W32/Obfuscated.J: Manfaatkan Celah dalam Jaringan dan AutoPlay

Serangan virus dari mancanegara masih menjadi dominan di Indonesia, jika kemarin kita masih dibuat sibuk oleh sekumpulan virus yang menggunakan celah shortcut (LNK) seperti Stuxnet, Ramnit dan Webmoner, kini makin banyak bermunculan berbagai macam varian dari virus/trojan berbahaya dan worm jaringan yang akan membuat komputer anda menjadi lambat dan tentunya mengganggu pekerjaan anda.


Bagi anda para pengguna komputer dan internet di Indonesia, harap berhati-hati karena sejak akhir Januari 2011 hingga saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan trojan ini, dan salah satu varian baru yang terdeteksi oleh Norman sebagai W32/Obfuscated.j (Dr Web mendeteksi sebagai Trojan.Downloader2.25378). 


Keluarga trojan Obfuscated
Trojan Obfuscated (Norman) atau sering disebut Rimecud (McAfee, Microsoft) atau Palevo (Symantec, Kaspersky), sedangkan Dr.Web mendeteksi sebagai Trojan.Downloader, merupakan salah satu kelompok trojan yang mampu mengganggu system komputer dalam jaringan dan mencoba memanipulasi system yang ada dalam jaringan. Salah satu aksi yang mengganggu dari trojan ini adalah melakukan broadcast internet dan membuat komputer menjadi lambat. 

Trojan Obfuscated ditemukan sejak tahun 2009, dan hingga kini sudah berbagai varian macam Obfuscated yang beredar. Salah satu varian terbaru dari Obfuscated yang terdeteksi yaitu W32/Obfuscated.J.


Gejala & Efek Virus

Aktif menggunakan file program Visual Basic 
Aksi virus mudah diketahui oleh pengguna komputer, trojan W32/Obfuscated.J berusaha aktif dan berjalan menggunakan file program Visual Basic (walaupun pengguna tidak memiliki program Visual Basic di komputer). Dengan banyak-nya file program tersebut yang berjalan, trojan W32/Obfuscated.J dapat dengan mudah melakukan infeksi, membaca aktivitas pengguna serta melakukan koneksi pada Remote Server. 

Membuat komputer menjadi hang (explorer error)   
Saat komputer dinyalakan pertama kali dan login, Windows Explorer akan terasa lambat (hang) akibat aktivitas dari trojan yang mencoba menjalankan banyak file trojan. Dengan melakukan hal tersebut, pengguna komputer akan merasa terganggu dan tidak nyaman menggunakan komputer. Terkadang hal ini membuat akibat fatal pada Windows Explorer yang menjadi error. 

Melakukan koneksi ke Remote Server 
Trojan W32/Obfuscated.J juga berusaha melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Koneksi ke remote server dilakukan dengan menggunakan beberapa port acak seperti : 

Mendownload file agar tetap terupdate 
Untuk mempermudah aksi-nya melakukan infeksi komputer, trojan W32/Obfuscated.J juga melakukan download beberapa file tertentu dari Remote Server yang bertujuan agar virus/trojan tetap terupdate dan tidak mudah dikenali oleh antivirus. 

Melakukan transfer informasi yang telah didapatkan ke Remote Server 
Hal yang perlu diperhatikan dari trojan W32/Obfuscated.J adalah kemampuan mengirimkan informasi dari pengguna komputer yang sudah terinfeksi ke remote server. Hal ini sangat membahayakan jika yang dikirim adalah informasi mengenai sistem komputer yang ada dalam jaringan. 

Mematikan Windows Firewall 
Salah satu usaha agar dapat menggunakan berbagai macam port untuk melakukan koneksi ke remote server yaitu dengan mematikan fitur Windows Firewall pada komputer. Dengan begitu maka trojan dapat mudah melakukan koneksi setiap saat.



