Kalau Mbah Surip bilang I Love You FULL, maka Alman juga akan bilang I Love You Full, khususnya bagi anda yang melakukan sharing folder di jaringan secara FULL Access (alias tanpa password). Virus jawara di Indonesia ini (nomor 2 paling banyak menyebar menurut statistik malware Vaksincom Agustus 2009) mengincar semua folder di jaringan yang dishare secara full tanpa password.
Jika sebelumnya kita disibukkan dengan penyebaran virus lokal sehingga terlena dengan virus racikan mancanegara, kini tengah santer menyebar virus yang dapat menginjeksi semua file yang mempunyai ekstensi EXE. Virus ini dapat menyebar dengan cepat melalui jaringan dengan memanfaatkan folder yang mempunyai share “Full” dan memanfaatkan “Default Share” [C$/D$/ADMIN$] selain itu virus ini juga akan menyebar dengan memanfaatkan Flash Disk dengan menginjeksi semua file EXE yang ada dan membuat file [boot.exe] dan [autorun.inf] yang berfungsi agar dirinya dapat aktif secara otomatis setiap kali user mengakses Flash Disk. Agar tidak diketahui user kedua file ini akan di sembunyikan.
Walaupun ia berusaha untuk menginfeksi file yang mempunyai ekstensi EXE tetapi ada beberapa lokasi folder yang tidak akan di infeksi yakni file yang berada di direktori dibawah ini serta bebarapa file tertentu.
- \LOCAL SETTINGS\TEMP
- \QQ
- \Windows
- \Winnt
Agar virus ini susah di hapus ia akan menyemarkan dirinya sebagai sebuah service yang akan menginfeksi sebuah file library [.dll] dari file [explorer.exe] serta memantau koneksi internet yang kemudian akan mengunduh malware lainnya dari alamat yang telah ditentukan dan secara otomatis akan menjalankan file tersebut. Virus ini dibuat dengan menggunakan program bahasa “Microsoft Visual C ++ 6.0”.
Dengan update terbaru Norman Security Suite sudah dapat mendeteksi virus ini sebagai W32/Alman. (lihat gambar 1)
Gambar 1, Hasil deteksi Norman sebagai W32/Alman
Drop File
Pada saat virus ini aktif, ia akan membuat beberapa file induk yang akan di jalankan pertama kali setiap kali komputer aktif, salah satu dari file yang dibuat ini akan aktif sebagai service windows sehingga mempersulit pada saat pembersihan:
§ C:\Windows\linkinfo.dll
§ C:\Windows\System32\drivers\LsDrv118.sys
§ C:\Windows\system32\drivers\nvmini.sys
§ C:\Windows\System32\drivers\cdralw.sys
§ C:\Windows\System32\drivers\riodrvs.sys
§ C:\Windows\System32\drivers\DKIs6.sys
Registry
Agar dirinya dapat aktif secara otomatis, ia akan membuat dirinya seolah-olah merupakan service Windows dengan terlebih dahulu membuat string pada registry berikut:
-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%file%]
o
"DisplayName" = "NVIDIA Compatible Windows Miniport Driver"
o
"ImagePath" = "%system%\drivers\%file%.sys"
-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%]
o
"NextInstance" = 1
-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%\0000]
o
"Service" = "%file%"
o
"Legacy" = 1
o
"ConfigFlags" = 0
o
"Class" = "LegacyDriver"
o
"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
o
"DeviceDesc" = "%file%"
-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%\0000\Control]
o
"NewlyCreated" = 0
o
"ActiveService" = "%file%"
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%file%
o "DisplayName" = "RioDrvs Usb Driver"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\%file%
o DisplayName" = "RioDrvs Usb Driver"
Catatan:
%file% ini berbeda-beda yang terdiri dari salah satu file dibawah ini:
- Nvmini
- Cdralw
- RioDrvs
Mematikan program/Aplikasi/Malware
W32/Alman juga akan mencoba untuk mematikan dan menghapus beberapa program/apalikasi/malware/library (dll file) salah satu file dibawah ini:
-
c0nime.exe
-
cmdbcs.exe
-
ctmontv.exe
-
explorer.exe
-
fuckjacks.exe
-
iexpl0re.exe
-
iexpl0re.exe
-
iexplore.exe
-
internat.exe
-
logo_1.exe
-
logo1_.exe
-
lsass.exe
-
lying.exe
-
msdccrt.exe
-
msvce32.exe
-
ncscv32.exe
-
nvscv32.exe
-
realschd.exe
-
rpcs.exe
-
run1132.exe
-
rundl132.exe
-
smss.exe
-
spo0lsv.exe
-
spoclsv.exe
-
ssopure.exe
-
svhost32.exe
-
svch0st.exe
-
sxs.exe
-
sysbmw.exe
-
sysload3.exe
-
tempicon.exe
-
upxdnd.exe
-
wdfmgr32.exe
-
wsvbs.exe
-
dllwm.dll
-
dllhosts.dll
-
notepad.dll
-
rpcs.dll
-
rdihost.dll
-
rdfhost.dll
-
reshost.dll
-
lgsym.dll
-
rund11.dll
-
midddsccrt.dll
-
wsvbs.dll
-
cmdb.dll
-
richdll.dll
-
wininfo.rxk
-
windhcp.dll
-
upxdhnd.dll
Ia juga akan blok proses dari software antirootkit atau network filter dibawah ini:
- SPUBDRV
- ISDRV1
- RKREVEAL
- PROCEXP
- SAFEMON
- RKHDRV10
- NPF
- IRIS
- NPPTNT
- DUMP_WMIMMC
- SPLITTER
-
EAGLENT
Media penyebaran (Flash Disk/Network)
Virus ini menyebar cukup cepat dengan memanfaatkan media Flash Disk atau Disket serta menyebar melalui jaringan.
