ARMEDI™

Forum Arek Arek Medina
 
IndeksPortailCalendarFAQPencarianPendaftaranAnggotaGroupLogin

Share | 
 

 Aws Virus baru...

Topik sebelumnya Topik selanjutnya Go down 
PengirimMessage
•de®yl_oioi•
Prajurit Baru
Prajurit Baru


Male
Jumlah posting : 240
Location : wakakaka... g tau d mana d panti galuh kayanya,loh koq d panti galuh???
Registration date : 14.11.07

PostSubyek: Aws Virus baru...   Mon Dec 10, 2007 7:03 pm

Drive by Download 3 Desember 2007
Hati-hati ancaman virus kartu ucapan akhir tahun melalui drive by download !!

(Artikel Chip 11 – 2007 (November))

Benteng Maginot adalah suatu sistem pertahanan Perancis pada tahun 1940-an yang tersebar di sepanjang perbatasannya dengan Jerman dan Italia. Benteng ini memiliki kemampuan pertahanan yang sangat kuat dan dibangun berdasarkan pengalaman perang defensif Perang Dunia I. Tetapi sejarah membuktikan bahwa pada Perang Dunia II, pasukan Jerman tidak bodoh dengan menyerang Perancis melalui perbatasannya sehingga harus menghadapi benteng Maginot ini, tetapi malahan menyerang Perancis melalui Belgia dan Belanda menembus hutan Ardennes dan sampai di Utara Perancis dan akhirnya seperti kita ketahui Jerman berhasil menaklukkan Perancis.

Hal yang mirip terjadi pada pertempuran di dunia IT hari ini. Para administrator mailserver yang pada mulanya memperbolehkan lampiran apapun melewati server dan tiba di mail client pengguna email. Tetapi karena pembuat virus memanfaatkan lampiran email sebagai sarana untuk menyebarkan dirinya dan beberapa bahkan melakukan rekayasa sosial dengan memalsukan diri sebagai lampiran yang tidak berbahaya seperti .txt atau .jpg maka akhirnya para administrator mailserver juga melakukan blok pada lampiran-lampiran berbahaya dan hanya membolehkan beberapa lampiran lewat seperti .zip dan .rar. Tetapi menilik perkembangan terakhir dimana pembuat virus juga mulai menggunakan lampiran .zip dan .rar, bahkan perkembangan terakhir yang cukup mengejutkan dimana lampiran yang tidak berbahaya seperti .pdf pun menjadi lampiran yang berbahaya karena virus memanfaatkan celah keamanan pada Adobe Acrobat yang terbaru sehingga dapat menembus pertahanan OS dan melumpuhkan firewall Microsoft maka banyak administrator mengambil jalan pintas. BLOK semua lampiran. Walaupun secara tidak langsung hal ini menurunkan derajat dimana menerima email mirip dengan menerima SMS, tetapi hal ini dipercaya dapat memberikan keamanan bagi pengguna akhir yang memang menjadi incaran para pembuat virus guna menyebarkan dirinya. Apakah hal ini berhasil mengamankan penerima email 100 % dari serangan virus ? Ibarat Benteng Maginot, para pembuat virus pada mulanya tidak berdaya menghadapi bloking ini, tetapi ibarat tentara Jerman yang tidak bodoh untuk berhadapan langsung, para pembuat virus jugatidak kalah cerdik dan akhir-akhir ini berhasil menemukan cara untuk mengatasi pengamanan no attachment yang diterapkan oleh administrator mailserver yang radikal ini. Bagaimana caranya ? Jawabannya adalah “Drive by Download”.

Dalam papernya “The Ghost in The Browser”, team Google memberikan informasi yang sangat mengejutkan bahwa lebih dari 10 % website yang ada di internet mengandung malware yang ditujukan untuk menginfeksi pengunjung yang datang ke website tersebut. Dengan kata lain, setiap 10 website yang anda kunjungi ada 1 yang mengandung malware berbahaya yang siap menerkam saat anda mengunjungi website tersebut, sebagai contoh adalah website yang menawarkan konten pornografi dan website crack. Anda jangan lega dulu jika tidak suka dengan pornografi dan crack, karena website umum juga ternyata banyak yang mengandung malware dan penyebabnya adalah banner-banner pertukaran iklan pada website “lurus” tersebut ataupun website yang memang berhasil ditembus dan dikuasai oleh hacker jahat. Apakah hanya begitu saja ? Menunggu korban tidak berdosa datang ke website tentu tidak efektif dan harus ada umpannya. Bagaimana para pembuat virus menggiring korbannya untuk mengunjungi website ini sehingga menjadi korban Drive by Download ?

