DIBACA YO,,,,,,,,,,!?????

Laman

lintas berita n banner temen

virus trojan W32/VB.CEPA

W32/VBTroj.CEPA
 
Dipertengahan tahun 2010 telah muncul virus dengan menggunakan bahasa program Visual Basic tetapi efek yang dihasilkan cukup merepotkan, ia akan melakukan blok terhadap ”hampir” semua tools security termasuk antivirus yang umum sering digunakan oleh user dengan cara membaca ”nama file” dari aplikasi tersebut.
Virus ini juga melakukan blok akses ke beberapa situs security atau situs lain yang telah ditentukan dengan cara mengalihkan ke nomor ip 209.85.225.99 yang merupakan ip publik www.google.com (lihat gambar 1),  secara tidak langsung sebenarnya menyebabkan Ddos terhadap situs Google.com. Apakah ada hubungan atau tidak dengan serangan terhadap Google di China yang mengakibatkan Google mempertimbangkan untuk hengkang .... kita lihat saja. Yang jelas, makin banyak komputer yang terinfeksi oleh virus ini, maka akses (yang secara tidak langsung menyebabkan Ddos) terhadap situs awal Google akan makin tinggi.
Sehingga setiap kali user mencoba untuk akses ke website tertentu termasuk website security / antivirus, maka yang muncul adalah situs www.google.com. Untuk melakukan hal ini ia akan menambahkan alamat website yang akan di blok ke sebuah file HOSTS yang berada di direktori  [C:\Windows\System32\Drivers\etc]
Gambar 1, Alamat website yang dialihkan oleh virus
 
Virus ini menyebar dengan memanfaatkan media chatting yang pada umum digunakan oleh user seperti Yahoo Messenger, MSN Messenger dan Skype dengan cara mengirimkan sebuah pesan dan melampirkan link untuk download sebuah file yang direkayasa seolah-olah file gambar (JPG) tetapi sebenarnya merupakan file virus yang sudah dikompres dengan nama file [%file%.JPG.ZIP] dengan ukuran yang berdeda-beda tegantung pada varian yang menginfeksi komputer tersebut, file yang dikompres tersebut mempunyai ekstensi EXE. Jika anda menerima pesan tersebut sebaiknya jangan anda terima apalagi menjalankan file yang disertakan walaupun dari kontak Messenger teman yang anda kenal, memang bukan teman anda yang mengirimkan virus tetapi virus yang menginfeksi komputernya dan memanfaatkan rekening Messengernya. (lihat gambar 2)
 
Gambar 2, Contoh pesan yang dikirimkan oleh virus
 
Salah satu hal yang menyebabkan virus ini sukses menyebar selain menggunakan media yang disebutkan di atas, ia juga akan melakukan update untuk memperbaharui dirinya hal inilah yang menyebabkan scaner antivirus tidak dapat mendeteksi virus tersebut. Virus ini semakin kuat bercokol dengan bantuan sebuah file rootkit yang bertugas untuk melindungi file induk yang aktif di memori, sehingga pembersihan yang dilakukan melalui windows Normal, Safe Mode atau safe Mode With Command Prompt terkadang tidak dapat menyelesaikan masalah, bagaimana mengatasi hal ini ? Silahkan simak pada bagian terakhir artikel ini.
Seperti yang sudah di jelaskan di atas bahwa virus ini dibuat dengan menggunakan bahasa Visual Basic, untuk file induk virus ini mempunyai ukuran yang bervariasi tergantung dari varian yang menginfeksi komputer target, biasanya akan mempunyai ukuran di atas 200 KB, sedangkan file pendukung lainnya mempunyai ukuran yang berbeda-beda yang akan di simpan didirektori yang berbeda-beda. (lihat gambar 3)
 
Gambar 3, File induk virus
 
Virus ini akan menggunakan icon Project Visual Basic dan untuk beberapa kasus akan menggunakan icon MSN Messanger untuk mengelabui user.
 
