3 Varian virus baru

Hari minggu ini, sambil minum secangkir kopi vanilla yang ueeenak, gw menerima e-mail yang sangat penting dari Microsoft Security Respond and Malware Protection Center. Isi email itu memberitahukan bahwa ada 3 varian malware baru yang berusaha mengembangbiakkan diri di Indonesia. Malwarenya sich ga terlalu berbahaya, tapi dampaknya sangat besar. Berikut analisa dari gue n my lovely Ihsan Dwinanda:

1.Win32/Daonol
malware ini merupakan varian dari trojan yang mampu mengambil alih network traffic, mencuri file di FTP, mencegah akses ke situs2 keamanan, menutup akses ke Sistem Windows, dan mengarahkan mesin pencari untuk masuk ke situs2 porno dan bervirus. (Klo situs porno aja sich, ya gapapa..hihihih).

Daonol bekerja lumayan jenius, karena trojan ini mendaftarkan file “tpqnh.hmq” di registry windows dan memperbanyak diri kedalam folder sistem windows. File ini terdaftar sebagai Windows NT-Dynamic-link Library dengan rincian registry sebagai berikut:

Adds value: "aux"
With data: "\..\tpqnh.hmq"
To subkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32

Efeknya adalah kita tidak bisa mengutak-atik registry windows. Semuanya diambil alih oleh file “tpqnh.hmq”

Otomatis mesin yang terinfeksi tidak bisa apa2. Yang lebih berbahaya adalah mesin anda tidak bisa terkoneksi ke internet secara benar, melainkan akan diarahkan ke situs2 porno yang berisi virus. Dan virus itu langsung masuk tanpa henti ke mesin kita, kecuali koneksi internet terputus.

2.Win32/Daurso
blum diisi, datanya masih kurang...!!!

3.Koobface
VirTool:WinNT/Koobface.E is a detection of a kernel-mode device driver component used by other malware to intercept and manipulate DNS queries, TCP connections, and other traffic. The malware can redirect DNS results and block network connections and traffic.
VirTool:WinNT/Koobface.E may be dropped and installed by other malware. In the wild we observed VirTool:WinNT/Koobface.E being dropped to \drivers\fio32.sys, and installed as a system device service named "fio32". In this example, it was loaded by TrojanProxy:Win32/Koobface.gen!G.
VirTool:WinNT/Koobface.E attaches itself to the IPv4/IPv6 TCP and UDP protocol driver to make interceptions.  VirTool:WinNT/Koobface.E intercepts all TCP/UDP traffic, including connection attempts, and data sent and received.
 
VirTool:WinNT/Koobface.E receives configuration from other malware components, which is used to redirect and block specific DNS queries and network traffic. In the wild, we observed TrojanProxy:Win32/Koobface.gen!G utilizing VirTool:WinNT/Koobface.E for this purpose.
 
Note: The Domain Name System (DNS) is used (among other things) to map domain names to IP addresses - that is, to map human-readable domain names to machine-readable IP addresses. When a user attempts to visit a particular URL, a browser will use DNS servers to find the correct IP address of the requested domain. When a user is directed to a malicious server that is not part of the authoritative Domain Name System, or queries to the DNS servers are intercepted (as in this case), an attacker can provide incorrect IP addresses at their choice to map to particular domain names, thus directing the user to possibly bogus or malicious sites without the affected user's knowledge.
Prepared by ihsan.dwinanda

So,, apa yang mesti kita lakukan? Tidur aja gitu..ya ngga lah. Inilah pemaparan dari my lovely one:

*Recovery for Daonol's infections (only for Windows XP, For Vista User go to hell)

1.Navigate to Start, click Run, type the following instructions:

explorer.exe c:\

then click "OK" or press the  key.


2.Create a folder named "cleanup" - from the File menu, select New and then Folder and type "cleanup". Press the key twice to open the newly created folder named "cleanup", or double-click the folder using the mouse.


3.Navigate to Start, click Run, type the following instructions:

explorer.exe %windir%\system32

then click OK or press the  key. Note that "%windir%" is intentional and points to the Windows directory as installed on the computer.

4.Type cmd to highlight the command prompt executable "cmd.exe" and right-click the icon and select copy, or press Ctrl-C to copy the program to the Windows clipboard.

5.Paste the copied executable into the "cleanup" folder - press Alt-Tab to toggle the active window to the "cleanup" folder and press Ctrl-V to paste the "cmd.exe" executable into this folder.

