Simply And Enjoy's : W32/Agent.VARB Font file kerabat shortcut yang menyebarkan virus

Sumber Thank's Vaksin Com

Dominasi varian virus shortcut (LNK) mulai bertambah lagi dengan muncul-nya salah satu varian terbaru sejak akhir Maret 2011 lalu. Entah apakah celah shortcut (LNK) menjadi salah satu celah favorit bagi para pembuat malware untuk melakukan penyebaran sehingga menjadi trend, kini makin banyak bermunculan berbagai macam varian dari virus/trojan berbahaya dan worm jaringan yang akan membuat komputer anda menjadi lambat dan tentunya mengganggu pekerjaan anda.

Bagi anda para pengguna komputer dan internet di Indonesia, harap berhati-hati karena saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan worm ini, dan salah satu varian yang terdeteksi yaitu W32/Agent.VARB (lihat gambar 1)

Gambar 1, Norman mendeteksi varian worm W32/Agent.VARB

Keluarga baru malware shortcut (LNK) : worm Agent.VARB

Worm Agent.VARB (Norman) atau sering disebut Rorpian (Microsoft) atau SillyFDC (Symantec, Eset/NOD), dan TDSS (TrendMicro, Sophos), merupakan salah satu kelompok worm yang mampu mengganggu system komputer dalam jaringan dan mencoba memanipulasi system yang ada dalam jaringan. Kemampuan utama dari worm ini adalah dengan melakukan broadcast internet dan membuat komputer menjadi lambat.

Worm ini banyak ditemukan pada komputer-komputer server (atau yang dijadikan sebagai server) yang sering melakukan pertukaran data atau sharing file khusus-nya pengguna Windows Server 2003.

Kelebihan dari worm ini selain mampu melakukan penyebaran menggunakan celah shortcut (LNK) atau MS10-046, juga dapat melakukan penyebaran melalui celah lain yaitu Windows Print Spooler atau MS10-061 dan Microsoft OpenType Font Driver atau MS10-091.

Gejala & Efek Virus

Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :

Aktif dengan menginfeksi file Windows Explorer dan Print Spooler

File worm aktif pada memory komputer dengan menginjeksi/menumpang file Windows Explorer dan Print Spooler. Dengan melakukan hal seperti itu, maka akan menghindari antisipasi dari antivirus sehingga sangat sulit dibersihkan. Serangan akan terjadi pada komputer server yang menggunakan Windows Server 2003.

Membuat komputer menjadi hang (explorer error)

Saat komputer dinyalakan pertama kali dan login, Windows Explorer akan terasa lambat (hang) akibat aktifitas dari worm yang mencoba menginjeksi Windows Explorer. Dengan melakukan hal tersebut, pengguna komputer akan merasa terganggu dan tidak nyaman menggunakan komputer. Terkadang hal ini membuat akibat fatal pada Windows Explorer yang menjadi error. (lihat gambar 2)

Gambar 2, Windows Explorer menjadi error

Melakukan koneksi ke Remote Server

Worm W32/Agent.VARB juga berusaha melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Koneksi ke beberapa remote server dilakukan dengan menggunakan port acak :

82.192.xx.xx
188.138.xx.xx
94.75.xx.xx

Mendownload file agar tetap terupdate

Tidak mau kalah dengan program antivirus, trojan W32/Agent.VARB juga melakukan download beberapa file tertentu dari Remote Server yang bertujuan agar worm tetap terupdate dan tidak mudah dikenali oleh antivirus.

File trojan W32/Agent.VARB

File worm W32/Agent.VARB dibuat menggunakan bahasa pemrograman C. Berikut ciri-ciri file utama trojan sebagai berikut : (lihat gambar 3)

Berukuran 63 kb (tergantung varian yg ditemukan)
Type file “Font File”
Icon file “Font
Berekstensi “fon”

Gambar 3, File trojan W32/Agent.VARB

File-file tersebut yaitu ;

autorun.inf
myporno.avi.lnk
pornmovs.lnk
setup50039.fon
setup50039.lnk
setup50045.fon
setup50045.lnk

Selain file tersebut, worm Agent.VARB akan mendownload beberapa file lain, yaitu sebagai berikut :

C:\Documents and Settings\%user%\Local Settings\Temp\srv[acak].tmp (1 kb)
C:\Documents and Settings\%user%\Local Settings\Temp\srv[acak].ini (1 kb)

