' Simply And Enjoy's : Alman tackle viruses

INTERLINKPPOB.NET PELUANG USAHA LOKET PPOB GRATIS SPANDUK PPOB & STRUK PPOB

Selasa, 27 September 2011

Alman tackle viruses

Thanks Vaksin com 

Anda tentu masih ingat dengan virus W32/Alman atau lebih dikenal dengan sebutan Almanahe. Virus ini satu angkatan dengan Ramnit, Virut atau Sality dan memiliki kemampuan untuk menginjeksi file yang mempunyai ekstensi EXE. Alman (Almanahe) tergolong virus lama dengan awal kemunculan sekitar pertengahan tahun 2008 sebelum kemunculan Sality dan Virut. Alman adalah salah satu dari sederetan virus yang sukses dalam penyebarannya hingga sampai saat ini masih banyak kasus virus alman yang Kami temukan.

Penyebaran
Seperti kebanyakan virus yang menyebar, W32/Alman akan memanfaatkan beberapa media untuk menyebarkan dirinya seperti USB Flash dengan membuat file [boot.exe] dan [autorun.inf] serta menyebar melalui jaringan (LAN/WAN) dengan memanfaatkan Default Share Windows (ADMIN$, C$, D$ dll) jika berhasil di tembus ia akan membuat file [setup.exe] pada drive [C:\] dan menjalankan nya, selain itu ia juga akan memanfaatkan Folder/Drive yang di share dengan akses Full kemudian akan menginfeksi file aplikasi yang mempunyai ekstensi EXE.

Trojan downloader
Bukan cuma itu saja, W32/Alman (Almanahe) juga akan mendownload beberapa malware lain dengan melakukan koneksi ke beberapa website yang telah ditentukan untuk kemudian menjalankanya.

  • pic.imrw0rldwide.com
  • soft.imrw0rldwide.com
  • tj.imrw0rldwide.com

Metode pertahanan diri
Untuk mempertahakan dirinya, ia akan membuat beberapa file induk yang akan di aktifkan pada saat komputer dinyalakan. W32/Alman (Almanahe) juga mempunyai kemampuan rootkit yang cukup baik untuk melindungi file induk yang aktif di memori maupun file yang di drop serta menyamarkan dirinya sebagai service Windows sehingga mempersulit proses pembersihan. Jika dilihat secara sepintas file induk yang dibuat (berupa file .dll dan .sys) tidak akan dapat dilihat walaupun sudah menampilkan file yang disembunyikan.

Berikut beberapa file yang akan di buat oleh W32/Alman (Almanahe)

  • C:\Windows\linkinfo.dll
  • C:\Windows\System32\drivers\LsDrv118.sys
  • C:\Windows\system32\drivers\nvmini.sys
  • C:\Windows\System32\drivers\cdralw.sys
  • C:\Windows\System32\drivers\riodrvs.sys
  • C:\Windows\System32\drivers\DKIs6.sys

Injeksi [Explorer.exe]
Untuk mengelabui user, W32/Alman (Almanahe) akan memanfaatkan rekayasa sosial dengan membuat file [linkinfo.dll] palsu yang akan di simpan di direktori [C:\Windows] sedangkan untuk file [linkinfo.dll] asli Windows akan di simpan di direktori [C:\Windows\system32] dengan ukuran yang berbeda-beda, jika kita lihat secara sepintas, kedua file ini akan mempunyai informasi file yang sama (lihat gambar1).


Gambar1, file linkinfo.dll palsu dan linkinfo asli Windows 

Untuk memperlancar aksi dalam upaya menginjeksi file aplikasi, W32/Alman (Almanahe) akan menginjeksi [Explorer.exe] dengan menggunakan file [linkinfo.dll] palsu yang sudah dipersiapkan, file inilah yang bertugas untuk memonitoring dan menginjeksi file aplikasi [EXE]. Dengan kemampuan injeksi terhadap file [Explorer] akan semakin mempersulit user untuk melihat proses virus konvensional seperti Task Manager, Security Task Manager ataupun Process Explorer kecuali CurrProcess (lihat gambar 2)

Gambar2, CurrProcess mampu melihat file [linkinfo.dll] palsu yang menginjeksi [Explorer.exe]
Target Injeksi
Seperti yang sudah dijelaskan sebelumnya, W32/Alman (Almanahe) akan menginjeksi file aplikasi yang mempunyai ekstensi EXE. Walaupun demikian W32/Alman (Almanahe) boleh dibilang agak 'sopan' tidak menginjeksi semua file EXE yang ada di komputer yang berada di direktori berikut:

  • \LOCAL SETTINGS\TEMP
  • \QQ
  • \Windows
  • \Winnt

Serta beberapa file yang mempunyai nama berikut:

