W32/Virut.DG
Ini dia biang keladinya banjir SPAM
Kalau anda ingin tahu virus apa yang paling memusingkan vendor antivirus di tahun 2009 ini, jawabannya
bukan Conficker atau Alman. Conficker boleh menjadi virus yang paling di takuti oleh administrator jaringan
tetapi saat ini sudah banyak sekali tools yang disediakan oleh vendor-vendor antivirus bisa membersihkan dan
membasmi Conficker dengan tuntas dan bisa dipastikan Conficker sudah memasuki masa “purna bakti” :P
karena patch terhadap RPC Dcom III yang secara efektif menghentikan penyebaran virus ini sudah
i implementasikan secara meluas di kalangan pengguna komputer. Lain ceritanya dengan virus yang bernama
Virut, ia tidak mengandalkan eksploitasi celah keamanan untuk menyebarkan dirinya sehingga tidak
da patch yang dapat menangkalnya (hal inilah yang menyebabkan penyebarannya tidak secepat Conficker)
tetapi jangan anda pandang enteng virus ini, karena Virut termasuk virus yang paling ditakuti oleh vendor
antivirus. Hal ini terbukti dari kehebatannya dimana sampai saat ini tidak ada tools yang mampu mendeteksi
dan membasmi virus ini dengan tuntas. Adapun aksi Virut juga bisa membuat jantung administrator copot seperti :
Mendisable Windows File Protection yang tujuannya sangat “mulia” (untuk Virut) karena ia ingin
menginfeksi seluruh file sistem OS Windows.
Menyebarkan dirinya melalui halaman web. HTML, ASP, PHP.
Menginfeksi Host file Windows, sehingga ia memiliki kontrol penuh terhadap koneksi internet komputer
yang di infeksinya.
Melakukan kontak remote ke IRC server.
Menjadikan komputer korbannya server zombie untuk mendownload update virus dan perintah
lain seperti mendownload master email spam dan menyebarkan ke alamat-alamat yang telah ditentukan.
Mendownload virus dan spyware lain untuk di infeksikan ke komputer.
Menjadikan komputer korbannya sebagai server spam dengan memanfaatkan IP publik yang
dimiliki router komputer sehingga mengakibatkan IP tersebut di ban dan di blacklist.
Mematikan Firewall.
Disable share folder supaya sulit dibersihkan secara remote.
Inject network driver sehingga jika hostnya dibersihkan akan menyebabkan kelumpuhan akses
komputer ke jaringan.
Menurut pengamatan Vaksincom saat ini sangat sulit ditemukan program cleaner untuk membersihkan
Virut dengan tuntas dan jika terdeteksipun, kerusakan / infeksi yang diakibatkan oleh Virut ini sangat
meluas sehingga banyak korban yang memilih melakukan jurus Pasopati, alias format. Dalam artikel ini,
Vaksincom akan menjelaskan secara detail aksi virus dan bagaimana cara membasminya.
Bagi anda para pengguna crack/keygen pada software aplikasi maupun game, sebaiknya harap
berhati-hati dikarenakan banyak beberapa program tersebut terindikasi mengandung virus.
Jika pada beberapa bulan terakhir ini penyebaran virus yang mampu menginfeksi program executable
di dominasi oleh virus Almanmaupun Sality, kini juga terdapat virus yang memiliki berbagai macam
varian yang mampu menginfeksi file executable yaitu “Virut”. Berbeda denga Sality atau Alman, virus
Virut mampu menginfeksi seluruh file system
Windows maupun seluruh file executable yang ada pada komputer anda. Dengan kemampuan
infeksi tersebut yang dilengkapi teknik enkripsi dalam menginfeksi file, sangat sulit untuk antivirus
mampu melakukan proses pembersihan/clean file secara tepat. Bahkan masih banyak antivirus yang
hanya mampu menghapus file atau mengkarantina file, sehingga file yang terinfeksi virus (termasuk file
system Windows) menjadi rusak dan akibat secara umum file tersebut tidak bisa dijalankan dan
bahkan menyebabkan Windows tidak berjalan secara normal. Hal ini yang kadang ditemui pada beberapa
forum, milis maupun artikel beberapa vendor yang memberikan solusi alternatif untuk di repair Windows
ataupun jalan terakhir format/install ulang.
Norman mendeteksi salah satu varian virus ini sebagai W32/Virut.DG. Norman mendeteksi dan
menghapus
file virus, serta mampu membersihkan file yang sudah terinfeksi virus.