Jawabannya adalah perkembangan dari virus W32/Luder atau dikenal juga dengan nama W32/Drev. Jika virus Luder akan datang dengan lampiran “postcard.exe” pada email dan kemungkinan besar akan berhasil di blok oleh mailserver yang menolak lampiran, sudah lampiran, .exe lagi (ibarat manusia, dosanya bertumpuk tapi mau masuk surga, mana mungkin dikasih lewat Razz). Namun virus yang baru ini tidak mengandung lampiran dan akan datang sebagai email biasa sehingga tentunya tidak ada yang bisa diblok oleh mailserver. (Lihat gambar 1)




Gambar 1, Email virus baru yang memanfaatkan fitur Drive by Download untuk menyebarkan dirinya

Tampilan Rekayasa Sosial yang canggih

Virus yang datang dalam lampiran postcard.exe sebenarnya merupakan varian baru dari Luder karena memiliki tampilan yang lebih canggih dan meyakinkan. Virus ini akan merekayasa dirinya seakan-akan anda mendapatkan kartu ucapan, sebagai contohnya adalah yang diterima Vaksincom “seakan-akan” ada kartu ucapan yang dikirimkan melalui Hallmark www.hallmark.com. Baik bagian pengirim “From” dipalsukan dari E-cards@hallmark.com dan tampilan body email juga sangat meyakinkan kecuali salah eja “recieved” yang harusnya “received” (yang dalam waktu singkat diperbaiki oleh pembuat virus pada varian berikutnya yang bahkan datang tanpa memanfaatkan tampilan logo macam-macam dan hanya plain text saja, dengan memalsukan email dari greetings.com, domain yang juga dimiliki oleh Hallmark). Selain itu, perbedaan utama adalah link untuk melihat kartu ucapan “To see it, click here” yang dipalsukan. Link tersebut tidak terlihat, kecuali di klik atau di lihat propertynya. Disini terlihat bahwa link tersebut mengarahkan download pada IP lain http://195.199.145.57 diluar hallmark dan jika link ini di klik, maka akan memicu download file dengan nama “postcard.exe” (lihat gambar 2).




Gambar 2, Link download kartu ucapan yang memicu download virus dengan nama file “postcard.exe”.

Guna memastikan bahwa Postcard.exe adalah virus, maka penulis melakukan scan dengan Norman Virus Control dan hasilnya adalah Norman Virus Control dengan teknologi Sandboxnya mampu mendeteksi file tersebut sebagai virus W32/Hidewindows.C.dropper. (lihat gambar 3)



Gambar 3, Norman mendeteksi file “postcard.exe” sebagai virus dengan nama W32/Hidewindows.C.dropper.

Dari penelusuran di atas, pembaca tentunya dapat mengambil kesimpulan bahwa para pembuat virus sekarang tidak kalah pintar dengan tentara Jerman yang dulu menyerang Perancis di tahun 1940. Daripada berhadapan langsung dengan pertahanan benteng Maginot yang sudah siap menghadapi serangan, Jerman memilih menyerang Perancis dari Belgia dan Belanda yang tidak memiliki benteng Maginot. Daripada repot-repot memikirkan cara menghadapi bloking lampiran oleh administrator mailserver sehingga efektivitas penyebaran virusnya menurun maka pembuat virus memilih untuk tidak mengirimkan virus melalui lampiran email, tetapi memanfaatkan email untuk mengarahkan penerimanya mendownload / menjalankan file virus dari browser (Drive by Download).

Virus ini perlu diwaspadai, dan terbukti pada Lebaran 2007 virus ini berusaha memanfaatkan event tersebut dengan mengirimkan dirinya seakan-akan kartu ucapan lebaran. Apalagi akhir tahun dimana pengiriman kartu ucapan mencapai tingkat tertinggi, maka virus ini akan mendapatkan momentum yang terbaik di bulan Desember 2007

_________________
•Trivium Addicted•
Hacking is not only about theory, it's something to practice, and action. Hacking theories, learn and understand them. Then, time to practice and action! Furthermore, hack to earn fun.
may be some times you will be mine my princess

Kembali Ke Atas Go down
Lihat profil user http://underpressure.gogoo.us
•de®yl_oioi•
Prajurit Baru
Prajurit Baru


Male
Jumlah posting : 240
Location : wakakaka... g tau d mana d panti galuh kayanya,loh koq d panti galuh???
Registration date : 14.11.07

PostSubyek: Re: Aws Virus baru...   Mon Dec 10, 2007 7:13 pm

W32/Autorun.AD 9 Oktober 2007

Giliran Battosai yang menyerang komputer anda

Dapatkan info ancaman virus terbaru lebih cepat di HP anda. Vaksincom bekerjasama dengan Kompas Cybermedia mengirimkan informasi ancaman virus terakhir langsung ke HP anda http://www.kompasmobile.com/detail.cfm?id=50&iid=763836828

Tidak tahu apa hubungannya manga Jepang dengan Virus, tetapi yang jelas pembuat virus yang satu ini penggemar komik Samurai X yang jagoannya Kenshin Himura dan sering disebut Battosai. Virus yang terdeteksi oleh Norman Virus Control sebagai W32/Autorun.AD ini cukup merepotkan karena tetap aktif di Safe Mode dan Safe Mode with Command Prompt dan mengganti background komputer korbannya dengan gambar Battosai. (lihat gambar 1)

Perkembangan dan penyebaran virus semakin cepat, dan tentunya ada saja yang selalu dijadikan imajinasi oleh si pembuat virus. Begitupun yang terjadi pada worm ini, mungkin saja si pembuat virus adalah penggemar berat dari serial anime jepang ini atau sekedar iseng saja menggunakan karakter tokoh tsb.

Jika anda menemukan folder windows anda berubah menjadi background seorang samurai, maka anda dipastikan telah terinfeksi oleh W32/Autorun.AD.



Gambar 1, Background yang dirubah oleh virus Battosai





Virus ini terbilang tidak terlalu rumit, karena dia tidak memblok program aplikasi windows seperti task manager, regedit dan msconfig. Selain itu dia juga tidak memblok fungsi windows seperti folder options. Jika virus ini aktif, dia akan berjalan di proses tanpa icon dan nama aplikasi yang berjalan. (lihat gambar 2)



Gambar 2, Proses virus Battosai



File Virus

Seperti biasa, virus ini memiliki beberapa file induk yaitu diantaranya :

* C:\WINDOWS\desktop.ini
* C:\WINDOWS\System32\windxp.ini
* C:\WINDOWS\system32\restoration.msd
* C:\WINDOWS\system32\CommandPrompt.Sysm
* C:\WINDOWS\explore.exe



* Agar dapat aktif pada saat menyalakan komputer/reboot, ia membuat file pada startup windows, yaitu :
* C:\Documents and settings\%user%\Start Menu\Programs\Startup\AdobeGamma.pif



Serta membuat string registry pada saat windows login :

o HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell ===> Explorer.exe "c:\windows\explore.exe" (lihat gambar 3)



Gambar 3, Registry yang dirubah virus Battosai



Kemudian, virus akan membuat beberapa file duplikat, yaitu :

* C:\WINDOWS\Temp\Vel.exe
* C:\WINDOWS\Temp\Ngsys.exe
* C:\WINDOWS\Temp\rvshost.exe
* C:\WINDOWS\Temp\system31.exe
* C:\WINDOWS\Temp\userint.exe
* C:\WINDOWS\Temp\windxp.exe
* C:\WINDOWS\Temp\winzipt.exe
* C:\Documents and Settings\%user%\Local Settings\Temp\Ngsys
* C:\Documents and Settings\%user%\Local Settings\Temp\runer
* C:\Documents and Settings\%user%\Local Settings\Temp\rvshost
* C:\Documents and Settings\%user%\Local Settings\Temp\system31
* C:\Documents and Settings\%user%\Local Settings\Temp\userint
* C:\Documents and Settings\%user%\Local Settings\Temp\vel
* C:\Documents and Settings\%user%\Local Settings\Temp\windxp
* C:\Documents and Settings\%user%\Local Settings\Temp\winzipt



Semua file duplikat yang dibuat tersebut diatas mempunyai ciri sebagai berikut :

* Icon tidak ada (hilang)
* Ukuran file 91 kb
* Tipe file icon
* Extension exe



Untuk menyamarkan tipe file ia membuat string registry :

o HKCR\exefile

(default) ===> icon

Nevershowext ===>

o HKLM\SOFTWARE\Classes\exefile

(default) ===> icon

Nevershowext ===>



Seperti kita ketahui virus ini tidak memblok fungsi windows seperti folder options, tetapi akan mencoba melakukan perubahan terhadap setting folder options. Untuk itu ia akan membuat string registry (lihat gambar 4) :

o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

ShowSuperHidden ===> 0

o HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

CheckedValue ===> 1

DefaultValue ===> 1



Sebagai penunjang, ia akan membuat string registry pada :

o HKLM\SOFTWARE\Microsoft\Windows|CurrentVersion\Run

def ===> C:\WINDOWS\Temp\Vel.exe

SysRestore ===> c:\windows\system32\restoration.msd

o HKCU\Control Panel\Desktop

SCRNSAVE.exe ===> C:\WINDOWS\Temp\%fileduplikat%.exe



Aktif pada Safe Mode & Safe Mode with Command Prompt

Selain aktif pada mode “normal”, virus ini pun aktif pada mode “safe mode” dan “safe mode with command prompt”. Untuk itu ia membuat string registry pada :

o HKLM\SYSTEM\ControlSet001\Control\SafeBoot

AlternateShell ===> c:\windows\system32\CommandPrompt.Sysm

o HKLM\SYSTEM\ControlSet002\Control\SafeBoot

AlternateShell ===> c:\windows\system32\CommandPrompt.Sysm

o HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

AlternateShell ===> c:\windows\system32\CommandPrompt.Sysm



Media Penyebaran

Sebagai media penyebarannya, ia menggunakan fitur autoplay/autorun pada windows sehingga akan lebih mudah baik pada disket, flashdisk ataupun removable drive yang lain. Ia akan membuat 2 file duplikat, yaitu : autorun.inf dan copy of desktop.ini. (lihat gambar 4)

Gambar 4, File duplikat yang dibuat oleh virus



Cara mengatasi W32/Autorun.AD



1. Disconnect komputer dari jaringan.
2. Disable system restore (windows XP/Vista/2003) selama proses pembersihan.
3. Matikan proses yang aktif di memory, dengan menggunakan task manager atau beberapa tools yang lain seperti curprocess atau procexp. (lihat gambar 5)

Gambar 5, Matikan proses virus Battosai dengan Task Manager Windows



4. Hapus beberapa string registry yang dibuat virus.



[Version]

Signature="$Chicago$"

Provider=Vaksincom



[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del



[UnhookRegKey]

HKCR, exefile,,,"Application"

HKLM, SOFTWARE\Classes\exefile,,,"Application"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0x00010001,1

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"





[del]

HKCR, exefile, NeverShowExt

HKLM, SOFTWARE\Classes\scrfile, NeverShowExt

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, def

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SysRestore

HKCU, ControlPanel\Desktop, SCRNSAVE.EXE



5. Hapus file virus



File induk

o C:\WINDOWS\desktop.ini

o C:\WINDOWS\System32\windxp.ini

o C:\WINDOWS\System32\restoration.msd

o C:\WINDOWS\System32\CommandPrompt.Sysm

o C:\WINDOWS\explore.exe

o C:\Documents and settings\%user%\Start Menu\Programs\Startup\AdobeGamma.pif



o File duplikat
o C:\WINDOWS\Temp\Vel.exe
o C:\WINDOWS\Temp\Ngsys.exe
o C:\WINDOWS\Temp\rvshost.exe
o C:\WINDOWS\Temp\system31.exe
o C:\WINDOWS\Temp\userint.exe
o C:\WINDOWS\Temp\windxp.exe
o C:\WINDOWS\Temp\winzipt.exe
o C:\Documents and Settings\%user%\Local Settings\Temp\Ngsys
o C:\Documents and Settings\%user%\Local Settings\Temp\runer
o C:\Documents and Settings\%user%\Local Settings\Temp\rvshost
o C:\Documents and Settings\%user%\Local Settings\Temp\system31
o C:\Documents and Settings\%user%\Local Settings\Temp\userint
o C:\Documents and Settings\%user%\Local Settings\Temp\vel
o C:\Documents and Settings\%user%\Local Settings\Temp\windxp

o C:\Documents and Settings\%user%\Local Settings\Temp\winzipt



6. Untuk pembersihan secara optimal, gunakan Norman Virus Control yang sudah terupdate dan sudah dapat mengenali virus ini dengan baik. (lihat gambar 6)

Gambar 6, Norman Virus Control mendeteksi virus Battosai sebagai W32/Autorun.AD

_________________
•Trivium Addicted•
Hacking is not only about theory, it's something to practice, and action. Hacking theories, learn and understand them. Then, time to practice and action! Furthermore, hack to earn fun.
may be some times you will be mine my princess

Kembali Ke Atas Go down
Lihat profil user http://underpressure.gogoo.us
 
Aws Virus baru...
Topik sebelumnya Topik selanjutnya Kembali Ke Atas 
Halaman 1 dari 1
 Similar topics
-
» Beberapa Masalah Yang Perlu Diwaspadai Pengantin Baru
» Ditemukan, Obat Kemoterapi Baru untuk Kanker Payudara Ganas
» Virus yang lagi Hangat
» OPEN TRIP PULAU PRAMUKA 31 - 01 Januari 2016 (TAHUN BARU)
» OPEN TRIP DIENG 30 DESEMBER - 01 JANUARI 2016 - TAHUN BARU

Permissions in this forum:Anda tidak dapat menjawab topik
ARMEDI™ :: Hobi :: Komputer, Intermet, Sekuriti, Dan Hacking-
Navigasi: