Aplikasi Messenger seperti Yahoo Messenger, MSN Messenger dan Skype saat ini dapat dikatakan sebagai salah satu aplikasi favorit bagi para pembuat Virus untuk menyebarkan dirinya secara realtime dan dapat dikatakan posisinya menggantikan email yang dulunya menjadi agen favorit dalam penyebaran virus. Salah satu penyebabnya adalah karena penyebaran Virus melalui messenger saat ini relatif kurang diperhatikan oleh vendor Antivirus, berbeda dengan mailserver yang sepertinya antivirus untuk mailserver sudah menjadi salah satu kewajiban administrator mailserver. Dalam 1 minggu terakhir ini, Vaksincom mendapatkan gelombang laporan serangan virus yang menyebarkan dirinya dengan memanfaatkan Messenger seperti Skype dan Yahoo Messenger. Dimana virus pertama yang akan dibahas dalam artikel ini adalah Worm: W32/Palevo.BQZ yang mengeksploitasi MySpace.Facebook, Twitter dan MySpace merupakan salah satu contoh situs jejaring sosial yang memungkinkan anggotanya dapat melakukan komunikasi didunia maya dan mempermudah dalam berbagi informasi, hal ini menjadi salah satu celah dan daya tarik tersendiri yang dapat dimanfaatkan oleh virus dalam menyebarkan dirinya. Salah satu cara yang digunakan adalah adalah dengan mengirimkan sebuah Link atau file yang mempunyai hubungan dengan situs jejaring sosial tersebut, sehingga menarik user untuk menjalankan file tersebut. Hal ini sudah dibuktikan oleh virus Bredolab (virus Facebook), yang akan mengirimkan sebuah Link untuk mendownload sebuah file yang seolah-olah dikirimkan oleh administrator pengelola situs facebook, penyebaran ini semakin sukses dengan memanfaatkan aplikasi media chating seperti Yahoo Messenger untuk mengirimkan dirinya kesemua alamat ID yang terdapat pada aplikasi YM dikomputer yang telah terinfeksi.
Untuk informasi lebih jelas mengenai virus W32/Bredolab bisa dibaca
Setelah para pengguna facebook yang menjadi korban akibat virus bredolab, kini giliran para pengguna MySpace yang akan menjadi target serangan virus, walaupun pengguna MySpace tidak sebanyak pengguna facebook tetapi hal ini akan tetap dimanfaatkan oleh virus untuk tetap menjaring korban.
Sama seperti yang terjadi pada kasus virus bredolab, virus ini juga akan memanfaatkan aplikasi Yahoo Messenger untuk menyebarkan dirinya kesemua alamat ID berupa Link untuk mendownload sebuah file yang telah ditentukan, Contoh : IM87654.jpg-www.myspace.com.exe. untuk menarik perhatian user, ia akan menggunakan icon image (gambar), seperti terlihat pada gambar dibawah ini : Dengan Update terbaru Norman Security Suite mendeteksi virus ini sebagai W32/Palevo.BQZ, lihat gambar dibawah ini :
Pada saat file yang telah terinfeksi W32/Palevo.BQZ dijalankan, ia akan menjalankan perintah explorer.exe, http://browseusers. myspace.com/, Browse/Browse.aspx untuk menampilkan sebuah halaman web MySpace, hal ini dilakukan sebagai upaya agar aksinya tidak dicurigai oleh user, agar aktifitas virus tersebut tidak diblock oleh Windows Firewall, ia akan mendaftarkan dirinya dengan membuat rule firewall dengan menjalankan perintah netsh Firewall add allowedprogram l.exe l enable. (lihat gambar 3, 4, 5).
Gambar 3. WEB MySpace.com yang akan ditampilkan untuk mengelabui user.
Gambar 4. Proses dari aktifitas Virus W32/Palevo.BQZ saat diaktifkan.
Gambar 5. W32/Palevo.BQZ mendaftarkan diri pada rule Windows Firewall.
File Induk W32/Palevo.BQZ
Pada saat menginfeksi komputer target akan membuat beberapa file induk yang akan dijalankan secara otomatis pada saat komputer dinyalakan.
