Pages

Sabtu, 29 Oktober 2011

[Trj]-Vir.Infected Dan Cara Mengatasinya




[Trj]-Vir.Infected ini virus buatan admin blogger-cikampek , MR.X namanya .. , ayo kita bahas virus ini sekarang.

Virus tipe trojan ini kurang ganas, karena sifatnya yang cuma bisa :


  • Mendisable cmd
  • Mendisable Msconfig
  • Membuka Browser apa saja cuma bisa 5 menit di buka
  • Bisa buka jendela explorer otomatis
  • Tidak bisa di detect antivirus apapun
Terus, kalo udah ke infeksi virus itu caranya gimana ? cara pertama :
  1. Buka jendela Explorer
  2. Buka Drive C
  3. Cari folder My Disk
  4. Tuh virus nya ketemu ..
Tinggal di hapus .. eittsss, tunggu dulu, ternyata itu virus nya udah di Pasangin Anti Deletion !!!
 
Maaf Database nya Belum bisa saya upload agar ente bisa download buat programmer anvirus buat nambahain database virus, tapi sudah saya upload ke web nya smadav dan artav antivirus ..
Diposting oleh David Layardi di 02.03 0 komentar
Label:

Kamis, 27 Oktober 2011

Maintenance

Blog Sementara Maintenance karena akan meluncurkan Frost Antivirus Rev. 2.0 Beta
Sekian,
CEO Frost Antivirus
Diposting oleh David Layardi di 03.08 0 komentar
Label:

Sabtu, 22 Oktober 2011

Frost Antivirus Featured

 Frost Antivirus, Adalah Antivirus yang merupakan Karya Dari Anak Bangsa....
Kini Antivirus Tersebut Telah Hadir Di dunia Maya....

  • Fitur - Fitur Frost Antivirus Untuk Rev 1.0 :
  1. Sality Detector Manual
  2. USB Vaccination
  3. Autorun Killer
  4. Folder Recovery
  5. Buffering Scan
  6. Game Online Shield
  7. User Friendly
  8. NOT RTP
  9. RUN IN WINDOWS 7(BETA)
  10. OTHER
  • Fitur - Fitur Frost Antivirus Rev 2.0 (Baru) :
  1. USB Vaccinator
  2. Buffering Scan
  3. Heuristic Icon
  4. Folder/File Recovery
  5. Online Game Shield
  6. Autorun Killer
  7. Real Time Protector
  8. Sality Detector Manual
  9. User Friendly
  10. Run In Windows 7(Beta Ver. 2)
  11. Elegant Interface
  12. Start Up Manager
  13. Advance Task Manager (Killer And Deleter)
  14. Quick Registry Editor
  15. Document Fixer
  16. Other
Dicoba ya...
Kami selalu Menerima Kritik Dan Saran Dari Para downloaded.

Tutorial Download Di Sini : Download Tutorial

Sekian Dari Kami,

Frost Antivirus CEO,


David Layardi
Diposting oleh David Layardi di 23.02 0 komentar
Label:

About Frost Antivirus

About Frost Antivirus Team :

   * Programmer :
- David Layardi
- Peradnya Dinata(Source Maker)
- Zian  Kafi
- Febrian Alif Pramoedito

    * Designer :
- David Layardi
- Bagus Frayoga Effendi
- Alfon Designer
- Zwingly Spyg
- Gilang Ramadhan

    *  Promoted By :
- All Team Delta Programing Corp

Candidate List :
In Progress To Updated

Screen Shoot Rev. 1



:
 

Screen Shoot Rev 2 :
Diposting oleh David Layardi di 04.47 0 komentar
Label:

Senin, 17 Oktober 2011

Frost Antivirus Mendapat Penghargaan

Frost Antivirus Telah Mendapat Award Dari "Indramayu Antivirus Test Competition"
Frost Antivirus Mendapat Juara "10" sayangnya....
Karena Saya Lupa Memberi Antivirus FrostAv yang mempunyai heuristic sehingga tingkat diteksinya sedikit

Gambar Penghargaan :
Semoga Frost Antivirus Semakin Berkembang
Diposting oleh David Layardi di 03.41 0 komentar
Label: ,

Minggu, 16 Oktober 2011

Membuat Browser Dengan VB6

Tutorial Kali Ini Tentang Membuat Browser
Coding By : - Izal 06
                   - David Layardi


1 - Menambahkan komponen:

Pergi ke "Proyek" pada menu atas, dan pilih "Komponen" atau klik CTRL-T, kemudian memeriksa "perpustakaan Microsoft objek html" dan "Microsoft kontrol internet" dan "Microsoft Windows Kontrol umum 5,0".

