Sabtu, 21 Februari 2009

Cara Membasmi Virus W32/RootKit.STG

W32/RootKit.STG
Quantum of MicroSoft.bat Gameeeeeee.pif

Masih ingatkah anda pada artikel virus “Agent.FUVR” atau yang biasa dikenal sebagai virus “arp spoofing”, dimana virus ini mampu menggemparkan kalangan pengguna internet Indonesia. Bukan hanya pengguna komputer biasa yang menjadi korban, tetapi justru sangat merepotkan bagi pengguna korporat/jaringan yang tidak memiliki team yang memiliki pengalaman perlindungan antivirus korporat.

Melengkapi aksi Antivirus Palsu / Rogue Antivirus XP 2008 dan gerombolannya, antivirus/antispyware palsu kian marak, maka virus “arp spoofing” part II ini tidak mau kalah dan ikut menjalankan aksinya. Dan kali ini dengan kemampuan yang lebih baik dari ARP terdahulu, ibaratnya Son Go Ku (Dragon Ball) sudah mencapai level 3 (Super Sanya :P). ARP Spoofing bagian dua ini memiliki ciri khas dimana file penyebarannya memiliki nama Gameeeeeee.vbs dan Gameeeeeee.pif (dua-duanya bernama game dengan jumlah huruf "e" 7 buah).

Untuk virus dengan tahap level pertama tentu-nya anda sudah familiar dengan nama “Agent.FUVR”, virus yang menggunakan nama MicroSoft (MicroSoft.bat, MicroSoft.vbs dan MicroSoft.pif) sebagai file virus yang berlokasi pada root drive C:\, dengan menggunakan file ThunderAdvise.dll (lokasi pada C:\WINDOWS\Downloaded Program Files) sebagai media update melalui internet & Jview.dll (lokasi pada C:\WINDOWS\AppPatch) sebagai media penyebaran melalui jaringan (anda dapat melihat artikel virus ini pada http://vaksin.com/2008/0608/microsoft/microsoft.html).

Kemudian pada tahap level kedua, virus ini menggunakan file virus wmsetup.dll dan QQ_Update.cab yang berlokasi pada C:\WINDOWS\Temp, dengan menggunakan file ThunderAdvise.dll (lokasi pada C:\WINDOWS\Downloaded Program Files) sebagai media update melalui internet & DesktopWin.dll (lokasi pada C:\WINDOWS\AppPatch) sebagai media penyebaran melalui jaringan.

Selanjutnya, yang saat ini makin marak menyebar pada pengguna internet sudah memasuki tahap level 3, dengan menggunakan file virus Gameeeeeee.vbs & Gameeeeeee.pif yang berlokasi pada C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files, dan file system.exe (lokasi pada C:\WINDOWS\system32) serta file HBKernel32.sys (lokasi pada C:\WINDOWS/system32/drivers). Selain itu masih menggunakan file ThunderAdvise.dll (lokasi pada C:\WINDOWS\Downloaded Program Files) sebagai media update melalui internet & Update.dll (lokasi pada C:\WINDOWS) sebagai media penyebaran melalui jaringan.


Serangan pertama : Internet attack (yahoo script error, script language=”javascript”...)

Jika anda mengalami kejadian aneh saat koneksi internet, semisal terdapat script error pada saat kita meng-aktifkan Yahoo Messenger, maka anda patut waspada karena bisa saja anda terkena serangan virus ini.

Selain itu, virus akan menyisipkan script pada semua aplikasi browser anda dengan menambahkan script pada setiap halaman website yang kita akses.

Setelah memalsukan Mac Address gateway dan menjadi transparent proxy bagi (bridging) gateway tersebut sehingga semua pengguna komptuer yang mengakses internet melalui gateway secara diam-diam akan melewati komputer yang terinfeksi ini, maka dengan mudah komputer ini menyisipkan link tambahan pada setiap akses ke internet yang dilakukan. Karena yang di eksploitasi adalah sistem jaringan dan bukan OS, maka korban potensial dari eksploitasi ini adalah seluruh browser, tidak perduli Internet Explorer, Opera, Firefox atau Safari. Selain itu, link tambahan TETAP akan diterima pengakses komputer lain, meskipun OS yang digunakan non Windows. Dalam hal ini, pengguna Linux dan Mac tidak mengandung resiko terinfeksi virus ini karena virus ini hanya kompatibel dengan OS Windows TETAPI bagi pengguna Linux atau Mac yang menjalankan aplikasi emulasi Windows seperti WINE harap berhati-hati karena WINE akan mampu menjalankan aplikasi virus ini pada Linux.

