Palevo

Worm:W32/Palevo.BQZ

Virus maut via YM bisa mem”bailout” komputer anda

Aplikasi messenger seperti Yahoo Messenger, MSN Messenger dan Skype saat ini dapat dikatakan sebagai salah satu aplikasi favorit para pembuat virus menyebarkan dirinya secara realtime dan dapat dikatakan posisinya menggantikan email yang dulunya menjadi agen favorit penyebaran virus. Salah satu sebabnya adalah karena penyebaran file virus melalui messeger saat ini relatif kurang diperhatikan oleh vendor antivirus, berbeda dengan mailserver yang sepertinya antivirus untuk mailserver sudah menjadi salah satu kewajiban administrator mailserver. Dalam 1 minggu terakhir ini, Vaksincom mendapatkan gelombang laporan serangan virus yang menyebarkan diri memanfaatkan messenger seperti Skype dan Yahoo Messenger. Dimana virus pertama yang akan dibahas dalam artikel ini adalah Worm: W32/Palevo.BQZ yang mengeksploitasi MySpace.

Facebook, Twitter dan Myspace merupakan salah satu contoh situs jaring sosial yang memungkinkan anggotanya dapat melakukan komunikasi di dunia maya dan mempermudah berbagi informasi, hal ini menjadi salah satu celah dan daya tarik tersendiri yang dapat dimanfaatkan oleh virus untuk menyebarkan dirinya. Salah satu cara yang digunakan adalah dengan mengirimkan sebuah link atau file yang “mempunyai” hubungan dengan situs jaringan sosial tersebut sehingga menarik user untuk menjalankan file tersebut, hal ini sudah dibuktikan oleh virus Bredolab (virus Facebook) yang akan mengirimkan sebuah link untuk mendownload file yang seolah-olah dikirimkan oleh administrator pengelola situs facebook, penyebaran ini semakin sukses dengan memanfaatkan aplikasi media chating (YM) untuk mengirimkan dirinya ke semua alamat ID yang terdapat pada aplikasi YM di komputer yang telah terinfeksi.

Untuk informasi lebih jelas mengenai virus W32/Bredolab, silahkan klik link berikut

http://vaksin.com/2009/1109/facebook/facebook.html

http://vaksin.com/2010/0210/basmi%20zbot/basmi%20zbot.html

http://vaksin.com/2009/1109/facebook-zbot/facebook-zbot.html

Setelah para pengguna facebook yang menjadi korban akibat virus bredolab , kini gililran para penguna Myspace yang akan menjadi target serangan virus, walaupun pengguna myspace tidak sebanyak pengguna facebook tetapi hal ini akan tetap dimanfaatkan oleh virus untuk menjaring korban.

Sama seperti yang terjadi pada kasus virus Bredolab, virus ini juga akan memanfaatkan aplikasi yahoo messager (YM) untuk menyebarkan dirinya ke semua alamat ID berupa link untuk download sebuah file yang telah ditentukan [contoh: IM87654.JPG-www.myspace.com.exe atau IM25394.JPG-www.myspace.com.exe]. Untuk menarik perhatian user, ia akan menggunakan icon image [gambar] seperti terlihat pada gambar 1 di bawah ini.

Gambar 1, File induk virus

Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai W32/Palevo.BQZ (lihat gambar 2)

Gambar 2, Hasil deteksi Norman Security Suite

Pada saat file yang telah terinfeksi W32/Palevo.BQZ dijalankan, ia akan menjalankan perintah “explorer.exe http//browseusers.myspace.com/Browse/Browse.aspx” untuk menampilkan sebuah halaman web myspace, hal ini dilakukan sebagai upaya agar aksi nya tidak dicurigai oleh user, agar aktivitas virus tersebut tidak diblok oleh Windows Firewall ia akan mendaftarkan dirinya dengan membuat rule firewall dengan menjalankan perintah netsh firewall add allowedprogram 1.exe 1 ENABLE. (lihat gambar 3, 4 dan 5)