  • launcher.exe
  • repair.exe
  • wow.exe
  • wooolcfg.exe
  • woool.exe
  • ztconfig.exe
  • patchupdate.exe
  • trojankiller.exe
  • xy2player.exe
  • flyff.exe
  • xy2.exe
  • au_unins_web.exe
  • cabal.exe
  • cabalmain9x.exe
  • cabalmain.exe
  • meteor.exe
  • patcher.exe
  • mjonline.exe
  • config.exe
  • zuonline.exe
  • userpic.exe
  • main.exe
  • dk2.exe
  • autoupdate.exe
  • dbfsupdate.exe
  • asktao.exe
  • sealspeed.exe
  • xlqy2.exe
  • game.exe
  • wb-service.exe
  • nbt-dragonraja2006.exe
  • dragonraja.exe
  • mhclient-connect.exe
  • hs.exe
  • mts.exe
  • gc.exe
  • zfs.exe
  • neuz.exe
  • maplestory.exe
  • nsstarter.exe
  • nmcosrv.exe
  • ca.exe
  • nmservice.exe
  • kartrider.exe
  • audition.exe
  • zhengtu.exe

LANGKAH PENCEGAHAN
Yang menjadi pertanyaan adalah, bagaimana caranya agar komputer kebal terhadap serangan virus Alman ?. Dari hasil analisa beberapa contoh virus W32/Alman (Almanahe) di laboratorium virus Vaksincom, ia akan membuat file induk [C:\Windows\linkinfo.dll] yang akan aktif di memory dengan menginjeksi file Explorer.exe serta file [C:\Windows\System32\Drivers\*.SYS] akan aktif sebagai service dan berfungsi untuk melindungi file [C:\Windows\linkinfo.dll].

Satu tips untuk melindungi komputer dari Alman (Almanahe):

    Matikan Default Share Widows [Admin$, C$, D$] jika tidak digunakan dan disable fitur autorun Windows

Silahkan copy script dibawah ini pada Notepad kemudian simpan dengan nama DisableDefaultShare.inf, kemudian jalankan file tersebut dengan cara :
  • Klik kanan INF file
  • Klik [Install]

[Version]
Signature="$Chicago$"
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0x00010001,0
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0x00010001,0
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

Proteksi USB Flash
Sebagaimana yang telah dijelaskan sebelumnya, W32/Alman (Almanahe) juga akan menyebarkan dirinya dengan memanfaatkan media USB Flash dengan membuat beberapa file virus, berikut tips dan trik agar W32/Alman (Almanahe) tidak membuat file induk kedalam Media USB Flash :

  1. Khusus untuk file dengan ekstensi EXE sebaiknya di kompres dengan menggunakan program WinZIP/WinRAR agar virus tidak bisa menginfeksi file tersebut, jika perlu gunakan password.
  2. Buat folder kosong dengan nama [autorun.inf]. Agar folder [autorun.inf] tidak dihapus oleh virus buat folder kosong di dalam folder [autorun.inf] dengan karakter yang tidak dikenal oleh Windows seperti CON dan NUL (lihat gambar 3). Jika folder [autorun.inf] tersebut di hapus akan terjadi kegagalan dengan menampilkan pesan error (lihat gambar 4). Sebaiknya ubah atribut menjadi Hidden, System dan Read Only

Gambar 3, Membuat file autorun.inf

Gambar 4, Pesan error saat menghapus file autorun.inf

Anti Alman Tools
Vaksincom kembali membuat tools sederhana untuk mempermudah membasmi dan membuat komputer kebal dari virus dengan nama Anti Alman Tools v1. Tools ini TIDAK dibuat untuk membersihkan file aplikasi (EXE) yang sudah terinjeksi oleh W32/Alman (Almanahe). Untuk membersihkan file aplikasi (EXE) yang sudah terinjeksi W32/Alman (Almanahe) silahkan gunakan antivirus lain yang sudah dapat mendeteksi W32/Alman (Almanahe) atau gunakan Norman Malware Cleaner, silahkan download di website berikut:

Catatan: Lakukan pembersihan pada mode aman (SAFE MODE).

Berikut beberapa kelebihan yang dimiliki oleh Alman Protection Tools adalah : (lihat gambar 5)
    1. GRATIS dan satu-satunya yang membuat komputer anda KEBAL dair virus Laman, sekalipun komputer tersebut belum dipatch dan tidak dilindungi dengan program antivirus :). Harap ingat kalau tools ini hanya untuk memproteksi komputer kebal dari virus Alman saja. Anda disarankan untuk selalu menggunakan program antivirus yang terupdate untuk memproteksi sistem komputer anda dari serangan virus.
    2. Mampu mencari dan mematikan proses W32/Alman (Almanahe) yang aktif di memory
    3. Mampu memperbaiki registry yang diubah oleh virus
    4. Mampu menghapus file induk W32/Alman (Almanahe)
    5. Proteksi PC agar kebal dari W32/Alman (Almanahe)
    6. Proteksi agar W32/Alman (Almanahe) tidak drop file virus ke USB Flash

Gambar 5, Anti Alman Tools v1

Keterangan menu:
  • Kill Alman Process, berfungsi untuk mencari dan mematikan proses virus
  • Protect Alman, berfungsi untuk proteksi agar komputer kebal dari W32/Alman (Almanahe)
  • Restore…, berfungsi untuk mengembalikan semua perubahan yang dilakukan oleh Anti Alman Tools.
  • About, informasi Anti Alman Tools
  • Exit, keluar dari Anti Alman Tools

Link download Anti Alman Tools :







Download Software PPOB Interlink 2014


Artikel Terkait or related articles:

Kode Smiley Untuk Komentar


:a   :b   :c   :d   :e   :f   :g   :h   :i   :j   :k   :l   :m   :n   :o   :p   :q   :r   :s   :t  
Posting Komentar