Senin, 20 September 2010

W32/Rontokbro.GOL
Yitnoss.B
By: X84YN
-- Yitnoss #YD Yitnosoft --

Masih ingat dengan virus Rontokbro, virus lokal yang menjadi inspirasi bagi munculnya virus-virus lokal saat ini dan mampu memberikan nuansa baru bagi perkembangan virus dan antivirus di nusantara bahkan sampai  bermunculan pendekar-pendekar VB yang mencoba untuk membuat penangkal virus tersebut.


Walaupun namanya mulai surut ia tetap menjadi inspirasi tersendiri bagi para pembuat virus lokal saat ini, walaupun virus lokal saat ini mempunyai daya serang yang berbeda-beda tetapi ada sebagian taktik atau ciri khas yang biasa digunakan oleh virus Rontokbro seperti melumpuhkan fungsi Windows, membuat file duplikat sampai aktif pada mode “safe mode” atau “safe mode with command prompt”.

Kini setelah lama tenggelam, Rontokbro muncul dengan trik yang sedikit berbeda dari sebelumnya tetapi akan tetap melakukan perubahan walupun tidak seganas varian sebelumnya, rupanya ia mencoba untuk menggunakan teknik lain agar tidak mudah dicurigai oleh user.
                                                                                                                         
Made in VB
Sama seperti varian sebelumnya, virus ini dibuat dengan menggunakan program Visual Basic dengan ukuran sekitar 118 KB. Kali ini ia tidak menggunakan icon “Folder” untuk mengelabui user karena saat ini user sudah mengetahui kelemahan tersebut, kali ini ia akan menyamarkan dirinya dengan menggunakan icon aplikasi sehingga tidak mengundang kecurigaan user, sebagai pendukung ia akan menggunakan type file sebagai “Application” (lihat gambar 1)
Gambar 1, Contoh file virus W32/Rontokbro.GOL

Dengan update terbaru Norman Security Suite mendeteksi file tersebut sebagai W32/Rontokbro.GOL (lihat gambar 2)
Gambar 2, Hasil deteksi Norman Security Suite

File induk W32/Rontokbro.GOL
Pada saat user menjalankan file yang sudah terinfeksi maka akan menampilkan jendela Windows Explorer kemudian akan membuat beberapa file induk yang akan di aktifkan secara otomatis pada saat komputer dinyalakan. Agar tidak dicurigai oleh user untuk setiap file induk yang dbuat akan mempunyai nama yang sama dengan nama file system Windows seperti [smss.exe, winlogon.exe, services.msc atau lsass.exe] tetapi jika anda jeli maka dengan mudah akan diketahui bahwa sebenarnya file tersebut merupakan file virus hanya dengan melihat lokasi penyimpanan file tersebut, berikut beberapa file yang akan dibuat oleh W32/Rontokbro.GOL (lihat gambar 3)
Gambar 3, W32/Rontokbro.GOL membuka Windows Explorer pada saat menjalankan file virus

  • C:\Documents and settings\%user%\Local Settings\Application Data
-          Winlogon.exe
-          services.exe
-          lsass.exe
-          smss.exe
-          inetinfo.exe
-          Diah84.Yitn.oss.txt
-          csrss.exe
  • C:\Windows\Inf\Yitnoss.exe
  • C:\Documents and settings\%user%\Start Menu\Programs\Startup\YITNO.pif
  • C:\Documents and Settings\%user%\Templates\B.Yitnoss.com

Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat beberapa string pada registry berikut

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-          X84-YitnoDiah = "C:\Documents and Settings\%user%\Local Settings\Application Data\smss.exe"

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
-          Diah-YitnosX84 = "C:\WINDOWS\INF\Yitnoss.exe"

Melumpuhkan fungsi skeuriti Windows
Untuk mempertahankan dirinya, ia akan melumpuhkan beberapa fungsi Windows seperti Task Manager, Regedit atau Folder Options dengan tujuan untuk mempersulit user melumpuhkan dirinya, selain itu komputer akan restart secara otomatis setiap kali user menjalankan tools, file atau folder yang mempunyai nama tertentu (biasanya berhubungan dengan security). Berikut beberapa string yang akan dibuat oleh virus untuk melumpuhkan beberapa fungsi Windows tersebut:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-          NoFolderOptions

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-          DisableMD
-          DisableRegistryTools

Aksi lain yang digunakan oleh virus ini adalah merubah isi dari file Autoexec.bat dengan menambahkan string PAUSE (lihat gambar 4)