Gambar 3, Web MySpace.com yang akan ditampilkan untuk mengelabui user

Gambar 4, Proses Virus W32/Palevo.BQZ saat di aktifkan

Gambar 5, W32/Palevo.BQZ mendaftarkan diri pada rule Windows Firewall

File induk W32/Palevo.BQZ

Pada saat menginfeksi komputer target ia akan membuat beberapa file induk yang akan di jalankan secara otomatis pada saat komputer dinyalakan

  • C:\WINDOWS\infocard.exe

  • C:\Windows\mds.sys

  • C:\Windows\mdt.sys

  • C:\WINDOWS\winbrd.jpg

  • C:\Documents and Settings\%user%\winbrd.jpg

Registry Windows

Agar file tersebut dapat di aktifkan secara otomatis ia akan membuat string pada registry berikut:

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run

    • Firewall Administrating = C:\WINDOWS\infocard.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • Firewall Administrating = C:\WINDOWS\infocard.exe

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • Firewall Administrating = C:\WINDOWS\infocard.exe

Agar proses virus tersebut tidak diblok oleh Windows Firewall, ia akan mendaftarkan rule pada Firewall Windows dengan membuat string pada registry berikut : (lihat gambar 6 dan 7)

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

    • %Drive%\IM87654.JPG-www.myspace.com\IM87654.JPG-www.myspace.com.exe= C:\WINDOWS\infocard.exe:*:Enabled:Firewall Administrating

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

    • %Drive%\IM87654.JPG-www.myspace.com\IM87654.JPG-www.myspace.com.exe= C:\WINDOWS\infocard.exe:*:Enabled:Firewall Administrating

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

    • %Drive%\IM87654.JPG-www.myspace.com\IM87654.JPG-www.myspace.com.exe= C:\WINDOWS\infocard.exe:*:Enabled:Firewall Administrating

Gambar 6, Perubahan pada Windows Firewall yang dilakukan virus

Gambar 7, Rule W32/Palevo.BQZ pada Windows Firewall


Disable Windows Automatic Update

Virus ini juga akan disable service Windows update dengan merubah string pada registry berikut : (lihat gambar 8)

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\wuauserv

    • Start = 0x00000004 (4)

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\wuauserv

    • Start = 0x00000004 (4)

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv

    • Start = 0x00000004 (4)

Gambar 8, W32/Palevo.BQZ Disable Windows Update

W32/Palevo.BQZ akan mencoba untuk melakukan koneksi ke beberapa alamat ip server yang sudah ditentukan dengan menggunakan port 2345 dengan tujuan untuk download file yang telah ditentukan. (lihat gambar 9)

Gambar 9, Palevo akan berusaha melakukan koneksi ke internet untuk mengupdate dirinya

Media penyebaran

Saat ini media chating khususnya yahoo Messager (YM) sudah menjadi “primadona” bagi virus untuk menyebarkan dirinya hal ini dilakukan untuk mempercepat proses penyebarannya, karena saat ini “hampir” semua pengguna komputer menggunakan alamat YM. Untuk menyebarkan dirinya, W32/Palevo.BQZ juga akan akan memanfaatkan media chanting seperti YM dengan mengirimkan sebuah file yang sudah terinfeksi virus ke semua alamat ID yang terdapat pada aplikasi YM di komputer korban berupa sebuah link untuk download file virus yang telah ditentukan (nama file acak) contohnya: nama file IM87654.JPG-www.myspace.com.exe atau IM25394.JPG-www.myspace.com dengan ukuran sekitar 102 KB atau 109 KB. Berikut contoh pesan yang akan dikirim oleh W32/Palevo.BQZ.

Cara membersihkan Myspace

1. Putuskan komputer dari koneksi internet dan intranet

2. Nonaktifkan “System Restore” selama proses pembersihan dilakukan

3. Matikan proses virus yang aktif dimemori, anda dapat menggunakan fiur Advanced System Reporter yang terdapat pada Norman Security Suite Pro yang, fitur ini dirancang khusus untuk mengetahui dan monitoring proses yang aktif di memori serta mempunyai kemampuan untuk mematikan proses virus sekaligus menghapus registry startup dari virus tersebut

Berikut langkah untuk mematikan proses virus yang aktif di memori dengan menggunakan Advanced System Reporter

- Pada aplikasi Advanced System Reporter, klik tabulasi “Other”

- Klik kanan pada proses INFOCARD.EXE

- Klik “Terminate Process”

- Klik “Yes”

Untuk menghapus registry autostart yang dibuat oleh virus, lakukan langkah berikut

- Klik tabulasi “Autostart”

- Klik kanan file virus INFOCARD.EXE

- Klik “Terminate Process” jika proses tersebut masih aktif

- Kemudian klik “Remove Autorun” untuk menghapus registry autostart yang telah dibuat oleh virus (lihat gambar 11)

Gambar 11, Gunakan Advance system Reporter dari Noeman untuk menghentikan proses virus yang disembunyikan

4. Blok file virus dengan menggunakan “Software Restriction Policy” agar virus tidak dapat aktif kembali. Sementara fitur ini baru terdapat pada Windows XP Professional, Vista dan Windows 7, Windows Server 2003, Windows Server 2008.

  • Klik tombol “Start”

  • Klik “Run”

  • Ketik SECPOL.MSC kemudian klik tombol “OK”

  • Pada layar “Local Security Settings”, klik kanan pada menu “Software Restriction Policies”

  • Klik “Create New Policies” Kemudian akan muncul 2 menu lain yakni “Security levels” dan “Additional rules” (lihat gambar 12)

Gambar 12, Optimalkan Secpol untuk menghadang virus

  • Klik kanan pada menu “Additional Rules”, kemudain klik “New Hash Rule....”

  • Pada kolom “File hash”, klik tombol “Browse” kemudian arahkan ke direktori dimana file virus tersebut berada [contoh: C:\Windows\IINFOCARD.EXE], kemudian klik “Open”

  • Klik tombol “Apply”

  • Klik tombol “OK”

5. Pulihkan registry yang sudah diubah oleh virus, untuk mempercepat proses pemulihan silahkan salin script berikut pada program notepad kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara [Klik kanan REPAIR.INF | Install]

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Firewall Administrating

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Firewall Administrating

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsof\Windows\CurrentVersion\Run, Firewall Administrating

Hapus manual registry yang berada lokasi berikut:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

o %virus%= C:\WINDOWS\infocard.exe:*:Enabled:Firewall Administrating

Catatan: %virus%, adalah lokasi file virus pertama kali di jalankan

6. Hapus file induk yang dibuat oleh virus

· C:\WINDOWS\infocard.exe

· C:\windows\mds.sys

· C:\windows\mdt.sys

· C:\WINDOWS\winbrd.jpg

· C:\Documents and Settings\%user%\winbrd.jpg

7. Hapus temporary internet file dan file temporary Windows, untuk mempercepaat proses penghapusan anda dapat menggunakan fitur Norman Privacy Tools yang terdapat pada Norman Security Suite PRO. Berikut cara untuk menghapus file temporary internet file dan file temporary Windows dengan menggunakan Norman Privacy Tools (lihat gambar 13)

a. Pada menu utama Norman Security Suite, klik menu “Privacy Tools”

b. Checklist opsi user profile yang digunakan

c. Checklist web browser yang digunakan

d. Klik tombol “Delete history now”, untuk memulai proses penghapusan

Gambar 13, Gunakan Norman Privacy Tools untuk menghapus file temporary Windows

8. Untuk pebersihan optimal silahkan install dan scan dengan antivirus yang up-to-date, anda juga dapat menggunakan tools Norman Malware Cleaner, silahkan download di alamat http://www.norman.com/support/support_tools/58732/en (lihat gambar 14)

Gambar 14, Gunakan Norman Malware Cleaner untuk memastikan Palevo terbasmi dengan tuntas.

Salam

Adang


Sumber: www.vaksin.com

Langganan: Postingan (Atom)