Posts Mentioning RSS Toggle Comment Threads | Keyboard Shortcuts

  • superadmin 10:47 am on 21 October 2009 Permalink | Reply  

    Bagaimana membersihkan virus W32/SmallTroj.PUDN 

    Ini kali ke dua virus yang akan mempermainkan CDROM setelah kemunculan virus lainnya yakni [SmallTroj.QFBU]. Perbedaan yang mencolok adalah pada script yang dibuat untuk membuka CDROM. Pada virus SmallTroj.QFBU, script untuk membuka CDROM berada pada tubuh virus itu sendiri hal ini memberikan keuntungan yakni selama virus ini masih akif dimemori maka ia akan dengan leluasa untuk selalu membuka CD ROM tersebut, berbeda dengan virus SmallTroj.PUDN ini yang akan mengandalkan file lain dengan memanfaatkan file [C:\Windows\System32\WSCript.exe] dan tidak tergantung pada file induk untuk membuka CD ROM tersebut, tetapi dari hasil pengetesan hal ini tidak berjalan sesuai dengan yang diharapkan karena file script tersebut membutuhkan file pemicu lain untuk menjalankankan isi dari script tersebut, file pemicu inilah yang “mungkin” terlupakan atau dilupakan oleh sang pembuat virus. Apapun yang dilakukan oleh kedua virus ini yang jelas perbuatan ini sangat merugikan pengguna komputer apalagi bagi mereka yang awam. Ingin tahu apalagi yang akan dilakukan oleh virus SmallTroj.

    Media Penyebaran

    Flash Disk masih menjadi “primadona” untuk menyebarkan dirinya, begitupun yang dilakukan oleh SmallTroj dengan cara menyembunyikan file yang mempunyai ekstensi TXT dan DOC dan membuat file duplikat dengan ciri-ciri:

    • Menggunakan icon TXT, sehingga user beranggapan bahwa file asli telah di hapus
    • Mempunyai ekstensi TXT.exe [jika file yang disembunyikan mempunyai ekstensi TXT] dan DOC.exe [jika file yang disembunyikan mempunyai ekstensi DOC], ekstensi EXE ini akan disembunyikan
    • Mempunyai ukuran 41 KB

    Cara membasmi SmallTroj.PUDN

    1. Nontaktifkan “System Restore” selama proses pembersihan
    2. Matikan proses virus yang aktif dimemori, untuk mempermudah dalam mematikan proses virus tersebut gunakan tools pengganti task manager seperti ProceeXP atau CurrProses.

    Silahkan download tools CurrProses di alamat  berikut:
    http://www.brothersoft.com/currprocess-download-32083.html

    Setelah di download jalankan tools tersebut kemudian cari dan matikan proses virus yang aktif di memori. Matikan proses virus yang mempunyai icon TXT

    1. Fix registry Windows yang telah diubah/dibuat oleh SmallTroj.PUDN. Untuk mempercepat proses perbaikan ini silahkan salin script dibawah ini pada program Notepad kemudian simpan dengan nama [repair.inf]. Jalankan file tersebut dengan cara:
      1. Klik kanan [repair.inf]
      2. Klik [Install]

    [Version]

    Signature=”$Chicago$”

    Provider=Vaksincom Oyee

    [DefaultInstall]

    AddReg=UnhookRegKey

    DelReg=del

    [UnhookRegKey]

    HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

    HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

    HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

    HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

    HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

    HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”

    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, CheckedValue,0×00010001,2

    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, DefaultValue,0×00010001,2

    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue,0×00010001,1

    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue,0×00010001,2

    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0×00010001,0

    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0×00010001,1

    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0×00010001,1

    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1

    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1

    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0×00010001,0

    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0×00010001,1

    HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0×00010001,0

    HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0×00010001,0

    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255

    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255

    HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”

    HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

    [del]

    HKCU, Software\Microsoft\Internet Explorer\Main, Start Page

    HKCU, Software\Microsoft\Internet Explorer\Main, Local Page

    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

    HKCU, Software\Microsoft\Windows\CurrentVersion\Run, wmdrtl32_

    HKCU, software\microsoft\windows\shellnoroam\MUICache, wmdrtl32_

    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegedit

    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

    HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun

    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,ShowSuperHidden

    HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

    HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, NOHIDDEN

    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, SHOWALL

    1. Hapus file virus yang mempunyai ciri-ciri
      1. Icon TXT
      2. Ukuran file 41 KB
      3. Ekstensi .TXT.EXE dan DOC.exe

    Sebelum menghapus file tersebut, sebaiknya tampilkan terlebih dahulu file yang tersembunyi dengan melakukan perubahan pada Folder Options

    Hapus juga file berikut:

    • c:\windows\wmdrtl32_.exe
    • c:\xMr. Jabluntz.exe [semua drive], x menunjukan karakter acak
    • c:\wmdrtl32_.vbs [semua drive]
    • C:\Windows\system32\wmdrtl32_.vbs
    • C:\autorun.inf [semua drive]
    • C:\Windows\System32\autorun.inf
    • C:\a_Video Hot.exe [semua drive]

    Tampilkan file dengan ekstensi TXT dan DOC yang disembunyikan dengan cara : (lihat gambar 13)

    1. Klik menu [Start]
    2. Klik menu [Run]
    3. Pada dialog box RUN, ketik CMD
    4. Pada dos prompt, pindahkan kursor ke lokasi yang akan periksa, contohnya [C:\]
    5. Kemudian ketik perintah ATTRIB –s –h –r *.TXT /s /d [untuk menampilkan file txt] dan  ATTRIB –s –h –r *.DOC /s /d [Untuk menampilkan file dengan ekstensi *.DOC]

    [Panduan oleh PT. Vaksincom]

     

  • Suplentonk Jaya 12:12 pm on 12 October 2009 Permalink | Reply  

    W32/Alman alias I Love you Full Virus 

    9 Oktober 2009

    W32/Alman (W32/Almanahe)
    I Love you sharing FULL tanpa password

    Kalau Mbah Surip bilang I Love You FULL, maka Alman juga akan bilang I Love You Full, khususnya bagi anda yang melakukan sharing folder di jaringan secara FULL Access (alias tanpa password). Virus jawara di Indonesia ini (nomor 2 paling banyak menyebar menurut statistik malware Vaksincom Agustus 2009) mengincar semua folder di jaringan yang dishare secara full tanpa password.Jika sebelumnya kita disibukkan dengan penyebaran virus lokal sehingga terlena dengan virus racikan mancanegara, kini tengah santer menyebar virus yang dapat menginjeksi semua file yang mempunyai ekstensi EXE. Virus ini dapat menyebar dengan cepat melalui jaringan dengan memanfaatkan folder yang mempunyai share “Full” dan memanfaatkan “Default Share” [C$/D$/ADMIN$] selain itu virus ini juga akan menyebar dengan memanfaatkan Flash Disk dengan menginjeksi semua file EXE yang ada dan membuat file [boot.exe] dan [autorun.inf] yang berfungsi agar dirinya dapat aktif secara otomatis setiap kali user mengakses Flash Disk. Agar tidak diketahui user kedua file ini akan di sembunyikan. Virus ini akan berusaha untuk menginfeksi file yang mempunyai ekstensi EXE.

    Donwload obatnya di http://www.norman.com/support/support_tools/58732/en-us

    Info dari PT. Vaksincom

     

  • Suplentonk Jaya 7:09 pm on 21 December 2008 Permalink  

    RPC Dcom part III, Conficker mengganas di Indonesia 

    RPC Dcom part III, Conficker mengganas di Indonesia       17 Desember 2008

    Generic Host Process (GHP) error

    Dunia virus sebenarnya mirip dengan Indonesia Idol, dimana banyak orang yang ingin menjadi Idol, tetapi pada akhirnya hanya segelintir yang mampu mencapai puncak ketenaran. Demikian pula dengan virus, setiap hari ribuan virus baru di sebarkan diseluruh dunia, tetapi hanya beberapa yang mampu menyebarkan dirinya dengan sukses dan menginfeksi ribuan sampai jutaan komputer di seluruh dunia. Ada apa dibalik kesuksesan penyebaran virus ? Pertanyaan yang sama dapat ditanyakan pada Delon atau Mike, apa sih yang ada dibalik keberhasilan mereka ? Apakah karena paling tinggi oktaf suaranya, paling tampan / cantik atau ada faktor lainnya ? Soal suara, memang harus ada standar minimal kemampuan vokal untuk masuk Idol, tetapi seperti kata Simon Cowell tidak menjadi jaminan bahwa pemenang Idol adalah peserta dengan suara paling indah. Karena pemenang Idol bukan kontes vokal melainkan kontes popularitas. Jadi yang menang adalah yang paling populer :) . Disini faktor luck / keberuntungan juga berperan dan ini di luar kontrol peserta. Kembali lagi ke virus, hal yang mirip2 juga terjadi. Virus yang berhasil menyebar dengan sukses bukan virus paling ganas atau paling rumit, melainkan virus yang paling populer. Dalam konteks penyebaran virus, virus akan menjadi populer jika ia mampu “membuat” dirinya diaktifkan di sebanyak mungkin komputer. Caranya adalah dengan mengeksploitasi celah keamanan, memanfaatkan kelemahan sistem yang ada dan terakhir yang menjadi keahlian pembuat virus lokal, rekayasa sosial.

    Hal yang sama juga kita temui pada dua virus mancanegara yang sama-sama jagoan. Mengeksploitasi celah keamanan yang sama, codingnya sama-sama rumit dan dibuat dengan tingkat ketrampilan pemrograman tinggi, bahkan yang pertama diluncurkan lebih dahulu. Tetapi nyatanya virus pertama saat ini kalah populer dengan virus kedua, hanya karena ia tidak memanfaatkan penyebaran melalui jaringan lokal juga dan mengandalkan internet saja untuk menyebarkan dirinya. Kedua virus yang sedang wara wiri di internet saat ini adalah Gimmiv yang saat ini penyebarannya menurun dan dikalahkan oleh virus pendatang baru Conficker atau juga dikenal dengan nama Downadup. Kedua virus ini mengeksploitasi celah keamanan RPC Dcom.

    Pada awalnya, patch RPC Dcom yang pertama di release pada bulan Agustus 2003 khusus untuk menghadapi serangan virus Lovsan atau lebih terkenal dengan nama Blaster. Patch RPC Dcom dengan kode MS03-039 awal tersedia di http://support.microsoft.com/kb/824146 dan secara efektif berhasil menghalau dan menghentikan virus Blaster. Dan ini rupanya bukan akhir cerita eksploitasi RPC Dcom karena pada April 2004 Microsoft kembali mengeluarkan patch MS04-012 http://www.microsoft.com/technet/security/bulletin/ms04-012.mspx karena ada beberapa spyware yang diketahui mengeksploitasi celah keamanan ini seperti W32/Rbot.AWJ. Hebatnya lagi, Rbot.AWJ rupanya tidak hanya mengeksploitasi celah keamanan MS04-012 tetapi segambreng celah keamanan lain seperti MS04-011 (LSASS), MS03-007 (WebDav), MS04-011, CAN-2003-0719 (IIS5SSL), MS01-059 (UPNP), CAN-2003-1030 (Dameware Mini Remote Control), MS04-007 (ASN.1), MS05-039 (PNP). Setelah dua kali dieksploitasi, tahun 2008 ini celah keamanan RPC Dcom kembali di “oprek” dan dieksploitasi dengan cara lain sehingga Microsoft buru-buru mengeluarkan tambalan / patch MS08-067 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx.

    Seberapa parah celah keamanan RPC Dcom part III ini ?