6.Rename the copied "cmd.exe" executable to "c.exe" - right-click the copied file icon and select rename, and type c.exe.

7.Double-click "c.exe" to open the copied command prompt and type the following instructions in order:

copy %windir%\system32\reg.exe r.exe
r.exe save "HKLM\Software\Microsoft\Windows NT\CurrentVersion" temp.dat
r.exe load HKLM\TempCleanup temp.dat
r.exe query HKLM\TempCleanup\Drivers32


8.The last instruction should result in the display of registry values. Malicious registry values will have the following common properties:
a.The file name has the extension ".bak", ".tmp", ".old" or ".dat"
b.The file path will include the full path including drive letter
c.The file path will include "\..\"
d.The value data may include some random strings such as "0yAAAAAAA"

Note that in this case, the last entry in the below example is the malicious registry value:

midimapper       REG_SZ        midimap.dll
vidc.iv32        REG_SZ        ir32_32.dll
vidc.iv41        REG_SZ        ir41_32.ax
midi9            REG_SZ        C:\Windows\..\kft.bak 0yAAAAAAAA
9.Write down the malicious registry value and data details on paper, as in the following example:

value = midi9
file = C:\Windows\..\kft.bak
10.Type the following instructions to delete the malicious registry key:

r.exe delete “HKLM\Software\Microsoft\Windows NT\CurrentVersion” /v midi9


11.Delete the Win32/Daonol file by typing the following instruction:

delete "C:\Windows\..\kft.bak"


12.Restart your computer.
*tested by Ihsan.dwinanda

UNTUK KOOBFACE
silakan dibersihin pake Antivirus masing2, Kaspersky bisa, Avira bisa, AVG bisa, Bitdefender bisa, Avast oke,,
Tapi lebih aman kalo pake Online scanner, silakan buka situs Kaspersky atau follow this link:
http://onecare.live.com/site/en-us/default.htm/
Windows Live Onecare Safety Scanner.


Smoga bermanfaat and tetap aware ya!!!

Thanks to read this blog. Jangan lupa tinggalin komen buat evaluasi.


Destiya Prabowo n Ihsan Dwinanda, 2009


*Nantikan, analisis selanjutnya mengenai malware: Win32/FakeScanti yang kurang ajar.

AWAS! TROJAN BREDOLAB menyerang Facebook User

Saat ini memang virus tidak hanya menyebar lewat file atau e-mail saja, tetapi situs-situs jejaring sosial juga sangat rentan dengan virus.

Untuk pengguna facebook, hati-hati terhadap e-mail notification dari facebook team yang dikirim ke e-mail pengguna. Microsoft Malware Protection Center melaporkan bahwa jenis terbaru dari Trojan tengah mengembangkan diri di e-mail facebook tersebut. Yang perlu diwaspadai adalah e-mail tersebut berisi informasi yang tidak benar mengenai status facebook anda. Sebagai contoh dalam kasus ini,

“pemberitahuan dari facebook bahwa account facebook anda harus diganti password karena terdapat masalah teknis. Kemudian anda diharuskan mendownload attachment file Facebook_Password_4cf91.zip yang berisi file Facebook_Password_4cf91.exe. File tersebut merupakan trojan varian terbaru.”

Trojan itu diidentifikasi sebagai “Bredolab”. Jika pengguna menjalankan program tersebut, secara otomatis trojan itu menon-aktifkan fungsi firewall dan Windows Security Center. Dan yang lebih hebat lagi, trojan ini mampu mengintegrasikan diri dengan code anti-sandbox. Ini berarti trojan Bredolab mampu menghilang ketika ada program antivirus yang men-scan sistem yang ia serang. Dahsyat...!

Pihak facebook.com melalui Facebook Security Page, Don Reisinger mengatakan bahwa e-mail tersebut yang berisi trojan bukan berasal dari facebook team. Itu adalah ulah dari si pembuat trojan yang menyebarkannya. Facebook tidak pernah mengirimkan file attachment ke dalam setiap e-mail notification yang dikirimkan ke penggunanya. Olehkarena itu Facebook menyarankan untuk cermat dalam membaca e-mail, dan selalu waspada.

Solusi terbaik adalah dengan waspada. Malware Protection Center dari Microsoft menjamin bahwa Update terbaru dari untuk Live OneCare dan Microsoft Security Essentials termasuk Microsoft ForeFront Security Suite sudah mampu membrantas trojan Bredolab tersebut.

Sumber:
CNET.News http://news.cnet.com/webware/
Microsoft Malware Protection Center: http://www.microsoft.com/security/portal/

Antivirus Efektif dalam Microsoft Security Essentials

Virus komputer merupakan hal yang paling menjengkelkan. Anjing-anjingan dah, klo dah kena virus, pasti repot sekali karena biasanya virus menyerang documents penting kita. Untuk perlindungan dari virus, biasanya kita menggunakan antivirus. Nah banyak sekali antivirus yang beredar. Baik yang gratis atau mesti beli, lokal maupun luar negeri. Tapi tentu saja yang paling banyak mendapatkan perhatian adalah yang gratis tanpa melakukan pembayaran. Ya, banyak sekali antivirus yang dapat digunakan secara gratis. Yang populer adalah Avira Free AV dan AVG. Tetapi dalam blog kali ini, saya akan membuat review tentang Microsoft Security Essential.

Saya berani menjamin bahwa antivirus yang satu ini, mempunyai kemampuan penanganan virus yang sangat baik. Ya, itulah Microsoft Security Essential atau dikenal dengan nama Morro. Morro merupakan suksesor dari Windows Live OneCare (Produk AV berbayar dari Microsoft yang tidak bisa bersaing di pasar). Morro sangat efektif dalam membasmi virus. Dan tentu saja sangat mudah dalam penggunaannya. Bahkan instalasinya saja hanya beberapa menit.

Perlu diketahui, Morro saya uji dalam komputer bermesin Pentium 3 700 MHz dengan RAM 128MB. Nvidia 16MB Graphics Card. Hasilnya sangat memuaskan. Hanya membutuhkan 11 MB ruang hardisk dan cukup memakan 10 MB di (RAM) pada saat monitoring sistem. Dan saat scanning hanya menggigit 25MB RAM. Bandingkan dengan Avira yang memakan 65MB ruang hardisk, 27MB RAM saat monitoring sistem, dan 47MB saat scanning. Bahkan AVG lebih rakus dengan 83 MB ruang hardisk, 27MB RAM, dan hampir saja di defrag oleh Tuneup Memory Optimizer karena memakan RAM diatas 100MB saat scanning.

Saya lalu menguji Morro untuk melakukan deteksi virus. Saya menggunakan sebuah flashdisk 1 GB yang berisi 3145 file yang terinfeksi virus. Hasilnya sangat baik, Morro mengenali dan mampu 2932 files bervirus serta 200 file yang dikenali sebagai heuristic virus. Dan sisanya tidak dikenali. Avira dan AVG mampu mengenali masing2 2814 dan 2067 virus. Sisanya malah tidak dikenali.

Saya baru menguji coba beberapa tes diatas. Dan itu belum mewakili keampuhan antivirus masing-masing. So,, kalau ditarik kesimpulan sementara. Microsoft Security Essential bisa dikatakan efektif untuk pengguna personal. Ga ada salahnya dicoba.

Yang menjadi kendala adalah, Morro memang gratis tetapi pada saat instalasinya ia membutuhkan OS Windows Family yang orisinil alias “Genuine”. Anda yg ingin menikmati fasilitas Morro harus dapat melewati Windows Genuine Advantage dari Microsoft untuk mengecek keaslian Windows anda. Klo ngga, Morro tidak dapat di instal.

Akhir kata, semoga tulisan ini bermanfaat.

Mencoba Menulis Blog Lagi

Dear Reader,

udah lama nih, gw ga nulis blog lagi. Sibuk skripsi gitu. Now, after i've graduated, gw mau coba menulis blog lagi. Yang simple-simple aja, dan yang penting ada manfaatnya. (Ga da juga gapapa).

Hal yang menjadi favorit dalam blog gw adalah yang berkenaan dengan:

1. Information Technology

2. Politics

3. Security

4. Social Issue

5. Poetry

6. Librarianship

7. and of course, my life...hihiih
   

Tapi topik nanti akan di perluas sesuai kebutuhan gw pastinya.. hahhaa... Tau akhh, semoga bermanfaat.

Ohya, please jangan lupa kasih komen ya.. Itu penting karena merupakan feedback yang essential buat gw. Agar menjadi sarana evaluasi. Thx.