kini melalui RnuNugraha.Blogspot.com anda dapat menonton TV Online : Metro TV, Trans Tv, Trans 7 and etc.
Kamis, 14 Oktober 2010 | 03.20 | 0 Comments

Virus Shortcut Part 2

Virus Shortcut part 2 11 Oktober 2010

Win32.HLLW.Autoruner.25xxx (W32/VBNA.Dx)

Ini dia calon jawara virus kuartal IV 2010

Apakah anda terinfeksi varian baru worm shortcut/random ??? Walaupun anda sudah meng-update antivirus, tetapi tetap saja worm tersebut mampu menyambangi komputer anda.

Setelah aksi yang dilakukan trojan Stuxnet, worm shortcut mampu mencuri perhatian sebagian pengguna komputer di Indonesia dengan penyebaran yang luar biasa. Bahkan setelah kami membuat salah satu artikel worm shortcut terbaru http://vaksin.com/2010/0810/VBWorm.BEUA/VBWorm.BEUA.htm, kami mendapatkan puluhan sample shortcut yang berbeda-beda. Kejadian ini mirip dengan worm YM (conime/secupdat) dan virus Sality yang juga menyebar cepat dengan varian yang berbeda-beda. Dengan teknik yang sama varian malware menyebar dengan memanfaatkan celah keamanan dari system Windows yaitu MS10-046 (celah keamanan .lnk/shortcut).

Dengan maraknya penyebaran malware dengan varian yang berbeda-beda, terkadang menyulitkan bagi antivirus untuk mendeteksi varian yang sama sehingga dibutuhkan sample dari virus tersebut. Tetapi ada pula beberapa antivirus yang memiliki teknologi khusus untuk mengatasi malware tanpa membutuhkan sample, sehingga dengan mudah mendeteksi dan menambahkan sendiri sesuai database yang dimiliki tanpa memerlukan update seperti Dr Web dengan teknologi Origins Tracing (lihat gambar 1).

Gambar 1, Teknologi Origins Tracing pada Dr.Web, mampu mendeteksi varian Shortcut tanpa perlu update

Varian Malware pengguna celah Keamanan .LNK (shortcut)

Hingga saat ini, telah banyak varian malware yang menggunakan celah keamanan .LNK (shortcut) untuk melakukan penyebaran secara cepat. Beberapa malware yang telah menggunakan celah tersebut diantaranya sebagai berikut :

ü Sality (Tanatos)

Varian virus polymorphic yang melakukan infeksi file executable, dan juga ternyata menggunakan celah keamanan ini untuk melakukan penyebaran. Selain melalui file yang di-infeksi, Sality membuat 2 file (1 file autorun.inf dan 1 file executable dengan nama acak) melalui media USB dan jaringan yang menggunakan full sharing (dengan menyertakan pula ratusan file executable sampah dengan nama acak). Anda dapat membaca artikel virus Sality.

ü Zeus (Zbot atau botnet)

Varian trojan yang melakukan infeksi pada web-web bank dan finansial. Dengan menambahkan keylogger pada halaman web tersebut dengan maksud mendapatkan username dan password. Worm ini mampu menginfeksi komputer melalui celah pada browser seperti Internet Explorer dan Mozilla Firefox. Worm ini juga dapat melakukan broadcast spam kepada alamat e-mail tertentu.

ü Chymine (worm YM atau conime/secupdat).

Worm yang sangat populer menginfeksi komputer melalui media Yahoo Messenger. Dengan teknik penyebaran yang sama seperti Zeus/Zbot dan Sality, dan memiliki varian yang berbeda-beda. Anda dapat membaca selengkapnya pada artikel virus google dan virus YM.

ü Stuxnet

Trojan yang baru-baru ini menyebar dengan cepat dengan memanfaatkan koneksi jaringan dan media USB. Trojan ini membuat space harddisk kita menjadi habis. Selengkapnya dapat anda baca pada artikel stuxnet.

ü VBNA/Hllw.Autoruner (worm Vobfus atau Shortcut/Random)

Worm shortcut yang memiliki karakter seperti worm YM. Dengan menggunakan banyak file acak dan ukuran yang berbeda-beda, maka tak jarang tidak semua antivirus mampu mendeteksi varian virus worm ini. Saat ini worm ini cukup populer dan mampu menyebar dengan pesat. Anda dapat membaca salah satu artikel shorcut.

