Virus Komputer menginfeksi Rundll32.exe di PC/LaptopMu

Thanks For Mas AAT Teknisi Vaksin com
 

Kejahatan komputer memang kerap terjadi dan cenderung meningkat. Apalagi didukung dengan perkembangan teknologi informasi yang semakin pesat, yang justru semakin beragam cara yang digunakan bagi para penjahat komputer. Berbagai cara yang dilakukan diantaranya : hacking atau cracking, melakukan deface website, mengirim trojan/keylogger untuk mendapatkan user dan password, mengakses komputer tanpa ijin dan mengirim atau mengcopy data, serta membocorkan data rahasia ke luar/internet

Salah satu metode yang sering digunakan bagi para penjahat komputer yaitu dengan mengirim sebuah trojan yang memiliki kemampuan mencatat data aktif seperti username dan password, yang kemudian data tersebut akan dikirim kembali ke pengirim tersebut. Salah satu trojan yang dapat melakukan aksi tersebut yaitu Trojan Webmoner. Dan hingga saat ini, tercatat sudah ratusan varian Webmoner yang menyerang pengguna komputer.

Bagi anda yang para pengguna komputer di Indonesia, harap berhati-hati karena sejak Januari 2011 hingga saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan trojan ini, dan salah satu varian baru yang terdeteksi oleh Vaksincom adalah W32/Webmoner.BNH. (lihat gambar 1)

Gambar 1, Norman mendeteksi varian baru dari W32/Webmoner

Keluarga Webmoner : Pencuri data pribadi

Keluarga Webmoner merupakan salah satu kelompok trojan yang dirancang untuk mencuri informasi/data dari pengguna komputer terutama hal-hal yang berhubungan dengan data pribadi keuangan.

W32/Webmoner ditemukan sejak tahun 2004, dan hingga kini sudah ratusan varian W32/Webmoner yang beredar. Salah satu varian terbaru dari W32/Webmoner yang terdeteksi yaitu W32/Webmoner.BNH.

Lagi, manfaatkan Celah Keamanan (vulnerability) dari Windows

Tampaknya, trend shortcut sudah menjadi kiblat baru bagi para pembuat virus untuk melancarkan aksinya menginfeksi pengguna komputer dengan mudah. Dengan memanfaatkan celah keamanan pada Windows yaitu Windows Shell Icon Handler / LNK (MS10-046), maka trojan W32/Webmoner.BNH dapat dengan mudah masuk dan menginfeksi komputer serta melakukan penyebaran dengan cepat.

Gejala & Efek Virus

Beberapa gejala yang terjadi jika komputer anda sudah terinfeksi yaitu :

• Aktif menggunakan file Windows (rundll32)

Agar tidak mudah diketahui oleh pengguna komputer, trojan W32/Webmoner.BNH berusaha menyamarkan identitas saat aktif dengan memanfaatkan file system Windows yaitu RUNDLL32.exe. Dengan file tersebut, trojan W32/Webmoner.BNH dapat dengan mudah melakukan infeksi, membaca aktivitas pengguna serta melakukan koneksi pada Remote Server. (lihat gambar 2)

Gambar 2, Proses trojan yang aktif menggunakan file system RUNDLL32.exe

• Membuat komputer menjadi hang (explorer hang)

Saat komputer dinyalakan pertama kali dan login, Windows Explorer akan terasa lambat (hang) akibat aktifitas dari trojan yang menjalankan beberapa file RUNDLL32.EXE. Dengan begitu, pengguna komputer akan merasa terganggu dan tidak nyaman menggunakan komputer.

• Melakukan koneksi ke Remote Server

Trojan W32/Webmoner.BNH berusaha melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Koneksi ke remote server dilakukan dengan menggunakan berbagai macam port acak seperti :

• 127.0.0.1 : 45316, 2820, 5339, 47347, 28787, 30738, dll
• xx.195.47.170 : 57381

• Mengupdate dirinya seperti antivirus

Agar mempermudah aksi-nya, trojan W32/Webmoner.BNH juga melakukan download beberapa file tertentu dari Remote Server serta agar tetap terupdate dan tidak mudah dikenali oleh antivirus.

• Melakukan transfer data/dokumen yang telah didapatkan ke Remote Server

Tujuan utama dari trojan W32/Webmoner.BNH adalah mendapatkan informasi dari pengguna komputer yang sudah terinfeksi. Untuk melakukan hal tersebut, trojan W32/Webmoner.BNH menggunakan perintah command sebagai berikut :

C:\WINDOWS\system32\ftp.exe ftp-s : C:\WINDOWS\system32\ftp.sys-A

File trojan W32/Webmoner.BNH

Trojan W32/Webmoner.BNH dibuat menggunakan bahasa pemrograman Delphi yang kemudian di kompress menggunakan UPX. Berikut ciri-ciri file trojan sebagai berikut : (lihat gambar 3)

• Berukuran 26 kb
• Type file “system file”
• Icon file berubah-ubah sesuai dengan aplikasi/program pada komputer
• Bereksensi “sys”

Gambar 3, File trojan W32/Webmoner.BNH

Saat trojan W32/Webmoner.BNH berhasil dijalankan, trojan akan membuat beberapa file yaitu :

• C:\Documents and Settings\All Users\Start Menu\Internet Explorer.lnk
• C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Update.lnk
• C:\Documents and Settings\[UserName]\Favorites\Microsoft Update.lnk
• C:\mso.sys
• C:\WINDOWS\system32\ftp.sys

Selain itu trojan juga akan berusaha mendownload file lain yaitu :

• C:\RECYCLER.lnk
• C:\sysdmp.sys
• C:\WINDOWS\system32\ftp.cmd

Selain itu pada removable disk/drive akan membuat beberapa file yaitu :

• Documents and Settings.lnk
• Program Files.lnk
• RECYCLER.lnk
• System Volume Information.lnk
• WINDOWS.lnk
• mso.sys

Modifikasi Registry

Beberapa modifikasi registry yang dilakukan oleh trojan ini adalah sebagai berikut :

• Menambah Registry

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

RECYCLER = C:\RECYCLER.lnk

Metode Penyebaran

Beberapa cara trojan W32/Webmoner.BNH melakukan penyebaran yaitu sebagai berikut :

• Removable drive/disk

Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. Trojan (memanfaatkan celah autoplay) membuat beberapa file agar menginfeksi komputer yaitu :

1. Documents and Settings.lnk
2. Program Files.lnk
3. RECYCLER.lnk
4. System Volume Information.lnk
5. WINDOWS.lnk
6. mso.sys

Selain itu, dengan memanfaatkan celah keamanan MS10-046 (Windows Icon handler) maka file shortcut/LNK menjadi memiliki kemampuan worm dan akan dapat aktif secara otomatis saat kita mengakses drive tersebut tanpa menjalankan file tersebut sekalipun.

• Jaringan

Dengan memanfaatkan akses full sharing, trojan W32/Webmoner.BNH dapat mudah masuk dengan melakukan kopi beberapa file yang sama seperti penyebaran pada removable drive/disk.

Pembersihan Virus/Trojan

1. Putuskan koneksi komputer dari jaringan/internet.
2. Matikan dan hapus trojan W32/Webmoner.BNH

Lakukan langkah-langkah berikut :

1. Download tools untuk membersihkan trojan W32/Webmoner.BNH pada komputer yang belum terinfeksi pada link berikut :

Dr.Web Cure-It! (lihat gambar 4)

http://www.freedrweb.com/download+cureit/gr/?lng=en

Norman Malware Cleaner

http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

Gambar 4, Dr.Web CureIt! mendeteksi W32/Webmoner.BNH (PWS.Kann.12)

2. Setelah selesai, kompress file tersebut hingga menjadi file zip.
3. Kopi file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
4. Klik kanan file zip tersebut, kemudian klik explore.
5. Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.
6. Jika sudah muncul jendela Dr.Web CureIt, klik OK untuk menjalankan dalam mode EPM (Enhanced Protection Mode).
7. Klik Start untuk memulai Scan, dan klik Yes untuk memulai.
8. Biarkan hingga proses scan selesai.

3. Repair registry yang telah dimodifikasi.

Lakukan langkah-langkah berikut :

• Salin script dibawah ini dengan notepad :

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee 2011

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0

HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, RECYCLER

• Simpan file dengan nama “repair.inf”. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan.
• Klik kanan file “repair.inf”, kemudian pilih “install”.
• Restart komputer.

4. Bersihkan temporary file dari jejak trojan.

Lakukan langkah-langkah berikut :

1. Klik Menu Start -> Run
2. Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
3. Pada drive system (C) klik OK, biarkan proses scan drive.
4. Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
5. Tunggu hingga selesai.

5. Install security patch MS10-046 sesuai dengan versi windows yang anda miliki. Silahkan download pada link berikut :

http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx

6. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali trojan ini dengan baik.

Artikel Terkait or related articles:

VIRUS KOMPUTER

• Virus Lokal Annie
• Download AVG 2013 Build Juni 2013
• BBM VIRUS ....WARNING !!!
• w32 Shamoon a.k.a W32 Disttrack
• 22 situs berbahaya Indonesia Februari – Maret 2013
• 99 % Online Batam itu Fiktif ?
• Warning !!! Jebakan Facebook Autolike 2013
• 22 Situs berbahaya di Indonesia Update Februari 2013
• Warning !!! Aplikasi WhatsApp Palsu !!!
• Virus Komputer 17 Juni 2012 w32 Bonitoo
• VIRUS KOMPUTER TERBARU MEI 2012 Generic.ScriptWorm.8730EFFC (Suspicious_Gen.SYUC)
• Download Terbaru Avast Free Antivirus 7
• Virus Email pengeksploitasi 4 celah keamanan Adobe Acrobat
• Virus Android (OS Android)
• Virus Komputer yang menjadikan semuanya ( Recycle Bin ) W32/VBTroj.DAAA
• Virus Komputer W32/FakeAV.AESL yang membuat hardisk terformat ...
• DOWNLOAD SMADAV 8.9 + KEY UPDATE 1 FEB 2012
• Antivirus Avira Internet Security 2012 Full Key until Sept 2013
• Norton Internet Security 2012 Final FULL KEY
• Antivirus PANDA Internet Security 2012 FULL
• ANTIVIRUS BitDefender Total Security 2012 FULL Key
• Download ESET NOD32 Antivirus 5.0.95.0 FullKey 2017
• ANTI VIRUS AVAST 2012 BUSINESS PROTECTION FULL
• Download AVG Internet Security 2012 full version with Serial Number
• Warning !!! Perbedaan tipis iklan komersial dengan malware P*rn* XXX

Download

• Download Microsoft Office 2013 VS Office 2010 Full
• Windows 7 ROG RAMPAGE E3 2013 64 BIT 2013
• MacX DVD Ripper Pro For Windows 7.2.0 Full Version
• onOne Perfect Photo Suite 7.5.0 Premium Edition Pack 2 Full Version
• Internet Download Manager 6.15 Build 7 Full Patc
• Backup Aktivasi Windows 8 Dan Microsoft Office 2013
• Download Ashampoo Photo Mailer 1.0.6.3 07 Juni 2013 Full Version
• Download Windows 8 AIO 6 in1 (x86/x64) Full Version JUNI 2013
• Windows 7 Ultimate SP1 (x86) Update Bulan April 2013
• Windows 7 Ultimate SP1 For (x64) Juni 2013
• Download AVG 2013 Build Juni 2013
• Skype 6.5.0.158 Final Update Juni 2013
• Game Battlefield Bad Company 2 For PC Full Iso
• DOWNLOAD GHOST WINDOWS 7 PROFESSIONAL ALL DRIVER UPDATE JUNI 2013
• Ghost Windows 7 Ultimate OEM HP Lite all main UPDATE 2013
• Koleksi Ebook gratis Windows 8
• Ubah Start Screen Menu Windows 8
• Kelola database MySQL mudah dan cepat dengan HeidiSQL
• Cara Install Windows XP dengan Flashdisk
• Cara Recovery Data dengan Get Data Back
• Easy Driver Pack 5.10 FINAL
• DiskBoss (File & Disk Manager lengkap dalam satu program)
• Cara mudah membuat Bootable USB drive dengan Rufus
• TuneUp Utilities 2012 + serial Full version
• DOWNLOAD SMADAV 8.9 + KEY UPDATE 1 FEB 2012