DIBACA YO,,,,,,,,,,!?????

Halaman

lintas berita n banner temen

DBB W32/Zbot. menyebarkan Email Phishing n cara mengatasinya

Membasmi Virus Facebook (W32/Zbot.DBB)

semakin pesat perkembangan zaman n teknologi semakin banyak nya orang yg berusaha merusaknya tp thu semua tergantung ma manusianya c da aku ga bisa banyak bicara ne langsung za ea ,,,,,,,,
awal tahun 2010 berkembang virus yg dinamakan virus facebook karna 99%orang banyak yg menggunakan jasa facebook ne dalan mencari teman/berkomunikasi ma teman2 nya yg jauh disana ga cuma orang dewasa bahkan anak2 yg masi sd pun da knl n mengetahui facebook thu nah bagaimana kota bs membasmi virus facebook thu ikutilah langkah2nya n cara menanggulangi virus facebook thu n ne cara nya :
Seiring dengan tingginya penyebaran virus yang mengeksploitasi Facebook  yang bertujuan untuk mencuri password pengguna Facebook dan menginfeksi komputer korbannya dengan Scareware (antivirus palsu) yang akan menampilkan peringatan palsu “seakan-akan” komputer korbannya terinfeksi virus yang sangat akut dan gawat (padahal tidak) dengan tujuan menjual antivirus palsu yang jika di ikuti bukannya menyembuhkan komputer dari infeksi virus melainkan lebih parah dan data kartu kredit yang digunakan untuk pembelian antivirus palsu tersebut terancam disalahgunakan untuk menjadi sasaran fraud.
 
Facebook...Facebook dunia trs hampa tnpa facebook
anda Masih ingat dengan virus Obfuscated.D2!gener atau Bredolab yg beredar beberapa bulan yg lalu, sebuah virus yang akan  menggunakan rekayasa sosial dengan sasaran utama para member faceebook dengan mengirimkan sebuah notifikasi untuk merubah user account yang sudah terdaftar sebelumnya dengan alasan untuk keamanan dengan menyertakan sebuah attachment yang sebenarnya berisi trojan  File attachment yang disertakan teryata bukan sebuah tools untuk meseset password seperti yang di informasikan dalam email tersebut, tetapi justru akan mendownload trojan baru berupa fake antispyware dengan nama “Security Tools” (lihat gambar 1) dan “sialnya” email ini dikirim seolah-olah dari Admin Faceebok (lihat gambar 2 dan 3, spyware yang menyamarkan dirinya sebagai antispyware ini akan memberikan informasi menampilkan sederetan virus/trojan palsu yang berhasil di deteksi. Sedangkan untuk menyebarkan dirinya ia akan mengirimkan email yang sama ke semua alamat email yang berhasil ia dapat dengan menyertakan attachment dalam bentuk ZIP dengan nama acak.
 

Gambar 1, Security Tools, spyware yang meAntispywarenyamar sebagai program



Gambar 2 Contoh email yang akan di kirimkan oleh Obfuscated.D2!genr






 
Gambar 3 Aktivitas pengiriman email yang dilakukan oleh Obfuscated.D2!gen


 
W32/Zbot.DBB menyebarkan Email Phishing
Rupanya peperangan ini akan terus berlanjut, kini mereka datang dengan cara yang  berbeda dan lebih canggih. Kenapa dikatakan dengan demikian ??? Agar tidak mengundang kecurigaan dari user kini datang tidak  dengan menyertakan attachment seperti sebelumnya, tetapi ia akan datang sebagai email dari admin faceebok yang menginformasikan agar user melakukan update account dengan alasan untuk kenyamanan dan keamanan saat mengunjungi situs tersebut.
 
Unuk melakukan update terhadap account tersebut, ia akan menyertakan sebuah tombol “Update” yang akan mengakses webuah web login yang sudah dipalsukan, web login ini bukanlah web login facebook tetapi web login yang sudah di siapkan untuk menampung username dan password yang nantinya akan digunakan untuk mengambil daftar account yang ada di facebook dari komputer yang terinfeksi.
 
Web login palsu ini akan mempunyai alamat yang berbeda-beda seperti contoh dibawah ini : (lihat gambar 4)
 
http://www.facebook.com.xxxxx.eu/globaldirectory/LoginFacebook.php?ref=1584270691543478059651590405901802254672004589860384285&email=xxxxxxx@xxxx.com
 
Catatan: xxxxx adalah karakter acak.
 