Anda akan melihat bahwa benda-benda baru muncul di kotak kiri menu Anda, sekarang memilih ikon penjelajah web yang tampak seperti bumi dengan dan menambahkannya ke formulir Anda, dan membuat ukurannya yang Anda inginkan, (nama adalah WebBrowser1 dalam tutorial ini)

Juga klik pada komponen "Progress bar" dan menambahkannya ke formulir Anda.

2 - Menambahkan tombol dan objek:

Sekarang tambahkan "6" tombol perintah penting untuk membentuk Anda, dan nama mereka sebagai berikut: "Back", "Forward", "Stop", "Refresh", "Home" dan "GO", Sekarang tambahkan 1 kotak Combo box user akan memasukkan alamat web di atasnya.

3 - Coding aplikasi Anda:

Pertama klik pada tombol "GO dan menulis kode di dalamnya:
VB Code:
 

   1.
      WebBrowser1.Navigate Combo1

 
Tombol Back:
VB Code:
 

   1.
      On Error Resume Next
   2.
      WebBrowser1.GoBack

 
Tombol Forward:
VB Code:
 

   1.
      On Error Resume Next
   2.
      WebBrowser1.GoForward


 Tombol Stop: 
 
VB Code:
 

   1.
      On Error Resume Next
   2.
      WebBrowser1.Stop


 Tombol Refresh:
VB Code:
 

   1.
      WebBrowser1.Refresh


 Tombol Home:
VB Code:
 

   1.
      WebBrowser1.GoHome



4 - kode Lanjutan:

Anda dapat menambahkan kode berikut ke aplikasi Anda untuk membuatnya  bekerja lebih baik, Hanya tempat kode ini di mana saja di jendela coding  Anda.

* Add a progress bar

 
VB Code:
 

   1.
      'This to make the progress bar work and to show a status message, and an image.
   2.
      Private Sub WebBrowser1_ProgressChange(ByVal Progress As Long, ByVal ProgressMax As Long)
   3.
      On Error Resume Next
   4.
          If Progress = -1 Then ProgressBar1.Value = 100 'the name of the progress bar is "ProgressBar1".
   5.
              Label1.Caption = "Done"
   6.
              ProgressBar1.Visible = False 'This makes the progress bar disappear after the page is loaded.
   7.
              Image1.Visible = True
   8.
          If Progress > 0 And ProgressMax > 0 Then
   9.
              ProgressBar1.Visible = True
  10.
              Image1.Visible = False
  11.
              ProgressBar1.Value = Progress * 100 / ProgressMax
  12.
              Label1.Caption = Int(Progress * 100 / ProgressMax) & "%"
  13.
          End If
  14.
          Exit Sub
  15.
      End Sub


 Tapi di sini Anda akan perlu untuk menambahkan label yang disebut  "Label1" dan juga gambar kecil seperti senyum atau bumi atau apapun yang  Anda inginkan dan nama adalah "image1"

* Open in new window

 
VB Code:
 

   1.
      'This to open a new window with our browser.
   2.
      Private Sub WebBrowser1_NewWindow2(ppDisp As Object, Cancel As Boolean)
   3.
      Dim frm As Form1
   4.
      Set frm = New Form1
   5.
      Set ppDisp = frm.WebBrowser1.Object
   6.
      frm.Show
   7.
      End Sub


 Ini untuk membuka jendela baru dengan browser Anda.

* History and current visited site.

 
VB Code:
 

   1.
      'This keeps the visited sites history and also changes the title of the browser as the page title.
   2.
      Private Sub WebBrowser1_NavigateComplete2(ByVal pDisp As Object, URL As Variant)
   3.
          On Error Resume Next
   4.
          Dim i As Integer
   5.
          Dim bFound As Boolean
   6.
          Me.Caption = WebBrowser1.LocationName
   7.
          For i = 0 To Combo1.ListCount - 1
   8.
              If Combo1.List(i) = WebBrowser1.LocationURL Then
   9.
                  bFound = True
  10.
                  Exit For
  11.
              End If
  12.
          Next i
  13.
          mbDontNavigateNow = True
  14.
          If bFound Then
  15.
              Combo1.RemoveItem i
  16.
          End If
  17.
          Combo1.AddItem WebBrowser1.LocationURL, 0
  18.
          Combo1.ListIndex = 0
  19.
          mbDontNavigateNow = False
  20.
      End Sub


 5 - Coding:

Anda dapat menambahkan tombol lebih ke browser Anda sebagai orang-orang:

* Cari jika sebuah kata di halaman (diambil dari tutorial pada Blog  ini).

