Messenger Virus 1 (Yahoo Messenger, Gtalk, MSN, SKype)

W32/VBTroj.CEUU

Teman YM anda tahu-tahu jago Bahasa Inggris

Bila anda pengguna aplikasi Messenger seperti Yahoo Messenger, MSN Messenger, Gtalk dan Skype dan tahu-tahu beberapa kontak Messenger anda tahu-tahu seperti burung beo fasih mengirimkan pesan dalam Bahasa Inggris yang keren, beserta lampirannya. Jangankan anda sekali-kali klik link tersebut sekalipun Bahasa Inggris anda cas cis cus dan anda mengerti apa arti pesan yang dikirimkan (apalagi kalau tidak mengerti) karena virus tidak memandang bulu apakah korbannya mengerti Inggris atau tidak, komputer anda akan langsung di infeksi olehnya.

YM atau Yahoo! Messenger merupakan aplikasi chat yang paling populer. Hampir semua pengguna internet memiliki akun gratis Yahoo, tidak lengkap rasanya jika tidak memanfaatkan aplikasi YM pada komputer-nya. Bahkan tidak hanya pengguna komputer, pengguna ponsel dan Blackberry pun juga dimanjakan dengan tersedia-nya aplikasi YM pada perangkat tsb.

Jika sebelumnya varian virus Facebook dan virus Google telah meramaikan acara tutup tahun 2009, maka telah muncul varian virus Yahoo! Messenger yang menyebar cepat dan juga ikut merepotkan. (lihat gambar 1 dan 2)

Gambar 1, Pesan yang ditampilkan oleh virus melalui Yahoo Messenger.

Gambar 2, Virus ini terdeteksi oleh Norman Security Suite sebagai W32/VBTroj.CEUU.

Serangan pop-up YM (pesan dengan link attachment)

Jika anda mendapatkan pesan yang disertakan link (meskipun berasal dari teman anda sendiri), maka anda patut waspada. Pesan yang dikirim berbeda dengan varian sohanad yang menggunakan bahasa “Vietnam”, pesan yang dikirim menggunakan bahasa “Inggris” yang disertai link attachment. Jika anda cukup mahir Bahasa Inggris, jangan senang dulu meskipun anda sudah mengerti apa maksud link yang di kirimkan atau anda mengira teman anda yang selama ini Bahasa Inggrisnya jeblok kok tahu-tahu bisa mengirimkan kalimat-kalimat dalam Bahasa Inggris dan anda klik lagi …… maka anda akan masuk ke dalam gang yang sama dengan teman anda, terinfeksi virus dan Ymnya otomatis mengirimkan pesan-pesan dalam Bahsa Inggris. Apalagi jika anda tidak mengerti Bahasa Inggris …. pokoknya ada link apapun walaupun itu dari teman, pacar, sosotan atau bos anda sekalipun, JANGAN di klik tanpa konfirmasi terlebih dahulu ke pengirimnya.

Link lampiran yang dikirimkan ini smeuanya seakan-akan file gambar (JPEG), padahal sebenarnya berisi file virus yang di kompress menjadi file zip.

Berikut beberapa bentuk pesan yang dikirim (dalam bahasa Inggris).

ü  I just found this pic of you last night, and I think you might want to save it, looks amazing. srv034.imageshares.info:88/cache/user2940/DVS-Picture009.JPEG.zip

ü  Would you care if I tagged you in this picture? Or would you get upset at me? srv057.imageshares.info:88/DisplayPics/user3052/DVT-NewPhoto009.JPG.zip

ü  This picture is creepy and disturbing! You have to check it out. http://srv034.imageshares.info:88/cache/user2940/DVS-Picture009.JPEG.zip

ü  I was at the mail, and you will never guess who i saw! http://srv057.imageshares.info:88/DisplayPics/user3052/DVT-NewPhoto009.JPG.zip

ü  I found the perfect wallpaper. You’ll love it, what do you think? http://viewmorepics.facebookgallery.info:88/ImageView&profileID=1390/DVS-MyPhoto14.JPEG.zip

ü  Have you seen my new glasses? I just found out I had to get new ones. Do they look ok?? http://viewmorepics.facebookgallery.info:88/ImageView&profileID=1390/DVS-MyPhoto14.JPEG.zip