Gambar 4, Alamat login facebook palsu
 
Jika kita perhatikan sepintas, web login palsu ini mirip dengan web login asli (lihat gambar 5)faceebok, tetapi jika ditelusuri lebih teliti terdapat beberapa perbedaan  yang mencolok seperti terlihat pada gambar dibawah ini :
 
Gambar 5, Web login faceebok asli
 
Pada saat kita mengisi username dan password, ia akan membuka halaman baru yang berisi link untuk download tool update account dengan nama [updatetool.exe] yang sebenarnya adalah sebuah virus/trojan yang akan menginfeksi jika user menjalankan file tersebut. (lihat gambar 6)
 
Gambar 6, Link download virus/trojan 

Subject email yang dikirimkan oleh virus ini biasanya akan berbeda-beda seperti : (lihat gambar 7)
 New login system
 Facebook account update
 Facebook Update Tools

Gambar 7, Contoh email phishing yang akan di kirimkan oleh virus
 
Dengan teknologi Sandbox Norman mendeteksi virus tersebut sebagai Trojan: W32/Zbot.DBB (lihat gambar 8)
 
Gambar 8, Hasil deteksi Norman Security Suite
 
File Virus Zbot.DBB
Virus ini mempunyai ukuran file sekitar 105 KB  dengan nama [updatetools.exe], file ini mempunyai ekstensi EXE . (lihat gambar 9)
 
Gambar 9, File induk W32/Zbot.DBB
 
Jika file tersebut dijalankan ia akan membuat file induk dengan nama [C:\WINDOWS\system32\sdra64.exe], file inilah yang bertugas untuk menginjeksi beberapa proses Windows seperti :
 
·         C:\Windows\Syste32\services.exe
·         C:\Windows\System32\lsass.exe
·         C:\Windows\System32\svchost.exe
·         C:\Windows\System32\alg.exe
·         C:\ProgramFiles\internet explorer\iexplore.exe
 
Agar tidak mudah di hapus oleh virus, file tersebut akan disembunyikan walaupun user sudah menampilkan file yang tersembunyi. Selain itu ia juga akan membuat beberapa file berikut yang juga akan disembunyikan dengan tujuan agar tidak mudah di hapus:
 
·         C:\Windows\system32\lowsec
-       local.ds
-       user.ds
-       user.ds.lll
 
W32/Zbot.DBB juga akan membuat file lain dengan nama [C:\windows\pdhemprf.dll] serta mendownload beberapa file dari ip yang telah ditentukan [97.74.144.118] dan [hxxp://193.104.27.42/lcc/ip2.gif dan hxxp://193.104.27.42/ip.php], file yang di download tersebut akan di simpan ke direktori [C:\Documents and Settings\Elvina\Local Settings\Temp\] (lihat gambar 10 dan 11)
 
Gambar 10, Download trojan
 
Gambar 11, Proses download Trojan
 
Untuk memperlancar aksinya Ia juga akan membuat beberapa registri berikut:
 
·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
-       C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
·         HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer
-       {43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
-       {19127AD2-394B-70F5-C650-B97867BAA1F7}
-       {8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}
·         HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer
-       {43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
-       {19127AD2-394B-70F5-C650-B97867BAA1F7}
-       {8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}
 
Media pengiriman (phishing)
Untuk menyebarkan dirinya, ia akan mengirimkan email phishing kesemua alamat yang telah diperoleh yang berisi pemberitahuan kepada user yang mempunyai account facebook untuk melakukan update tehadap account facebook yang dimilikinya demi keamanan dan kenyamanan saat akses ke situs facebook. Email tersebut akan menyertakan satu tombol “update” yang berisi alamat web login palsu untuk menampung username dan password yang digunakan oleh user, untuk kemudian akan menampilkan alamat download virus yang menyamar sebagai  sebuah tools dengan nama [updatetool.exe], file gadungan inilah yang akan mengaktifkan W32/Zbot.DBB di komputer user jika file tersebut dijalankan.
 
Jika menggunakan tools monitoring seperti Ethereal [http://www.ethereal.com/] atau Wireshark [http://www.wireshark.org/] W32/Zbot.DBB tidak melakukan pengiriman email phishing alamat email lain, jadi kemungkinan besar virus ini akan mengambil informasi penting termasuk username dan password facebook dari komputer yang terinfeksi dan mengirimkan ke pembuat virus, account yang berhasil ia dapat inilah yang akan digunakan untuk mengambil account lain yang terdapat dalam facebook tersebut yang kemudian akan mengiriman email phishing tersebut.
 
Jika kita telusuri lebih jauh dari email yang dikirimkan dapat dilihat bahwa pengirim email phishing tersebut berasal dari luar seperti Brazil, Italia atau Belanda dan bukan dari komputer yang terinfeksi. (lihat gambar 12, 13 dan 14)
 
Gambar 12, Contoh email yang di kirim oleh W32/Zbot.DBB
 
Gambar 13, Contoh email yang di kirim oleh W32/Zbot.DBB
 
Gambar 14, Informasi pengirim email phishing yang sebenarnya
 
Berikut ciri-ciri email phishing yang dikirimkan oleh W32/Zbot.DBB (lihat gambar 15).
 