Gambar 1, Norman mendeteksi salah satu varian yaitu W32/Virut.DG
Karakteristik Virut…
Virut merupakan salah satu varian virus yang memiliki kemampuan menginfeksi file executable dalam
hal ini EXE dan SCR. Virut merupakan salah satu virus yang muncul sejak tahun 2007 bersamaan
dengan munculnya virus Alman dan Sality, hanya saja saat itu penyebarannya tidak terlalu populer
dibandingkan Alman. Di tahun 2009 ini pun, penyebaran Virut bersamaan dengan serangan varian
Sality yang menyebar banyak dan mendominasi serangan virus mancanegara di Indonesia. Berbeda
dengan Sality dan varian awal Virut sebelumnya, Virut saat ini memiliki berbagai metode yang
digunakan baik untuk menginfeksi file maupun untuk melakukan penyebaran virus.
Saat ini, varian Virut tidak hanya menginfeksi file executable (exe dan scr) tetapi juga menginfeksi file
web (asp, php, htm) serta host file dan driver. Selain itu, jika anda terhubung internet virut akan
menghubungi remote server (IRC server) dan melakukan koneksi ke beberapa alamat server zombie untuk
mendownload sekumpulan malware (virus, trojan, spyware). Dengan terhubung pada beberapa alamat
server zombie tersebut, Virut juga mendapatkan akses data IP atau komputer yang akan dijadikan
sasaran serangan selanjutnya yaitu SPAM. Dalam hal ini, seandainya komputer kita sudah terinfeksi
oleh Virut, tentunya komputer kita sudah menjadi zombie untuk melakukan serangan SPAM sekaligus
mengirim virus kepada komputer lain. Pada beberapa varian, virut mendownload spyware, menggunakan
iklan dan popup dengan konten pornografi dan perjudian (casino) maupun iklan komersial lain yang tentunya
membuat anda tidak nyaman saat hendak browsing maupun surfing.
Metode Penyebaran…
Banyak cara yang coba dilakukan untuk menginfeksi komputer korban. Beberapa hal yang dilakukan yaitu
sebagai berikut :
- Infeksi pada crack/keygen yang ada pada situs-situs crack. Ini merupakan salah satu cara efektif yang
dilakukan pembuat virus.
- Link-link atau pop-up untuk mendownload file, baik pada situs ataupun pada forum.
Teknologi
drive by download yang digunakan untk menginfeksi komputer anda. Harap berhati-hati saat
anda mengakses web-web yang tidak dikenal.
- Mengirim e-mail yang disertakan link ataupun attachment tertentu (SPAM). Perhatikan
email anda danjangan hiraukan email-email yang memiliki konten tidak jelas.
- File sharing (terutama program executable) pada jaringan. Pada beberapa developer
program aplikasi, memilki cara agar program dapat jalan pada jaringan perusahan adalah dengan
digunakannya sharing file khususnya sharing full. Hal ini justru menyebabkan serangan virus baik
Alman, Sality bahkan Virut dapat leluasa menginfeksi file. Virut menjadikan ini sebagai sasaran
utama penyebaran pada perusahaan ataupun pada jaringan korporat. Karena itu Vaksincom
menghimbau kepada para pengembang software untuk memasukkan masalah sekuriti sebagai
salah satu faktor yang penting dalam membangun software anda. Salah satunya adalah hindari
penggunaan sharing FULL tanpa password karena akan memicu penyebaran virus dan akan
mengakibatkan masalah pada aplikasi anda dan jaringan perusahaan yang menggunakan aplikasi anda.
- Penggunaan removable drive seperti USB, Card Reader, dan media tulis lainnya.
Bagi anda yang biasa menyimpan file executable harap di perhatikan dan di cek selalu untuk
menghindari infeksi file pada komputer.
Disable Windows File Protection…
Saat pertama kali dijalankan, W32/Virut.DG akan berusaha menginjeksi file Winlogon.exe pada proses system.
Dengan menginjeksi file tersebut, virus telah mendisable Windows File Protection (System File Checker).
Hal ini dilakukan dengan mengubah/patch file sfc.dll dan sfc_os.dll. Hal ini dilakukan agar mampu
menginfeksi seluruh file system Windows dan mempermudah infeksi seluruh file executable (exe dan scr)
pada komputer tersebut. (lihat gambar 2)
Gambar 2, Fitur Windows File Protection yang didisable oleh Virut
Infeksi File Executable…
Sama seperti halnya Sality dan Alman, Virut mampu menginfeksi file dalam hal ini file executable yang
di infeksi adalah :
- .EXE dengan type file “Application”
- .SCR dengan type file “Screen Saver”
File executable yang telah terinfeksi virus akan bertambah sebesar 22 kb.
Infeksi File Web…
Selain menginfeksi file executable, virus juga menginfeksi beberapa file web atau HTML yaitu yang memiliki
extention berikut :
- .HTM
- .ASP
- .PHP
Dengan menyisipkan string link alamat server download virus sebelum tag penutup body. (lihat gambar 3)
Gambar 3, Menyisipkan script link download virus sebelum tag penutup body.
Infeksi File Hosts…
Untuk mempermudah aksinya mendownload sekumpulan malware dan tetap terkoneksi pada remote server,
virus menambahkan script pada header host file. Hal yang sama dilakukan seperti saat menginfeksi
file HTML (dengan menambahkan script pada file HTML). (lihat gambar 4)
Gambar 4, Hosts yang telah diubah dan ditambahkan link remote server virus.
Remote Server (IRC Server)…
Saat terkoneksi internet, virus melakukan kontak ke remote server/IRC (Internet Relay Chat)
menggunakan port 65520. Beberapa IP yang digunakan yaitu :
- 91.212.220.156:65520
- 91.121.221.157:65520
Beberapa IP tersebut memiliki domain sebagai berikut : (lihat gambar 5)
- dns2.zief.pl
- nss2.ircgalaxy.pl
- proxim.ircgalaxy.pl
- proxima.ircgalaxy.pl
- sys.zief.pl
- gidromash.cn
- core.ircgalaxy.pl
- jl.chura.pl
Gambar 5, Virus melakukan koneksi dengan remote server melalui port 65520
Zombie Server (Download Server)…
Setelah melakukan kontak, akan dilanjutkan dengan melakukan koneksi pada beberapa server
zombie dengan berbagai port untuk mendownload sekumpulanmalware. Beberapa IP tersebut diantaranya yaitu :
- 211.95.79.170:80 (HTTP)
- 65.54.82.160
- 218.61.7.9
- 64.4.20.174
- 216.32.90.186
- dll
- 59.30.90.84:3128 (Proxy)
- 77.93.21.45
- 76.31.92.235
- 123.236.125.64
- 93.114.249.122
- dll
- 217.11.54.126:3954 (AD Replication RPC)
- dll
- 66.90.104.13:443 (HTTPS)
- 211.95.79.170
- 216.32.90.186
- dll
Disalah satu server zombie tersebutlah , virus mendapatkan data IP atau komputer yang akan
mendapatkan serangan SPAM. (lihat gambar 6)
Gambar 6, Virus melakukan koneksi pada salah satu server zombie untuk mendapatkan data.
SPAM Action…
Virus akan melakukan serangan SPAM kepada IP-IP yang terdapat pada data komputer pada server zombie
. Secara khusus, virus menyerang IP yang menggunakan MX (Mail Exchanger) dengan memiliki
account user pada beberapa alamat e-mail, yaitu : (lihat gambar 7)
- yahoo.com
- web.de
- hotmail.com
- gmail.com
- aol.com
Gambar 7, Virus melakukan koneksi pada IP yang menggunakan MX (Microsoft Exchange).
Disable Firewall (Turnoff Firewall)…
Windows Firewall dimatikan dan di proteksi. Hal ini dilakukan untuk mencegah akses pengguna
komputer mengaktifkan kembali. (lihat gambar 8)
Gambar 8, Matikan dan blok windows firewall
File Program Error (gagal dijalankan)
File aplikasi/executable tidak bisa dijalankan, baik karena ukuran sudah
berubah maupun karena telah terinfeksi virus. Biasanya jika anda ingin menjalankan
suatu program baik program antivirus ataupun program aplikasi lainnya, akan muncul error saat
. (lihat gambar 9)
Gambar 9, File tidak mau dijalankan karena sudah terinfeksi virus
Disable Share Folder…
Tidak bisa melakukan share folder ataupun share drive. Hal ini dilakukan untuk mencegah akses
share dari komputer lain. (lihat gambar 10)
Gambar 10, Matikan dan blok windows firewall
Replace/Inject Network Driver…
Salah satu akibat yang ditimbulkan oleh virus ini adalah berusaha menggantikan file network
ataupun menginjeksi file tersebut. Driver network yang berusaha digantikan adalah :
- ndis.sys
- TCPIP.sys
Akibat yang ditimbulkan adalah rusaknya driver network walaupun sudah anda re-install
driver sehingga komputer tersebut tidak dapat terkoneksi pada jaringan. (lihat gambar 11)
Gambar 11, Network Driver yang sudah rusak oleh virus
File Virus…
Varian W32/Virut.DG memiliki beberapa file virus yang diantaranya sebagai berikut : (lihat gambar 12)
- C:\Documents and Settings\%user%\reader_s.exe
- C:\Documents and Settings\%user%\%user%.exe
- C:\WINDOWS\fonts\services.exe
- C:\WINDOWS\SoftwareDistribution\Download\[random_folder]\[nama_random].tmp
- C:\WINDOWS\system32\reader_s.exe
- C:\WINDOWS\system32\servises.exe
- C:\WINDOWS\system32\regedit.exe
- C:\WINDOWS\system32\[angka_random].tmp (beberapa file)
- C:\WINDOWS\Temp\VRT[angka_random].tmp (beberapa file)
- C:\WINDOWS\Temp\~TM[angka_random].tmp (beberapa file)
- C:\WINDOWS\Temp\[angka_random].exe (beberapa file)
- C:\WINDOWS\Temp\[nama_acak].dll (beberapa file)
Gambar 12, File virus W32/Virut.DG
Salah satu file virus menyamarkan dirinya sebagai “PE Explorer”, PE Explorer merupakan
salah satu tools yang dibuat oleh perusahaan Heaven Tools.