Untuk menyebar memalui Flash Disk/Disket, ia akan membuat 2 buah file yakni boot.exe dan autorun.inf. virus ini akan aktif secara otomatis setiap kali Flash Disk tersebut dihubungkan ke komputer atau pada saat user akses ke Flash Disk tersebut. File autorun.inf ini berisi script untuk menjalankan file boot.exe. Selain meembuat 2 file tersebut, ia juga akan menginfeksi semua file yang mempunyai ekstensi EXE.
Sedangkan untuk menyebar melalui jaringan, ia akan menginfeksi semua file EXE yang ada di folder yang di sharing yang mempunyai akses “Full”. Selain itu ia juga akan mencoba untuk mengakses drive lokal pada komputer target (C:\) dengan menggunakan username administrator serta mencoba beberapa password berikut:
-
admin
-
1
-
111
-
123
-
Aaa
-
12345
-
123456789
-
654321
-
!@#$
-
qsdf
-
asdfgh
-
!@#$%
-
!@#$%^
-
!@#$%^&
-
!@#$%^&*
-
!@#$%^&*(
-
!@#$%^&*()
-
qwer
-
admin123
-
love
-
test123
-
owner
-
mypass123
-
root
-
letmein
-
qwerty
-
abc123
-
password
-
monkey
-
password1
Jika berhasil di tembus, ia akan drop dan menjalankan satu file dengan nama setup.exe pada drive C:\.
Download malware
W32/Alman juga akan mencoba untuk mengirimkan beberapa informasi dari komputer yang telah terinfeksi serta mengirimkan informasi tentang keberadaan driver dari software security dibawah ini ke pembuat virus
- Hooksys
- KWatch3
- KregEx
- KLPF
- NaiAvFilter1
- NAVAP
- AVGNTMGR
- AvgTdi
- nod32drv
- PavProtect
- TMFilter
- BDFsDrv
- VETFDDNT
Virus ini juga akan mencoba untuk mendownload malware lain dari alamat yang telah ditentukan dan menjalankan nya seperti:
- pic.imrw0rldwide.com
- soft.imrw0rldwide.com
- tj.imrw0rldwide.com
Rakus menginfeksi file EXE
Target selanjutnya yang dilakukan adalah mencoba untuk menginfeksi semua file yang mempunyai ekstensi EXE yang tidak diproteksi oleh “System File Checker (SFC)”.
