Monday, March 23, 2009

Hati-hati Phishing YM mengincar account Yahoo anda


Mau tahu “ular berbisa” versi Messenger yang sedang marak beredar di internet ? Salah satu teknik yang paling mudah untuk menjerat korban phishing adalah menggunakan rekayasa sosial yang tepat, dan kalau hal ini dilakukan oleh orang yang mengerti hukum, maka hal ini akan mengakibatkan banjir phishing di internet. Kali ini yang menjadi korban adalah para pengguna Messenger, baik Yahoo Messenger maupun MSN Messenger.

Jika anda pernah menerima pesan di Yahoo Messenger seperti dibawah ini :

Dan jika anda klik link tersebut maka anda akan diarahkan pada website phishing yang telah disiapkan (lihat gambar 2)

Gambar 2, Situs Phishing yang akan ditampilkan oleh website pencuri Account Yahoo Messenger

JANGAN sekali-kali anda masukkan Yahoo Email dan Password anda karena rekening YM anda akan langsung diketahui. Sekali Account Yahoo anda diketahui, secara teknis banyak sekali hal-hal berbahaya yang dapat dilakukan tanpa sepengetahuan anda. Seperti mengirimkan Phishing, SPAM, email fitnah sampai mengubah data pemilik Account. Terlebih jika anda memiliki akses berharga pada Account YM anda seperti administrator mailinglist dengan jumlah anggota yang besar, account produk-produk Yahoo dan lainnya.

Mengapa orang bisa tertipu ?

Jika anda “merasa” belum pernah tertipu dan bertanya-tanya, kok keterlaluan banget yah, orang bisa tertipu begitu mudah ? Jawabannya selain karena “kurang teliti” karena mengira situs yang dikunjungi adalah situs milik Yahoo tetapi sebab lain yang utama adalah karena yang mengirimkan pesan tersebut adalah kontak anda yang ada di Yahoo Messenger. Tentunya anda percaya bahwa teman anda tidak mungkin mencelakakan anda dengan menjebak anda ke situs phishing (kalau benar ada rasanya keterlaluan banget deh ). Jadi, kalau anda menerima pesan seperti di atas, jangan mengamuk dulu sama teman anda. Masalahnya, pesan YM tersebut rupanya tidak dikirimkan oleh teman anda, melainkan karena Account Yahoonya telah diketahui dan digunakan untuk mengirimkan pesan yang menggiring semua kontak untuk mengklik link yang membuka halaman web yang meminta Yahoo Mail dan password. SEGERA minta teman anda untuk mengganti Password YM dan memeriksa dengan teliti apakah data pendukung rekening Yahoonya masih sesuai dengan dirinya. Kalau masih sesuai, “mungkin” rekening Yahoo tersebut masih bisa digunakan. Tetapi kalau anda was-was dan ingin menerapkan paranoid mode, ganti rekening Yahoo anda dengan yang baru dan jangan lupa lengkapi login Yahoo anda dengan “Sign in Seal” dan selalu perhatikan alamat situs Yahoo setiap kali memasukkan username dan password.

Siapa yang baca Term and Conditions ?

Jika ditanya, apakah anda membaca dengan seksama Terms and Conditions setiap kali anda menginstal software atau menggunakan satu layanan di internet ? Dapat dikatakan 99 % akan menjawab TIDAK. Nah, kelemahan inilah yang dimanfaatkan oleh T P Ltd, perusahaan yang menjadi dalang dari semua ini.

T P Ltd adalah satu perusahaan yang menggunakan domisili hukum Panama. Dan perusahaan ini sudah melindungi dirinya dengan perangkat hukum yang baik karena dia sudah mencantumkan bahwa anda setuju account Yahoo Anda digunakan untuk tujuan promosi dalam Term and Conditions yang tercantum linknya di halaman depan situs forgery tersebut. (yang kami yakin anda yang pernah masuk situs tersebutpun belum tentu ingat ada kalimat “- By logging in you accept Terms and Conditions-”, apalagi megklik dan membaca linknya. Berikut ini kutipan salah satu point dalam “Terms and Conditions” :

By using our service/website you hereby fully authorize T P Ltd to send messages of a commercial nature via Instant Messages and E-Mails on behalf of third parties via the information you provide us.

Firefox – Internet Explorer – Safari

Satu hal yang menarik dan Vaksincom alami dalam mengakses situs forgery ini menggunakan beberapa browser yang berbeda seperti Firefox, Internet Explorer dan Safari adalah :

Secara default (tanpa setting khusus) browser Firefox versi 3.0.6 relatif lebih aman dari browser Internet Explorer versi 7.0.6001.18000 dan Safari versi 3.2.1.

Mengapa ?

Situs Firefox memberikan peringatan berulang-ulang setiap kali mengakses situs forgery yang rasanya agak “keterlaluan” kalau sampai pengguna firefox sampai bisa tertipu oleh situs ini. Jadi, saat pertama kali Vaksincom masuk ke situs www.holiday-picz.com langsung mendapatkan peringatan berwarna Merah dengan gambar icon polisi memegang rambu lalulintas “dilarang masuk” (coba kurang jelas bagaimana pesan yang diberikan :P) bahwa situs ini dilaporkan BERBAHAYA dan dipalsukan dan hanya dua tombol yang mudah di klik : (lihat gambar 2)

Gambar 2, Peringatan yang diberikan oleh Firefox jika kita ingin mengakses situs forgery www.holiday-picz.com

  1. Get me out of here ! Yang kalau di klik akan membawa anda keluar dari situs berbahaya tersebut.

  2. Why was this site blocked ? Yang kalau di klik akan memberikan informasi lebih jauh mengenai web forgery dan phishing

Hanya saja kalau anda tetap keukeuh dan ingin mengakses situs tersebut, anda dapat mengklik kalimat kecil di pojok kanan “Ignore this warning” anda baru bisa mengakses situs tersebut (lihat gambar 3). Itupun masih tetap dengan adanya pita berwarna merah berisi peringatan dari Firefox “Reported Web Forgery !”. Kemungkinan pengguna Firefox dan tetap bisa terjebak memasukkan Alamat email dan password adalah karena “gatal” ingin mengklik dan memasukkan segala sesuatu tanpa membaca atau karena pengguna tersebut kurang mengerti Bahasa Inggris. (tapi harusnya kan mengerti yah, kalau merah itu berarti bahaya, mana ada gambar polisi galak bawa rambu verboden … kok masih diterabas …. Kaya naik motor ajah :P).

Gambar 3, Situs Holiday-picz.com yang ditampilkan oleh Firefox tetap memberi peringatan Web Forgery

Bandingkan dengan tampilan situs ini di Internet Explorer dan Safari (gambar 4 dan 5)

Gambar 4, Internet Explorer 7 langsung menampilkan situs Forgery ini tanpa peringatan apapun

Gambar 5, Safari juga menampilkan situs forgery ini tanpa peringatan apapun.

Menurut perkiraan Vaksincom, secara tidak langsung karena Yahoo Messenger secara default akan membuka setiap link menggunakan Internet Explorer sehingga menyebabkan tingginya korban dari web foegery ini.

Celakanya, Vaksincom mendapatkan laporan bahwa TP Ltd ini sangat kreatif dan selalu memperbaharui situs forgerynya dengan pesan yang makin hari makin canggih. Selain itu, bukan hanya Yahoo Messenger saja yang menjadi korbannya, tetapi juga MSN Messenger. Dalam artikel berikut, Vaksincom akan memberikan hasil pengetesan Lab menggunakan Account Yahoo messenger dan bagaimana mendeteksi Account Yahoo anda sedang dipakai dan terakhir yang tidak kalah menarik, ada perusahaan game online internet yang populer di Indonesia dengan anggota ratusan ribu pengguna ternyata menggunakan jasa TP Ltd dalam menyebarkan iklan gamenya.


thx to vaksin[dot]com

Virus yang membuat komputer anda banjir Shortcut

Di tengah gencarnya virus-virus Confiker melanda dunia persilatan jaringan, maka ada sebuah virus lokal yang tidak mau kalah untuk unjuk gigi. Virus ini penulis dapatkan secara tidak sengaja, ketika sedang beranjang sana di sebuah tempat kerja sahabat dekat, dia mengeluh kok banyak banget sih shortcut di komputernya.

Setelah diamati memang benar banyak sekali file-file shortcut yang bertebaran di setiap folder yang ada di dalam komputernya, seperti Microsoft.lnk, dan juga file shortcut dengan nama seperti nama folder yang dimiliki. Akhirnya dengan naluri vaksinis yang tidak bisa mendengar ada virus baru yang tidak terdeteksi oleh antivirus, maka dengan segera keluhan tersebut langsung dianalisa lebih lanjut dan dibuatkan cara mengatasinya.

Norman Virus Control mendeteksi virus ini sebagai Worm:PIF/Starter.A (lihat gambar 1) :

NSS detect shortcut

Gambar 1, Norman Security Suite mendeteksi virus Shortcut sebagai Worm:PIF/Starter.A

Ciri-ciri dari virus tersebut adalah :

  1. Di folder My Documents terdapat sebuah file yang bernama database.mdb, dan ternyata ini adalah file induknya.

  2. File Autorun.inf, Thumb.db, Microsoft.lnk di setiap driver, folder dan flash disk sampai pada SUB Folder yang ke-2.

  3. Membuat File Duplikat setiap folder dengan extensi .lnk, maksimal 5 nama folder pertama, misalnya kalau di C:\Windows ada banyak maka hanya akan diambil 5 nama pertama saja. Dan berlaku sampai sub folder yang ke-2 (lihat gambar 2)

Gambar 2, Aksi virus Shortcut memalsukan folder

  1. Mematikan fungsi dari file Registry (lihat gambar 3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistrytools"=dword:00000001

Gambar 3, Pesan yang ditampilkan jika mengakses Registry Edit

  1. Menambahkan value di registry :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"Explorer"="Wscript.exe //e:VBScript \"C:\Documents and Settings\Administrator\My Documents\database.mdb\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"WinUpdate"="Wscript.exe /e:VBScript \"C:\WINDOWS\:Microsoft Office

Update for Windows XP.sys\""

Untuk script yang terakhir mungkin sekali ini hanya script untuk mengecoh saja, tetapi

dalam prakteknya kita harus mendeletenya. Jika pada saat kita LogOn komputer, maka

akan didapat message error seperti di bawah ini (lihat gambar 4)

Gambar 4, Pesan error yang ditampilkan saat logon karena gagal loading script.

Yang membuat kita menjadi geram adalah banyak sekali shortcut yang dibuat oleh virus tersebut. Dan hebatnya virus tersebut kalau cara penanganannya tidak tepat maka akan kembali lagi dan lagi. Oleh sebab itu ada beberapa cara yang harus dilakukan untuk memberantas virus yang menyebalkan ini :

  1. Matikan proses dari file WSCRIPT yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari windows.

  1. Sebelumnya matikan dulu proses SYSTEM RESTORE.

  1. Setelah dimatikan proses dari Wscript tersebut, kita harus mendetele atau merename dari pada file tersebut agar tidak digunakan (untuk sementara) lagi oleh virus tersebut. Sebagai catatan, kalau kita merename dari file Wscript.exe tersebut dengan automatis akan dikopikan lagi di folder tersebut, oleh sebab itu kita harus mencari di mana file Wscript.exe yang lainnya biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386. Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS. (Virus pintar kan)

Wscript.exe //e:VBScript \"C:\Documents and Settings\Administrator\My Documents\database.mdb\""

  1. Delete file induknya yang ada di C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan meload file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.

  1. Sekarang kita akan mendelete file-file Autorun.INF. Microsoft.INF dan Thumb.db. dengan cara, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah

Ketik C:\del Microsoft.inf /s = perintah ini akan mendelete semua file microsoft.inf di seluruh folder di drive C: , kalau mau pindah drive tinggal diganti nama drivenya saja contoh : D:\del Microsoft.inf /s

Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f = perintah akan mendelete file autorun.inf (syntax /ah /f digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama. (lihat gambar 5)

Gambar 5, Perintah mendelete file lnk yang diciptakan virus.

  1. Untuk mendelete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara Search file dengan ekstensi .lnk ukurannya 1 KB, Pada “More advanced options”, pastikan option “Search system folders” dan “Search hidden files and folders” keduanya telah dicentang.

Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 KB adalah virus, kita dapat membedakannya dari iconnya, size dan Type. Untuk shortcut yang diciptakan virus iconnya selalu menggunakan icon "folder", ukuran 1 KB dengan Type "Shortcut". Sedangkan folder yang benar harusnya tidak memiliki "size" dan Typenya adalah "File Folder". Contoh di bawah, gambar bagian kiri folder dengan nama "Music", "Video", "Programs", "Documents" dan "Compressed" sebenarnya adalah shortcut yang memalsukan diri sebagai icon folder yang diciptakan oleh virus dan harus dihapus karena memiliki size 1 KB dan Type "Shortcut". Sedangkan Folder dengan nama "Compressed", "Documents", "Music", "Programs", "Video" dan "Virus" yang tidak memiliki Size dan Type "File Folder" adalah folder asli yang namanya dicatut oleh virus. Sedangkan gambar kanan, shortcut yang asli dari program memiliki icon khusus sesuai icon programnya. (lihat gambar 6)

Gambar 6, Shortcut yang dibuat virus akan menyerupai icon folder, tetapi memiliki Size 1 KB dan Type "Shortcut"

  1. Fix registry yang sudah di ubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program “notepad” kemudian simpan dengan nama "Repair.inf". Jalankan file tersebut dengan cara:

- Klik kanan repair.inf

- Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

[del]

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate

HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer



Thx to vaksin[dot]com


Antivir palsu

Artikel Chip November 2008

Serigala berbulu domba. Ungkapan ini patut di ingat-ingat oleh para pengguna komputer yang mendadak mendapatkan peringatan bahwa di komputernya di temukan virus / spyware dan langsung ditawarkan removalnya saat itu juga. Peringatan yang muncul banyak variasinya, dari perubahan wallpaper, muncul pesan di “system icons” di pojok kanan bawah layar komputer (sebelah jam) atau pesan pop up. (lihat gambar 1 dan 2)

Gambar 1, Scareware Antivirus-2008 yang merubah Wallpaper komputer korbannya menjadi peringatan palsu adanya spyware dan menawarkan removal yang sebenarnya palsu.

Gambar 2, Peringatan palsu adanyaSpyware yang ditampilkan oleh Antivirus 2008

Istilah yang diberikan pada program antivirus gadungan ini adalah Rogue Scanner, Advance Antivirus atau Scareware. Dikatakan sebagai scareware karena cara kerjanya yang menakut-nakuti korbannya bahwa komputernya terinfeksi virus dan spyware dengan tingkat bahaya yang sangat tinggi dan disarankan untuk mendownload antivirus gadungan (yang sebenarnya juga spyware) ke situs yang telah dipersiapkan terlebih dahulu. Jika korban berhasil ditakuti dan masuk ke situs yang telah dipersiapkan, ia akan ditawari untuk membeli antivirus gadungan dan membayar dengan kartu kreditnya. Kemungkinan besar korbannya ini akan terperdaya karena memang aplikasi scareware dan situs-situs pendukung ini sudah dipersiapkan dengan baik dan tampilan aplikasi dan websitenya terlihat cukup profesional. Dimana tampilan scareware tersebut tidak kalah dengan tampilan program antivirus terkini dan hebatnya situs yang dikunjungipun memiliki sistem penerimaan pembayaran dengan kartu kredit yang online. Masalahnya adalah, sebenarnya peringatan tentang belasan virus yang berhasil di deteksi oleh scareware tersebut adalah peringatan palsu, dimana sebenarnya tidak ada virus yang dimaksudkan di komputer korban. Namanya juga scareware (ingat scarecrow, patung-patungan palsu untuk manakuti burung (gagak) supaya tidak memakani padi) tujuan utamanya adalah menakuti korbannya untuk tujuan komersial dan celakanya cara yang dipakai kurang terpuji dengan memberikan peringatan virus palsu. Selain itu, jika korbannya setuju untuk mendownload program scareware yang ditawarkan. Maka ibarat kata pepatah, “Sudah Jatuh Tertimpa Tangga” …. (di gigit anjing lagi :P) maka selain membayar untuk sesuatu yang tidak perlu, kemungkinan besar kartu kredit yang digunakan untuk membeli scareware tersebut akan dijadikan sebagai sasaran fraud. Banyak laporan yang menyebutkan bahwa biaya yang ditagihkan ke kartu kredit tidak sesuai dengan yang tertera pada saat transaksi dan bisa beberapa kali lipat. Karena itu sebaiknya anda segera memblokir kartu kredit tersebut dan mengganti dengan yang baru untuk menjaga kemungkinan digunakan untuk fraud.

Metode infeksi

Scareware akan datang dalam banyak alternatif :

  • Mengeksploitasi celah keamanan (Java Script) browser waktu mengunjungi website tertentu sehingga akan terinstal secara otomatis dan menampilkan peringatan palsu.
  • Menawarkan scan malware gratis atau tune up sistem komputer gratis.
  • Email, dalam hal eksploitasi email pembuat virus ini cukup kreatif. Adapun bentuk-bentuk email yang terdeteksi adalah sebagai berikut :
    • Kartu ucapan / greeting card. Email yang datang juga memiliki banyak varian, baik yang datang dalam lampiran bervirus (biasanya di kompres / zip) maupun hanya link download yang memanfaatkan fitur “drive by download”.
    • Breaking News dari CNN atau situs berita yang lain.
    • Menawarkan film porno artis ternama seperti Angelina Jolie yang dikombinasikan dengan baik sekali dengan rekayasa sosial pada situs You Tube. Dimana file yang mengandung virus seakan-akan harus di download sebagai codec (file yang diperlukan untuk menonton file film di You Tube). Lihat artikel http://vaksin.com/2008/0808/anjelina-jolie2/anjelina-jolie2.html
    • Datang dalam lampiran terkompres seperti yang terakhir ditemui Vaksincom datang sebagai email konfirmasi pengiriman barang dari UPS yang meminta kita mencetak invoice .doc yang sebenarnya adalah file virus karena memiliki ekstensi ganda (ups_letter.doc.exe). Supaya lampiran ini tidak diblok di mailserver ia di kompres terlebih dahulu dengan nama “ups_letter.zip”. (lihat gambar 3)

Gambar 3, Cara terbaru scareware menyebarkan dirinya dengan mengirimkan dirinya sebagai lampiran melalui email.

Ada puluhan varian scareware

Sebenarnya seberapa gawat sih masalah scareware ini dan seberapa banyak varian scareware ini ? Pada awalnya Vaksincom mengira scareware ini seperti kata pepatah “hangat-hangat tahi ayam”, paling dalam waktu beberapa bulan akan menghilang dan digantikan oleh spyware / malware lainnya. Dan varian scareware ini meskipun cukup banyak tetapi menurut perkiraan Vaksincom tidak akan melebihi belasan varian. Tetapi kenyataannya sangat mengejutkan, karena ternyata sampai saat ini sudah tedeteksi 85 scareware yang beredar di internet yang lengkap dengan infrastruktur pendukungnya seperti website dan sistem pembayaran online. Beberapa nama yang digunakan juga cukup menjebak seperti Antivirus XP 2008, Antivirus XP 2009, Vista Antivirus 2008, WinFixer, Spyware Stormer, Smart Antivirus 2008, Smart Antivirus 2009, PC-Antispyware, MS Antispyware, MS Antivirus, IE Antivirus, ID Defender, Antivirus 2008, Antivirus 2009 dan masih banyak lagi. Melihat hal ini dapat disimpulkan bahwa pembuat scareware ini cukup terorganisir, profesional, ditunjang oleh back up finansial yang kuat dengan motif ekonomi dan bukan hanya melakukan hit and run seperti pembuat virus.

Beberapa ciri scareware yang sedang aktif

Beberapa ciri scareware yang saat ini sedang marak menyebar di internet adalah sebagai berikut :

  • Jika komputer korbannya mendapatkan peringatan adanya malware tetapi tidak melakukan tindakan seperti mendownload scareware yang disarankan, maka komputer tersebut akan terus menerus mendapatkan peringatan pop up windows yang meninformasikan adanya malware di komputernya. Dalam beberapa kasus, bahkan komputer korban “dikerjai” seperti drive C: dihilangkan dari Windows Explorer dan menghilangkan folder-folder baik di harddrive lokal maupun folder sharing di jaringan sehingga makin menambah kepanikan pengguna komputer korbannya.
  • Scareware ini sulit di deteksi antivirus karena ia akan selalu mengupdate dirinya dan melakukan release ulang guna mencegah deteksi program antivirus.
  • Menurut pantauan Vaksincom, saat ini banyak scareware sudah mampu menginfeksi Widnwos Vista, jadi korbannya tidak hanya terbatas pada Windows XP / 2000 saja.
  • Walaupun anda sudah klik [Cancel] atau [X] untuk menutup box dialog ketika ditanyakan apakah mau mendownload scareware, aksi yang dilakukan TETAP akan mendownload scareware. Bahkan beberapa scareware secara otomatis mendownloadkan dan menginstalkan dirinya ke komputer korbannya.
  • Anda tidak dapat menghentikan proses download yang berlangsung, sekalipun anda menutup browser anda karena proses download akan berlangsung di background (tidak terlihat). Salah satu cara yang cukup efektif untuk menghentikan download adalah menggunakan key [Alt][F4].
  • Administrator jaringan di korporat dapat mempertimbangkan memblok akses ke situs-situs download scareware seperti winfixer.com, winantivirus.com, systemdoctor.com tetapi seperti kita ketahui jumlah scareware yang mencapai lebih dari 80 pada saat ini dan dalam waktu singkat akan mencapai lebih dari 100 scareware membuat proses blokir website scareware ini sangat melelahkan. Salah satu cara yang efektif mengatasi infeksi scareware adalah menggunakan filter jaringan yang dipasang di router backbone internet anda seperti Norman Network Protector yang akan melakukan scanning seluruh traffic yang masuk ke jaringan intranet baik itu traffic http, smtp, pop maupun ftp. Dengan adanya Network Protector ini pengguna jaringan akan terlindung dari download dan upload scareware maupun malware tanpa perlu melakukan perubahan pada setting komputer karena scanner ini berfungsi sebagai bridge (transparent proxy). (lihat gambar 4)

Gambar 4, NNP yang mampu mendeteksi dan menghentikan scareware yang secara otomatis mendownload dirinya pada protokol http, smtp, pop dan ftp

Bagaimana cara menghindari dan mengatasi scareware

Jika anda menanyakan bagaimana cara menghindari dan mengatasi scareware, jawabannya mungkin klasik. Pastikan komputer anda dilindungi program antivirus / spyware yang terupdate dan jangan sembarangan memilih antivirus yang belum anda kenal. Kalau anda paranoid hindari email html (set sebagai plain text saja) untuk mencegah kesalahan karena klik pada email html yang memicu download scareware. Jangan sembarangan menggunakan software atau scanner online yang tidak anda ketahui kompetensinya. Lakukan patch (penambalan celah keamanan) secara teratur, usahakan untuk melakukan automatic patch pada OS anda jika komputer anda memiliki hubungan ke internet.

Jika komputer anda sudah terinfeksi scareware, satu hal yang paling penting anda lakukan adalah “putuskan hubungan ke internet”, hal ini penting untuk mencegah scareware mengupdate dirinya. Gunakan Norman Security Suite dengan update terakhir yang bisa anda dapatkan pada DVD / CD Chip terbaru untuk membasmi scareware ini.

thx to vaksin[dot]com & Chip

Virus nomor 1 di Indonesia, injeksi file exe/com/scr


Kalau Conficker dapat dikatakan sebagai worm nomor satu di Indonesia, maka predikat virus yang paling merepotkan dan paling banyak ditemui Vaksincom di Indonesia pantas di sandang oleh Sality. Virus yang disinyalir berasal dari Taiwan / Cina ini secara meyakinkan menempati ranking pertama dalam infeksi virus yang diterima oleh Vaksincom bersama-sama dengan Conficker.

Memang menyebalkan jika semua program kita ikut dimakan oleh virus [di infeksi], disamping sulit dalam memberantas virusnya terkadang juga file yang sudah di injeksi tersebut tidak dapat digunakan alias rusak setelah di scan dan dibersihkan oleh antivirus, alhasil harus reinstall semua program yang error atau download ulang file yang sudah di injenksi tersebut.

Salah satu virus yang akan menginjeksi file exe/com/scr ini adalah W32/Sality.AE (lihat gambar 1)

Gambar 1, Norman Security Suite dapat mendeteksi Sality.AE dengan baik

Ukuran file yang sudah terinfeksi W32/Sality.AE akan bertambah besar beberapa KB dan file yang sudah terinfeksi W32/Sality.AE ini masih dapat di jalankan seperti biasa. Biasanya virus ini akan mencoba untuk blok program antivirus atau removal tools saat dijalankan serta mencoba untuk blok task manager atau “registry editor” Windows. Untuk mempermudah dalam proses penyebarannya selain memanfaatkan “File Sharing” dan “Default Share” virus ini juga akan memanfaatkan media Flash Disk dengan cara membuat file acak yang mempunyai ekstensi exe/com/scr/pif serta menambahkan file autorun.inf yang memungkinkan virus dapat aktif secara otomatis setiap kali user mengakses Flash Disk.

Untuk blok task manager atau Registry tools, W32/Sality.AE ini akan membuat string pada registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

  • DisableRegistryTools

  • DisableTaskMgr

Pada saat file yang terinfeksi W32/Sality.AE, ia akan mendekrip dirinya dan mencoba untuk kopi beberapa file *.dll (acak) file DLL kemudian akan menginjeksi file lain yang aktif di memori serta file lain yang terdapat di komputer dan jaringan (file sharing) serta menginfeksi file *.exe yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

Berikut beberapa contoh file *.dll yang akan di drop oleh W32/Sality.AE.

  • C:\Windows\system32\syslib32.dll

  • C:\Windows\system32\oledsp32.dll

  • C:\Windows\system32\olemdb32.dll

  • C:\Windows\system32\wcimgr32.dll

  • C:\Windows\system32\wmimgr32.dll

Selain membuat file DLL, sality juga akan membuat file *.sys [acak] di direktori “C:\Windows\system32\drivers” [contoh: kmionn.sys]

Blok Antivirus dan software security

Seperti yang sudah dijelaskan di atas bahwa untuk mempermudah proses penyebaran ia juga akan mencoba untuk mematikan proses yang berhubungan dengan program security khususnya antivirus dengan cara mematikan proses yang mempunyai nama dibawah ini:

ALG

InoRPC

aswUpdSv

InoRT

avast! Antivirus

InoTask

avast! Mail Scanner

ISSVC

avast! Web Scanner

KPF4

AVP

LavasoftFirewall

BackWeb Plug-in - 4476822

LIVESRV

bdss

McAfeeFramework

BGLiveSvc

McShield

BlackICE

McTaskManager

CAISafe

navapsvc

ccEvtMgr

NOD32krn

ccProxy

NPFMntor

ccSetMgr

NSCService

F-Prot Antivirus Update Monitor

Outpost Firewall main module

fsbwsys

OutpostFirewall

FSDFWD

PAVFIRES

F-Secure Gatekeeper Handler Starter

PAVFNSVR

fshttps

PavProt

FSMA

PavPrSrv

PAVSRV

Symantec Core LC

PcCtlCom

Tmntsrv

PersonalFirewal

TmPfw

PREVSRV

tmproxy

ProtoPort Firewall service

UmxAgent

PSIMSVC

UmxCfg

RapApp

UmxLU

SmcService

UmxPol

SNDSrvc

vsmon

SPBBCSvc

VSSERV

WebrootDesktopFirewallDataService

WebrootFirewall

XCOMM

Selain mematikan proses antivirus di atas, ia juga akan berupaya untuk blok agar user tidak dapat mengakses web dari beberapa antivirus berikut:

  • Cureit

  • Drweb

  • Onlinescan

  • Spywareinfo

  • Ewido

  • Virusscan

  • Windowsecurity

  • Spywareguide

  • Bitdefender

  • Panda software

  • Agnmitum

  • Virustotal

  • Sophos

  • Trend Micro

  • Etrust.com

  • Symantec

  • McAfee

  • F-Secure

  • Eset.com

  • Kaspersky

W32/Sality.AE juga akan mencoba untuk merubah regisrty berikut:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\"GlobalUserOffline" = "0"

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xxx [xxx adalah acak, contoh : abp470n5]

  • HKEY_CURRENT_USER\Software\[USER NAME]914

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER

Selain itu ia juga akan mencoba untuk merubah beberapa string registry Windows Firewall berikut dengan menambahkan value dari 0 menjadi 1:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

  • AntiVirusDisableNotify

  • AntiVirusOverride

  • FirewallDisableNotify

  • FirewallOverride

  • UacDisableNotify

  • UpdatesDisableNotify

dan membuat key “SVC” serta string berikut dengan value 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc

  • AntiVirusDisableNotify

  • AntiVirusOverride

  • FirewallDisableNotify

  • FirewallOverride

  • UacDisableNotify

  • UpdatesDisableNotify

Tak cuma itu W32/s\Sality.AE juga akan menghapus key “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG”.

ALG atau Application Layer Gateway Service adalah services yang memberikan support untuk plug-in protokol aplikasi dan meng-enable konektivitas jaringan / protokol. Service ini boleh saja dimatikan. Dampaknya adalah program seperti MSN Messenger dan Windows Messenger tidak akan berfungsi. Service ini bisa dijalankan, tetapi hanya jika menggunakan firewall, baik firewall bawaan Windows atau firewall lain. Jika tidak komputer yang terinfeksi virus ini akan mengalami celah keamanan yang serius.

Blok akses “safe mode”

Dalam rangka “mempertahankan” dirinya, W32/Sality.AE juga akan mencoba untuk blok akses ke mode “safe mode” sehingga user tidak dapat booting pada mode “safe mode” dengan menghapus key yang berada di lokasi di bawah ini :

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Injeksi file exe/com/scr

Tujuan utama dari virus ini adalah mencoba untuk menginjeksi program instalasi dan file yang mempunyai ekstensi exe/com/scr yang ada di drive C - Y terutama file hasil instalasi (file yang berada di direktori C:\Program Files) dan file-file portable (file yang langsung dapat dijalankan tanpa perlu instal), ia juga akan menginfeksi file yang mempunyai ekstensi “.exe” yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

File yang berhasil di injeksi biasanya ukurannya akan bertambah sekitar 68 - 80 KB dari ukuran semula. Program yang telah terinfeksi ini akan tetap dapat di jalankan seperti biasa sehingga user tidak curiga bahwa file tersebut sebenarnya telah di infeksi oleh W32/Sality.AE. Salah satu kecanggihan Sality adalah kemampuannya menginjeksi file tumpangannya sehingga ukuran file bervirus tidak seragam, jelas lebih sulit diidentifikasi dibandingkan virus lain yang menggantikan file yang ada sehingga ukuran filenya akan sama besar.

Harap berhati-hati, tidak semua program antivirus dapat membersihkan file yang sudah terinfeksi W32/Sality.AE, bisa-bisa file tersebut akan rusak setelah di scan dan di bersihkan oleh antivirus tersebut.

Tidak mau kalah dengan virus mancanegara lain, untuk memperlancar aksinya ia akan mencoba untuk melakukan koneksi ke sejumlah alamat web yang sudah ditentukan dengan tujuan untuk memanggil/mendownload trojan/virus lainnya yang di sinyalir merupakan varian dari versi sebelumnya yang memungkinkan virus ini dapat mengupdate dirinya.

[http://]pedmeo222nb.info

[http://]pzrk.ru

[http://]technican.w.interia.pl

[http://]www.kjwre9fqwieluoi.info

[http://]bpowqbvcfds677.info

[http://]bmakemegood24.com

[http://]bperfectchoice1.com

[http://]bcash-ddt.net

[http://]bddr-cash.net

[http://]btrn-cash.net

[http://]bmoney-frn.net

[http://]bclr-cash.net

[http://]bxxxl-cash.net

[http://]balsfhkewo7i487fksd.info

[http://]buynvf96.info

[http://]89.119.67.154/tes[xxx]

[http://]oceaninfo.co.kr/picas[xxx]

[http://]kukutrustnet777.info/home[xxx]

[http://]kukutrustnet888.info/home[xxx]

[http://]kukutrustnet987.info/home[xxx]

[http://]kukutrustnet777.info

[http://]www.kjwre9fqwieluoi.info

[http://]kjwre77638dfqwieuoi.info

http://mattfoll.eu.interia.pl/[sensor]

http://st1.dist.su.lt/l[sensor]

http://lpbmx.ru/[sensor]

http://bjerm.mass.hc.ru/[sensor]

http://SOSiTE_AVERI_SOSiTEEE.[sensor]

Mengeksploitasi Default Share dan Full Sharing

W32/Sality.AE akan menyebar dengan cepat melalui jaringan dengan memanfaatkkan default share windows atau share folder yang mempunyai akses full dengan cara menginfeksi file yang mempunyai ekstensi exe/com/scr. Karena itu, Vaksincom menyarankan pengguna komputer untuk menonaktifkan Default Share (C$, D$ .. dst) dan hindari Full Sharing folder anda di jaringan.

Selain menyebar dengan menggunakan jaringan, ia juga akan memanfaatkan flash disk yakni dengan cara kopi dirinya dengan nama file acak dengan ekstensi exe/cmd/pif serta membuat file autorun.inf agar dirinya dapat aktif secara otomatis tanpa harus menjalankan file yang sudah terinfeksi virus, selain itu ia juga akan menginfeksi file yang mempunyai ekstensi exe/com/scr yang terdapat dalam flash disk tersebut.

Selain itu Sality.AE juga akan menambahkan string [MCIDRV_VER] dan DEVICEMB=xxx, dimana xxx menunjukan karakter acak ke dalam file C:\Windows\system.ini. (lihat gambar 2 dan 3)

Gambar 2, File system.ini sebelum di ubah oleh W32/Sality.AE


Gambar 3, File system.ini setelah di ubah oleh W32/Sality.AE

Cara membersihkan W32/Sality.AE

  1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan dan internet

  2. Matikan System Restore selama proses pembersihan berlangsung.

  3. Matikan Autorun dan Default Share. Silahkan download file berikut kemudian jalankan dengan cara:

    • Klik kanan repair.inf

    • Klik install

http://www.4shared.com/file/82762498/f5dc1edd/repair.html?dirPwdVerified=feea1d94

  1. Matikan program aplikasi yang aktif di memori agar proses pembersihan lebih cepat terutama program yang ada dalam daftar startup.

  2. Sebaiknya scan dengan menggunakan removal tools dengan terlebih dahulu merubah ekstensi dari removal tools tersebut dengan ekstensi lain [contoh: CMD] agar tidak di infeksi ulang oleh W32/Sality.AE. Dalam contoh di bawah, nama file “Norman_Malware_Cleaner.exe” di rename menjadi “Norman_Malware_Cleaner.cmd” supaya tidak di infeksi Sality. (lihat gambar 4)

Rename Norman Malware Cleaner
Gambar 4, File “Norman_Malware_Cleaner.exe” yang telah di rename ekstensinya menjadi “Norman_Malware_Cleaner.cmd”, kotak biru

Selalu gunakan Norman Malware Cleaner terbaru untuk membersihkan dan membasmi virus baru. Download Norman Malware Cleaner terbaru dari “

http://download.norman.no/public/Norman_Malware_Cleaner.exe

Gambar 5, Gunakan Norman Malware Cleaner untuk mendeteksi dan membasmi Sality.

Catatan:

  • Agar removal tersebut tidak terinfeksi oleh W32/Sality.AE, Sebaiknya ubah ekstensi dari removal tools tersebut menjadi ekstensi lain [contohnya: CMD] (lihat gambar 4 di atas)

  • Sality.AE ini akan mencoba untuk menginfeksi file yang mempunyai ekstensi EXE dan SCR serta COM, file yang sudah berulang kali di infeksi oleh virus ini terkadang akan mengalami kerusakan jika dibersihkan oleh program antivirus, oleh karena itu jika terdapat program yang error setelah di scan oleh antivirus sebaiknya install ulang program tersebut.

PENTING !!!

Harap Backup data penting anda sebelum melakukan pembersihan virus. PT. Vaksincom tidak bertanggung jawab atas kerugian yang diakibatkan oleh proses pembersihan virus ini baik langsung maupun tidak langsung !!!

  1. Agar komputer yang sudah terinfeksi W32/Sality.AE dapat booting “safe mode”, silahkan restore registry yang sudah di ubah oleh virus.

Silahkan download file berikut kemudian jalankan sesuai OS yang terinfeksi W32/Sality.AE tersebut.

http://www.4shared.com/file/82761423/934fb170/_2__Sality.htmldirPwdVerified=feea1d94

  1. Fix registry lain yang di ubah oleh virus, silahkan download tools berikut kemudian jalankan file tersebut dengan cara:

    • Klik kanan repair.inf

    • Klik install

http://www.4shared.com/file/82874724/f485f1dd/repair.html?dirPwdVerified=3b1f2fa9

  1. Restart komputer dan scan ulang dengan menggunakan removal tools untuk memastikan komputer telah bersih dari virus.

  2. Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya install dan scan dengan antivirus yang dapat mendeteksi Sality dengan baik.

thx vaksin[dot]com