Anda tentu masih ingat dengan virus W32/Alman atau lebih dikenal dengan sebutan Almanahe. Virus ini satu angkatan dengan Ramnit, Virut atau Sality dan memiliki kemampuan untuk menginjeksi file yang mempunyai ekstensi EXE. Alman (Almanahe) tergolong virus lama dengan awal kemunculan sekitar pertengahan tahun 2008 sebelum kemunculan Sality dan Virut. Alman adalah salah satu dari sederetan virus yang sukses dalam penyebarannya hingga sampai saat ini masih banyak kasus virus alman yang Kami temukan.
Penyebaran
Seperti kebanyakan virus yang menyebar, W32/Alman akan memanfaatkan beberapa media untuk menyebarkan dirinya seperti USB Flash dengan membuat file [boot.exe] dan [autorun.inf] serta menyebar melalui jaringan (LAN/WAN) dengan memanfaatkan Default Share Windows (ADMIN$, C$, D$ dll) jika berhasil di tembus ia akan membuat file [setup.exe] pada drive [C:\] dan menjalankan nya, selain itu ia juga akan memanfaatkan Folder/Drive yang di share dengan akses Full kemudian akan menginfeksi file aplikasi yang mempunyai ekstensi EXE.
Trojan downloader
Bukan cuma itu saja, W32/Alman (Almanahe) juga akan mendownload beberapa malware lain dengan melakukan koneksi ke beberapa website yang telah ditentukan untuk kemudian menjalankanya.
- pic.imrw0rldwide.com
- soft.imrw0rldwide.com
- tj.imrw0rldwide.com
Metode pertahanan diri
Untuk mempertahakan dirinya, ia akan membuat beberapa file induk yang akan di aktifkan pada saat komputer dinyalakan. W32/Alman (Almanahe) juga mempunyai kemampuan rootkit yang cukup baik untuk melindungi file induk yang aktif di memori maupun file yang di drop serta menyamarkan dirinya sebagai service Windows sehingga mempersulit proses pembersihan. Jika dilihat secara sepintas file induk yang dibuat (berupa file .dll dan .sys) tidak akan dapat dilihat walaupun sudah menampilkan file yang disembunyikan.
Berikut beberapa file yang akan di buat oleh W32/Alman (Almanahe)
- C:\Windows\linkinfo.dll
- C:\Windows\System32\drivers\LsDrv118.sys
- C:\Windows\system32\drivers\nvmini.sys
- C:\Windows\System32\drivers\cdralw.sys
- C:\Windows\System32\drivers\riodrvs.sys
- C:\Windows\System32\drivers\DKIs6.sys
Injeksi [Explorer.exe]
Untuk mengelabui user, W32/Alman (Almanahe) akan memanfaatkan rekayasa sosial dengan membuat file [linkinfo.dll] palsu yang akan di simpan di direktori [C:\Windows] sedangkan untuk file [linkinfo.dll] asli Windows akan di simpan di direktori [C:\Windows\system32] dengan ukuran yang berbeda-beda, jika kita lihat secara sepintas, kedua file ini akan mempunyai informasi file yang sama (lihat gambar1).