Dengan menyisipkan link pada saat user akses internet, korban secara tidak sadar akan mendownload dan menjalankan virus secara otomatis. Sama seperti varian awal, virus menyisipkan link untuk mendownload file virus. Vaksincom dengan bantuan NNP (Norman Network Protector) mendeteksi beberapa link yang secara otomatis mendownload virus, yaitu :

Virus akan mendownload 2 file virus utama, yaitu gameeeeeee.vbs dan gameeeeeee.pif (dua-duanya mempunyai nama dengan 7 huruf “e”), secara otomatis, file gameeeeeee.vbs yang telah masuk akan menjalankan file gameeeeeee.pif.

Setelah file gameeeeeee.pif ter-eksekusi, virus akan mendelete dirinya sendiri yang kemudian aktif dengan membuat file ThunderAdvise.dll pada folder C:\WINDOWS\Downloaded Program Files dan Update.dll pada folder C:\WINDOWS. Jika komputer terkoneksi internet, file ThunderAdvise.dll akan mendownload segambreng file virus. Berikut kumpulan file yang didownload oleh virus :

  • C:\Documents and Settings\%user%\Local Settings\temp

    • liv1.tmp, liv2.tmp, liv3.tmp, liv4.tmp, liv5.tmp, 6.tmp, 7.tmp, 8.tmp, makecab.exe, winipsec.dll, 001.cab, 002.cab, 003.cab, 004.cab, dst....

  • C:\Documents and Settings\dhiely\Local Settings\Temporary Internet Files

    • Office[1].htm, Sina[1].htm, 001[1].cab, 002[1].cab, 003[1].cab, 004[1].cab, dst....

  • C:\WINDOWS\AppPatch

    • AcSpecf.sdb, AcXtrnel.sdb, AcSpecf.dll

  • C:\WINDOWS\system32

    • system.exe, HBBO.dll, HBCHIBI.dll, HBQQFFO.dll, HBmhly.dll, HBZHUXIAN.dll, HBZG.dll, HBSO2.dll, HBQQSG.dll, HBSOUL.dll, E0D39066.dll (nama file acak), 9fd8db.sys (nama file acak), dst....

  • C:\WINDOWS\system32\drivers

    • HBKernel32.sys, eth8023.sys

Serangan kedua : Network attack (jaringan lambat, komputer “mati suri” alias HANG)

Setelah meng-update dirinya dengan mendownload kumpulan file virus, virus akan mulai melancarkan serangan pada jaringan. Dengan menggunakan file winipsec.dll, virus melakukan broadcast ke seluruh pc dalam jaringan anda. Jika virus menemukan router/gateway dalam jaringan, maka ia akan berusaha memanipulasi jaringan dengan memalsukan diri sebagai router/gateway dengan cara mengubah Mac Address sama persis dengan router/gateway.

Dengan mengubah Mac Address, virus mendeklarasikan dirinya sebagai router/gateway, yang kemudian akan dengan mudah melakukan infeksi pada jaringan (salah satunya dengan menyisipkan script virus).Dengan melakukan broadcast ke jaringan dan melkaukan infeksi, secara otomatis akan membuat jaringan menjadi lambat/down.

Bahkan, salah satu kelebihan utama virus ini yaitu memanfaatkan Default Share Windows, dengan mengirim 3 file virus pada folder C:\WINDOWS\AppPatch (AcSpecf.sdb, AcXtrnel.sdb, AcSpecf.dll, lihat gambar 6), niscaya dalam seketika komputer anda akan “mati suri” alias hang.


Rubah Host file

Sama seperti varian sebelumnya, virus melakukan perubahan yang besar pada host file. Dengan mengubah host file, virus berusaha mengalihkan akses browsing user ke website-website asal cina.

Sebagai informasi, Hosts file pada OS Windows berfungsi mirip seperti DNS dimana jika virus berhasil menguasai Hosts file, dengan mudah ia dapat memanipulasi akses internet dan mengalihkan ke website yang di ingini. Hal ini sangat berbahaya khususnya untuk pengguna internet banking karena di tangan orang yang mengerti bagaimana mengeksploitasi Hosts file ini, koneksi internet banking dengan mudah dialihkan ke komputer lain untuk kemudian di fraud, sekalipn sudah di proteksi dengan token / kalkulator PIN.

Yahoo Messenger aktif --> Office instalation error....

Seperti yang kita tahu bahwa virus mendownload file virus dengan extension CAB, dimana file extension CAB merupakan file-file windows untuk cabinet yang digunakan untuk instalasi windows atau aplikasi windows lain seperti MS Office. Jika komputer sudah terinfeksi cukup lama dan virus semakin banyak mengumpulkan file virus berekstension CAB, maka saat kita menggunakan Yahoo Messenger, bukan script error lagi yang muncul melainkan jendela instalasi office yang mengindikasikan error instalation (padahal sebenarnya tidak ada masalah dengan MS Office yang terinstall).

Know Your Enemy

Selama komputer yang memalsukan gateway tersebut masih belum dibasmi, maka seluruh komputer di jaringan selalu di kirimi file trigger virus. Jika komputer yang menerima file ini menjalankan file kiriman tersebut (secara otomatis) maka ia akan mendownload beberapa file instalasi virus dan menginstalkan file-file tersebut untuk kemudian menjadikan dirinya sebagai host ARP Spoofing yang memalsukan gateway kembali. Jadi jika di dalam satu jaringan, ada komputer yang terdeteksi menerima virus berulang-ulang (khususnya ketika menjalankan browser / Yahoo Messenger) tetapi tidak bisa dibasmi karena muncul terus, Vaksincom menyarankan anda jangan sampai kerja bakti membersihkan virus-virus dari komputer-komputer tersebut karena PERCUMA. Cari dulu biangnya, gunakan NNP (Norman Network Protector) untuk mengetahui PC mana saja yang mendownload file virus. Cari biang yang memalsukan gateway dengan Mac Scanner dan basmi semua komputer yang memalsukan Mac Address gateway. Setelah itu bersihkan semua komputer yang mendownload virus berdasarkan list dari NNP.

Dengan menggunakan Norman Network Protector (NNP), Vaksincom mencatat beberapa IP luar yang berusaha melakukan serangan virus ke jaringan lokal. NNP mampu melakukan blocking serangan virus, sehingga komputer dalam jaringan dapat aman saat mencoba koneksi internet.

Registry Windows

Agar dapat aktif saat komputer dijalankan, virus akan membuat string registry sebagai berikut :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3PMmUpdate = rundll32 “C:\WINDOWS\Update.dll”

, Main

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HBService32 = SYSTEM.EXE

Untuk melakukan blok beberapa fungsi program aplikasi, virus membuat string berikut :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Browser Helper Objects\{97421D0D-E07F-40DF-8F07-99597B9585AD}

ThunderAdvise = C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\ShellExecuteHooks

{3474A8C2-BEF9-46C8-983A-A26A0030EC30} = 3474A8C2.dll

{58FF3024-8A83-4B1A-88E9-302F47646EEE} = 58FF3024.dll

{DA63E650-537C-4042-87BB-9D19D844680B} = DA63E650.dll

{F65BDEC7-4BF3-4512-840F-68B166B6D7AC} = F65BDEC7.dll

{122B901E-493F-4AD9-BC69-7DE8C3E52FCC} = 122B901E.dll

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad

ThunderAdvise = C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Windows

AppInit_DLLs = HBBO.dll, HBCHIBI.dll, HBQQFFO.dll, HBmhly.dll, HBZHUXIAN.dll, HBZG.dll, HBSO2.dll, HBQQSG.dll, HBSOUL.dll

Cara pembersihan virus W32/RootKit.STG

  • Putuskan komputer yang akan dibersihkan dari jaringan.

  • Matikan proses virus yang inject proses system dengan menggunakan aplikasi unlocker. Anda dapat mendownload aplikasi ini pada link berikut :

http://ccollomb.free.fr/unlocker/unlocker1.8.7.exe

Install terlebih dahulu aplikasi unlocker, kemudian lakukan delete dan Unlock All pada file-file virus. Lakukan delete file virus secara bertahap yaitu :

    • system.exe

    • HBBO.dll, HBCHIBI.dll, HBQQFFO.dll, HBmhly.dll, HBZHUXIAN.dll, HBZG.dll, HBSO2.dll, HBQQSG.dll, HBSOUL.dll

    • AcSpecf.sdb, AcXtrnel.sdb, AcSpecf.dll

    • HBKernel32.sys, eth8023.sys

  • Hapus dan bersihkan file virus. Anda dapat menggunakan removal tool dari Norman untuk membersihkan-nya (dapat anda download melalui link dibawah ini).

  • Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObject

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 3PMmUpdate

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HBService32

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectsDelayLoad, ThunderAdvise

Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

  • Normalkan kembali Host file yang telah diubah. Gunakan tools HijackThis. Download pada link berikut :

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

    • Jalankan Hijackthis, Pilih Open the Misc Tools section.

    • Kemudian pada System tools, pilih Open hosts file manager.

    • Selanjutnya lakukan Delete line(s). Blok seluruh line termasuk localhost (127.1), kemudian Delete line(s). Setelah selesai, Pilih Open in Notepad, kemudian masukkan isi file localhost asli (127.0.0.1 localhost), kemudian save file tsb.

  • Hapus file temporary dan temporary internet files, gunakan ATF Cleaner. Download pada link berikut :

http://www.atribune.org/ccount/click.php?id=1

Pastikan untuk menghapus temporary, temporary internet files, history, prefetch, cookies dan java cache.

  • Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.


Tidak ada komentar:

Posting Komentar