“Gerombolan Siberat” yang menginfeksi Rundll32.exe
Beberapa waktu lalu, sering diberitakan pada beberapa media bahwa telah terjadi pencurian data/dokumen militer Indonesia saat berada di Korea Selatan. Insiden pencurian data/dokumen apalagi menyangkut data militer Indonesia dianggap menjadi skandal memalukan bagi Indonesia, terutama dari segi pengamanan yang lengah dan tidak ketat. Diduga, pencurian data terjadi pada hotel tempat delegasi menginap, dan pencuri berhasil menyalin beberapa dokumen dari laptop salah satu delegasi Indonesia. Sebenarnya banyak pengamanan yang dapat diterapkan komputer dan dokumen penting, salah satunya adalah menerapkan NDC Norman Device Control http://www.norman.com/products/device_control/en yang secara otomatis akan mengenkripsi data di komputer, membatasi / memblok pengkopian data melalui USB dan memberikan pengamanan tambahan untuk data di USB dimana semua data yang di kopi ke USB akan di enkripsi sehingga jika jatuh ke tangan yang tidak berhak data secara teoritis sangat sulit untuk di dekripsi tanpa mengetahui kode dekripsi yang tepat.
Kejahatan komputer memang kerap terjadi dan cenderung meningkat. Apalagi didukung dengan perkembangan teknologi informasi yang semakin pesat, yang justru semakin beragam cara yang digunakan bagi para penjahat komputer. Berbagai cara yang dilakukan diantaranya : hacking atau cracking, melakukan deface website, mengirim trojan/keylogger untuk mendapatkan user dan password, mengakses komputer tanpa ijin dan mengirim atau mengcopy data, serta membocorkan data rahasia ke luar/internet
Salah satu metode yang sering digunakan bagi para penjahat komputer yaitu dengan mengirim sebuah trojan yang memiliki kemampuan mencatat data aktif seperti username dan password, yang kemudian data tersebut akan dikirim kembali ke pengirim tersebut. Salah satu trojan yang dapat melakukan aksi tersebut yaitu Trojan Webmoner. Dan hingga saat ini, tercatat sudah ratusan varian Webmoner yang menyerang pengguna komputer.
Bagi anda yang para pengguna komputer di Indonesia, harap berhati-hati karena sejak Januari 2011 hingga saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan trojan ini, dan salah satu varian baru yang terdeteksi oleh Vaksincom adalah W32/Webmoner.BNH.
Keluarga Webmoner : Pencuri data pribadi
Keluarga Webmoner merupakan salah satu kelompok trojan yang dirancang untuk mencuri informasi/data dari pengguna komputer terutama hal-hal yang berhubungan dengan data pribadi keuangan. W32/Webmoner ditemukan sejak tahun 2004, dan hingga kini sudah ratusan varian W32/Webmoner yang beredar. Salah satu varian terbaru dari W32/Webmoner yang terdeteksi yaitu W32/Webmoner.BNH.
Lagi, manfaatkan Celah Keamanan (vulnerability) dari Windows
Tampaknya, trend shortcut sudah menjadi kiblat baru bagi para pembuat virus untuk melancarkan aksinya menginfeksi pengguna komputer dengan mudah. Dengan memanfaatkan celah keamanan pada Windows yaitu Windows Shell Icon Handler / LNK (MS10-046), maka trojan W32/Webmoner.BNH dapat dengan mudah masuk dan menginfeksi komputer serta melakukan penyebaran dengan cepat.
Gejala & Efek Virus
Beberapa gejala yang terjadi jika komputer anda sudah terinfeksi yaitu :
· Aktif menggunakan file Windows (rundll32)
Agar tidak mudah diketahui oleh pengguna komputer, trojan W32/Webmoner.BNH berusaha menyamarkan identitas saat aktif dengan memanfaatkan file system Windows yaitu RUNDLL32.exe. Dengan file tersebut, trojan W32/Webmoner.BNH dapat dengan mudah melakukan infeksi, membaca aktivitas pengguna serta melakukan koneksi pada Remote Server.
· Membuat komputer menjadi hang (explorer hang)
Saat komputer dinyalakan pertama kali dan login, Windows Explorer akan terasa lambat (hang) akibat aktifitas dari trojan yang menjalankan beberapa file RUNDLL32.EXE. Dengan begitu, pengguna komputer akan merasa terganggu dan tidak nyaman menggunakan komputer.
· Melakukan koneksi ke Remote Server
Trojan W32/Webmoner.BNH berusaha melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Koneksi ke remote server dilakukan dengan menggunakan berbagai macam port acak seperti : 127.0.0.1 : 45316, 2820, 5339, 47347, 28787, 30738, dllxx.195.47.170 : 57381
· Mengupdate dirinya seperti antivirus
Agar mempermudah aksi-nya, trojan W32/Webmoner.BNH juga melakukan download beberapa file tertentu dari Remote Server serta agar tetap terupdate dan tidak mudah dikenali oleh antivirus.
