Tab

Silahkan pilih background yang ingin dipilih!

Kamis, 07 April 2011

Win32.HLLW.Autoruner.based

Bagi para pengguna komputer, font merupakan salah satu bagian penting yang ada pada sistem komputer yang digunakan. Tanpa adanya font, kita tidak bisa membaca apapun yang ada di komputer. Selain itu, variasi font juga berguna untuk mempercantik sebuah tulisan. Sehingga, banyak pengguna komputer yang suka mengkoleksi font.

Bagi anda yang suka mengkoleksi font, harap berhati-hati jika anda memiliki sekumpulan font, karena bisa saja anda justru dikunjungi salah satu worm yang menggunakan logo/icon font. Alih-alih ingin memperbarui komputer anda, justru membuat komputer anda terinfeksi dan menyebarkan worm font.

Varian worm font ini merupakan kelanjutan dari worm folder cinta pada tahun lalu. Anda dapat melihat review worm folder cinta pada link berikut :
http://friendcommand.blogspot.com/2011/04/trojan-autorunqbp.html. Jika worm folder cinta menggunakan file kosong "khq", maka worm font menggunakan juga file kosong yaitu "khy". Jadi jika pada komputer anda atau komputer server anda terdapat file “khy”, maka anda baru saja dikunjungi oleh worm ini dan bahkan sudah menyebar worm “font” ini pada jaringan komputer anda.

Untuk varian worm ini, Dr.Web Scanner mendeteksi sebagai Win32. HLLW.Autoruner.based. (lihat gambar 1)
Gambar 1, Dr.Web Scanner mendeteksi varian worm font.


Ciri-ciri file worm
Ciri-ciri file worm font yaitu sebagai berikut :
-        Menggunakan icon/logo font
-        Memiliki ukuran 494 kb
-        Type file "application"
-        Memiliki ekstensi file "exe" (lihat gambar 2)
Gambar 2, File worm font.

Gejala/efek worm
Jika anda telah terinfeksi worm font, maka akan menimbulkan gejala/efek sebagai berikut :
·         Disetiap file sharing akan muncul file worm dengan nama “[namaacak].exe” dan file system yang kosong dengan nama “khq”. (lihat Gambar 3) File khq ini juga akan berada pada setiap root drive.
Gambar 3, File worm font pada sharing file.

·         File worm aktif di memori komputer dengan nama “csrcs.exe” (mirip dengan proses "csrss.exe" milik system Windows) pada proses dengan username lokal. Anda dapat melihat dengan menggunakan task manager pada tab processes. (lihat gambar 4)
Gambar 4, Worm font aktif dan berjalan menggunakan nama csrcs.exe.

·         Tidak dapat menampilkan file yang sudah di hidden. (walaupun “folder options” sudah di rubah ber-kali kali, akan kembali hidden). Dengan melakukan hal ini, pengguna komputer tidak akan mudah tahu jika komputer sudah terinfeksi worm. (lihat gambar 5)
Gambar 5, Key Show hidden yang dirubah worm.

·         Melakukan koneksi ke internet untuk berkomunikasi dengan server worm. (lihat gambar 6)
Gambar 6, Worm melakukan koneksi internet.

·         Setelah melakukan koneksi, worm akan mendownload file malware lain-nya. (lihat gambar 7)

File file virus
Sama seperti halnya worm folder cinta, worm font juga dibuat dengan menggunakan bahasa script Autoit dan di kompress menggunakan UPX Unpacker. Beberapa file virus yang akan muncul jika dijalankan, yaitu :
ü  C:\WINDOWS\system32\csrcs.exe (berukuran 494 kb)
ü  [namaacak].exe , (disetiap root folder lokal yg sharing, serta folder dalam jaringan yang full-sharing)
ü  khq, (disetiap root folder lokal yg sharing, serta folder dalam jaringan yang full-sharing) , serta pada setiap root drive.
ü  [namaacak].exe , (pada media USB Flash/removable drive)
ü  Autorun.inf , (pada media USB Flash/removable drive)