File trojan W32/Obfuscated.J
File utama trojan W32/Obfuscated.J dibuat menggunakan bahasa pemrograman C. Penggunaan C sebagai bahasa pemrograman secara tidak langsung menunjukkan “kasta” virus ini masuk dalam tingkatan tinggi, sebagai gambaran, virus lokal di Indonesia pada umumnya menggunakan bahasa pemrograman (sejuta umat) Visual Basic yang relatif mudah dipelajari tetapi sangat tergantung pada komponen lain seperti MSVBVM60.dll sehingga aktivitasnya akan mudah dilumpuhkan jika komponen yang mengaktifkannya dilumpuhkan.
Berikut ciri-ciri file utama trojan sebagai berikut : (lihat gambar 7)
  • Berukuran 49 kb (tergantung varian yg ditemukan)
  • Type file “application”
  • Icon file “Command Prompt
  • Berekstensi “exe”
  • Lokasi file “C:\WINDOWS\wjdrive32.exe”
Selain file utama, trojan W32/Obfuscated.J akan mendownload beberapa file lain yang dibuat menggunakan bahasa pemrograman Visual Basic, yaitu sebagai berikut :
  • C:\WINDOWS\system32\.exe (76 kb)
  • C:\WINDOWS\system32\vyre32.exe (76 kb)

Dan beberapa file trojan lain yaitu :
  • C:\asetup.exe (31 kb)
  • C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\wincache.exe (31 kb)
  • C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (31 kb)
  • C:\Documents and Settings\[UserName]\bnt.exe (51 kb)
  • C:\Documents and Settings\[UserName]\Local Settings\Temp\_co.txt (1 kb)
  • C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (1 kb)
  • C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (1 kb)
  • C:\Windows\System32\browseit.log (0 kb)
  • C:\Windows\System32\umdmgr.exe (61 kb)


Metode Penyebaran
Beberapa cara trojan W32/Obfuscated.J melakukan penyebaran yaitu sebagai berikut :
  • Removable drive/disk
Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. Trojan (memanfaatkan celah autoplay) membuat beberapa file agar menginfeksi komputer yaitu :
  1. RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\wincache.exe
  2. RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
Dengan membuat pada folder RECYCLER, trojan dapat menyebar tanpa diketahui oleh pengguna komputer.
  • Jaringan LAN & internet
Salah satu metode utama yang digunakan untuk melakukan penyebaran yaitu menggunakan jaringan LAN & internet. Dengan melakukan download trojan terbaru dan broadcast informasi dari internet, trojan melakukan penyebaran kepada jaringan LAN melalui port-port tertentu sehingga dengan mudah menginfeksi dan tidak mudah dideteksi oleh antivirus.


Pembersihan Obfuscated :
  1. Putuskan hubungan komputer dari jaringan/internet.

  2. Lakukan pembersihan virus pada mode “safe mode”. Untuk masuk pada mode “safe mode”, tekan tombol F8 pada keyboard saat komputer dinyalakan.
  1. Matikan dan hapus trojan W32/Obfuscated.J 

    • Download tools untuk membersihkan trojan W32/Obfuscated.J pada komputer yang belum terinfeksi pada link berikut.
    Dr.Web Cure-It!
    Norman Malware Cleaner
      
    • Setelah selesai, kompres file tersebut hingga menjadi file zip.
    • Kopi file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
    • Klik kanan file zip tersebut, kemudian klik explore.
    • Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.
    • Jika sudah muncul jendela Dr.Web CureIt, klik OK untuk menjalankan dalam mode EPM (Enhanced Protection Mode).
    • Klik Start untuk memulai Scan, dan klik Yes untuk memulai.
    • Biarkan hingga proses scan selesai.
  1. Repair registri yang telah dimodifikasi.
Lakukan langkah-langkah berikut :
  • Salin script dibawah ini dengan notepad :
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee 2011

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe

[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Microsoft Config Setup
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, (Default)
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, vyre32
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, MS0593[1]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, Microsoft Config Setup
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Taskman
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, 12CFG214-K641-12SF-N85P

  • Simpan file dengan nama “repair.inf”. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan.
  • Klik kanan file “repair.inf”, kemudian pilih “install”.
  • Restart komputer.
  1. Bersihkan temporary file dari jejak trojan.
Lakukan langkah-langkah berikut :
  1. Klik Menu Start -> Run
  2. Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
  3. Pada drive system (C) klik OK, biarkan proses scan drive.
  4. Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
  5. Tunggu hingga selesai. 

    Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali trojan ini dengan baik





source :