ü  Why do I even bother taking pictures when they turn out to be like this. Don’t show it to anyone please. http://img284.dlimageshack.info:88/img284/43930/MVC-NewPhoto12.JPG.zip

ü  I finished editing this picture last night for my facebook profile… How do you like it? http://img425.dlimageshack.info:88/~ProfileView/user4729/DVS-NewPhoto13.JPG.zip

ü  The pics from my new digital camera keep coming out strange. Can’t you tell it doesn’t look right in this one? http://c2ac-b.myspace-pics.info:88/images03/4986051/DVT-Picture004.JPG.ZIP

ü  If you decide to open this picture you have to promise not to show it to anyone. ok? http://c2ac-b.myspace-pics.info:88/images03/4986051/DVT-Picture004.JPG.zip

File virus

File attachment virus VBTroj.CEUU dibuat dengan menggunakan script bahasa pemrograman Visual Basic, dengan ukuran file sekitar 212 kb, sedangkan ukuran file pendukung lainnya berukuran berbeda-beda. (lihat gambar 3)

Gambar 3, File virus Messenger

Jika file yang dikirim dijalankan, maka virus akan membuat file virus serta mendownload beberapa file pendukung yaitu :

ü  C:\Documents and Settings\%user%\[nama_acak].exe

ü  C:\Documents and Settings\%user%\secupdat.dat

ü  C:\Documents and Settings\%user%\Local Settings\Temp\melt.bat

ü  C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files\3mc.zip

ü  C:\WINDOWS\system32\wmisrpc.exe

ü  C:\WINDOWS\system32\secupdat.dat

File induk virus “wmisrpc.exe” yang kemudian aktif akan menyamarkan diri sebagai salah satu file audio (Realtek AC97 Audio – Event monitor). Lihat gambar 4.

Gambar 4, File virus yang menyamarkan diri sebagai file Realtek Audio

Aksi virus

Beberapa aksi yang dilakukan virus yaitu sebagai berikut :

Mencoba melakukan koneksi/kontak ke remote server/IRC (Internet Relay Chat) dengan berbagai IP seperti : (lihat gambar 5)

–          231.102.234.209         (port 6104)

–          76.74.250.94               (port 41040)

–          195.149.74.40             (port 80)

–          216.105.85.153           (port 80)

–          209.234.102.231         (port 1054)

Beberapa IP tersebut memiliki nama domain sebagai berikut : (lihat gambar 5)

–          srvr24.ralden.com

–          webbox857.server-home.net

–          tvtcl-300103.tvt.ne.jp

–          coax.a-youtube.info

–          centre.a-youtube.info

–          com0.b-youtube.info

–          det0x.c-youtube.info

–          euro.b-youtube.info

–          mech.c-youtube.info

–          ptr.b-youtube.info

–          rgtryhbgddtyh.biz

–          sector9.myfilehd.info

–          sex.c-youtube.info

–          spazm.a-youtube.info

–          wertdghbyrukl.ch

–          dll……

Gambar 5, Virus akan berusaha mengkoneksikan diri ke beberapa situs

Mencoba melakukan koneksi ke beberapa website dan mencoba untuk melakukan sinkronisasi waktu. Kemungkinan besar tujuan dari sinkronisasi waktu adalah supaya komputer-komputer yang terinfeksi virus memiliki waktu yang sama dan kalau diperintahkan untuk melakukan Ddos akan berdampak masif. Adapu situs sinkronisasi waktu yang dikontak adalah :

–          Yahoo.com

–          Google.com

–          Time.windows.com

Gambar 6, Virus akan berusaha melakukan sinkronisasi waktu

Mencoba melakukan koneksi ke beberapa Mail Exchanger (MX) seperti : (lihat gambar 7)

–          Microsoft.com

–          Yahoo.com

–          Google.com

–          Mail.Ru (merupakan penyedia jasa e-mail gratis terbesar di Rusia)

Mencoba melakukan koneksi ke beberapa website dengan menggunakan berbagai port. (lihat gambar 8)

Gambar 8, Virus akan berusaha mengkoneksikan diri ke beberapa situs. Dalam banyak kasus koneksi secara masif ke suatu situs akan berakibat Ddos.