 
VB Code:
 

   1.
      'This to tell you if a word is in the page, Here we call the WebPageContains function.
   2.
      Private Sub Command7_Click()
   3.
          Dim strfindword As String
   4.
              strfindword = InputBox("What are you looking for?", "Find", "") ' what word to find?
   5.
                  If WebPageContains(strfindword) = True Then 'check if the word is in page
   6.
                      MsgBox "The webpage contains the text" 'string is in page
   7.
                  Else
   8.
                      MsgBox "The webpage doesn't contains the text" 'string is not in page
   9.
                  End If
  10.
      End Sub
  11.

  12.
      'This is the finding function.
  13.
      Private Function WebPageContains(ByVal s As String) As Boolean
  14.
          Dim i As Long, EHTML
  15.
          For i = 1 To WebBrowser1.Document.All.length
  16.
              Set EHTML = _
  17.
              WebBrowser1.Document.All.Item(i)
  18.

  19.


  20.
              If Not (EHTML Is Nothing) Then
  21.
                  If InStr(1, EHTML.innerHTML, _
  22.
                  s, vbTextCompare) > 0 Then
  23.
                  WebPageContains = True
  24.
                  Exit Function
  25.
              End If
  26.
          End If
  27.
      Next i
  28.
      End Function


 * Page properties
 
VB Code:
 

   1.
      WebBrowser1.ExecWB OLECMDID_PROPERTIES, OLECMDEXECOPT_DODEFAULT


 ini akan menjalankan sifat halaman

* Print a page
 
VB Code:
 

   1.
      WebBrowser1.ExecWB OLECMDID_PRINT, OLECMDEXECOPT_DODEFAULT


 * Save a page
 
VB Code:
 

   1.
      WebBrowser1.ExecWB OLECMDID_SAVEAS, OLECMDEXECOPT_DODEFAULT


 * Delete cookies Dari Komputer Anda

 
VB Code:
 

   1.
      'This code is used to empty the cookies from the user's computer / We call function from here.
   2.
      Private Declare Function GetUserName _
   3.
      Lib "advapi32.dll" Alias "GetUserNameW" ( _
   4.
      ByVal lpBuffer As Long, _
   5.
      ByRef nSize As Long) As Long
   6.

   7.
      Private Declare Function SHGetSpecialFolderPath _
   8.
      Lib "shell32.dll" Alias "SHGetSpecialFolderPathA" ( _
   9.
      ByVal hwnd As Long, _
  10.
      ByVal pszPath As String, _
  11.
      ByVal csidl As Long, _
  12.
      ByVal fCreate As Long) As Long
  13.

  14.
      Private Const CSIDL_COOKIES As Long = &H21
  15.

  16.
      'This calls the function that deletes the cookies.
  17.
      Public Sub Command1_Click()
  18.
      Dim sPath As String
  19.
      sPath = Space(260)
  20.
      Call SHGetSpecialFolderPath(0, sPath, CSIDL_COOKIES, False)
  21.
      sPath = Left$(sPath, InStr(sPath, vbNullChar) - 1) & "\*.txt*"
  22.
      On Error Resume Next
  23.
      Kill sPath
  24.

  25.
      End Sub


 * Tampilkan kode sumber halaman Web's:

 
VB Code:
 

   1.
      Private Sub Form_Load()
   2.
      Text1.Text = Form1.browser.Document.documentElement.innerHTML
   3.
      End Sub


 6- Kode Penting:


* Popups Blocker

 
VB Code:
 

   1.
      Private Function IsPopupWindow() As Boolean
   2.
      On Error Resume Next
   3.
      If WebBrowser1.Document.activeElement.tagName = "BODY" Or WebBrowser1.Document.activeElement.tagName = "IFRAME" Then
   4.
      IsPopupWindow = True
   5.
      Else
   6.
      IsPopupWindow = False
   7.
      End If
   8.
      End Function
   9.