File Worm

Worm Vobfus (Visual basic Obfuscated) atau shortcut/random dibuat menggunakan bahasa pemrograman Visual Basic dan memiliki ukuran yang bervariasi tergantung varian worm. File worm juga menggunakan icon Visual Basic dengan ekstensi file exe (application) dan scr (Screen Saver). (lihat gambar 2)

Gambar 2, File worm shortcut/random

Saat menginfeksi komputer korban, worm akan membuat beberapa file induk diantaranya :

ü C:\Documents and Settings\%user%\alg.exe atau x.exe (Windows 2000/XP/2003)

ü C\Documents and Settings\%user%\[nama_acak].exe (Windows 2000/XP/2003)

ü C:\User\%user%\alg.exe atau x.exe (Vista/7/2008)

ü C\User\%user%\[nama_acak].exe (Vista/7/2008)

Dan juga membuat beberapa file virus pada removable drive/disk yaitu :

  • [nama_acak].exe
  • [nama_acak].scr

Selain itu, worm akan membuat file shortcut yang disesuaikan dengan nama folder yang telah disembunyikan. Selain itu worm akan akan membuat file shortcut yang lain yaitu :

  • Documents.lnk
  • Music.lnk
  • New Folder.lnk
  • Passwords.lnk
  • Pictures.lnk
  • Video.lnk
  • [nama_acak].lnk (hingga beberapa file)

Gejala & Efek Worm

Beberapa gejala dan efek yang terjadi jika anda terinfeksi worm ini yaitu sebagai berikut :

Ø Melindungi proses worm dan mencegah proses aplikasi/program keamanan

Worm mencoba memonitor proses yang berjalan di memori dan memastikan agar proses worm tidak dimatikan oleh program/aplikasi keamanan seperti antivirus dan removal. Jika ada program/aplikasi keamanan yang berjalan, maka worm akan mencoba menginfeksi dan membuat error pada program tersebut. (lihat gambar 3)

Gambar 3, Program/aplikasi keamanan yang di injeksi oleh worm menjadi error

Ø Menyembunyikan folder dan membuat file shortcut

Salah satu aksi worm ini mampu membuat pengguna komputer dag dig dug (kerepotan) karena menyembunyikan seluruh isi folder "My Documents" user dan menggantinya dengan file shortcut. File shortcut tersebut justru diarahkan ke salah satu file virus dengan nama acak. Beberapa varian lain hanya menyembunyikan folder dan membuat file shortcut pada removable drive/disk. (lihat gambar 4)

Gambar 4, Menyembunyikan folder pada removable dan membuat file shortcut

Ø Koneksi Remote Server dan mendownload file virus lain

Dengan memonitor proses yang berjalan, worm mencoba melakukan koneksi ke IP remote server yang dituju melalui file system yang diinfeksi seperti file explorer.exe atau svchost.exe. Setelah terkoneksi, worm mendownload varian malware lain agar tidak mudah terdeteksi dari antivirus atau removal tool. (lihat gambar 5)

Gambar 5, Worm melakukan koneksi ke remote server dan mendownload varian virus lain

Ø Modifikasi key Folder Options

Secara umum, worm ini tidak akan melakukan blok terhadap bebrapa program Windows seperti regedit, Task Manager, Folder Options, dll. Tetapi worm menggunakan cara lain agar file virus tidak mudah dilihat atau dihapus, untuk itu virus memodifikasi fitur Folder Options dengan menghapus salah satu key yang ada yaitu : (lihat gambar 6)

- Hide protected operating system files (recommended)

Gambar 6, Fitur Folder Options sebelumworm aktif

Dengan selalu mengaktifkan key tersebut, pengguna komputer tidak dapat melihat file virus bahkan menghapusnya. (lihat gambar 7)

Gambar 7, Fitur Folder Options setelah worm aktif

Metode Penyebaran

Sama seperti worm YM (conime/secupdat) dan Stuxnet, metode awal penyebaran worm ini berasal pada link website yang mengandung trojan dan link spam pada e-mail. Tetapi setelah komputer pengguna terinfeksi, worm mulai melakukan penyebaran menggunakan media removable drive/disk.

Selain itu, dalam jaringan akan memanfaatkan file sharing (full) dan mapping drive dengan membuat beberapa file virus dan shortcut. (lihat gambar 8)

Gambar 8, Worm infeksi jaringan

Modifikasi Registry

Beberapa modifikasi registry yang dilakukan oleh worm yaitu :

Ø Merubah registry

Ø Folder Options

Agar file worm tidak dapat dilihat, maka worm merubah key pada Folder Options, untuk itu virus merubah key menjadi berikut :

§ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

ShowSuperHidden = 0

Ø Menambah registry

Ø Start-up

Agar file worm dapat langsung aktif pada saat menghidupkan komputer, maka worm menambah key sebagai berikut :

§ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

[nama_acak] = C:\Documents and Settings\%user%\[nama_acak].exe

Pembersihan Worm

Langkah-langkah yang harus dilakukan untuk melakukan pembersihan worm adalah : (lihat gambar 9)

ü Putuskan koneksi jaringan/internet.

ü Matikan System Restore (Windows XP/ME)

o Klik kanan My Computer, pilih Properties.

o Pilih tab System Restore, beri ceklist pilihan “Turn off System restore”.

o Klik Apply, Klik OK.

Gambar 9, Matikan System restore

ü Matikan dan hapus virus. (lihat gambar 10)

o Download tools Dr.Web CureIt pada :

http://www.freedrweb.com/download+cureit

o Jalankan file tools tersebut, kemudian pilih semua drive yang ada.

o Klik Scan, biarkan hingga selesai. (jangan di restart dahulu).

Gambar 10, Scan dengan Dr.Web CureIt

klik 2x file yang telah anda download, hingga muncul pesan komputer yang sedang berjalan pada mode EPM (Enhanced Protection Mode), dan klik OK.

Klik OK jika muncul notifikasi untuk menjalankan, kemudian klik START pada menu yang ditampilkan dan klik “Yes” pada notifikasi Start scan now?.

Maka Dr.Web akan melakukan proses scanning pada komputer anda dan akan memunculkan pesan jika terdapat virus, klik Move. Biarkan hingga selesai.

Restart komputer, jika diperlukan.

ü Hapus Registry Windows yang telah ditambahkan oleh worm dengan langkah berikut :

o Klik Menu [Start]

o Klik [Run]

o Ketik "regedit", kemudian klik tombol [OK] hingga muncul tampilan "Registry Editor"

o Pada aplikasi tersebut, cari key berikut :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (lihat gambar 11)

o Hapus key yang memiliki data seperti "C:\Documents and Settings\%user%\[nama_acak].exe"

Gambar 11, Hapus key

ü Rubah Registry Windows yang telah ditambahkan oleh worm dengan langkah berikut : (lihat gambar 12)

Ø Klik Menu [Start]

Ø Klik [Run]

Ø Ketik "regedit", kemudian klik tombol [OK] hingga muncul tampilan "Registry Editor"

Ø Pada aplikasi tersebut, cari key berikut :

Ø HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Ø Rubah key yang memiliki data seperti "ShowSuperHidden" dari 0 menjadi 1.

Gambar 12, Rubah key

ü Tampilkan folder yang disembunyikan dengan menggunakan script berikut :

attrib -s -h /s /d

· Klik Menu [Start]

· Klik [Run]

· Ketik "cmd", kemudian klik tombol [OK] hingga muncul tampilan "Command Prompt"

· Arahkan lokasi cursor pada drive removable folder yang disembunyikan

· Kemudian jalankan script "attrib -s -h /s /d" (lihat gambar 13)

Gambar 13, Munculkan folder yang disembunyikan

ü Install Security Patch MS10-046 sesuai dengan versi windows yang anda miliki. Silahkan anda download pada link berikut :

http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx

ü Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.

Selamat Mencoba


Related Posts with Thumbnails
Photobucket

Join Us On Facebook, Just Click Here !

 
Copyright Rnu Nugraha © 2010 - All right reserved - Using Rnunugraha.com
Best viewed with Mozilla, IE, Google Chrome and Opera.