Sinkronisasi ke remote server/IRC server dan berkomunikasi. Salah satu text yang berhasil di capture yaitu sebagai berikut :

IRC@svx-01.jpl.nasa.gov PRIVM…………………… Welcome to the 0wnage.com IRC Network USA

Mendownload file virus dan mendapatkan list pesan yang akan dikirimkan via aplikasi chat. Jadi jika pembuat virusnya melakukan update pada pesan yang di kirim, maka pesan yang di kirim dapat berubah dari yang kami utarakan di atas.

Jumlah list pesan yang didapat cukup banyak. Hanya dengan 1 link virus, pesan yang diterima bisa didapatkan sekitar ± 50 kalimat yang berbeda.

Berikut contoh pesan yang akan dikirimkan :

–          Does this picture look a little strange to you? It’s supposed to be real, but I have doubts.

–          Have you seen the photo of my mom when she was a teenager? Doesn’t she look outrageous?

–          Myspace just deleted this picture off my profile for abuse. I don’t see anything wrong with it, can you?

–          Dll…….

Mengirim pesan kepada semua contact address yang ada pada aplikasi chat. (lihat gambar 9)

Gambar 9, Aksi virus mengirimkan pesan ke kontak-kontak Messenger

Mencoba akses jaringan dan menyebarkan virus. Dalam hal ini pun berusaha menembus IPC$ yang menurut pengalaman Vaksincom cukup efektif sebagai sarana penyebaran virus melalui jaringan.

CPU 100%

Akibat dari meningkatnya aktifitas koneksi jaringan dan internet yang dilakukan oleh virus, komputer akan terasa lambat. Hal ini dapat dilihat pada proses penggunaan resources memory yang meningkat hingga 100 %. Untuk memastikan anda dapat melihat pada Windows Task Manager. (lihat gambar 10)

Gambar 10, Aktivitas virus menyebabkan CPU usage komputer emnjadi 100 % sehingga mengganggu kinerja komputer.

Registry Windows

Agar dapat aktif saat komputer dijalankan, virus akan membuat string registri sebagai berikut :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

WMI RPC Server = C:\WINDOWS\system32\wmisrpc.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Userinit = C:\WINDOWS\system32\userinit.exe

  • HKEY_USERS\S-1-5-21-1229272821-2052111302-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = explorer.exe C:\Documents and Settings\%user%\[nama_acak].exe

Untuk melakukan blok terhadap fungsi windows, virus membuat string sebagai berikut :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

DisableConfig = 1

DisableSR = 1

Metode penyebaran virus

Salah satu keunggulan utama virus ini adalah melakukan penyebaran melalui Yahoo Messenger (YM). Tidak hanya itu, kemungkinan virus ini pun menyebar melalui aplikasi chat yang lain seperti Skype, GTalk (Google Talk), Windows Live Messenger dan MRA (Mail.Ru Agent). Dengan mengirimkan beberapa link pesan ke semua contact address yang ada, yang di arahkan ke sebuah website dan akan mendownload file virus. (lihat gambar 11)

Gambar 11, Aksi virus mengirimkan linknya melalui YM

Dalam jaringan, dengan memanfaatkan file sharing (terutama folder yang di share full), virus juga menyebar dengan membuat file virus “[nama_acak].exe” yang berukuran 212 kb.

Cara pembersihan virus VBTroj.CEUU

  • Sebaiknya lakukan pembersihan melalui mode safe mode.
  • Matikan proses virus yang berjalan di memory. Gunakan Windows Task Manager. (lihat gambar 11)

Gambar 11, Gunakan Task Manager untuk mematikan proses virus.

Lakukan kill process, pada beberapa file yang aktif yaitu :

ü  Cmd.exe (digunakan oleh virus, cukup End Process saja)

ü  Svchost.exe (digunakan oleh virus, cukup End Process saja)

ü  C:\WINDOWS\system32\wmisrpc.exe (jika aktif)

  • Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “”%1″””

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKU, S-1-5-21-1229272821-2052111302-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0, “C:\Windows\system32\userinit.exe,”

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, WMI RPC Server

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

  • Hapus file virus dengan menggunakan Norman Malware Cleaner. Anda dapat mendownload pada link berikut :

http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

  • Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik. (lihat gambar 12)

Salam,

Ad Sap

info@vaksin.com

Sumber vaksin.com

Tinggalkan komentar

Belum ada komentar.

Comments RSS TrackBack Identifier URI

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s