Gambar 4, W32/Rontokbro.GOL merubah file Autoexec.bat

Manipulasi Folder
Salah satu aksi yang dilakukan oleh W32/Rontokbro.GOL adalah membuat file duplikat disetiap folder dan subfolder, file duplikat ini akan mempunyai nama yang sama dengan folder atau subfolder target, anda  tidak perlu khawatir karena virus ini hanya akan membuat file duplikat  di Removable Disk termasuk Flash Disk saja, dengan ciri-ciri : (lihat gambar 5)
-          Menggunakan icon Aplikasi
-          Type file “Application”
-          Ukuran file 118 KB

Gambar 5, File  duplikat W32/Rontokbro.GOL

Koleksi alamat email
Sama seperti yang dilakukan oleh versi sebelumnya, ia akan mengambil semua alamat email yang didapatkan di komputer target, alamat ini akan disimpan di sebuah folder berikut dalam bentuk file dengan ekstensi INI

C:\Documents and settings\%user%\Local Settings\Application Data\Loc.Mail.Bron.Tok (lihat gambar 6)

Gambar 6, Aktivitas pengumpulan alamat email oleh Rontokbro

Virus ini juga akan membuat direktori lain pada direktori

C:\Documents and settings\%user%\Local Settings\Application Data
-          84-DiahLove-Yitn-oss
-          Yitn.oss-3-27
-          Yitn.oss-3-31

Media penyebaran
Sebagai upaya untuk menyebarkan dirinya, ia akan memanfaatkan removable disk termasuk Flash Disk dengan membuat sebuah file dengan nama DATA %user%.exe (%user% ini merupakan nama account user saat login Windows) serta membuat file duplikat di setiap folder dan subfolder dengan nama yang sama dengan folder/subfolder tersebut.

Cara mengatasi W32/Rontokbro.GOL

1.    Disable "System Restore" (Windows XP/Vista/Windows 7) selama proses pembersihan dilakukan
2.    Matikan  proses yang aktif di memory, Norman Security Suite Pro yang dilengkapi dengan fitur Advanced System Reporter yang dirancang khusus untuk mengetahui dan monitoring proses yang aktif di memori serta mempunyai kemampuan untuk mematikan proses virus sekaligus menghapus registry startup dari virus tersebut menjadi salah satu tools alternatif yang dapat digunakan untuk mengganti tools Task Manager  yang diblok oleh W32/Rontokbro.GOL.

Berikut langkah untuk mematikan proses virus yang aktif di memori dengan menggunakan Advanced System Reporter (lihat gambar 7)

-          Pada aplikasi Advanced System Reporter, klik tabulasi “Other”
-          Klik kanan pada file virus [lsass.exe, services.exe dan winlogon.exe atau file lain] yang berada di direktori “C:\Documents and settings\%user%\Local Settings\Application Data”
-          Klik “Terminate Process”
-          Klik “Yes”

Gambar 7, Norman Advance System Reporter

            Untuk menghapus registry autostart yang dibuat oleh virus, lakukan langkah berikut

-          Klik tabulasi “Autostart”
-          Klik kanan file virus [smss.exe dan Yitnoss.exe] atau file lain yang berada didirektori “C:\Documents and settings\%user%\Local Settings\Application Data”
-          Klik “Terminate Process” jika proses tersebut masih aktif
-          Kemudian klik “Remove Autorun” untuk menghapus registry autostart yang telah dibuat oleh virus (lihat gambar 8)

Gambar 8, Gunakan Advance System Reporter untuk menghapus proses virus
3.    Pulihkan registri yang sudah diubah oleh virus, untuk mempercepat proses pemulihan silahkan salin script berikut pada program notepad kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara [Klik kanan REPAIR.INF | Install]

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, X84-YitnoDiah
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Diah-YitnosX84
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

4.    Hapus file induk dan file duplikat yang dibuat oleh virus dengan menggunakan fungsi Search Windows  di semua Drive termasuk Removable Disk [Flash Disk] (lihat gambar 9)

Gambar 9, Gunakan fasilitas Search Windows untuk mencari dan menghapus file virus secara manual jika antivirus anda tidak mengenali virus ini.

Kemudian hapus file berikut:
  • C:\Documents and settings\%user%\Local Settings\Application Data
-          Winlogon.exe
-          services.exe
-          lsass.exe
-          smss.exe
-          inetinfo.exe
-          Diah84.Yitn.oss.txt
-          csrss.exe
  • C:\Windows\Inf\Yitnoss.exe
  • C:\Documents and settings\%user%\Start Menu\Programs\Startup\YITNO.pif
  • C:\Documents and Settings\%user%\Templates\B.Yitnoss.com

Hapus juga file/folder berikut:

C:\Documents and settings\%user%\Local Settings\Application Data
-          84-DiahLove-Yitn-oss
-          Yitn.oss-3-27
-          Yitn.oss-3-31
-          Diah84.Yitn.oss.txt

5.    Untuk pebersihan optimal silahkan install dan scan dengan antivirus yang up-to-date,  anda juga dapat menggunakan tools Norman Malware Cleaner, silahkan download di alamat berikut:

Http://www.norman.com/support/support_tools/58732/en
Diposting oleh di Tidak ada komentar:

Sabtu, 11 September 2010

W32/VBWorm.BEUA (W32/HLLW.Autoruner.25850)


W32/VBWorm.BEUA (W32/HLLW.Autoruner.25850)         
Virus Shortcut eksploitasi celah keamanan

Pernahkan Anda mengalami semua  folder yang ada di UFD tba-tiba berubah menjadi “shortcut”,  harap berhati-hati dan scan komputer Anda dan berharap ini bukan ulah virus yang berbahaya.

Baru-baru ini Vaksincom banyak menerima laporan tentang penyebaran virus yang cukup merepotkan, laporan ini pertamakali datang dari kota “Gorontalo-Sulawesi” merkipun hal ini tidak menjamin bahwa virus ini berasal dari kota tersebut. Walaupun media penyebaran virus ini hanya sebatas UFD, tetapi pengalaman menunjukkan penyebarannya bisa meluas ke daerah-daerah yang lain dengan mudah, jadi tetap waspada dan pastikan antivirus anda selalu terupdate dengan baik agar dapat mengenali virus ini dengan baik.

Dengan update terbaru Norman Security Suite sudah dapat mendeteksi virus ini sebagai W32/VBWorm.BEUA, untuk file shortcut di kenali sebagai Trojan: LNK/CplLnk.A dan file .DLL dideteksi sebagai W32/Suspicious_Gen2.BTDDL dan sampai saat ini sudah melahirkan beberapa varian (lihat gambar 1)
Gambar 1, Hasil Deteksi Norman Security Suite

Dr.Web Anti-virus mendeteksi virus ini sebagai  W32/HLLW.Autoruner.25850, untuk file shortcut di kenali sebagai Exploit.Cpllnk dan file .DLL dideteksi sebagai Win32.HLLW.VBNA.3 (lihat gambar 2)
Gambar 2, Hasil Deteksi Dr. Web Anti-virus

Virus ini dibuat dengan mengunakan program bahasa Visual Basic dan mempunyai ukuran sekitar 128  KB (untuk varian lain nya akan mempunyai ukruan yang bervariasi). Virus ini akan mempunyai ekstensi EXE atau SCR serta menggunakan icon Microsoft Visual Basic Project. (lihat gambar 2)

Gambar 2, File induk W32/VBWorm.BEUA  dan varian

Pada saat virus ini menginfeksi komputer target, ia akan membuat beberapa file induk dengan nama file acak yang akan diaktifkan secara otomatis pada saat komputer dinyalakan



  • C:\Documents and Settings\%user%\%file%.exe
Catatan:


    • %user%, tergantung nama user yang digunakan oleh user pada saat login Windows


    • %file%, contohnya x.exe, alg.exe, smyeok.exe atau smyeokx.exe

Untuk meyakinkan agar dirinya dapat aktif secara otomatis pada saat komputer dinyalakan ia akan membuat string pada registri berikut dengan string yang berbeda-beda


  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run


    • %string% = C:\Documents and Settings\%user%\%string%.exe

Catatan:


    • %string%, berbeda-beda sesuai dengan nama file induk  yang dibuat

    • %user%, berbeda-beda sesuai dengan nama user yang digunakan pada saat login Windows.
Agar file induk tidak mudah dihapus oleh user, ia akan menyembunyikan file tersebut dan mencegah agar user tidak dapat menampilkan file teersebut dengan cara merubah pada setting “Folder Options” dengan selalu memilih opsi “Hide protected operating system files (Recommended)” dengan merubah registri : (lihat gambar 3)