  10.
      Private Sub webbrowser1_NewWindow2(ppDisp As Object, Cancel As Boolean)
  11.
      Dim frm As Form1
  12.
      Cancel = IsPopupWindow
  13.
      If Cancel = False Then
  14.
      Set frm = New Form1
  15.
      Set ppDisp = frm.WebBrowser1.object
  16.
      frm.Show
  17.
      End If
  18.
      End Sub


 Ini akan memblokir semua pop-up, tapi di saat yang sama akan membuka  link di jendela baru seperti biasa.

* JavaScripts handeling

 
VB Code:
 

   1.
      WebBrowser1.Silent = True


 Ini tidak akan menunjukkan kesalahan dari halaman saat Anda menggunakan  browser web Anda, taruh dalam hal beban bentuk

* Ukuran browser dan kode scrollbars

 
VB Code:
 

   1.
      Private Sub Form_Resize()
   2.
      On Error Resume Next
   3.
      WebBrowser1.Width = Me.ScaleWidth
   4.
      WebBrowser1.Height = Me.ScaleHeight - 1680
   5.
      End Sub
Diposting oleh David Layardi di 01.04 0 komentar
Label:

Jumat, 14 Oktober 2011

W32/Tufik.D (Win32.Tufei.13798) | Injeksi File .Exe


Injeksi file .exe sampai menjadi sesuatu banget (alias virus :p)

Tren atau musiman sepertinya sudah menjadi fenomena umum bagi masyarakat Indonesia. Hal apa saja yang dianggap unik dan menarik, tidak akan membutuhkan waktu yang lama untuk menjadi heboh.

Fenomena tren atau musiman dapat terjadi pada hampir seluruh bidang. Contoh pada olahraga, sepakbola adalah tren yang bisa dianggap tidak pernah habis. Berbeda pada cabang olahraga lain yang akan heboh pada saat-saat pertandingan atau kejuaran. Beberapa tren atau musiman lain seperti misalnya distro, band indie, seni fotografi, Bike to Work, berburu kuliner, penggunaan RBT, Blackberry hingga sepeda Fixie. Bahkan pada media jejaring sosial seperti Friendster, hingga Facebook dan Twitter.

Efek ngetren atau musiman ternyata juga merambah para pembuat malware yang sedang dominan dan maraknya membuat varian virus penginfeksi file executable (aplikasi). Dalam setahun ini saja sudah banyak varian virus penginfeksi file executable yang bertebaran dan berkembang di Indonesia, sebut saja Sality, TDSS, Chir, Alman, Virut, Ramnit, dan Slugin.

Dan kini bagi anda para pengguna komputer di Indonesia, harap berhati-hati karena sejak Februari hingga saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan virus yang mampu merusak program/aplikasi anda. Dan salah satu-nya adalah varian virus yang terdeteksi dan memakan banyak korban yaitu W32/Tufik.D atau Win32.Tufei.13798. (lihat gambar 1)
Gambar 1, Norman mendeteksi virus W32/Tufik.D (Win32.Tufei.13798)

Karakteristik W32/Tufik.D (Win32.Tufei.13798)
Tufik.D (Tufei.13798) bukanlah merupakan kelompok malware baru, melainkan sudah ada sejak tahun 2008. Dengan memiliki teknik tambahan yang berbeda, Tufik.D (Tufei.13798) mampu menyebar dan berkembang setidaknya sejak Februari 2011 hingga kini masih berkeliaran dengan berbagai varian yang lain.

Tufik.D (Tufei.13798) memiliki kemampuan melakukan infeksi program/aplikasi yang mirip seperti varian malware lain yaitu Alman, Sality, Virut dan Ramnit. Hal ini yang bisa membuat para pengguna komputer khususnya programmer atau pengkoleksi software menjadi ngeri, karena akan sulit jika membersihkan virus yang melakukan infeksi file terutama file executable (aplikasi).

Tufik.D (Tufei.13798) merupakan salah satu varian virus yang melakukan infeksi file executable (application).

Selain itu jika anda terhubung ke internet, Tufik.D (Tufei.13798) akan menghubungi remote server (IRC server) dan melakukan koneksi ke beberapa alamat server zombie untuk mendownload sekumpulan malware (virus, trojan, spyware).

File W32/Tufik.D (Win32.Tufei.13798)
Berbeda dengan varian malware pada umum-nya, Tufik.D (Tufei.13798) menggunakan pendekatan yang sama seperti virus Slugin.A (Plugin.1) yaitu hanya memanfaatkan file executable (aplikasi) yang telah terinfeksi untuk melakukan penyebaran.

Karena tidak membuat file utama, Tufik.D (Tufei.13798) menggunakan pendekatan infeksi pada system Windows dengan tujuan menjaga agar file executable (aplikasi) yang sudah terinfeksi virus akan berjalan dengan baik sehingga komputer akan sulit dibersihkan.

Jika anda sudah terinfeksi Tufik.D (Tufei.13798), malware akan mencoba melakukan infeksi pada beberapa file Windows yang berjalan dan berusaha mengganti-nya yaitu pada :
  • C:\WINDOWS\explorer.exe (1,029 KB)

Untuk melakukan hal tersebut, Tufik.D (Tufei.13798) akan membuat file duplikasi dari Explorer.exe pada root drive yaitu :
  • C:\explorer.exe (1,043 kb)

Selanjutnya file tersebut akan di-infeksi dan menggantikan file explorer.exe yang asli pada folder WINDOWS setelah komputer melakukan restart.

Kemudian malware memindahkan file asli dari explorer.exe ke folder temporary :
  • C:\Documents and Settings\[UserName]\Local Settings\Temp\@1.tmp (1,029 KB)

Serta melakukan perubahan pada file berikut :
  • C:\WINDOWS\debug\usermode\userenv.log
Sedangkan sasaran infeksi yaitu file yang memiliki ekstension berikut :
  • .exe (pada seluruh drive) sebesar 14 kb

Secara umum baik pada file sysetm Windows ataupun file aplikasi /executable, Tufik.D (Tufei.13798) akan menginfeksi dengan menambah ukuran file sebesar 14 kb.

Gejala & Efek W32/Tufik.D (Win32.Tufei.13798)
Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :

  • Menginfeksi file executable (exe)
Agar dapat dengan mudah melakukan penyebaran serta menjaga agar komputer tetap terinfeksi, maka Tufik.D (Tufei.13798) menginfeksi file executable (exe). Sehingga jika pengguna komputer tidak sengaja menjalankan file program/aplikasi yang menggunakan extension exe, Tufik.D (Tufei.13798) akan kembali menginfeksi komputer. Dengan demikian komputer akan sangat sulit dibersihkan.

  • Menginfeksi file system Windows (Explorer)
Salah satu efek yang terbilang cukup sukses adalah kemampuan Tufik.D (Tufei.13798) untuk menginfeksi file system Windows seperti Windows Explorer. Dengan menginfeksi file system yang sudah otomatis berjalan saat komputer aktif, maka proses Tufik.D (Tufei.13798) bisa dengan leluasa melakukan aksi-nya.
  • Disable Windows File Protection
    Agar dengan mudah menginfeksi Windows Explorer, Tufik.D (Tufei.13798) akan mematikan fungsi dari Windows File Protection. Dengan cara ini maka jika ada perubahan pada system Windows seperti Explorer, tidak akan muncul notifikasi bahwa file Windows telah terinfeksi. (lihat gambar 2)
    Gambar 2, Notifikasi ini tidak akan muncul jika Tufik.D (Tufei.13798) telah beraksi
  • Melakukan koneksi ke Remote Server
    Untuk memudahkan dalam melakukan aksi-nya, Tufik.D (Tufei.13798) melakukan koneksi ke remote server dengan membuka port-port tertentu seperti 80, 81, 8080 dan 8081.
  • Mendownload file malware
    Tufik.D (Tufei.13798) mencoba memanfaatkan beberapa port Windows yang terbuka agar dapat melakukan salah satu aksi-nya yaitu mendownload file malware lain agar komputer tetap terinfeksi dan melakukan penyebaran dengan mudah.
  • Mematikan services-services tertentu
Akibat dari infeksi terhadap file executable (exe) termasuk file Windows Explorer dan mematikan beberapa services tertentu, maka terkadang beberapa file Windows akan menjadi error sehingga komputer menjadi tidak berjalan dengan normal. (lihat gambar 3)
Gambar 3, Windows Explorer dibuat error karena telah di-infeksi oleh Tufik.D (Tufei.13798)