Text Box: Form            : “Facebook" < 
update+xxx@facebookmail.com>

Subject        : New login system/Facebook account update/Facebook 
Update Tools 
           (acak)

To          : (acak) 

Message      : 

Dear Facebook user,

In an effort to make your online experience safer and more enjoyable, 
Facebook will be implementing a new login system that will affect all 
Facebook users. These changes will offer new features and increased 
account security.
Before you are able to use the new login system, you will be required to
 update your account.

Click here to update your account online now.
If you have any questions, reference our New User Guide.

Thanks,
The Facebook Team

Catatan: xxx adalah karakter acak
Gambar 15, Ciri email phishing yang dikirimkan oleh virus.
 
Jadi harap berhati-hati jika menerima email walaupun dari Admin Facebook terutama yang mempunyai subject  di bawah ini, sebaiknya HAPUS dan jangan ikuti informasi yang terdapat dalam email tersebut.
 
Cara membersihkan W32/Zbot.DBB
1)    Putuskan komputer yang akan di bersihkan dari jaringan/internet
2)    Disable [System Restore] selama proses pembersihan [jika menggunakan Windows XP] (lihat gambar 16)
 
·         Buka Windows Explorer
·         Klik kanan [My Computer]
·         Klik [Properties]
·         Klik tabulasi [System Retore]
·         Centang opsi [Turn off System Restore on all drives]
·         Klik tombol [Apply]
·         Klik tombol [OK]
Gambar 16, Disable [System Restore] Windows
 
3)    Install tools “unlocker” untuk menghapus file virus yang menginjeksi proses Windows [http://unlocker.en.softonic.com/download]
4)    Sebaiknya lakukan pembersihan melalui “safe mode”
5)    Matikan proses virus yang aktif di memori. Silahkan gunakan tools pengganti Task Manager seperti “Security Task Manager” [http://www.neuber.com/taskmanager/download.html] seperti terlihat pada gambar di bawah ini dengan cara : (lihat gambar 17 dan 18)
 
a.    Klik kanan pada file yang dianggap virus [sdra64.exe]
b.    Klik [remove]
c.    Pilih opsi [move file to quarantine]
d.    Klik [OK]
 
Gambar 17, Mematikan proses virus dengan “security task manager”
           
                       
                        Gambar 18, Menghapus file virus
           
6)    Hapus file yang dibuat oleh virus dengan terlebih dahulu menampilkan file yang tersembunyi : (lihat gambar 19)
·         Buka [Windows Explorer]
·         Klik menu [Tools]
·         Klik [Properties]
·         Klik tabulasi [View]
·         Check list opsi [Show hidden files and folders]
·         Uncheck opsi [Hide protected operating system files (recommanded).
Gambar 19, Menampilkan file yang tersembunyi
     
Kemudian hapus file berikut:
·         C:\WINDOWS\system32\sdra64.exe
·         C:\Windows\system32\lowsec
-       local.ds
-       user.ds
-       user.ds.lll
Catatan:
Untuk menghapus folder [C:\Windows\system32\lowsec] dan [C:\windows\system32\sdra64.exe], gunakan tools “unlocker” untuk memisahkan proses tersebut dengan proses system windows (services.exe, lsass.exe, alg.exe, svchost.exe dan iexplore.exe),  karena kedua file tersebut akan menginjeksi file Windows di atas, caranya : (lihat gambar 20)
·         Klik kanan pada file [C:\windows\system32\sdra64.exe] atau folder [C:\Windows\system32\lowsec]
·         Kemudian klik menu [unlocker]
·         Pada layar unlocker, pilih opsi [Hapus]
·         Kemudian klik tombol [OK]
·         Jika muncul pesan error, di abaikan saja (klik ok)
Gambar 20, Menghapus file dengan menggunakan unlocker
 
7)    Hapus registry yang dibuat oleh virus. Untuk mempercepat proses pembersihan silahkan salin script di bawah ini pada program notepad, kemudian simpan dengan nama REPAIR.INF. Jalankan file tersebut dengan cara:
a.    Klik kanan REPAIR.INF
b.    Klik INSTALL
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,userinit,0, "userinit.exe"
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,47543326
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,PromoReg
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,EnableProfileQuota
HKLM, SOFTWARE\AGProtect
HKLM, SOFTWARE\47543326
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network, UID
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, Rlist
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}
8)    Hapus file temporary dan temporary internet file dengan menggunakan tools ATF-Cleaner
 
9)    Restart komputer kemudian booting ke mode “safe mode”
10) Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date. Anda juga dapat membersihkan dengan menggunakan tools Norman Malware Cleaner  (lihat gambar 21 dan 22)
Gambar 21, Hasil deteksi Malwarebytes Anti Malware
Gambar 22, Hasil deteksi Norman Malware Cleaner
semoga info ne bermafaat 
Salam,,,,
By.telaga merah

google translate

MISTERY TELAGA MERAH BLOG

widgeo.net
free counters


free web site trafffic and promotion
Widget By: Forantum