-C:\/Windows\infocard.exe
-C:\Windows\mds.sys
-C:\Windows\mdt.sys
-C:\Windows\winbrd.jpg
-C:\Document and settings\%user%\winbrd.jpg
Registry Windows
Agar file tersebut dapat diaktifkan secara otomatis ia akan membuat string pada registry windows seperti berikut :
-HKLM\SOFTWARE\Microsoft\windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
* Firewall Administrating = C:\Windows\infocard.exe
-HKEY_LOKAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
* Firewall Administrating = C:\Windows\infocard.exe
-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
* Firewall Administrating = C:\WINDOWS\infocard.exe
Agar proses virus tersebut tidak di blok oleh Windows Firewall, ia akan mendaftarkan rule pada Firewall Windows dengan membuat string pada registry sebagai berikut : (Gambar 6 & 7).
- HKEY_LOKAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AutorizedApplications\List
* %Drive%IM87654.JPG-www.myspace.com\IM87654.JPG-www.myspace.com.exe= C:\WINDOWS\infocard.exe:*:Enabled: Firewall Adminstrating
-HKEY_LOKAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
* %Drive%\IM87654.JPG-www.myspace.com\IM87654.JPG-www.myspace.com.exe=C:\WINDOWS\infocard.exe:*:Enabled: Firewall Administrating
-HKEY_LOKAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
* %Drive%\IM87654.JPG-www.myspace.com\IM87654.JPG-www.myspace.com.exe=C:\WINDOWS\infocard.exe:*:Enabled: Firewall Administrating
Gambar 6. Perubahan pada Windows Firewall yang dilakukan oleh Virus W32/Palevo.BQZ
Gambar 7. Rule W32/Palevo.BQZ pada Windows Firewall
Disable Windows Automatic Update
Virus ini juga akan mendisable services Windows Update dengan merubah string pada Registry, sebagai berikut :
- HKEY_LOKAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv
* Start=0x00000004 (4)
- HKEY_LOKAL_MACHINE\SYSTEM\ControlSet002\services\wuauserv
* Start=0x00000004 (4)
- HKEY_LOKAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv
* Start=0x00000004 (4)
Gambar 8. W32/Palevo.BQZ Disable Windows Update
W32/Palevo.BQZ akan mencoba untuk melakukan koneksi kebeberapa alamat IP server yang sudah ditentukan dengan menggunakan port 2345 dengan tujuan untuk mendownload sebuah file yang telah ditentukan, seperti gambar berikut :
Gambar 9. W32/Palevo.BQZ, Berusaha untuk melakukan koneksi ke Internet, untuk meng-Update dirinya.
Media Penyebaran
Saat ini media Chatting khususnya Yahoo Messenger (YM), sudah menjadi primadona bagi Virus untuk menyebarkan dirinya, hal ini dilakukan untuk mempercepat proses penyebarannya. Hampir semua pengguna komputer menggunakan alamat YM untuk menyebarkan dirinya, W32/Palevo.BQZ, juga akan memanfaatkan media chatting seperti YM dengan mengirimkan sebuah file yang sudah terinfeksiVirus kesemua alamat ID yang terdapat pada aplikasi YM dikomputer korban berupa sebuah link untuk mendownload file virus yang telah ditentukan (nama file acak), contohnya : IM87654.JPG-www.myspace.com.exe atau IM25394.JPG-www.myspace.com dengan ukuran sekitar 102kb atau 109kb.
Cara Membersihkan MySpace
1. Putuskan Komputer dari jaringan Internet maupun Intranet
2. Nonaktifkan System Restore selama proses pembersihan dilakukan.
3. Matikan proses virus yang aktif dimemori anda, dapat menggunakan fitur Advanced System Reporter yang terdapat pada Norman Security Suite Pro. Yang mana fitur ini dirancang khusus untuk mengetahui dan monitoring proses yang aktif dimemori serta mempunyai kemampuan untuk mematikan proses Virus dan sekaligus menghapus Registry Startup dari Virus tersebut.
Berikut ini langkah untuk mematikan proses virus yang aktif pada memori dengan menggunakan Advanced System Reporter
- Pada aplikasi Advanced System Reporter Klik Other.
- Klik kanan pada proses Infocard.exe
- Klik Terminate Prosess.
- Klik Yes. Untuk menghapus Registry Autostart yang dibuat oleh virus, lakukan langkah sebagai berikut :
a. Klik tabulasi Autostart.
b. Klik kanan file virus Infocard.exe
c. Klik Terminate Process jika proses tersebut masih aktif.
d. Kemudian klik Remove Autorun untuk menghapus Registry Autostart yang telah dibuat oleh virus, lihat gambar dibawah ini :
Gambar 10. Menggunakan Advanced System Reporter dari Norman untuk menghentikan proses virus yang disembunyikan.
4. Blok file virus dengan menggunakan Software "Restriction Policy" agar virus tidak dapat aktif kembali. Sementara fitur ini baru terdapat pada Windows XP Profesional, Vista dan Windows 7, Windows Server 2003 dan Windows Server 2008.
- Klik tombol Start.
- Klik tombol Run.
- Ketik SECPOL.MSC kemudian klik tombol OK.
- Maka pada layar akan muncul "Local Security Setting" lalu anda klik menu "Software Restriction Policy"
- Kemudian anda klik Create New Policy, maka akan muncul 2 menu yang lain, yakni "Security Levels" dan "Additional Rules" seperti gambar berikut :
Gambar 11. Optimalkan Secpol untuk menghadang Virus.
* Klik kanan pada menu "Additional Rules", kemudian klik "New Hash Rule...".
* Pada kolom "File Hash", klik tombol "Browse", kemudian arahkan kedirektori dimana file virus tersebut berada, contoh : C:\Windows\IInfocard.exe, kemudian klik "Open".
* Klik tombol Apply.
* Klik tombol OK.
5. Pulihak Registry yang sudah diubah oleh virus untuk mempercepat proses pemulihan, Silahkan anda Copy Script berikut ini :
[Version]
Signature="$Chicago$"
Provider=pra-bayu.blogspot.com
[DefaultInstal]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command, ,,"""%1""%*"
HKLM, Software\CLASSES\comfile\shell\open\command, ,,"""%1""%*"
HKLM, Software\CLASSES\exefile\shell\open\command, ,,"""%1""%*"
HKLM, Software\CLASSES\piffile\shell\open\command, ,,"""%1""%*"
HKLM, Software\CLASSES\regfile\shell\open\command, ,,"Regedit.exe"%1""
HKLM, Software\CLASSES\scrfile\shell\open\command, ,,"""%1""%*"
HKLM, Software\Microsoft\WindowsNT\CurrentVersion\Winlogon, Shell,0,"Explorer.exe"
[del]
HKCU, Software \Microsoft\Windows\CurrentVersion\Run, Firewall Administrating
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Firewall Administrating
HKLM, Software\Microsoft\WindowsNT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run, Firewall Administrating
Paste pada Notepad kemudian simpan dengan nama REPAIR.INF, instal file tersebut dengan cara Klik kanan Repair.inf | Instal.
Hapus secara manual Registry yang berada dilokasi berikut :
- [][][][][][][][] HKEY_LOKAL_MACHINE\SYSTEM\ControlSet001Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplication\List
- %virus%=C:\Windows\infocard.exe:*:Enabled: Firewall Administrating
Catatan : %virus% adalah lokasi file viruspertama kali dijalankan.
6. Hapus file induk yang dibuat oleh virus.
- [][][][][][][][] C:\Windows\infocard.exe
- [][][][][][][][] C:\Windows\mds.sys
- [][][][][][][][] C:\Windows\mdt.sys
- [][][][][][][][] C:\Windows\winbrd.jpg
- [][][][][][][][] C:\Documents and Settings\%user%\winbrd.jpg
7. Hapus temporary internet file dan file temporary Windows, untuk mempercepat proses penghapusan , anda dapat menggunakan fitur Norman Privacy Tools yang terdapat pada Norman Security Suite Pro. Berikut cara untuk menghapus file temporary internet dan file temporary Windows dengan menggunakan Norman Privacy Tools.
a. Pada menu utama Norman Security Suite Pro. Klik "Privacy Tool".
b. Checklist opsi user profile yang digunakan.
c. Checklist web browser yang anda gunakan.
d. Klik tombol "Delete History Now", untuk memulai penghapusan.
Gambar 12. Gunakan Norman Privacy Tools untuk menghapus File Temporary Windows.
8. Untuk pembersihan secara optimal, silahkan anda Instal dan Scan dengan anti virus yan Up to Date, anda juga dapat menggunakan tools Norman Malware Cleaner, silahkan anda Download
Gambar 13. Applikasi Norman Malware Cleaner untuk memastikan Virus W32/Palevo.BQZ terbasmi hingga akar-akarnya.
Semoga Artikel ini dapat membantu anda dalam membasmi Virus W32/Pale.BQZ yang sedang bersemayam di PC anda.
Jangan lupa untuk meninggalkan Comment yach.... : )
1 Comments
:))
;))
;;)
:D
;)
:p
:((
:)
:(
:X
=((
:-o
:-/
:-*
:|
8-}
:)]
~x(
:-t
b-(
:-L
x(
=))