Metode Penyebaran W32/Tufik.D (Win32.Tufei.13798)
Beberapa cara dari Tufik.D (Tufei.13798) melakukan penyebaran yaitu sebagai berikut :

  • Removable drive
Dengan memanfaatkan file executable (exe) yang sudah terinfeksi oleh Tufik.D (Tufei.13798), hal ini yang secara umum sering digunakan oleh para pembuat virus infeksi seperti Sality, Virut, Alman, Ramnit, dll. Perhatikanlah bagi anda yang suka menyimpan file program/aplikasi untuk dipastikan tidak terinfeksi oleh Tufik.D (Tufei.13798).

  • Jaringan
Dengan memanfaatkan file sharing terutama sharing full akses, Tufik.D (Tufei.13798) dapat menginfeksi file executable (exe). Sehingga jika file tersebut juga di akses orang lain, maka akan dengan mudah terinfeksi dengan cepat.

Pembersihan W32/Tufik.D (Win32.Tufei.13798)
  1. Putuskan koneksi jaringan/internet.

  1. Matikan “System Restore” (Windows XP/ME)
  • Klik kanan My Computer, pilih Properties.
  • Pilih tab System Restore, beri ceklist pilihan Turn off System restore
  • Klik Apply, Klik OK. (lihat gambar 4)
    Gambar 4, Matikan System Restore
  1. Matikan dan hapus Tufik.D (Tufei.13798)
Lakukan langkah-langkah berikut :
  1. Download tools untuk membersihkan Tufik.D (Tufei.13798) pada komputer yang belum terinfeksi pada link berikut :

Norman Malware Cleaner
http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

  1. Setelah selesai, kompress file tersebut hingga menjadi file zip.
  2. Copy file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
  3. Klik kanan file zip tersebut, kemudian klik explore.
  4. Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.
  5. Jika sudah muncul jendela Dr.Web CureIt, klik OK untuk menjalankan dalam mode EPM (Enhanced Protection Mode).
  6. Klik Start untuk memulai Scan, dan klik Yes untuk memulai.
  7. Biarkan hingga proses scan selesai.

  1. Bersihkan temporary file dari jejak Tufik.D (Tufei.13798)
Lakukan langkah-langkah berikut :
  1. Klik Menu Start -> Run
  2. Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
  3. Pada drive system (C) klik OK, biarkan proses scan drive.
  4. Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
  5. Tunggu hingga selesai.

  1. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali malware ini dengan baik.
  2. Aktifkan kembali System Restore.
Diposting oleh David Layardi di 02.04 0 komentar
Label:

W32/Kolab.xx | Facebook Virus | komputer jadi robot | jaringan jadi bolot |

Virus FB Chat varian Zbot, komputer jadi robot, jaringan jadi bolot

Pernah-kah Anda mendapatkan pesan chat pada Facebook dari salah satu kontak Facebook Anda ? Pesan chat tersebut memberikan sebuah link tertentu. (lihat gambar 1)
Gambar 1, Pesan FB Chat bervirus

Jika Anda meng-klik link pada pesan chat tersebut, maka secara otomatis file virus akan terdownload ke dalam komputer Anda. Dan jika Anda menjalankan file tersebut, maka komputer Anda akan terinfeksi oleh virus tersebut.

Jika anda familiar dengan salah satu varian worm yang menyebar via chat seperti YM (Yahoo! Messenger) atau Skype, maka anda patut waspada, karena VaksinCom telah menerima laporan serangan worm/rootkit/trojan yang menyebar menggunakan pesan chat pada FB. Hebatnya, virus ini tidak memanfaatkan Apps Facebook sehingga administrator Facebook tidak bisa menghentikan virus ini dibandingkan dengan virus Facebook lain yang mengandalkan Apps.

Sejak pertengahan Agustus hingga saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan worm/rootkit/trojan ini, dan varian tersebut terdeteksi oleh Norman sebagai W32/Kolab.xx. (lihat gambar 2)
Gambar 2, Norman mendeteksi varian W32/Kolab.xx

Keluarga ZBOT : Broadcast message
Keluarga ZBOT merupakan salah satu kelompok trojan/backdoor yang dirancang untuk mencuri informasi/data dari pengguna komputer terutama hal-hal yang berhubungan dengan data pribadi keuangan khususnya yang berhubungan dengan Internet Banking.

Sedangkan varian worm/rootkit/trojan Kolab merupakan salah satu varian dari ZBOT yang muncul sejak pertengahan Agustus 2011. Varian ini memiliki kemampuan mengirim pesan yang disertai link yang memiliki konten bervirus. Link yang dikirimkan pun bermacam-macam sesuai dengan jenis varian. Trojan Kolab juga diidentifikasikan sebagai W32/Kryptik atau W32/SlenfBot.

Trojan ini memiliki kemiripan (atau mungkin merupakan bagian) dengan kelompok malware YM (ChyMine/YiMfoca, yang identik menyebar menggunakan akun YM, Skype, Gtalk, dan lain-lain) karena memiliki file dan lokasi yang sama persis dengan malware YM.

Gejala & Efek Trojan Kolab
Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :

  • BSOD, menumpang svchost
Trojan Kolab tidak berjalan pada proses atau services Windows, sehingga sulit menemukan dan mematikan keberadaan trojan ini. Tetapi, trojan ini justru mendompleng atau menumpang pada file svchost.exe milik Windows, sehingga Anda akan sulit mematikan-nya. Jika Anda memaksa mematikan file svchost.exe, komputer akan blue screen (lihat gambar 3). Termasuk jika Anda mencoba melakukan scan menggunakan tools removal tertentu seperti GMER (tools mendeteksi rootkit).
Gambar 3, Berusaha mematikan file svchost yang telah didompleng, akan muncul BSOD

  • Broadcast ke IP-IP tertentu
Walaupun tidak berjalan pada proses atau services Windows, trojan Kolab memanfaatkan file svchost.exe Windows, untuk melakukan broadcast pada IP-IP Address tertentu. Hal ini yang membuat jaringan internet menjadi lambat. (lihat gambar 4)
Gambar 4, Aktivitas broadcast yang dilakukan oleh trojan Kolab

  • Mencantumkan diri-nya pada Windows Firewall
Agar dapat berjalan bebas tanpa hambatan dan tidak di blok Firewall, trojan Kolab ikut mencantumkan diri-nya pada Windows Firewall, sehingga dapat melakukan koneksi dan broadcast pada IP-IP tertentu dengan leluasa. (lihat gambar 5)
Gambar 5, Aktivitas broadcast yang dilakukan oleh trojan Kolab
  • Menyembunyikan proses berjalan
Hebatnya trojan Kolab, walaupun sedang melakukan broadcast tetapi tidak terlihat dalam proses Windows. Hal ini yang menyebabkan agak sulit untuk dimatikan secara manual. Banyak aplikasi sekuriti yang tidak mampu mendeteksi Kolab seperti :
  • Windows Task Manager
  • Process Explorer
  • Current Process
  • HijackThis
  • Dll

  • Aktif pada Start-Up
Bukan hanya pada Windows Firewall, trojan Kolab juga ikut mencantumkan dirinya pada start-up Windows. Sehingga jika komputer akan dijalankan, maka trojan Kolab akang langsung aktif. (lihat gambar 6)
Gambar 6, File trojan Kolab yang aktif pada Start-up

  • Menyebarkan pesan chat link bervirus pada Facebook
Ini adalah gejala pamungkas, jika Anda telah terinfeksi oleh Kolab. Komputer Anda akan mengirimkan pesan chat link yang mengandung virus kepada teman-teman Facebook Anda seperti pada gambar 1 di atas atau gambar 7 di bawah ini. (lihat gambar 7).
Gambar 7, File trojan yang aktif pada Start-up

Beberapa link tersebut umumnya berasal dari website yang memberikan ijin untuk menyimpan atau menyebarkan file secara gratis seperti :
  • Imageshack.com
  • Imgdropbox.com
  • Megafilehd.com
  • Facebook.com

  • Mengirim pesan chat link bervirus pada aplikasi web lain yang terhubung dengan Facebook
Salah satu aplikasi web yang terintegrasi dengan Facebook yaitu Skype juga ikut menjadi korban dari serangan trojan Kolab. Umumnya jika Anda menggunakan account Skype yang sama dengan account pada Facebook Anda, maka secara otomatis akan saling terintegrasi. Hal ini yang dimanfaatkan trojan Kolab untuk dapat menyebarkan pesan chat yang mengandung link bervirus. Hal ini juga bisa terjadi jika account Facebook Anda terintegrasi juga dengan account lain yang memiliki fitur chat. (lihat gambar 8)
Gambar 8, Trojan Kolab mengirim pesan pada Skype yang terintegrasi dengan Facebook

File Trojan Kolab
Trojan Kolab dibuat menggunakan bahasa pemrograman C++. Varian dari trojan ini sudah sangat banyak dan beragam, serta memiliki ukuran yang berbeda-beda. Berikut ciri-ciri file trojan sebagai berikut : (lihat gambar 9)
  • Memiliki ukuran beragam dari 150 kb s/d 300 kb
  • Type file “Application” dan “MS-DOS Application”
  • Memiliki extension “com” dan “exe”
Gambar 9, File trojan Kolab

Saat trojan Kolab berhasil dijalankan, trojan hanya akan membuat 1 file induk yaitu :
  • C:\WINDOWS\system32\[nama_acak.exe]

Sedangkan file yang didownload melalui link pada pesan chat seperti berikut :
  • [nama_file.JPG_link_website].com
Keterangan :
  • Nama_file : nama file acak, identik dengan “Picture”
  • Link_website : merupakan tempat file tersebut dapat di download, misal www.facebook.com

Modifikasi Registri
Modifikasi registri yang dilakukan oleh trojan Kolab antara lain sebagai berikut :
  • Menambah Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Network = C:\WINDOWS\system32\[nama_acak].exe

Metode Penyebaran
Cara trojan Kolab melakukan penyebaran yaitu sebagai berikut :
  • Pesan chat melalui account FB atau yang terhubung dengan FB (lihat gambar 10)
Cara satu-satunya trojan Kolab untuk menginfeksi dan melakukan penyebaran melalui media jejaring sosial Facebook melalui fitur chat. Selain itu juga dapat melalui account e-mail Facebook Anda yang digunakan pada aplikasi chat lain yang terhubung dengan Facebook semisal Skype.
Gambar 10, Trojan Kolab pada Facebook Chat

Pembersihan trojan Kolab
  • Putuskan koneksi jaringan/internet.
  • Lakukan pembersihan trojan pada mode “safe mode”.
Lakukan langkah-langkah berikut :
  1. Restart komputer (jika dalam keadaan mati tinggal tekan tombol power)
  2. Saat akan booting tekan tombol F8 pada keyboard secara secara terus menerus hingga muncul layar “Safe Mode” (lihat gambar 11)

Gambar 11, Mode “Safe Mode”

  1. Pilih mode “Safe Mode”, dan klik [Enter]
  2. Biarkan berjalan hingga masuk menu Login Windows.

  • Matikan dan hapus trojan Kolab
Lakukan langkah-langkah berikut :
  1. Download removal tools (pada komputer yang bersih) untuk membersihkan trojan Kolab pada komputer yang belum terinfeksi pada link berikut :

Norman Malware Cleaner (lihat gambar 12)
Gambar 12, Gunakan Norman Malware Cleaner untuk membasmi trojan Kolab

  1. Setelah selesai, kompress file tersebut hingga menjadi file zip.
  2. Kopi file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
  3. Klik kanan file zip tersebut, kemudian klik explore.
  4. Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.
  5. Jika sudah muncul jendela konfirmasi persetujuan Norman Malware Cleaner, klik Accept untuk menjalankan.
  6. Pada tab Scan, pastikan dalam mode Quick.
  7. Pada tab Options, pastikan hanya tercentang pilihan berikut :
  • Enable Quarantine
  • Enable Memory Scanning
  • Enable FakeAV Scanning
  • Enable Cleaning
  • Enable Rootkit Cleaning
  • Enable Sandbox
  • Enable detection of potentially unwanted programs
  • Enable multithreading
  1. Klik Start untuk memulai Scan.
  2. Biarkan hingga proses scan selesai.
  3. Jika meminta untuk restart, lakukan restart komputer.

  • Bersihkan temporary file dari jejak trojan Kolab.
Lakukan langkah-langkah berikut :
  1. Klik Menu Start -> Run
  2. Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
  3. Pada drive system (C) klik OK, biarkan proses scan drive.
  4. Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
  5. Tunggu hingga selesai.
  • Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali trojan Kolab dengan baik.
Diposting oleh David Layardi di 02.02 0 komentar
Label:
Langganan: Postingan (Atom)