Walaupun demikian tidak semua file EXE akan di infeksi oleh Alman termasuk file yang merupakan file System Windows dan file yang di proteksi oleh “System File Checker Windows (SFC)”, biasnya W32/Alman akan menginfeksi file program atau file installer serta file portable. Berikut beberapa lokasi yang tidak akan di incar oleh W32/Alman:
- ..\LOCAL SETTINGS\TEMP
- ..\QQ
- ..\Windows
- ..\Winnt
Serta beberapa file yang mempunyai salah satu nama dibawah ini:
- launcher.exe
- repair.exe
- wow.exe
- wooolcfg.exe
- woool.exe
- ztconfig.exe
- patchupdate.exe
- trojankiller.exe
- xy2player.exe
- flyff.exe
- xy2.exe
- au_unins_web.exe
- cabal.exe
- cabalmain9x.exe
- cabalmain.exe
- meteor.exe
- patcher.exe
- mjonline.exe
- config.exe
- zuonline.exe
- userpic.exe
main.exe
main.exe
- dk2.exe
- autoupdate.exe
- dbfsupdate.exe
- asktao.exe
- sealspeed.exe
- xlqy2.exe
- game.exe
- wb-service.exe
- nbt-dragonraja2006.exe
- dragonraja.exe
- mhclient-connect.exe
- hs.exe
- mts.exe
- gc.exe
- zfs.exe
- neuz.exe
- maplestory.exe
- nsstarter.exe
- nmcosrv.exe
- ca.exe
- nmservice.exe
- kartrider.exe
- audition.exe
- zhengtu.exe
Cara membersihkan W32/Alman
1. Sebaiknya disconnect komputer yang akan di bersihkan dari jaringan
2. Disable “System Restore” selama proses pembersihan berlangsung agar pembersihan bisa optimal [Windows XP/2003/Vista], caranya : (lihat gambar 2)
§ Buka [Windows Explorer]
§ Klik kanan [My Computer]
§ Klik [Properties]
§ Klik tabulasi [System Restore]
§ Centang opsi [Turn off System Restore on all drives]
§ Klik [Apply]
§ Klik [OK]
Gambar 2, Disable System Restore
3. Sebaiknya lakukan pembersihan pada mode “safe mode”
4. Matikan service virus yang aktif dimemory [jika ditemukan] dengan cara:
§ Klik [Start menu]
§ Klik [Run]
§ Ketik “services.msc” [tanpa tanda kutip], pada dialog box [RUN] kemudian klik tombol [OK]
§ Cari services virus dengan nama “
NVIDIA Compatible Windows Miniport Driver” atau “
RioDrvs Usb Driver” § Kemudian klik menu [Action] --> [Properties]
§ Klik tombol [Stop]
§ Pada bagian [Startup Type], pilih [Manual].
§ Klik [OK]
Matikan juga file yang aktif di memory dengan nama LINKINFO.DLL dengan menggunakan program “Task Manager” jika ditemukan.
5. Hapus registry Windows yang sudah dibuat oleh virus. Untuk mempermudah proses penghapusan, silahakn salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:
§ Klik kanan [repair.inf]
§ klik [Install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom FULL
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
[del]
HKLM, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SYSTEM\ControlSet001\Services\RioDrvs
HKLM, SYSTEM\ControlSet001\Services\cdralw
HKLM, SYSTEM\ControlSet001\Services\nvmini
HKLM, SYSTEM\CurrentControlSet\Services\RioDrvs
HKLM, SYSTEM\CurrentControlSet\Services\nvmini
HKLM, SYSTEM\CurrentControlSet\Services\cdralw
HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RIODRVS
HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_RIODRVS
HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini
HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_cdralw
HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_cdralw
HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini
6. Hapus file yang di drop oleh virus di direktori:
§ C:\Windows\linkinfo.dll
§ C:\Windows\System32\drivers\lsDrv118.sys
§ C:\Windows\system32\\drivers\nvmini.sys
§ C:\Windows\System32\\drivers\cdralw.sys
§ C:\Windows\System32\drivers\riodrvs.sys
§ C:\Windows\System32\drivers\DKIs6.sys
Hapus juga file Boot.exe dan autorun.inf yang dibuat di Flash Disk
Catatan:
Sebalum menghapus file tersebut, sebaiknya tampilkan terlebih dahulu file yang disembunyikan dengan cara : (lihat gambar 3)
§ Buka [Windows Explorer]
§ Klik menu [Tools]
§ Klik [Folder Option]
§ Klik tabulasi [View]
§ Pilih opsi [Show hidden files and folders]
§ Uncheck pilihan [Hide protected operating system files (recommended)]
§ Klik [Apply]
§ Klik [Ok]
Gambar 3, Menampilkan file yang tersembunyi
7. Scan dengan menggunakan Norman Malware Cleaner, silahkan download Norman Malware Cleaner dengan di alamat berikut:
Sebelum menjalankan file tersebut sebaiknya ganti ekstensi Norman Malware Cleaner dari EXE manjadi COM agar tools tersebut tidak di injeksi oleh W32/Alman.
8. Untuk pembersihan optimal install scan dengan antivirus yang up-to-date dan sudah dapat mengenali virus ini dengan baik.
Silahkan download antivirus Norman free trial di alamat berikut
http://download.norman.no/nss/NormanSecuritySuite_710x86_ENG_R16.msi
Tips dan Trik:
1) Install semua komputer dengan antivirus yang dapat terupdate secara otomatis dan pastikan antivirus yang terinstall dapat berjalan dengan baik.