Apabila terkoneksi internet, worm akan mendownload beberapa file yaitu :
ü  C:\Documents and Settings\%user%\Local Settings\Temp\www3.tmp
ü  C:\WINDOWS\system32\RegShellSM.exe (berukuran 524 kb)
ü  C:\WINDOWS\system32\autorun.i
ü  C:\WINDOWS\system32\autorun.in

Registri Windows
Walau tidak banyak aksi yang dilakukan, Autorun.QBP juga membuat beberapa perubahan pada registry yaitu diantaranya :

Ø  Agar dapat aktif saat komputer dijalankan, ia akan membuat string registry sebagai berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
csrcs          =          C:\WINDOWS\system32\csrcs.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
csrcs          =          C:\WINDOWS\system32\csrcs.exe

Ø  Untuk memproteksi dan tetap aktif pada windows, ia akan membuat string berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell       =    Explorer.exe csrcs.exe

Media Penyebaran
Worm font melakukan penyebaran melalui media USB/Removable drive dan juga melalui jaringan (file sharing).

Pada USB/Removable drive, worm font akan membuat 2 file yang disembunyikan. Kedua file tersebut memiliki attribut RHSA (Read, Hidden, System, Archive), yaitu :
-        autorun.inf, file pemicu agar worm dapat aktif jika komputer masih mengaktifkan system autoplay (autorun) windows.
-        [namaacak.exe], file worm yang berukuran 494 kb. (lihat gambar 8)
Gambar 8, Worm melakukan penyebaran pada USB/Remobale drive.

Dalam jaringan, worm akan melakukan penyebaran menggunakan media file sharing. Jika pada server folder yang dibuat sharing FULL akses, maka worm akan dengan mudah menyebarkan file worm, yaitu :
-        khy, file kosong yang seolah menjadi jejak persinggahan dari worm font
-        [namaacak.exe], file worm yang berukuran 494 kb. (lihat gambar 9)
Gambar 9, Worm melakukan penyebaran pada jaringan.

Cara pembersihan worm
Beberapa cara yang dilakukan untuk membersihkan komputer dari worm font yaitu sebagai berikut :
1.    Putuskan koneksi komputer dari jaringan/internet.
2.    Matikan System Restore Windows, selama proses pembersihan (XP/ME).
- Klik kanan My Computer, pilih Properties.
- Setelah muncul jendela System Properties, pilih tab System Restore.
- Centang pada pilihan "Turn off System Restore"
- Jika sudah, klik Apply dan OK. (lihat gambar 10)
Gambar 10, Matikan system restore

3.    Matikan dan hapus proses worm yang aktif dan berjalan. Gunakan tools dari Dr.Web CureIt untuk membersihkan dengan mudah. Download tools pada link berikut :
Gambar 11, Scan dengan Dr.Web CureIt!

Klik 2x file yang telah anda download, hingga muncul pesan komputer yang sedang berjalan pada mode EPM (Enhanced Protection Mode), dan klik OK.
Klik OK jika muncul notifikasi untuk menjalankan, kemudian klik START pada menu yang ditampilkan dan klik “Yes” pada notifikasi Start scan now?.
Maka Dr.Web akan melakukan proses scanning pada komputer anda dan akan memunculkan pesan jika terdapat malware, klik Move. Biarkan hingga selesai.
Restart komputer, jika diperlukan.

4.    Hapus registry yang telah dibuat oleh worm. Untuk mempermudah, dapat menggunakan script registry di bawah ini.

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]

HKLM, SOFTWARE\Classes\batfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \comfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \exefile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \scrfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \piffile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \regfile\shell\open\command,,, "regedit.exe "%1"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0, Explorer.exe

[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih [install].

5.    Untuk pembersihan yang optimal dan mencegah infeksi ulang dari worm, sebaiknya gunakan antivirus yang terupdate dan dapat mendeteksi worm ini dengan baik.

Tidak ada komentar:

Posting Komentar

Yang ingin berkomentar tapi harus kata yang lembut (Bukan kasar!)
(Menggunakan Verifikasi Kata)
(Menggunakan Yahoo! Emoticon)
(Menggunakan Moderasi Komentar selama 1 hari jika tidak ditampilkan)