Bagaimana mengenali virus ini?
§  Akan menampilkan website www.google.com pada saat user mengakses web security / web antivirus, untuk beberapa varian tidak akan menampilkan website di atas.
§  Disable CMD dengan cara menutup aplikasi ini secara otomatis saat dijalankan.
§  Untuk beberapa varian, komputer yang terinfeksi akan dapat mengakses komputer lain dalam jaringan. Tetapi sebaliknya, komputer tersebut tidak akan dapat diakses oleh komputer lain dalam jaringan. Salah satu kemungkinan aksi ini dilakukan adalah untuk mempersulit pembersihan dan sekaligus mencegah infeksi ulang pada komptuer yang sudah terinfeksi.
§  Terdapat perubahan pada file [C:\Windows\system32\drivers\etc\hosts], dengan menambahkan daftar alamat website yang akan di blok dengan format penulisan ip 209.85.225.99 yang di ikuti alamat website, untuk beberapa kasus virus ini akan mengenkripsi file hosts tersebut sehingga user tidak dapat mengetahui isi script yang di ubah, dengan bantuan tools maka anda dapat melihat dengan jelas isi dari file hosts tersebut. (lihat gambar 4 dan 5)
 
Gambar 4, Isi file hosts yang di ubah oleh virus
 
Gambar 5, Dengan bantuan HijackThis dapat melihat isi file hosts yang diubah dan dienkripsi oleh virus
 
Norman Security Suite mendeteksi virus ini sebagai W32/VBTroj.CEPA (lihat gambar 6)
Gambar 6, Norman Security Suite mendeteksi virus Messenger sebagai W32/VBTroj.CEPA
 
File induk Virus
Pada saat virus ini di aktifkan, ia akan membuat beberapa file induk yang  akan di simpan dibeberapa lokasi yang berbeda-beda yang akan di aktifkan setiap kali komputer dinyalakan. Selain itu virus ini juga akan menyamarkan dirinya sebagai sebuah service Windows dan sebuah drivers yang berfungsi sebagai rootkit yang salah satu tugasnya akan melindungi proses virus yang aktif dimemori sehingga mempersulit dalam proses pembersihan dengan nama file yang berbeda-beda.
 
Berikut beberapa file yang akan dibuat oleh virus:
  • C:\windows\System32
ü  Wmi%xxx.exe, dimana xxx menunjukan karater acak (contohnya: wmispqd.exe, wmisrwt.exe, wmistpl.exe, atu wmisfpj.exe) dengan ukuran file yang berbeda-beda tergantung varian yang menginfeksi computer target.
ü  %xxx%.exe@, dimana %xxx% menunjukan karakter acak (contoh: qxzv85.exe@) dengan ukuran yang berbeda-beda tergantung varian yang menginfeksi.
ü  secupdat.dat
  • C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sekitar 6 kb atau 16 kb (tergantung varian yang menginfeksi). File ini akan disembunyikan oleh virus guna mempersulit dalam penghapusan.
  • C:\Windows\System32\drivers
ü  Kernelx86.sys
ü  %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran sekitar 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)
ü  Ndisvvan.sys
ü  krndrv32.sys
  • C:\Documents and Settings\%user%\secupdat.dat
  • C:\Windows\INF
ü  netsf.inf
ü  netsf_m.inf
 
Autorun
Agar file tersebut dapat di jalankan secara otomatis, ia akan membuat string pada  registri dengan memanipulasi file windows dengan nama ctfmon.exe, Sebenarnya trik ini digunakan agar user tidak curiga, tapi jika dilusuri lebih jauh ini adalah langkah yang brilian karena file ini justru mempunyai peranan yang sangat penting agar dirinya dapat aktif secara otomatis dengan menjalankan file virus yang sudah ditentukan. Selain itu ia juga akan aktif setiap kali user menjalankan file “explorer.exe” atau membuka  aplikasi “Windows Explorer”
 
Ø  HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
·         ctfmon.exe
Ø  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe
·         Debugger =  %file_induk_virus%.exe (contoh : wmistpl.exe)
Ø  HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
·         shell = explorer.exe "C:\Documents and Settings\%user%\%xx%.exe”
Catatan: %xx%, adalah karakter acak, contoh:  rllx.exe
Ø  HKEY_LOCAL_MACHINE\system\ControlSet001\services
·         %xx% menunjukan file acak
o   Image path = System32\drivers\%xx%.sys (contoh: jdwjlyju.sys)
Ø  HKEY_LOCAL_MACHINE\system\CurrentControlSet\services
·         %xx% menunjukan file acak      
o   Image path = System32\drivers\%xx%.sys (contoh: jdwjlyju.sys)
 
Blok fungsi Windows
Untuk memperlancar aksi nya ia akan blok beberapa fungsi windows termasuk disable System Restore, disable Windows Firewall, disable RPC DCOM, disable upgrade  Service Pack 2 dan tidak bisa menampilkan file yang tersembunyi dengan merubah string pada registry berikut:
 
Ø  HKEY_LOCAL_MACHINE\software\microsoft\ole
·         EnableDCOM =  N
 
Ø  HKEY_LOCAL_MACHINE\software\microsoft\security center
·         AntiVirusDisableNotify = 1
·         FirewallDisableNotify = 1
·         AntiVirusOverride = 1
·         FirewallOverride = 1
 
Ø  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
·         DisableConfig = 1
 
Ø  HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate
·         DoNotAllowXPSP2 = 1
 
Ø  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
·         DefaultValue = 0
·         CheckedValue = 1
 
Ø  HKEY_LOCAL_MACHINE\system\ControlSet001\control\lsa
·         restrictanonymous = 1
 
Ø  HKEY_LOCAL_MACHINE\system\CurrentControlSet\control\lsa
·         restrictanonymous = 1
 
Ia juga akan merubah registry berikut:
 
Ø  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
·       userinit = C:\WINDOWS\system32\Userinit.exe, ,C:\Documents and Settings\%user%\%files_virus%.exe \s (%file_virus, menunjukan nama file yang berbeda-beda tergantung varian yang menginfeksi, ontohnya: fnhh.exe).
 
Agar file virus tersebut dapat aktif secara bebas di computer target, ia juga akan mendaftarkan file induk virus tersebut dan rule windows firewall berikut :
 
Ø  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
·         C:\windows\system32\%file_induk_virus%.exe (contoh: wmistpl.exe) = C:\windows\system32\%file_induk_virus%.exe (contoh: wmistpl.exe) :*:Enabled:UPnP Firewall
Ø  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
·         C:\windows\system32\ file_induk_virus%.exe (contoh: wmistpl.exe) = C:\windows\system32\%file_induk_virus%.exe (contoh: wmistpl.exe) :*:Enabled:UPnP Firewall
 
Selain dengan membuat string registry ia juga akan blok “hampir” semua tools sekuriti yang umum digunakan dengan cara membaca nama file dari aplikasi tersebut.
 
Blok akses Internet
Sebagai oleh-oleh ia akan mencoba untuk blok akses ke website security termasuk antivirus, dengan cara menampilkan website www.google.com (untuk beberapa varian tertentu untuk blok akses web sekuriti tidak akan menampilkan web www.google.com).
 
Untuk melakukan aksinya virus ini akan merubah isi file Hosts Windows yang berada di direktori [C:\Windows\System32\Drivers\Etc\Hosts] dengan cara menambahkan nomor ip publik www.google.com di ikuti dengan alamat website yang akan diblok dan untuk beberapa kasus virus ini akan mengenkripsi file tersebut sehingga user tidak dapat mengetahui isi dari tersebut. (lihat gambar 7dan 8)
 
Gambar 7, Isi hosts file windows yang telah di enkripsi
 
Gambar 8, Isi hosts file windows yang telah diubah oleh virus setelah di dekrip
 
Update layaknya antivirus
Virus ini dapat melakukan update layaknya program antivirus dengan mendownload beberapa file dari website yang telah ditentukan, file ini biasanya akan di simpan didirektori [C:\Windows\System32] dengan format file %xxx%.exe@, dimana %xxx% merupakan nama file dan ukuran yang berbeda-beda (contoh: qxzv85.exe@)
 
Blok akses “Safe Mode” dan  ”Safe Mode with command prompt”
Untuk beberapa kasus virus ini juga akan berupaya untuk menghapus key “safeboot” sehingga komputer tidak dapat booting ke mode “safe mode” dan “safe mode with command prompt”. Untuk melakukan hal ini ia akan menghapus string berikut:
 
Ø  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
Ø  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
Ø  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
 
Media Penyebaran
Untuk menyebarkan dirinya ia akan memanfaatkan media chatting yang umum digunakan oleh user seperti Yahoo Messenger, Gtalk, Skype dan MSN Messenger dengan mengirimkan sebuah pesan kesemua alamat ID yang ada di komputer target dengan menyertakan link untuk mendownload sebuahlampiran yang sudah dikompresi dengan ukuran yang bervariasi sesuai dengan varian yang menginfeksi, file tersebut mempunyai nama file [%file%.JPG.ZIP], file yang dikompres tersebut mempunyai ekstensi EXE. Jika menerima pesan tersebut sebaiknya jangan anda terima apalagi menjalankan file yang disertakan kecuali anda mau terinfeksi virus ini.
Pesan yang akan disampaikan mempunyai isi yang berbeda-beda, sedangkan untuk link yang di sertakan salah satunya mengarah kesebuah alamat 208.77.45.10. (lihat gambar 9 dan 10)
Gambar 9, Pesan yang dikirimkan oleh virus
 
Gambar 10, Salah satu domain tempat untuk download file virus
 
Cara membersihkan Virus YM
1.    Putuskan komputer yang akan di bersihkan dari jaringan maupun internet
2.       Ubah nama file [C:\Windws\system32\msvbvm60.dll] menjadi [xmsvbvm60.dll] untuk mencegah virus aktif kembali selama proses pembersihan.
3.       Sebaiknya lakukan pembersihan dengan menggunakan Tools Windows Mini PE Live CD hal ini disebabkan untuk beberapa file induk dan file rootkit yang menyamar sebagai services dan drivers sulit untuk di hapus terlebih file ini akan disembunyikan oleh virus.
         
Kemudian booting komputer dengan menggunakan software Mini PE Live CD tersebut. Setelah itu hapus beberapa file iduk virus dengan cara : (lihat gambar 11)
·         Klik menu [Mini PE2XT]
·         Klik menu [Programs]
·         Klik menu [File Management]
·         Klik menu [Windows Explorer]
·         Kemudian hapus file berikut:
 
ü C:\Windows\System32
§  Wmi%xxx.exe, dimana xxx menunjukan karater acak (contohnya: wmispqd.exe, wmisrwt.exe, wmistpl.exe, atu wmisfpj.exe) dengan ukuran file yang berbeda-beda tergantung varian yang menginfeksi computer target.
§  %xxx%.exe@, dimana %xxx% menunjukan karakter acak (contoh: qxzv85.exe@) dengan ukuran yang berbeda-beda tergantung varian yang menginfeksi.
§  secupdat.dat
 
ü  C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sekitar 6 kb atau 16 kb (tergantung varian yang menginfeksi).
 
ü  C:\Windows\System32\drivers
§  Kernelx86.sys
§  %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran sekitar 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)
§  Ndisvvan.sys
§  krndrv32.sys
 
ü  C:\Documents and Settings\%user%\secupdat.dat
 
ü  C:\Windows\INF
§  netsf.inf
§  netsf_m.inf
 
    
Gambar 11, Gunakan Windows Mini PE untuk menghapus file virus
 
4.       Hapus registry yang dubah dibuat oleh virus, dengan menggunakan "Avas! Registry Editor", caranya : (lihat gambar 12)
·         Klik menu [Mini PE2XT]
·         Klik menu [Programs]
·         Klik menu [Registry Tools]
·         Klik [Avast! Registry Editor]
·         Jika muncul layar konfirmasi kelik tombol "Load....."
·         Kemudain hapus registry:
 
ü  LOCAL_MACHINE_SOFTWARE\microsoft\windows\currentverson\run\\ctfmon.exe
ü  LOCAL_MACHINE_SYSTEM\ControlSet001\services\\kernelx86
ü  LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\kernelx86
ü  LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\passthru
ü  LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\\ctfmon.exe
ü  LOCAL_MACHINE_SOFTWARE\microsoft\windows nt\currentversion\winlogon
§  Ubah value pada string Userinit menjadi = userinit.exe,
ü  LOCAL_MACHINE_SOFTWARE\microsoft\windows nt\currentversion\winlogon
§   Ubah value pada string Shell menjadi = Explorer.exe
ü  LOCAL_MACHINE_SYSTEM\ControlSet001\services\\%xx%
ü  LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\%xx%
ü  LOCAL_MACHINE_SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\\C:\windows\system32\%file_induk_virus%.exe (contoh: wmistpl.exe)
ü  LOCAL_MACHINE_SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\windows\system32\%file_induk_virus%.exe (contoh: wmistpl.exe)
 
Catatan:
%xx% menunjukan karakter acak, key ini dibuat untuk menjalankan file .SYS yang mempunyai ukuran sebesar 40 KB yang berada di direktori [C:\Windows\system32\drivers\]
 
Gambar 12, Menghapus registry yang diubah oleh virus
 
5.       Restart komputer, pulihkan sisa registry yang diubah oleh virus dengan copy script berikut pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: klik kanan repair.inf | klik install
       
        [Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
 
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, software\microsoft\ole, EnableDCOM,0, "Y"
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusOverride,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallOverride,0x00010001,0
HKLM, SYSTEM\ControlSet001\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SYSTEM\ControlSet002\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SYSTEM\CurrentControlSet\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0x00010001,0
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
 
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ctfmon.exe
HKLM, SYSTEM\ControlSet001\Services\kernelx86
HKLM, SYSTEM\ControlSet002\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\mojbtjlt
HKLM, SYSTEM\ControlSet002\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\Passthru
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, DoNotAllowXPSP2
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe
 
6.    Fix registry Windows untuk mengembalikan agar komputer dapat booting “safe mode with command prompt” dengan download file FixSafeBoot.reg (Windows XP) di alamat berikut kemudian jalankan file tersebut dengan cara :
 
o   Klik menu [Start]
o   Klik [Run]
o   Ketik REGEDIT.EXE kemudian klik tombol [OK]
o   Pada layar “Registry Editor”, klik menu [File | Import]
o   Tentukan file .REG yang baru anda buat
o   Klik tombol [Open]
 
7.       Hapus file temporary dan temporary internet file. Silahkan gunakan tools ATF-Cleaner. Download tools tersebut di alamat http://www.atribune.org/public-beta/ATF-Cleaner.exe
 
8.       Restore kembali host file Windows yang telah di ubah oleh virus. Anda dapat menggunakan tools Hoster, silahkan download di alamat berikut http://www.softpedia.com/progDownload/Hoster-Download-27041.html (lihat gambar 13)
Gambar 13, Restore Host File Windows dengan menggunakan HosterExpert
 
Klik tombol [Restore MS Host File], untuk merestore file hosts Windows tersebut.
 
9.       Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini. Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download (lihat gambar 14)

Gambar 14, Hasil deteksi Norman Security Suite
  silahkan menuju artikel yg lainnya
Salam,,,,,,,,,,,,,

google translate

MISTERY TELAGA MERAH BLOG

widgeo.net
free counters


free web site trafffic and promotion
Widget By: Forantum