VIRUS W32/Obfuscated.J (Trojan.Downloader2.25378)

SUMBER 

Bagi anda para pengguna komputer dan internet di Indonesia, harap berhati-hati karena sejak akhir Januari 2011 hingga saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan trojan ini, dan salah satu varian baru yang terdeteksi oleh Norman sebagai W32/Obfuscated.j (Dr Web mendeteksi sebagai Trojan.Downloader2.25378). lihat gambar 1 di bawah :

Gambar 1, Norman mendeteksi varian baru dari W32/Obfuscated

Keluarga trojan Obfuscated

Trojan Obfuscated (Norman) atau sering disebut Rimecud (McAfee, Microsoft) atau Palevo (Symantec, Kaspersky), sedangkan Dr.Web mendeteksi sebagai Trojan.Downloader, merupakan salah satu kelompok trojan yang mampu mengganggu system komputer dalam jaringan dan mencoba memanipulasi system yang ada dalam jaringan. Salah satu aksi yang mengganggu dari trojan ini adalah melakukan broadcast internet dan membuat komputer menjadi lambat.

Trojan Obfuscated ditemukan sejak tahun 2009, dan hingga kini sudah berbagai varian macam Obfuscated yang beredar. Salah satu varian terbaru dari Obfuscated yang terdeteksi yaitu W32/Obfuscated.J.

Gejala & Efek Virus

Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :

• Aktif menggunakan file program Visual Basic

Aksi virus mudah diketahui oleh pengguna komputer, trojan W32/Obfuscated.J berusaha aktif dan berjalan menggunakan file program Visual Basic (walaupun pengguna tidak memiliki program Visual Basic di komputer). Dengan banyak-nya file program tersebut yang berjalan, trojan W32/Obfuscated.J dapat dengan mudah melakukan infeksi, membaca aktivitas pengguna serta melakukan koneksi pada Remote Server. (lihat gambar 2)

Gambar 2, Proses trojan yang aktif menggunakan banyak file program Visual Basic

• Membuat komputer menjadi hang (explorer error)

Saat komputer dinyalakan pertama kali dan login, Windows Explorer akan terasa lambat (hang) akibat aktivitas dari trojan yang mencoba menjalankan banyak file trojan. Dengan melakukan hal tersebut, pengguna komputer akan merasa terganggu dan tidak nyaman menggunakan komputer. Terkadang hal ini membuat akibat fatal pada Windows Explorer yang menjadi error. (lihat gambar 3)

Gambar 3, Windows Explorer menjadi error

• Melakukan koneksi ke Remote Server

Trojan W32/Obfuscated.J juga berusaha melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Koneksi ke remote server dilakukan dengan menggunakan beberapa port acak seperti :

• 112.78.112.208 : 80
• 216.108.234.10 : 80
• 218.85.133.201 : 80
• 72.18.202.18 : 80
• 91.213.29.141 : 80
• 91.213.29.147 : 80
• 123.183.217.32 : 5943
• 60.190.223.125 : 6943

Selain itu, trojan akan membuka berbagai macam port seperti : (lihat gambar 4)

1053, 1055, 2290, 2291, 2292, 2294, 2386, 2397, 2398, 2400 s/d 2490

Gambar 4, Proses trojan yang melakukan koneksi ke remote server

• Mendownload file agar tetap terupdate

Untuk mempermudah aksi-nya melakukan infeksi komputer, trojan W32/Obfuscated.J juga melakukan download beberapa file tertentu dari Remote Server yang bertujuan agar virus/trojan tetap terupdate dan tidak mudah dikenali oleh antivirus.

• Melakukan transfer informasi yang telah didapatkan ke Remote Server

Hal yang perlu diperhatikan dari trojan W32/Obfuscated.J adalah kemampuan mengirimkan informasi dari pengguna komputer yang sudah terinfeksi ke remote server. Hal ini sangat membahayakan jika yang dikirim adalah informasi mengenai sistem komputer yang ada dalam jaringan. (lihat gambar 5)

Gambar 5, Proses trojan yang mengirim informasi paket data ke remote server

• Mematikan Windows Firewall

Salah satu usaha agar dapat menggunakan berbagai macam port untuk melakukan koneksi ke remote server yaitu dengan mematikan fitur Windows Firewall pada komputer. Dengan begitu maka trojan dapat mudah melakukan koneksi setiap saat. (lihat gambar 6)