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

    • ShowSuperHidden = 0



Gambar 3, Setting Folder Options yang diubah oleh VBWorm.BEUA


Proteksi Proses Virus dan blok software security
Virus ini mempunyai kemampuan untuk melindungi setiap proses virus yang aktif di memori. Jika user mencoba untuk mematikan proses virus tersebut dengan menggunakan aplikasi kill proses seperti Security Task Manager, process explorer atau tools/software security lainnya  dengan cara mematikan aplikasi tersebut atau menyebabkan aplikasi tersebut menjadi  hang/crash”. (lihat gambar 4 dan 5)
Gambar 4, Aplikasi Process Explore yang di blok oleh W32/VBWorm.BEUA
Gambar 5, Aplikasi Security Task Manager yang di blok oleh W32/VBWorm.BEUA

Menyembunyikan Folder dan membuat file shortcut
Aksi lain yang akan dilakukan oleh virus ini adalah akan menyembunyikan folder “C:\Documents and  Settings”  dan akan menyembunyikan foder “C:\Documents and settings\%user% (%user%, ini berbeda-beda tergantung nama user yang digunakan pada saat login Windows). Untuk mengelabui user ia akan membuat file duplikat berupa file shortcut yang akan mengarah (pointing) ke salah satu file induk yang sudah dibuat, file ini akan mempunyai nama yang sama dengan folder yang disembunyikan dengan ciri-ciri:

  • Menggunakan Icon Folder

  • Mempunyai Ekstensi .LNK

  • Type File “Shortcut”

  • Ukuran file 1 KB
Selain itu ia juga akan membuat file shortcut lain seperti :

  • Documents.lnk

  • Music.lnk

  • Pictures.lnk

  • Video.lnk

  • Password.lnk (icon )

  • Serta beberapa file shortcut yang mempunyai icon  dengan nama file acak seperti zbg.lnk atau zcu.lnk (lihat gambar 6)
Gambar 6, File duplikat dan file shortcut yang akan dibuat oleh W32/VBWorm.BEUA

Jika file shortcut tersebut di jalankan, maka secara otomatis akan mengaktifkan salah satu file induk (acak)  virus yang telah ditentukan (lihat gambar 7).
Gambar 7, File target yang terdapat pada file shortcut

Media penyebaran
Untuk menyebarkan dirinya, ia akan menggunakan media UFD dan drive/folder yang di share (dengan askes full) dengan cara membuat beberapa file induk acak (contoh: x.exe, xuris.exe, xurinx.exe) serta file “.dll”  (contoh: ert.dll) dengan ciri-ciri (lihat gambar 8)

  • Menggunakan Icon “Visual Basic Project”

  • Ukuran File 128 KB (untuk varian lain ukuran file acak)

  • Ekstesi file “.EXE” atau “.SCR”

  • Type File “Application” atau “Screen Saver” (lihat gambar 8)








































Gambar 8, File induk yang dibuat di media UFD

Selain membuat file induk tersebut, ia juga akan menyembunyikan folder yang ada di media UFD/Folder yang di share serta membuat file duplikat sesuai dengan nama folder yang disembunyikan berupa file shortcut serta beberapa file shorcut lainnya seperti:


  • Documents.Ink
  • Music.lnk
  • Pctures.lnk
  • Video.lnk
  • Password.Ink (Icon)
  • Serta beberapa file shortcut yang mempunyai icon  dengan nama file acak seperti (zbg.lnk, zcu.lnk)
Agar virus ini dapat aktif secara otomatis pada saat user mengakses UFD/Folder yang di share, ia akan memanfaatkan fitur “Autoplay Windows” dengan membuat file “Autorun.inf”. File ini akan menjalankan sebuah file induk (acak) yang sudah di tanamkan di UFD/folder yang di share tersebut. (lihat gambar 9)
Gambar 9, isi file autorun.inf

Eksploitasi celah keamanan yang terlupakan
Seperti yang sudah di jelaskan sebelumnya bahwa virus ini akan membuat beberapa file shortcut yang mempunyai icon  di media removable disk (UFD) atau di folder/drive yang di share (dengan akses full), hal ini dilakukan untuk mengantisipasi jika fitur “autoplay” sudah di matikan oleh user yakni dengan memanfaatkan salah satu celah keamanan Windows (Microsoft Windows Shell shortcut handling remote code execution vulnerability-MS10-046) yang memungkinkan Windows untuk menjalankan secara otomatis  kode jahat yang  terdapat pada file shortcut (.lnk) tersebut pada saat user mengakses Drive/Folder/UFD hal ini di tandai komputer menjadi lambat (bahkan komputer terkesan hang) pada saat mengakses UFD /drive yang sudah di tanam file shortcut tersebut. Hal ini yang membedakan virus ini dari virus lokal lain yang kebanyakan mengandalkan rekayasa sosial dan penyebaran yang mengandalkan autorun saja tanpa mengeksploitasi celah keamanan.