Modifikasi Registry

Beberapa modifikasi registry yang dilakukan oleh worm Agent.VARB antara lain sebagai berikut :

Menambah Registry

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\srv[acak]

(Default) = "service"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srv[acak]

Type = 0x00000020

Start = 0x00000002

ErrorControl = 0x00000001

ImagePath = "%System%\svchost.exe -k netsvcs"

DisplayName = "srv[acak]"

ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srv[acak]\parameters

servicedll = "\\?\globalroot\Device\HarddiskVolume1\DOCUME~1\%UserName%\LOCALS~1\Temp\srv[acak].tmp"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srv[acak]\Security

Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\srv[acak]

(Default) = "service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv[acak]

Type = 0x00000020

Start = 0x00000002

ErrorControl = 0x00000001

ImagePath = "%System%\svchost.exe -k netsvcs"

DisplayName = "srv[acak]"

ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv[acak]\parameters

servicedll = "\\?\globalroot\Device\HarddiskVolume1\DOCUME~1\%UserName%\LOCALS~1\Temp\srv[acak].tmp"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv[acak]\Security

Merubah Registry

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

Cookies =

History =

Metode Penyebaran

Beberapa cara worm W32/Agent.VARB melakukan penyebaran yaitu sebagai berikut :

Removable drive/disk

Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. worm (memanfaatkan celah autoplay) membuat beberapa file agar menginfeksi komputer yaitu :

autorun.inf
myporno.avi.lnk
pornmovs.lnk
setup50039.fon
setup50039.lnk
setup50045.fon
setup50045.lnk

Selain itu, dengan memanfaatkan celah keamanan MS10-046 (Windows Icon handler) maka file shortcut/LNK akan langsung dieksekusi pada saat drive tersebut diakses.

Jaringan LAN

Salah satu metode utama yang digunakan untuk melakukan penyebaran yaitu menggunakan jaringan LAN. Dengan memanfaatkan file sharing yang terbuka (full), worm melakukan penyebaran file. Sehingga komputer yang akan mengkases file sharing akan terinfeksi dengan mudah (juga ikut memanfaatkan celah MS10-046).

Selain itu, dengan memanfaatkan celah keamanan MS10-061 (Windows Print Spooler) pada komputer yang mengkases komputer Print Server yang telah terinfeksi worm jenis ini.

Pembersihan Virus/Worm

Putuskan koneksi jaringan/internet.

Matikan “System Restore” (Windows XP/ME) (lihat gambar 4)

Klik kanan My Computer, pilih Properties.
Pilih tab System Restore, beri ceklist pilihan Turn off System restore
Klik Apply, Klik OK.

Gambar 4, System Restore dahulu supaya dalat membasmi virus dengan tuntas

Matikan dan hapus worm W32/Agent.VARB

Lakukan langkah-langkah berikut :

Download tools untuk membersihkan worm W32/Agent.VARB pada komputer yang belum terinfeksi pada link berikut :

Norman Malware Cleaner

http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

Setelah selesai, kompress file tersebut hingga menjadi file zip.
Copy file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
Klik kanan file zip tersebut, kemudian klik explore.
Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.
Klik Start untuk memulai Scan, dan klik Yes untuk memulai.
Biarkan hingga proses scan selesai.

Repair registri yang telah dimodifikasi.

Hapus key registry yang telah dibuat oleh worm dengan langkah sebagai berikut :

Klik Menu [Start]
Klik [Run]
Ketik _"regedit", kemudian klik tombol [OK] hingga muncul tampilan "Registry Editor"
Cari dan hapus key berikut :

HKEY_LOCALMACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\srv[acak]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srv[acak]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\srv[acak]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv[acak]

Rubah key registri yang telah dimodifikasi oleh worm dengan langkah sebagai berikut :

Klik Menu [Start]
Klik [Run]
Ketik _"regedit", kemudian klik tombol [OK] hingga muncul tampilan "Registry Editor"
Cari dan rubah key berikut menjadi :

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

Cookies = C:\Documents and Settings\NetworkService\Cookies

History = C:\Documents and Settings\NetworkService\Local Settings\History

Bersihkan temporary file dari jejak worm.

Lakukan langkah-langkah berikut :

Klik Menu Start -> Run
Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
Pada drive system (C) klik OK, biarkan proses scan drive.
Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
Tunggu hingga selesai. (lihat gambar 5)