Gambar1, file linkinfo.dll palsu dan linkinfo asli Windows
Untuk memperlancar aksi dalam upaya menginjeksi file aplikasi, W32/Alman (Almanahe) akan menginjeksi [Explorer.exe] dengan menggunakan file [linkinfo.dll] palsu yang sudah dipersiapkan, file inilah yang bertugas untuk memonitoring dan menginjeksi file aplikasi [EXE]. Dengan kemampuan injeksi terhadap file [Explorer] akan semakin mempersulit user untuk melihat proses virus konvensional seperti Task Manager, Security Task Manager ataupun Process Explorer kecuali CurrProcess (lihat gambar 2)
Gambar2, CurrProcess mampu melihat file [linkinfo.dll] palsu yang menginjeksi [Explorer.exe]
Target Injeksi
Seperti yang sudah dijelaskan sebelumnya, W32/Alman (Almanahe) akan menginjeksi file aplikasi yang mempunyai ekstensi EXE. Walaupun demikian W32/Alman (Almanahe) boleh dibilang agak 'sopan' tidak menginjeksi semua file EXE yang ada di komputer yang berada di direktori berikut:
- \LOCAL SETTINGS\TEMP
- \QQ
- \Windows
- \Winnt
Serta beberapa file yang mempunyai nama berikut:
- launcher.exe
- repair.exe
- wow.exe
- wooolcfg.exe
- woool.exe
- ztconfig.exe
- patchupdate.exe
- trojankiller.exe
- xy2player.exe
- flyff.exe
- xy2.exe
- au_unins_web.exe
- cabal.exe
- cabalmain9x.exe
- cabalmain.exe
- meteor.exe
- patcher.exe
- mjonline.exe
- config.exe
- zuonline.exe
- userpic.exe
- main.exe
- dk2.exe
- autoupdate.exe
- dbfsupdate.exe
- asktao.exe
- sealspeed.exe
- xlqy2.exe
- game.exe
- wb-service.exe
- nbt-dragonraja2006.exe
- dragonraja.exe
- mhclient-connect.exe
- hs.exe
- mts.exe
- gc.exe
- zfs.exe
- neuz.exe
- maplestory.exe
- nsstarter.exe
- nmcosrv.exe
- ca.exe
- nmservice.exe
- kartrider.exe
- audition.exe
- zhengtu.exe
LANGKAH PENCEGAHAN
Yang menjadi pertanyaan adalah, bagaimana caranya agar komputer kebal terhadap serangan virus Alman ?. Dari hasil analisa beberapa contoh virus W32/Alman (Almanahe) di laboratorium virus Vaksincom, ia akan membuat file induk [C:\Windows\linkinfo.dll] yang akan aktif di memory dengan menginjeksi file Explorer.exe serta file [C:\Windows\System32\Drivers\*.SYS] akan aktif sebagai service dan berfungsi untuk melindungi file [C:\Windows\linkinfo.dll].
Satu tips untuk melindungi komputer dari Alman (Almanahe):
Matikan Default Share Widows [Admin$, C$, D$] jika tidak digunakan dan disable fitur autorun Windows
Silahkan copy script dibawah ini pada Notepad kemudian simpan dengan nama DisableDefaultShare.inf, kemudian jalankan file tersebut dengan cara :
- Klik kanan INF file
- Klik [Install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0x00010001,0
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0x00010001,0
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
Proteksi USB Flash
Sebagaimana yang telah dijelaskan sebelumnya, W32/Alman (Almanahe) juga akan menyebarkan dirinya dengan memanfaatkan media USB Flash dengan membuat beberapa file virus, berikut tips dan trik agar W32/Alman (Almanahe) tidak membuat file induk kedalam Media USB Flash :
- Khusus untuk file dengan ekstensi EXE sebaiknya di kompres dengan menggunakan program WinZIP/WinRAR agar virus tidak bisa menginfeksi file tersebut, jika perlu gunakan password.
- Buat folder kosong dengan nama [autorun.inf]. Agar folder [autorun.inf] tidak dihapus oleh virus buat folder kosong di dalam folder [autorun.inf] dengan karakter yang tidak dikenal oleh Windows seperti CON dan NUL (lihat gambar 3). Jika folder [autorun.inf] tersebut di hapus akan terjadi kegagalan dengan menampilkan pesan error (lihat gambar 4). Sebaiknya ubah atribut menjadi Hidden, System dan Read Only
Gambar 3, Membuat file autorun.inf
Gambar 4, Pesan error saat menghapus file autorun.inf
Anti Alman Tools
Vaksincom kembali membuat tools sederhana untuk mempermudah membasmi dan membuat komputer kebal dari virus dengan nama Anti Alman Tools v1. Tools ini TIDAK dibuat untuk membersihkan file aplikasi (EXE) yang sudah terinjeksi oleh W32/Alman (Almanahe). Untuk membersihkan file aplikasi (EXE) yang sudah terinjeksi W32/Alman (Almanahe) silahkan gunakan antivirus lain yang sudah dapat mendeteksi W32/Alman (Almanahe) atau gunakan Norman Malware Cleaner, silahkan download di website berikut:
Catatan: Lakukan pembersihan pada mode aman (SAFE MODE).
Berikut beberapa kelebihan yang dimiliki oleh Alman Protection Tools adalah : (lihat gambar 5)
- GRATIS dan satu-satunya yang membuat komputer anda KEBAL dair virus Laman, sekalipun komputer tersebut belum dipatch dan tidak dilindungi dengan program antivirus :). Harap ingat kalau tools ini hanya untuk memproteksi komputer kebal dari virus Alman saja. Anda disarankan untuk selalu menggunakan program antivirus yang terupdate untuk memproteksi sistem komputer anda dari serangan virus.
- Mampu mencari dan mematikan proses W32/Alman (Almanahe) yang aktif di memory
- Mampu memperbaiki registry yang diubah oleh virus
- Mampu menghapus file induk W32/Alman (Almanahe)
- Proteksi PC agar kebal dari W32/Alman (Almanahe)
- Proteksi agar W32/Alman (Almanahe) tidak drop file virus ke USB Flash
Gambar 5, Anti Alman Tools v1
Keterangan menu:
- Kill Alman Process, berfungsi untuk mencari dan mematikan proses virus
- Protect Alman, berfungsi untuk proteksi agar komputer kebal dari W32/Alman (Almanahe)
- Restore…, berfungsi untuk mengembalikan semua perubahan yang dilakukan oleh Anti Alman Tools.
- About, informasi Anti Alman Tools
- Exit, keluar dari Anti Alman Tools
Link download Anti Alman Tools :
Artikel Terkait or related articles:
Worm
- Virus Lokal Annie
- w32 Shamoon a.k.a W32 Disttrack
- 22 situs berbahaya Indonesia Februari – Maret 2013
- 99 % Online Batam itu Fiktif ?
- Warning !!! Jebakan Facebook Autolike 2013
- LINUX VS WINDOWS
- Virus Komputer 17 Juni 2012 w32 Bonitoo
- VIRUS KOMPUTER TERBARU MEI 2012 Generic.ScriptWorm.8730EFFC (Suspicious_Gen.SYUC)
- Download Terbaru Avast Free Antivirus 7
- Virus Email pengeksploitasi 4 celah keamanan Adobe Acrobat
- Virus Android (OS Android)
- Cek DNS Server Internet kamu dari Malware DNS Dengan FBI Cek Filter
- Virus Komputer yang menjadikan semuanya ( Recycle Bin ) W32/VBTroj.DAAA
- Virus Komputer W32/FakeAV.AESL yang membuat hardisk terformat ...
- Antivirus Avira Internet Security 2012 Full Key until Sept 2013
- Norton Internet Security 2012 Final FULL KEY
- Antivirus PANDA Internet Security 2012 FULL
- ANTIVIRUS BitDefender Total Security 2012 FULL Key
- Download ESET NOD32 Antivirus 5.0.95.0 FullKey 2017
- ANTI VIRUS AVAST 2012 BUSINESS PROTECTION FULL
- Download AVG Internet Security 2012 full version with Serial Number
- Warning !!! Perbedaan tipis iklan komersial dengan malware P*rn* XXX
- Evaluasi Virus 2011
- Hati-Hati !!!! Jangan Tertipu ...Virus Komputer BitCoinMiner yang Sexy Trojan.Generic.KD.440xxx (W32/Dorkbot.Bx)
- Facebook Trojan W32/Kolab.xx (Trojan.Click1.xxxx) Part II
Trik
- Download Microsoft Office 2013 VS Office 2010 Full
- (Hacking Wifi Tool) Wifislax 4.4
- MacX DVD Ripper Pro For Windows 7.2.0 Full Version
- ImTOO iPhone SMS Backup 1.0.6. Full Version
- Download OS Android APK Pack Full Version Update 05 Juni 2013
- Download INCOMEDIA WebSite X5 Evolution 10.0.6.31 MultiLangual Full Version
- Download Windows 8 AIO 6 in1 (x86/x64) Full Version JUNI 2013
- Abex Document Converter Pro 3.4.0 Full Version
- Windows 7 Ultimate SP1 (x86) Update Bulan April 2013
- Ciri Ramnit.net 2013
- Cek status keamanan komputer dengan OPSWAT Security Score
- Koleksi Ebook gratis Windows 8
- Warning !!! Jebakan Facebook Autolike 2013
- 22 Situs berbahaya di Indonesia Update Februari 2013
- Atasi installasi program/driver bermasalah di Windows Vista/7/8
- Ubah Start Screen Menu Windows 8
- Tool masuk Ke Kmputer Orang Lain ...Gunakan Dengan Bijak ...:)
- Testing Nokia 5320 Xpress Music...HACKING lOCK CODE HANDPHONE ..
- Mengetahui Password USER Di Windows Xp, Vista, Seven Melalui CMD (DOS)
- How (and why) to secure your / Windows PC Menjadi Aman ...
- Video Serang Website Dengan RFI (Remote File Inclusion) Danger !!!!
- Kumpulan URL Link Situs Keamanan Website
- Tampilan OS X di UBUNTU 12.04 LTS
- Dual Booting WIndows 7 & Ubuntu 12.04 LTS
- Langkah-langkah Install Ubuntu 12.04 LTS
VIRUS KOMPUTER
- Virus Lokal Annie
- Download AVG 2013 Build Juni 2013
- BBM VIRUS ....WARNING !!!
- w32 Shamoon a.k.a W32 Disttrack
- 22 situs berbahaya Indonesia Februari – Maret 2013
- 99 % Online Batam itu Fiktif ?
- Warning !!! Jebakan Facebook Autolike 2013
- 22 Situs berbahaya di Indonesia Update Februari 2013
- Warning !!! Aplikasi WhatsApp Palsu !!!
- Virus Komputer 17 Juni 2012 w32 Bonitoo
- VIRUS KOMPUTER TERBARU MEI 2012 Generic.ScriptWorm.8730EFFC (Suspicious_Gen.SYUC)
- Download Terbaru Avast Free Antivirus 7
- Virus Email pengeksploitasi 4 celah keamanan Adobe Acrobat
- Virus Android (OS Android)
- Virus Komputer yang menjadikan semuanya ( Recycle Bin ) W32/VBTroj.DAAA
- Virus Komputer W32/FakeAV.AESL yang membuat hardisk terformat ...
- DOWNLOAD SMADAV 8.9 + KEY UPDATE 1 FEB 2012
- Antivirus Avira Internet Security 2012 Full Key until Sept 2013
- Norton Internet Security 2012 Final FULL KEY
- Antivirus PANDA Internet Security 2012 FULL
- ANTIVIRUS BitDefender Total Security 2012 FULL Key
- Download ESET NOD32 Antivirus 5.0.95.0 FullKey 2017
- ANTI VIRUS AVAST 2012 BUSINESS PROTECTION FULL
- Download AVG Internet Security 2012 full version with Serial Number
- Warning !!! Perbedaan tipis iklan komersial dengan malware P*rn* XXX
:a
:b
:c
:d
:e
:f
:g
:h
:i
:j
:k
:l
:m
:n
:o
:p
:q
:r
:s
:t
Tidak ada komentar:
Posting Komentar