Cara membersihkan VBWorm.BEUA (W32/HLLW.Autoruner.25850)


  1. Nonaktifkan “System Restore” untuk sementara selama proses pembersihan

  2. Putuskan komputer yang akan dibersihkan dari jaringan

  3. Matikan proses virus yang aktif di memori dengan menggunakan tools “Ice Sword”. Setelah tools tersebut terinstal, pilih file yang mempunyai icon “Microsoft Visual Basic Project” kemudian klik “Terminate Process” (lihat gambar 10)
Silahkan download tools tersebut di alamat http://www.http://icesword.en.softonic.com/
Gambar 10, Gunakan Ice Sword untuk mematikan proses virus


  1. Hapus registri yang sudah dibuat oleh virus dengan cara:
    1. Klik menu [Start]

    2. Klik [Run]

    3. Ketik REGEDIT.exe, kemudian klik tombol [OK]

    4. Pada aplikasi Registry Editor, telusuri key
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

    1. Kemudian hapus key yang mempunyai data [C:\Document and Settings\%user%], seperti terlihat pada gambar 11 dibawah ini
            Gambar 11, Lokasi registri virus

  1. Disable Autoplay/autorun Windows. Copy script dibawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.INF, install file tersebut dengan cara:
    1. Klik kanan REPAIR.INF

    2. Klk INSTALL
[Version]
Signature="$Chicago$"
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255


  1. Hapus File induk dan file duplikat yang dibuat oleh virus termasuk di UFD. Untuk mempercepat proses pencarian,  Anda dapat menggunakan  fungsi “Search”. Sebelum melakukan pencarian sebaiknya tampilkan semua  file yang tersembunyi dengan merubah pada setting Folder Options (lihat gambar 12)
Gambar 12, Menampilkan file yang tersembunyi

Jangan sampai terjadi kesalahan pada saat menghapus file induk maupun file duplikat yang telah dibuat oleh virus.

Hapus File induk virus (lihat gambar 13) yang mempunyai ciri-ciri:

    • Icon “Microsoft Visual Basic Project”

    • Ukuran File 128 KB (untuk varian lain akan mempunyai ukuran yang bervariasi)

    • Ekstesi file “.EXE” atau “.SCR”

    • Type File “Application” Satau “Screen Saver”
















































Gambar 13, Mencari  file induk virus

Kemudian hapus File duplikat shortcut (lihat gambar 14) yang mempunyai ciri-ciri

    • Icon Folder atau icon 

    • Ekstensi .LNK

    • Type File “Shortcut”

    • Ukuran file 1 KB
















































Gambar 14, Mencari file duplikat dan file shortcut virus

Hapus juga file yang .DLL (contoh: ert.dll) dan file Autorun.inf di UFD atau folder yang di share.

Catatan:
Untuk menghindari virus tersebut aktif kembali, hapus file induk yang mempunyai ekstensi EXE atau SCR terlebih dahulu baru kemudian hapus file Shortcut (.LNK)


  1. Tampilkan kembali folder yang telah disembunyikan oleh virus. Untuk mempercepat proses tersebut, silahkan download tools UnHide File and Folder. Silahkan download tools tersebut di alamat  http://www.flashshare.com/bfu/download.html (lihat gambar 15)

·         Setelah di install, pilih direktori [C:\Documents and settings] dan Folder yang ada di UFD dengan  cara menggeser ke kolom yang sudah tersedia
·         Pada menu [Attributes] kosongkan semua pilihan yang ada
·         Kemudian klik tombol [Change Attributes]
Gambar 15, Menampilkan Folder yang disembunyikan


  1. Install security patch “Microsoft Windows Shell shortcut handling remote code execution vulnerability-MS10-046”
Silahkan download security patch tersebut di alamat berikut:
http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx


  1. Untuk pembersihan secara optimal dan menecegah infeksi ulang, sebaiknya install dan scan dengan antivirus yang up-to-date  dan sudah dapat mendeteksi virus ini dengan baik





    V.I.R.U.S  IS NEVER DIE
Diposting oleh di Tidak ada komentar:
Langganan: Komentar (Atom)