Sudahkah anda mengenal worm ini? Mungkin sebagain dari anda belum, karena worm ini tergolo
ng baru (menurut saya). Worm ini didapat dari hasil rasa curiga terhadap member baru codenesia, yang mengupload artikel tentang program pembobol password deepfreeze. Dimana tampilan program tersebut sangat mirip dengan program pembobol password deepfreeze yang pernah disharing rekan saya di opensc, setelah saya download ternyata program pembobol deepfreeze dengan tampilan hampir sama t
api terkompilasi dengan ukuran berbeda. Dimana program pembobol deepfreeze serupa seharusnya berukuran 30an KB, sedangkan pada program pembobol deepfreeze editanya, berukuran hampir 98 KB. Tentunya dengan ukuran yang demikian, pasti ada sebuah resource sekitar 70an KB (tanpa compress) yang biasanya adalah worm.
Setelah saya Uji.. wow, ternyata benar, sebuah worm cukup ganas menyerang computer saya. Worm ini dibuat dengan bahasa visual basic 6.0 oleh seorang yang mengaku berinisial ram83,
dengan komunitas VM sidimpuan. Ketika worm mulai berjalan pada computer anda, ada beberapa perubahan antara lain, Jendela Registry tak bisa diakses, situs-situs tertentu di blokir, file exe yang ada di drive system dan media storage seperti FD di replace jadi dirinya.
File-File yang di Drop Oleh worm [asumsi winroot=C:\Windows] C:\hantu.exe : 65 KB – iconya mirip wajah pembuatnya
C:\WINDOWS\system32\pasid.ico : 766 bytes
C:\WINDOWS\system32\pasids.ico : 766 bytes - gambarnya mirip wajah pembuatnya
C:\WINDOWS\system32\rambe.dll : 10KB
C:\WINDOWS\system32\Micros0ft\msvbvm60.dll
C:\WINDOWS\system32\3003\smsvr.exe : 65 KB
C:\WINDOWS\system32\1986\msvbvm60.dll
C:\WINDOWS\system32\3003\msvbvm60.dll
C:\WINDOWS\system32\1986\ctfm0n.exe : 65 KB
C:\WINDOWS\system32\Micros0ft\winserv.exe : 65 KB
C:\WINDOWS\system32\dog.bat
[Drive]:\D-WAR.html : 437 bytes
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Sidimpuan Worm Maker Community.exe : : 65 KB
Registry yang dbuat untuk StartUp
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows server=C:\WINDOWS\system32\3003\smsvr.exe
Windows file monitor=C:\WINDOWS\system32\1986\ctfm0n.exe
Windows services controler=C:\WINDOWS\system32\Micros0ft\winserv.exe
Web yang coba di Blok
www.symantec.com
symantec.com
securityresponse.symantec.com
sarc.com
www.sarc.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.wormlist.com
wormlist.com
f-secure.com
www.f-secure.com
f-prot.com
www.f-prot.com
kaspersky.com
kaspersky-labs.com
www.avp.com
avp.com
www.kaspersky.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.comnai.com
www.nai.com
vil.nai.com
Warning
Worm ini diciptakan mungkin untuk bertujuan merusak, agar ketika computer telah terinfeksi dirinya tidak ada Antivirus satu-pun yang dapat memulihkan kondisi seperti semula, ini terlihat dengan target file yang diincarnya, yaitu hampir seluruh file executable (program) direplace dengan dirinya yang bericon hamper mirip/sama dengan file executable (exe, scr) yang akan direplace. Teknik pertahan worm ini cukup bagus, karena satu diantara proses yang dibuat worm tidak mempan dengan security taskmanager (yang versi gratisan J). Worm ini cukup gile dan tak punya etika, karena sekali terserang worm ini dan anda melakukan restart atau membiarkan cukup lama, maka hamper seluruh file exe yang ada pada drive system dan FD akan di replace dengan dirinya.
Pencegahan
Saya sudah menambahkan ceksum worm ini kedalam DB KAV S.E, walaupun puluhan kalo worm ini bersalin icon, ternyata dengan ceksum M31 hasilnya tetap sama. JAdi untuk smentara dengan ceksum M31 cukup efektif mencegah datangnya worm ini via flashdisk. Walapun worm ini tidak membuat sebuah autorun, namun dengan teknik replace exe diperkirakan worm ini akan cepat menyebar lebih-lebih pembuatnya yang rajin dalam menyebarkan worm ini (sampai-sampai register dan login ke web ini) hanya untuk menipu pembaca.
Pembersihan
Sebenarnya saya belum menemukan cara efektif pembersihan worm ini, namun anda bias menggunakan PE bernama Bart PE atau Mini PE, yang dapat dibooting melalui USB(ukuranya 200MB-an) untuk mengahapus induk2 worm sebelum semua file exe direplace dan anda harus melakukan install ulang.
Pesan
Buat pembuat worm, silahkan anda menggunakan web lain dalam membantu penyebaran worm anda, karena di web ini keamanan member adalah prioritas kami. Sehingga kami tidak mau kecolongan web kami dijadikan sarana penyebaran worm (yang tak punya etika bermain).
0 komentar:
Posting Komentar