Gambar 6, Windows Explorer menjadi error

File trojan W32/Obfuscated.J

File utama trojan W32/Obfuscated.J dibuat menggunakan bahasa pemrograman C. Penggunaan C sebagai bahasa pemrograman secara tidak langsung menunjukkan “kasta” virus ini masuk dalam tingkatan tinggi, sebagai gambaran, virus lokal di Indonesia pada umumnya menggunakan bahasa pemrograman (sejuta umat) Visual Basic yang relatif mudah dipelajari tetapi sangat tergantung pada komponen lain seperti MSVBVM60.dll sehingga aktivitasnya akan mudah dilumpuhkan jika komponen yang mengaktifkannya dilumpuhkan.

Berikut ciri-ciri file utama trojan sebagai berikut : (lihat gambar 7)

• Berukuran 49 kb (tergantung varian yg ditemukan)
• Type file “application”
• Icon file “Command Prompt
• Berekstensi “exe”
• Lokasi file “C:\WINDOWS\wjdrive32.exe”

Gambar 7, File trojan W32/Obfuscated.J

Selain file utama, trojan W32/Obfuscated.J akan mendownload beberapa file lain yang dibuat menggunakan bahasa pemrograman Visual Basic, yaitu sebagai berikut :

• C:\WINDOWS\system32\.exe (76 kb)
• C:\WINDOWS\system32\vyre32.exe (76 kb)

Dan beberapa file trojan lain yaitu :

• C:\asetup.exe (31 kb)
• C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\wincache.exe (31 kb)
• C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (31 kb)
• C:\Documents and Settings\[UserName]\bnt.exe (51 kb)
• C:\Documents and Settings\[UserName]\Local Settings\Temp\_co.txt (1 kb)
• C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (1 kb)
• C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (1 kb)
• C:\Windows\System32\browseit.log (0 kb)
• C:\Windows\System32\umdmgr.exe (61 kb)

Modifikasi Registri

Beberapa modifikasi registri yang dilakukan oleh malware ini adalah sebagai berikut :

• Menambah Registri

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Microsoft Config Setup = "C:\WINDOWS\wjdrive32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Microsoft Config Setup = "C:\WINDOWS\wjdrive32.exe"

(Default) = "C:\WINDOWS\system32\.exe"

vyre32 = " C:\WINDOWS\system32\vyre32.exe"

ms0593[1] = " C:\WINDOWS\system32\umdmgr.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Taskman = "C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\wincache.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

12CFG214-K641-12SF-N85P = "C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe"

File-file tersebut berjalan pada start-up Windows, sehingga trojan dapat langsung aktif pada saat komputer dinyalakan.

Metode Penyebaran

Beberapa cara trojan W32/Obfuscated.J melakukan penyebaran yaitu sebagai berikut :

• Removable drive/disk

Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. Trojan (memanfaatkan celah autoplay) membuat beberapa file agar menginfeksi komputer yaitu :

1. RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\wincache.exe
2. RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe

Dengan membuat pada folder RECYCLER, trojan dapat menyebar tanpa diketahui oleh pengguna komputer.

• Jaringan LAN & internet

Salah satu metode utama yang digunakan untuk melakukan penyebaran yaitu menggunakan jaringan LAN & internet. Dengan melakukan download trojan terbaru dan broadcast informasi dari internet, trojan melakukan penyebaran kepada jaringan LAN melalui port-port tertentu sehingga dengan mudah menginfeksi dan tidak mudah dideteksi oleh antivirus.

Pembersihan Obfuscated :

1. Putuskan hubungan komputer dari jaringan/internet.
2. Lakukan pembersihan virus pada mode “safe mode”. Untuk masuk pada mode “safe mode”, tekan tombol F8 pada keyboard saat komputer dinyalakan. (lihat gambar 8)

Gambar 8, Masuk Windows melalui mode “safe mode”

Biarkan Windows berjalan hingga anda dapat login Windows dan mendapatkan konfirmasi penggunaan “safe mode”.

3. Matikan dan hapus trojan W32/Obfuscated.J

Lakukan langkah-langkah berikut :

1. Download tools untuk membersihkan trojan W32/Obfuscated.J pada komputer yang belum terinfeksi pada link berikut : (lihat gambar 9)

Dr.Web Cure-It!

http://www.freedrweb.com/download+cureit/gr/?lng=en

Norman Malware Cleaner

Artikel Terkait or related articles: