None. Screenshot diatas merupakan pesan yang nantinya akan di tampilkan malware tipe worm yang kami dapatkan baru-baru ini. Selain banyaknya laporan worm yang menyebar lewat Facebook, masih ada saja virus maker lokal yang membuat malware yang bisa dikatakan cukup berbahaya. Terutama bagi user yang telah terinfeksi worm ini. Karena selain sulit mengendalikan cursor mouse, Start Menu pada taskbar dibuatnya selalu bergerak/animasi.
A. Info File
Nama Worm : None
Asal : Indonesia
Ukuran File : 55.1 KB (56,462 bytes)
Packer : ~
Pemrograman : MS Visual Basic 5.0/6.0
Icon : Ms. Word Document
Tipe : Worm
B. About Malware
“Sudah jatuh, tertimpa tangga pula” mungkin adalah ungkapan yang bisa mewakili pengguna yang komputernya terinfeksi malware yang kami beri nama None ini. Diduga None menyebar dengan memanfaatkan Social Engineering (rekayasa sosial) berupa nama yang sekilas dapat membuat user lengah. cara_menghapus_virus_win32_ramnit_sality.rar adalah nama yang digunakan untuk mengelabui user. Didalamnya terdapat juga file induk dari malware yang berukuran 2MB dan menggunakan icon dokumen Microsoft Word 2007.
None akan menampilkan pesan:
SELAMAT ! WINDOWS ANDA SEKARANG MEMILIKI UPDATE SYSTEM WINDOWS YANG TERBARU, TERBAIK SEPANJANG MASA … !!! Ada masalah setelah instalasi ? Silakan kunjungi **********sini.com/foto-ovj
Jika user membuka URL tersebut, maka akan langsung diarahkan ke salah website porno. Yang menarik adalah teknik yang digunakan setelah malware aktif di memory. Malware ini sengaja di buat dengan ukuran file melebihi 1MB yang bisa jadi dimaksudkan sebagai salah satu cara untuk mencoba melewati teknik pendeteksian heuristik dari antivirus untuk sebuah file PE. Setelah user melihat pesan di atas, None akan secara otomatis memotong dirinya sendiri dan membuat host untuk di jalankan saat startup. Ukuran asli None adalah 55.1 KB, sedangkan source yang membuat ukuran file ini menjadi 2MB hanyalah sebuah baris kosong . Berikut ini adalah perbedaannya:
note: perhatikan pada nilai offset gambar awal screenshot dan gambar di atas ini. Terlihat bahwa text pesan sudah tidak ada lagi seperti pada gambar awal.
C. Companion/File yang dibuat
Seolah-olah worm ini membuat file baru di beberapa path, padahal file tersebut adalah file yang sama seperti file asli, hanya saja ada bagian kode None yang dihilangkan. None akan membuat 2 buah host setelah aktif di memory.
- C:\WINDOWS\system32\regsvc.exe
- C:\Documents and Settings\[user name]\Local Settings\Temp\setup.exe
D. Hasil Infeksi
Mungkin bagi beberapa user yang sudah lama mengikuti perkembangan malware di Indonesia, pernah mendengar worm dengan nama RazorBlade. Setelah aktif worm ini membuat cursor mouse bergerak sendiri secara acak. Terlebih lagi tombol Caps Lock dan Num Lock akan otomatis aktif secara bergantian tanpa di dikendalikan oleh user. Sama halnya dengan None, yang setelah aktif sangat sulit mengendalikan cursor. Meskipun demikian, benar adanya jika ada istilah “tak ada gading yang tak retak”, karena user sebenarnya masih bisa menggunakan Windows Explorer dan masuk ke tiap folder dengan menggunakan fasilitas tombol tab pada keyboard.
Seluruh icon di dekstop akan dibersihkan hingga tidak ada satupun shortcut yang tersisa, file yang terdapat di desktop juga akan dihapus. Selain itu tombol Start Menu akan berjalan ke kanan dan ke kiri dengan sendirinya dan tampilan Date and Time pada taskbar di hilangkan dari Tray Icon. Terlebih lagi None melakukan takskill terhadap aplikasi yang namanya mengandung kata seperti Anti, Virus, Remover, Process, dan lain lain.
Berikut ini adalah value key yang di buat pada registry setelah worm None aktif:
* Disable Folder Options dan Run Command
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
-NoFolderOptions
-NoRun[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system]
-DisableTaskMgr
-DisableRegistryTools
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
-DisableCMD[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe regsvc.exe"Untuk membersihkan worm None, ganti nama folder serta nama file PCMAV menjadi nama lain, kemudian jalankan PCMAV seperti biasa. Check list drive yang akan di scan, jika mendapat kesulitan dalam menekan tombol “Scan Now”, bisa lansung menekan tombol Enter atau memanfaatkan tombol tab pada keyboard.
PCMAV 5.4 Update Build3
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.4 Update Build3 telah hadir dengan penambahan 70 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.4, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
0 komentar:
Posting Komentar