Loading ...
Sorry, an error occurred while loading the content.

Win32.HLLW.Autoruner, Worm font, folder cinta part 2, 3 Des 2010

Expand Messages
  • Alfons
    http://vaksin.com/2010/1210/worm-font/worm-font.htm Share
    Message 1 of 1 , Dec 2, 2010
    View Source
    • 0 Attachment
      http://vaksin.com/2010/1210/worm-font/worm-font.htm

      Share 

      Win32.HLLW.Autoruner.based       3 Desember 2010

      Worm font, folder cinta part 2

       

      Bagi para pengguna komputer, font merupakan salah satu bagian penting yang ada pada sistem komputer yang digunakan. Tanpa adanya font, kita tidak bisa membaca apapun yang ada di komputer. Selain itu, variasi font juga berguna untuk mempercantik sebuah tulisan. Sehingga, banyak pengguna komputer yang suka mengkoleksi font.

       

      Bagi anda yang suka mengkoleksi font, harap berhati-hati jika anda memiliki sekumpulan font, karena bisa saja anda justru dikunjungi salah satu worm yang menggunakan logo/icon font. Alih-alih ingin memperbarui komputer anda, justru membuat komputer anda terinfeksi dan menyebarkan worm font.

       

      Varian worm font ini merupakan kelanjutan dari worm folder cinta pada tahun lalu. Anda dapat melihat review worm folder cinta pada link berikut :

      http://www.vaksin.com/2009/0709/cinta/virus_cinta.htm. Jika worm folder cinta menggunakan file kosong "khq", maka worm font menggunakan juga file kosong yaitu "khy". Jadi jika pada komputer anda atau komputer server anda terdapat file "khy", maka anda baru saja dikunjungi oleh worm ini dan bahkan sudah menyebar worm "font" ini pada jaringan komputer anda.

       

      Untuk varian worm ini, Dr.Web Scanner mendeteksi sebagai Win32. HLLW.Autoruner.based. (lihat gambar 1)

      Gambar 1, Dr.Web Scanner mendeteksi varian worm font.

       

       

      Ciri-ciri file worm

      Ciri-ciri file worm font yaitu sebagai berikut :

      -        Menggunakan icon/logo font

      -        Memiliki ukuran 494 kb

      -        Type file "application"

      -        Memiliki ekstensi file "exe" (lihat gambar 2)

      Gambar 2, File worm font.

       

      Gejala/efek worm

      Jika anda telah terinfeksi worm font, maka akan menimbulkan gejala/efek sebagai berikut :

      ·         Disetiap file sharing akan muncul file worm dengan nama "[namaacak].exe" dan file system yang kosong dengan nama "khq". (lihat Gambar 3) File khq ini juga akan berada pada setiap root drive.

      Gambar 3, File worm font pada sharing file.

       

      ·         File worm aktif di memori komputer dengan nama "csrcs.exe" (mirip dengan proses "csrss.exe" milik system Windows) pada proses dengan username lokal. Anda dapat melihat dengan menggunakan task manager pada tab processes. (lihat gambar 4)

      Gambar 4, Worm font aktif dan berjalan menggunakan nama csrcs.exe.

       

      ·         Tidak dapat menampilkan file yang sudah di hidden. (walaupun "folder options" sudah di rubah ber-kali kali, akan kembali hidden). Dengan melakukan hal ini, pengguna komputer tidak akan mudah tahu jika komputer sudah terinfeksi worm. (lihat gambar 5)

      Gambar 5, Key Show hidden yang dirubah worm.

       

      ·         Melakukan koneksi ke internet untuk berkomunikasi dengan server worm. (lihat gambar 6)

      Gambar 6, Worm melakukan koneksi internet.

       

      ·         Setelah melakukan koneksi, worm akan mendownload file malware lain-nya. (lihat gambar 7)

      Gambar 7, Worm melakukan download file malware lain.

       

      File file virus

      Sama seperti halnya worm folder cinta, worm font juga dibuat dengan menggunakan bahasa script Autoit dan di kompress menggunakan UPX Unpacker. Beberapa file virus yang akan muncul jika dijalankan, yaitu :

      ü  C:\WINDOWS\system32\csrcs.exe (berukuran 494 kb)

      ü  [namaacak].exe , (disetiap root folder lokal yg sharing, serta folder dalam jaringan yang full-sharing)

      ü  khq, (disetiap root folder lokal yg sharing, serta folder dalam jaringan yang full-sharing) , serta pada setiap root drive.

      ü  [namaacak].exe , (pada media USB Flash/removable drive)

      ü  Autorun.inf , (pada media USB Flash/removable drive)

       

      Apabila terkoneksi internet, worm akan mendownload beberapa file yaitu :

      ü  C:\Documents and Settings\%user%\Local Settings\Temp\www3.tmp

      ü  C:\WINDOWS\system32\RegShellSM.exe (berukuran 524 kb)

      ü  C:\WINDOWS\system32\autorun.i

      ü  C:\WINDOWS\system32\autorun.in

       

      Registri Windows

      Walau tidak banyak aksi yang dilakukan, Autorun.QBP juga membuat beberapa perubahan pada registry yaitu diantaranya :

       

      Ø  Agar dapat aktif saat komputer dijalankan, ia akan membuat string registry sebagai berikut :

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

      csrcs          =          C:\WINDOWS\system32\csrcs.exe

       

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

      csrcs          =          C:\WINDOWS\system32\csrcs.exe

       

      Ø  Untuk memproteksi dan tetap aktif pada windows, ia akan membuat string berikut :

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

      Shell       =    Explorer.exe csrcs.exe

       

      Media Penyebaran

      Worm font melakukan penyebaran melalui media USB/Removable drive dan juga melalui jaringan (file sharing).

       

      Pada USB/Removable drive, worm font akan membuat 2 file yang disembunyikan. Kedua file tersebut memiliki attribut RHSA (Read, Hidden, System, Archive), yaitu :

      -        autorun.inf, file pemicu agar worm dapat aktif jika komputer masih mengaktifkan system autoplay (autorun) windows.

      -        [namaacak.exe], file worm yang berukuran 494 kb. (lihat gambar 8)

      Gambar 8, Worm melakukan penyebaran pada USB/Remobale drive.

       

      Dalam jaringan, worm akan melakukan penyebaran menggunakan media file sharing. Jika pada server folder yang dibuat sharing FULL akses, maka worm akan dengan mudah menyebarkan file worm, yaitu :

      -        khy, file kosong yang seolah menjadi jejak persinggahan dari worm font

      -        [namaacak.exe], file worm yang berukuran 494 kb. (lihat gambar 9)

      Gambar 9, Worm melakukan penyebaran pada jaringan.

       

      Cara pembersihan worm

      Beberapa cara yang dilakukan untuk membersihkan komputer dari worm font yaitu sebagai berikut :

      1.    Putuskan koneksi komputer dari jaringan/internet.

      2.    Matikan System Restore Windows, selama proses pembersihan (XP/ME).

      - Klik kanan My Computer, pilih Properties.

      - Setelah muncul jendela System Properties, pilih tab System Restore.

      - Centang pada pilihan "Turn off System Restore"

      - Jika sudah, klik Apply dan OK. (lihat gambar 10)

      Gambar 10, Matikan system restore

       

      3.    Matikan dan hapus proses worm yang aktif dan berjalan. Gunakan tools dari Dr.Web CureIt untuk membersihkan dengan mudah. Download tools pada link berikut :

      http://www.freedrweb.com/download+cureit (lihat gambar 11)

      Gambar 11, Scan dengan Dr.Web CureIt!

       

      Klik 2x file yang telah anda download, hingga muncul pesan komputer yang sedang berjalan pada mode EPM (Enhanced Protection Mode), dan klik OK.

      Klik OK jika muncul notifikasi untuk menjalankan, kemudian klik START pada menu yang ditampilkan dan klik "Yes" pada notifikasi Start scan now?.

      Maka Dr.Web akan melakukan proses scanning pada komputer anda dan akan memunculkan pesan jika terdapat malware, klik Move. Biarkan hingga selesai.

      Restart komputer, jika diperlukan.

       

      4.    Hapus registry yang telah dibuat oleh worm. Untuk mempermudah, dapat menggunakan script registry di bawah ini.

       

      [Version]

      Signature="$Chicago$"

      Provider=Vaksincom Oyee

       

      [DefaultInstall]

      AddReg=UnhookRegKey

      DelReg=del

       

      [UnhookRegKey]

       

      HKLM, SOFTWARE\Classes\batfile\shell\open\command,,, """%1"" %*"

      HKLM, SOFTWARE\ Classes \comfile\shell\open\command,,, """%1"" %*"

      HKLM, SOFTWARE\ Classes \exefile\shell\open\command,,, """%1"" %*"

      HKLM, SOFTWARE\ Classes \scrfile\shell\open\command,,, """%1"" %*"

      HKLM, SOFTWARE\ Classes \piffile\shell\open\command,,, """%1"" %*"

      HKLM, SOFTWARE\ Classes \regfile\shell\open\command,,, "regedit.exe "%1"

      HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0, Explorer.exe

       

      [del]

      HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

      HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

       

      Gunakan notepad, kemudian simpan dengan nama "repair.inf" (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

      Jalankan repair.inf dengan klik kanan, kemudian pilih [install].

       

      5.    Untuk pembersihan yang optimal dan mencegah infeksi ulang dari worm, sebaiknya gunakan antivirus yang terupdate dan dapat mendeteksi worm ini dengan baik.

       

      Salam,

      Ad Sap

      info@...

       

      PT. Vaksincom

      Jl. Tanah Abang III / 19E

      Jakarta 10160

       

      Ph : 021 345 6850

      Fx : 021 345 6851


    Your message has been successfully submitted and would be delivered to recipients shortly.