    Jika anda pemain game komputer, berbeda dengan film-film Hollywood yang umumnya sekuelnya kalah sukses dengan film pertamanya. Game komputer dengan seri makin tinggi pada umumnya makin canggih dan makin menarik perhatian gamer dan selalu berhasil mengalahkan game pertamanya. Contohnya adalah game Warcraft III yang jelas lebih bagus dari Warcraft I, atau Civilization IV yang tentu lebih menyenangkan dimainkan ketimbang Civilization I dst. Celakanya, celah keamanan RPC Dcom ini juga mengikuti jejak game komputer. Tidak seperti celah keamanan RPC Dcom awal, celah keamanan RPC Dcom part III ini bukan saja mampu mengeksploitasi celah keamanan di Windows XP Service Pack 3 dan Windows Server 2003 Service Pack 2, tetapi Windows Vista dan Windows Server 2008 juga rentan terhadap ancamana celah keamanan ini. Bahkan gilanya Windows 7 Pre Beta juga rentan terhadap eksploitasi celah keamanan RPC Dcom III ini.

    Untuk detailnya silahkan lihat daftar OS-OS yang rentan terhadap serangan virus Conficker yang mengeksploitasi celah keamanan RPC Dcom III :

    Operating System

    Service Pack

    Severity Rating

    Windows 2000

    SP 4

    Critical

    Windows XP – 32 bit

    SP 3

    Critical

    Windows XP – 64 bit

    SP 2

    Critical

    Windows Server 2003

    SP 3

    Critical

    Windows Server 2003 – 64 bit

    SP 2

    Critical

    Windows Vista

    SP 1

    Important

    Windows Vista – 64 bit

    SP 1

    Important

    Windows Server 2008 – 32 bit

    Important

    Windows Server 2008 – 32 bit

    Important

    Keterangan :

    · Severity Rating Critical artinya virus mampu menyebarkan dirinya secara otomatis tanpa dapat di cegah oleh pengguna komputer.

    · Severity Rating Important artinya ada persetujuan yang perlu diberikan user dengan mengklik sesuatu. Dalam Vista bentuknya adalah Pop up User Account Control.

    Jika kita perhatikan, Windows Vista dan Windows Server 2008 relatif lebih aman terhadap eksploitasi celah keamanan RPC Dcom 3 ini dibandingkan Windows XP, Windows Server 2003 dan Windows 2000. Tetapi hal ini bukan menunjukkan bahwa Vista dan Server 2008 tidak dapat di eksploitasi. Yang membedakan “hanya” satu pop up yang pada Windows Vista dinamakan User Account Control (UAC). Seperti kita ketahui, mayoritas pengguna Windows yang awam akan cenderung mengklik tombol [Continue] [Ok] [Yes] [I Agree] dibandingkan [Cancel] [No] tanpa berpikir panjang. Apalagi jika Pop up UAC ini muncul terus menerus jika di klik [Cancel] dan mengganggu aktivitasnya, kemungkinan besar supaya Pop Up UAC tidak muncul lagi pengguna komputer pada akhirnya akan memilih mengklik [Continue] yang akan menjalankan virus ini di komputernya.

    Ciri komputer / jaringan terserang Conficker

    Jika mendadak komputer anda mendapatkan pesan Generic Host Process (GHP) Error dan setelah itu koneksi internet dari komputer tersebut mati, maka kemungkinan besar jaringan komputer anda sudah tercemar oleh Conficker. Penyebabnya bukanlah komputer yang menampilkan pesan GHP error tersebut, melainkan karena (minimal) salah satu komputer di jaringan anda sudah terinfeksi Conficker dan secara otomatis melakukan scanning ke jaringan lokal dan menyebarkan dirinya ke semua komputer yang rentan atau belum di patch MS 06-037.

    Jika ada komputer yang berhasil di infeksi, maka Conficker akan melakukan beberapa rutin canggih yang membuat geleng-geleng kepala antara lain :

    1. Melumpuhkan System Restore.

    Conficker akan melumpuhkan System Restore dengan cara mereset “Restore Point” guna mencegah korbannya membasmi virus ini dengan mengembalikan Restore Point. System Restore adalah fasilitas “Mesin Waktu” yang tersedia di beberapa OS Windows seperti ME, XP dan Vista yang berfungsi sebagai backup system OS dan dapat membantu mengembalikan setting komputer pada keadaan normal jika suatu saat terjadi kesalahan instal program yang tidak diingini ataupun karena terinfeksi virus.

    2. Membuat HTTP Server.

    Conficker akan membuka port random antara 1024 s/d 10.000 dan menjalankan fungsi sebagai web server (HTTP server) bagi jaringan lokal. Jika ada komputer di jaringan yang memiliki celah keamanan RPC Dcom 3 yang belum di patch, maka ia akan mencoba menyerang dan jka berhasil maka komputer korbannya akan mendownload ke HTTP server yang dibuat tadi untuk mendownload file virus dan menjalankannya. Selain itu, dalam aksinya ini Conficker menyebabkan matinya Internet connection Sharing.

    3. Melakukan patch pada komputer korbannya.

    Setelah berhasil menginfeksi komputer korbannya, Conficker akan melakukan patching pada komputer korbannya, jangan berterimakasih dulu kepada virus ini. Tujuannya melakukan patch adalah untuk mencegah infeksi ulang yang malahan akan mengakibatkan komputer tidak stabil sehingga tidak bisa mencari korban baru.

    4. Download File untuk update dirinya.

    Conficker meniru antivirus akan berusaha mendownload file (kemungkinan updatenya di masa depan) ke beberapa website yang telah disiapkan daftarnya (250 domain) dengan tujuan mempersulit vendor antivirus untuk memblok domain-domain update tersebut satu persatu. Domain-domain tersebut antara lain :

    1) pdmqxeumc.info

    2) fntkbzdcdpp.net

    3) clhosan.biz

    4) dynppafxww.biz

    5) rnsnpgtql.org

    6) ubuwka.biz

    7) nbykxprbx.biz

    8) lgjse.info

    9) sqyjtz.biz

    10) qrmbw.info

    11) jlopa.net

    12) pisaonnpht.info

    13) zdimkl.org

    14) jbaporuw.biz

    15) tzjxlmwzwr.com

    16) jlispc.org

    17) xxzynv.com

    18) obzueobl.org

    19) tsmaeeil.info

    20) mpqqqnp.com

    21) cxqlmwgp.com

    22) pdesl.com

    23) wfgpaosz.org

    24) bwssb.info

    25) cupgw.biz

    26) hdunbnus.org

    27) pijtber.org

    28) gcqnhcxkubp.com

    29) dpdszcxxw.net

    30) osbeaescr.biz

    31) yeszvf.com

    32) hhdecyyznvj.info

    33) rncviqzt.info

    34) yvwhkimeub.com

    35) zhmpqdetg.net

    36) ixdrqyfm.info

    37) ohnviuwnuf.biz

    38) hxbrrbnrdet.net

    39) zbuqkgqoeg.info

    40) mgroq.info

    41) tagumbpqa.com

    42) hfhlitaauh.com

    43) mawsezpa.com

    44) gbqxdo.com

    45) ihkifipkob.com

    46) lxlwjany.info

    47) rmzchhf.info

    48) ubtyckmg.com

    49) hohwolepnvb.net

    50) xmirfew.com

    51) espvtm.net

    52) wrmfc.com

    53) pkxsngzrc.com

    54) qfszswn.com

    55) oepsmq.info

    56) timpsb.com

    57) saewkwhy.info

    58) hdbvwlhmy.info

    59) atffhfyr.info

    60) ixukyfoyarg.com

    61) nbgsq.info

    62) yxgoqcg.biz

    63) hfpmgvkimks.net

    64) yezzqntd.org

    65) obopljobg.org

    66) lrfyqneanck.org

    67) xdofi.com

    68) gxxromkhtx.org

    69) fpabgx.info

    70) aihbjawqll.info

    71) yxljmzxmbm.com

    72) gxoli.com

    73) uswsaki.info

    74) rofuirvnkq.info

    75) ybgxlz.com

    76) ttbcb.info

    77) nguxos.net

    78) ybjmfmlzxf.org

    79)

     

c
compose new post
j
next post/next comment
k
previous post/previous comment
r
reply
e
edit
o
show/hide comments
t
go to top
l
go to login
h
show/hide help
esc
cancel