2) Agar komputer tidak terinfeksi kembali virus W32/Alman, buat folder kosong dengan nama dibawah ini dan ubah attribut file tadi menjadi SYSTEM, Hidden dan Read Only. (lihat gambar 4)
a. C:\Windows\linkinfo.dll
b. C:\Windows\system32\drivers\LsDrv118.sys
c. C:\Windows\system32\drivers\nvmini.sys
d. C:\Windows\system32\drivers\cdralw.sys
e. C:\Windows\System32\drivers\riodrvs.sys
f. C:\Windows\System32\drivers\DKIs6.sys
Gambar 4, Membuat file dummy
3) Jika komputer terhubung jaringan sebaiknya pastikan semua komputer sudah bersih dari virus W32/Alman, karena akan mengakibatkan komputer yang sudah bersih akan terinfeksi kembali.
4) Sebaiknya tidak melakukan share folder dengan akses Full atau share folder yang diperlukan saja dan disable “Default Share” [C$, D$, ADMIN$] jika tidak digunakan.
Silahkan salin cript dibawah ini pada program notepad kemudian simpan dengan nama DisableDEFAULT_SHARE.inf, kemudian jalankan file tersebut denga cara:
a. Klik kanan DisableDEFAULT_SHARE.inf
b. Klik [Install]
-------------------“ awal script “ --------------------------------------------------
[Version]
Signature="$Chicago$"
Provider=Vaksincom FULL
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0x00010001,0
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0x00010001,0
-------------------“ akhir script “ -------------------------------------------------
5) Sebaiknya disable autorun Windows agar W32/Alman tidak dapat aktif secara otomatis saat user mengakses Drive/Flash Disk
Silahkan salin cript dibawah ini pada program notepad kemudian simpan dengan nama DisableAUTORUN.inf, kemudian jalankan file tersebut denga cara:
a. Klik kanan DisableDEFAULT_SHARE.inf
b. Klik [Install]
-------------------“ awal script “ --------------------------------------------------
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
-------------------“ akhir script “ -------------------------------------------------
6) Agar virus ini tidak mengcopy file boot.exe dan autorun.inf ke Flash Disk sebaiknya buat folder kosong dengan nama yang sama, kemudian set attribut kedua fiolder tersebut menjadi SYSTEM/HIDDEN/READ ONLY, caranya : (lihat gambar 5)
a. Klik menu [Start]
b. Klik [Run]
c. Pada dilag box RUN, ketik CMD kemudian tekan tombol “Enter”
d. Setelah muncul layar DOS PROMPT, pindahkan posiis kursor ke lokasi Flash Disk, contoh jika Flash Disk adalah Drive [D:\] maka ketik D: kemudian tekan tombol “Enter”
e. Kemudian ketik perintah MD Autorun.inf kemudian klik tombol “Enter”
f. Ketik perintah MD Boot.exe, kemudian klik tombol “Enter”
g. Untuk meruba attribut ke dua file tersebut ketik perintah
o ATTRIB +S +h +r Autorun.inf kemudian tekan tombol [Enter]
o ATTRIB +S +h +r Boot.inf kemudian tekan tombol [Enter]
Gambar 5, Membuat folder dummy untuk mengelabui user
7) Jika diperlukan dan untuk mencegah penyebaran virus melalui Flash Disk sebaiknya blok eksekusi file aplikasi yang ada di Flash Disk [tidak dapat menjalankan file yang mempunyai ekstensi EXE/COM/BAT/PIF/LNK/SCR/VBS/INF/REG/]. Fitur ini hanya ada pad Windows XP Proffesional, Windows Vista/Windows 2003 dan Windows 2008.
Berikut cara untuk blok eksekusi file yang ada pada Flash Disk
o Klik menu [Start]
o Klik [Run]
o Ketik “secpol.msc” [tanpa tanda kutip]
o Pada layar [Local Security Policy], klik [Software restriction policies]
o Klik kanan pada [software restriction policies] dan pilih [Create new policies].
o Kemudian klik kanan di [Additional Rule], dan pilih [New Path Rule] (lihat gambar 6)
Gambar 6, Secpol
o Pada Kolom Path, masukkan drive dimana aplikasi di dalamnya tidak dapat dieksekusi. Karena kebanyakan malware menular dari flash disk, sebaiknya ketik drive di mana flash disk berada. Misalnya, jika flash disk ada di drive G maka ketikkan G:\ (lihat gambar 7)
Gambar 7
o Di Security Level pilih [Disallowed]
o Pilih OK dan restart komputer.
Tidak ada komentar:
Posting Komentar