· Melakukan transfer data/dokumen yang telah didapatkan ke Remote Server
Tujuan utama dari trojan W32/Webmoner.BNH adalah mendapatkan informasi dari pengguna komputer yang sudah terinfeksi. Untuk melakukan hal tersebut, trojan W32/Webmoner.BNH menggunakan perintah command sebagai berikut :
C:\WINDOWS\system32\ftp.exe ftp-s : C:\WINDOWS\system32\ftp.sys-A
File trojan W32/Webmoner.BNH
Trojan W32/Webmoner.BNH dibuat menggunakan bahasa pemrograman Delphi yang kemudian di kompress menggunakan UPX. Berikut ciri-ciri file trojan sebagai berikut :
· Berukuran 26 kb
· Type file “system file”
· Icon file berubah-ubah sesuai dengan aplikasi/program pada komputer
· Bereksensi “sys”
Saat trojan W32/Webmoner.BNH berhasil dijalankan, trojan akan membuat beberapa file yaitu :
· C:\Documents and Settings\All Users\Start Menu\Internet Explorer.lnk
· C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Update.lnk
· C:\Documents and Settings\[UserName]\Favorites\Microsoft Update.lnk
· C:\mso.sys
· C:\WINDOWS\system32\ftp.sys
Selain itu trojan juga akan berusaha mendownload file lain yaitu :
· C:\RECYCLER.lnk
· C:\sysdmp.sys
· C:\WINDOWS\system32\ftp.cmd
Selain itu pada removable disk/drive akan membuat beberapa file yaitu :
· Documents and Settings.lnk
· Program Files.lnk
· RECYCLER.lnk
· System Volume Information.lnk
· WINDOWS.lnk
· mso.sys
Modifikasi Registry
Beberapa modifikasi registry yang dilakukan oleh trojan ini adalah sebagai berikut :
· Menambah Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RECYCLER = C:\RECYCLER.lnk
Metode Penyebaran
Beberapa cara trojan W32/Webmoner.BNH melakukan penyebaran yaitu sebagai berikut :
· Removable drive/disk
Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. Trojan (memanfaatkan celah autoplay) membuat beberapa file agar menginfeksi komputer yaitu :
1. Documents and Settings.lnk
2. Program Files.lnk
3. RECYCLER.lnk
4. System Volume Information.lnk
5. WINDOWS.lnk
6. mso.sys
Selain itu, dengan memanfaatkan celah keamanan MS10-046 (Windows Icon handler) maka file shortcut/LNK menjadi memiliki kemampuan worm dan akan dapat aktif secara otomatis saat kita mengakses drive tersebut tanpa menjalankan file tersebut sekalipun.
· Jaringan
Dengan memanfaatkan akses full sharing, trojan W32/Webmoner.BNH dapat mudah masuk dengan melakukan kopi beberapa file yang sama seperti penyebaran pada removable drive/disk.
Pembersihan Virus/Trojan
1. Putuskan koneksi komputer dari jaringan/internet.
2. Matikan dan hapus trojan W32/Webmoner.BNH
Lakukan langkah-langkah berikut :
a. Download tools untuk membersihkan trojan W32/Webmoner.BNH pada komputer yang belum terinfeksi pada link berikut :
Dr.Web Cure-It!
Norman Malware Cleaner
b. Setelah selesai, kompress file tersebut hingga menjadi file zip.
c. Kopi file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
d. Klik kanan file zip tersebut, kemudian klik explore.
e. Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.
f. Jika sudah muncul jendela Dr.Web CureIt, klik OK untuk menjalankan dalam mode EPM (Enhanced Protection Mode).
g. Klik Start untuk memulai Scan, dan klik Yes untuk memulai.
h. Biarkan hingga proses scan selesai.
3. Repair registry yang telah dimodifikasi.
Lakukan langkah-langkah berikut :
· Salin script dibawah ini dengan notepad :
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee 2011
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, RECYCLER
· Simpan file dengan nama “repair.inf”. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan.
· Klik kanan file “repair.inf”, kemudian pilih “install”.
· Restart komputer.
Lakukan langkah-langkah berikut :
a. Klik Menu Start -> Run
b. Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
c. Pada drive system (C) klik OK, biarkan proses scan drive.
d. Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
e. Tunggu hingga selesai.
5. Install security patch MS10-046 sesuai dengan versi windows yang anda miliki. Silahkan download pada link berikut :
6. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali trojan ini dengan baik.
Dikutip dari www.vaksin.com
Tidak ada komentar:
Posting Komentar