Registry Windows…
Agar dapat aktif pada saat menjalankan Windows, virus membuat string registry pada :
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
22951 = C:\WINDOWS\system32\[nama_random].tmp.exe
reader_s = C:\WINDOWS\system32\reader_s.exe
Regedit32 = C:\WINDOWS\system32\regedit.exe
servises = C:\WINDOWS\system32\servises.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run
servises = C:\WINDOWS\system32\servises.exe
exec = C:\WINDOWS\fonts\services.exe
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
reader_s = C:\Documents and Settings\klasnich\reader_s.exe
servises = C:\WINDOWS\system32\servises.exe
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run
servises = C:\WINDOWS\system32\servises.exe
- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\ Windows
load = C:\WINDOWS\system32\servises.exe
run = C:\WINDOWS\system32\servises.exe
Agar tidak mudah diidentifikasi oleh user, virus membuat string registry pada :
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\NOHIDORSYS
CheckedValue = 0
Selain itu, virus menambahkan dan mengubah string registry pada firewall:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandarProfile\AuthorizedApplications\List
\\??\C:\WINDOWS\system32\winlogon.exe = \\??\C:\WINDOWS\system32\winlogon.exe:*:
enabled:@shell32.dll,-1
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile
EnableFirewall = 0
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
StandardProfile
EnableFirewall = 0
Cara Pembersihan Virus…
- Matikan System Restore (XP/ME) (pada saat digunakan)
- Hapus dan matikan proses virus yang aktif. Gunakan Norman Malware Cleaner
untuk mematikan sekaligus menghapus virus. Anda dapat mendownload pada link berikut :
Sebaiknya anda men-download pada komputer yang masih bersih atau simpan file
tersebut dengan extension file executable lain seperti com atau cmd.
Sebelum anda menjalankan file Norman Malware Cleaner, sebaiknya rubah terlebih dahulu
extension file tersebut menjadi com atau cmd, atau anda kompress file tersebut menjadi zip.
Jalankan file yang berada dalam zip atau yang sudah berubah menjadi com atau cmd. (lihat gambar 13)
Gambar 13, Matikan dan hapus virut dengan Norman Malware Cleaner
Norman Malware Cleaner mampu menghapus virus, membersihkan
file yang terinfeksi virus, serta memperbaiki driver yang terinfeksi.
Setelah selesai proses pembersihan, disarankan segera restart komputer.
- Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan
script registry dibawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Gendong Virut Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
CheckedValue, 0x00010001, 1
HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile,
EnableFirewall, 0x00010001, 1
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, servises
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, load
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, servises
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 22951
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Regedit32
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
\NOHIDORSYS
HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandarProfile
\AuthorizedApplications\List, \\??\C:\WINDOWS\system32\winlogon.exe
HKLM, SOFTWARE\Policies\Microsoft\WindowsFirewall
Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
- Sebagai antisipasi jika masih belum bisa terkoneksi dalam jaringan atau netwrok drive masih error, sebaiknya replace driver network yaitu file “ndis.sys” (berukuran 179 kb) dan “TCPIP.SYS” (berukuran 351 kb) dari komputer yang belum terinfeksi. Biasanya file tersebut berada padaC:\WINDOWS\system32\driver dan C:\WINDOWS\system32\dllcache
- Kembalikan hosts file yang sudah terinfeksi. Replace file “hosts” (berukuran 1 kb) dari komputer yang belum terinfeksi. Biasanya berada padaC:\WINDOWS\system32\driver\etc. Anda bisa juga menggunakan tools perubah hosts file yaitu “HostsXpert”. Anda dapat mendownload pada link berikut :
Pada hostsxpert anda dapat me-restore kembali hosts file seperti semula. (lihat gambar 14)
Gambar 14, Hostsxpert me-restore kembali file hosts yang di-infeksi virus.
- Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan dapat mendeteksi dan membasmi virus ini dengan baik.
Salam,
Ad Sap
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 3456850
Fx : 021 3456851
21.28
T-as
0 komentar:
Posting Komentar