putuyudistirap

Just another WordPress.com weblog

Virus D-War

Posted by rabot416 pada November 7, 2009

Sudahkah anda mengenal worm ini? Mungkin sebagain dari anda belum, karena worm ini tergolong baru (menurut saya). Worm ini didapat dari hasil rasa curiga terhadap member baru codenesia, yang mengupload artikel tentang program pembobol password deepfreeze. Dimana tampilan program tersebut sangat mirip dengan program pembobol password deepfreeze yang pernah disharing rekan saya di opensc, setelah saya download ternyata program pembobol deepfreeze dengan tampilan hampir sama tapi terkompilasi dengan ukuran berbeda. Dimana program pembobol deepfreeze serupa seharusnya berukuran 30an KB, sedangkan pada program pembobol deepfreeze editanya, berukuran hampir 98 KB. Tentunya dengan ukuran yang demikian, pasti ada sebuah resource sekitar 70an KB (tanpa compress) yang biasanya adalah worm.

Setelah di Uji.. wow, ternyata benar, sebuah worm cukup ganas menyerang computer saya. Worm ini dibuat dengan bahasa visual basic 6.0 oleh seorang yang mengaku berinisial ram83, dengan komunitas VM sidimpuan. Ketika worm mulai berjalan pada computer anda, ada beberapa perubahan antara lain, Jendela Registry tak bisa diakses, situs-situs tertentu di blokir, file exe yang ada di drive system dan media storage seperti FD di replace jadi dirinya.

File-File yang di Drop Oleh worm [asumsi winroot=C:\Windows]

C:\hantu.exe : 65 KB – iconya mirip wajah pembuatnya

C:\WINDOWS\system32\pasid.ico : 766 bytes

C:\WINDOWS\system32\pasids.ico : 766 bytes – gambarnya mirip wajah pembuatnya

C:\WINDOWS\system32\rambe.dll : 10KB

C:\WINDOWS\system32\Micros0ft\msvbvm60.dll

C:\WINDOWS\system32\3003\smsvr.exe : 65 KB

C:\WINDOWS\system32\1986\msvbvm60.dll

C:\WINDOWS\system32\3003\msvbvm60.dll

C:\WINDOWS\system32\1986\ctfm0n.exe : 65 KB

C:\WINDOWS\system32\Micros0ft\winserv.exe : 65 KB

C:\WINDOWS\system32\dog.bat

[Drive]:\D-WAR.html : 437 bytes

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Sidimpuan Worm Maker Community.exe : : 65 KB

Registry yang dbuat untuk StartUp

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Windows server=C:\WINDOWS\system32\3003\smsvr.exe

Windows file monitor=C:\WINDOWS\system32\1986\ctfm0n.exe

Windows services controler=C:\WINDOWS\system32\Micros0ft\winserv.exe

Web yang coba di Blok

http://www.symantec.com

symantec.com

securityresponse.symantec.com

sarc.com

http://www.sarc.com

http://www.sophos.com

sophos.com

http://www.mcafee.com

mcafee.com

liveupdate.symantecliveupdate.com

http://www.wormlist.com

wormlist.com

f-secure.com

http://www.f-secure.com

f-prot.com

http://www.f-prot.com

kaspersky.com

kaspersky-labs.com

http://www.avp.com

avp.com

http://www.kaspersky.com

http://www.networkassociates.com

networkassociates.com

http://www.ca.com

ca.com

mast.mcafee.com

my-etrust.com

http://www.my-etrust.com

download.mcafee.com

dispatch.mcafee.com

secure.nai.comnai.com

http://www.nai.com

vil.nai.com

Warning

Worm ini diciptakan mungkin untuk bertujuan merusak, agar ketika computer telah terinfeksi dirinya tidak ada Antivirus satu-pun yang dapat memulihkan kondisi seperti semula, ini terlihat dengan target file yang diincarnya, yaitu hampir seluruh file executable (program) direplace dengan dirinya yang bericon hamper mirip/sama dengan file executable (exe, scr) yang akan direplace. Teknik pertahan worm ini cukup bagus, karena satu diantara proses yang dibuat worm tidak mempan dengan security taskmanager (yang versi gratisan J). Worm ini cukup gile dan tak punya etika, karena sekali terserang worm ini dan anda melakukan restart atau membiarkan cukup lama, maka hamper seluruh file exe yang ada pada drive system dan FD akan di replace dengan dirinya.

Pencegahan

Saya sudah menambahkan ceksum worm ini kedalam DB KAV S.E, walaupun puluhan kalo worm ini bersalin icon, ternyata dengan ceksum M31 hasilnya tetap sama. JAdi untuk smentara dengan ceksum M31 cukup efektif mencegah datangnya worm ini via flashdisk. Walapun worm ini tidak membuat sebuah autorun, namun dengan teknik replace exe diperkirakan worm ini akan cepat menyebar lebih-lebih pembuatnya yang rajin dalam menyebarkan worm ini (sampai-sampai register dan login ke web ini) hanya untuk menipu pembaca.

Pembersihan

Sebenarnya saya belum menemukan cara efektif pembersihan worm ini, namun anda bias menggunakan PE bernama Bart PE atau Mini PE, yang dapat dibooting melalui USB(ukuranya 200MB-an) untuk mengahapus induk2 worm sebelum semua file exe direplace dan anda harus melakukan install ulang.

Satu Tanggapan to “Virus D-War”

  1. anjas said

    benar tuh mass… kmptr hrus di instal ulang..virus ne benar2 gile… aq dah 2 x instal kmptr gara2 virus neh….

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: