Membasmi Virus Facebook (W32/Zbot.DBB)
Membasmi virus “maling teriak rampok”
Facebook oh... Facebook
Masih ingat dengan virus Obfuscated.D2!genr atau Bredolab, sebuah virus yang akan menggunakan rekayasa sosial dengan sasaran utama para member faceebook dengan mengirimkan sebuah notifikasi untuk merubah user account yang sudah terdaftar sebelumnya dengan alasan untuk keamanan dengan menyertakan sebuah attachment yang sebenarnya berisi trojan dan “sialnya” email ini dikirim seolah-olah dari Admin Faceebok (lihat gambar 2 dan 3). File attachment yang disertakan teryata bukan sebuah tools untuk meseset password seperti yang di informasikan dalam email tersebut, tetapi justru akan mendownload trojan baru berupa fake antispyware dengan nama “Security Tools” (lihat gambar 1), spyware yang menyamarkan dirinya sebagai antispyware ini akan memberikan informasi menampilkan sederetan virus/trojan palsu yang berhasil di deteksi. Sedangkan untuk menyebarkan dirinya ia akan mengirimkan email yang sama ke semua alamat email yang berhasil ia dapat dengan menyertakan attachment dalam bentuk ZIP dengan nama acak.
Gambar 1, Security Tools, spyware yang menyamar sebagai program Antispyware
Gambar 2 Contoh email yang akan di kirimkan oleh Obfuscated.D2!genr
Gambar 3 Aktivitas pengiriman email yang dilakukan oleh Obfuscated.D2!genr
Untuk informasi virus virus Obfuscated.D2!genr atau Bredolab, silahkan kunjungi situe http://vaksin.com/2009/1109/facebook/facebook2.html
W32/Zbot.DBB menyebarkan Email Phishing
Rupanya peperangan ini akan terus berlanjut, kini mereka datang dengan cara yang berbeda dan lebih canggih. Kenapa dikatakan dengan demikian ??? Agar tidak mengundang kecurigaan dari user kini datang tidak dengan menyertakan attachment seperti sebelumnya, tetapi ia akan datang sebagai email dari admin faceebok yang menginformasikan agar user melakukan update account dengan alasan untuk kenyamanan dan keamanan saat mengunjungi situs tersebut.
Unuk melakukan update terhadap account tersebut, ia akan menyertakan sebuah tombol “Update” yang akan mengakses webuah web login yang sudah dipalsukan, web login ini bukanlah web login facebook tetapi web login yang sudah di siapkan untuk menampung username dan password yang nantinya akan digunakan untuk mengambil daftar account yang ada di facebook dari komputer yang terinfeksi.
Web login palsu ini akan mempunyai alamat yang berbeda-beda seperti contoh dibawah ini : (lihat gambar 4)
Catatan: xxxxx adalah karakter acak.
Gambar 4, Alamat login facebook palsu
Jika kita perhatikan sepintas, web login palsu ini mirip dengan web login asli (lihat gambar 5)faceebok, tetapi jika ditelusuri lebih teliti terdapat beberapa perbedaan yang mencolok seperti terlihat pada gambar dibawah ini :
Gambar 5, Web login faceebok asli
Pada saat user mengisi username dan password, ia akan membuka halaman baru yang berisi link untuk download tool update account dengan nama [updatetool.exe] yang sebenarnya adalah sebuah virus/trojan yang akan menginfeksi jika user menjalankan file tersebut. (lihat gambar 6)
Gambar 6, Link download virus/trojan
Subject email yang dikirimkan oleh virus ini biasanya akan berbeda-beda seperti : (lihat gambar 7)
- New login system
- Facebook account update
- Facebook Update Tools
Gambar 7, Contoh email phishing yang akan di kirimkan oleh virus
Dengan teknologi Sandbox Norman mendeteksi virus tersebut sebagai Trojan: W32/Zbot.DBB (lihat gambar 8)
Gambar 8, Hasil deteksi Norman Security Suite
File Virus Zbot.DBB
Virus ini mempunyai ukuran file sekitar 105 KB dengan nama [updatetools.exe], file ini mempunyai ekstensi EXE . (lihat gambar 9)
Gambar 9, File induk W32/Zbot.DBB
Jika file tersebut dijalankan ia akan membuat file induk dengan nama [C:\WINDOWS\system32\sdra64.exe], file inilah yang bertugas untuk menginjeksi beberapa proses Windows seperti :
· C:\Windows\Syste32\services.exe
· C:\Windows\System32\lsass.exe
· C:\Windows\System32\svchost.exe
· C:\Windows\System32\alg.exe
· C:\ProgramFiles\internet explorer\iexplore.exe
Agar tidak mudah di hapus oleh virus, file tersebut akan disembunyikan walaupun user sudah menampilkan file yang tersembunyi. Selain itu ia juga akan membuat beberapa file berikut yang juga akan disembunyikan dengan tujuan agar tidak mudah di hapus:
· C:\Windows\system32\lowsec
- local.ds
- user.ds
- user.ds.lll
W32/Zbot.DBB juga akan membuat file lain dengan nama [C:\windows\pdhemprf.dll] serta mendownload beberapa file dari ip yang telah ditentukan [97.74.144.118] dan [hxxp://193.104.27.42/lcc/ip2.gif dan hxxp://193.104.27.42/ip.php], file yang di download tersebut akan di simpan ke direktori [C:\Documents and Settings\Elvina\Local Settings\Temp\] (lihat gambar 10 dan 11)
Gambar 10, Download trojan
Gambar 11, Proses download Trojan
Untuk memperlancar aksinya Ia juga akan membuat beberapa registri berikut:
· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
· HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer
- {43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
- {19127AD2-394B-70F5-C650-B97867BAA1F7}
- {8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}
· HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer
- {43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
- {19127AD2-394B-70F5-C650-B97867BAA1F7}
- {8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}
Media pengiriman (phishing)
Untuk menyebarkan dirinya, ia akan mengirimkan email phishing kesemua alamat yang telah diperoleh yang berisi pemberitahuan kepada user yang mempunyai account facebook untuk melakukan update tehadap account facebook yang dimilikinya demi keamanan dan kenyamanan saat akses ke situs facebook. Email tersebut akan menyertakan satu tombol “update” yang berisi alamat web login palsu untuk menampung username dan password yang digunakan oleh user, untuk kemudian akan menampilkan alamat download virus yang menyamar sebagai sebuah tools dengan nama [updatetool.exe], file gadungan inilah yang akan mengaktifkan W32/Zbot.DBB di komputer user jika file tersebut dijalankan.
Jika menggunakan tools monitoring seperti Ethereal [http://www.ethereal.com/] atau Wireshark [http://www.wireshark.org/] W32/Zbot.DBB tidak melakukan pengiriman email phishing alamat email lain, jadi kemungkinan besar virus ini akan mengambil informasi penting termasuk username dan password facebook dari komputer yang terinfeksi dan mengirimkan ke pembuat virus, account yang berhasil ia dapat inilah yang akan digunakan untuk mengambil account lain yang terdapat dalam facebook tersebut yang kemudian akan mengiriman email phishing tersebut.
Jika kita telusuri lebih jauh dari email yang dikirimkan dapat dilihat bahwa pengirim email phishing tersebut berasal dari luar seperti Brazil, Italia atau Belanda dan bukan dari komputer yang terinfeksi. (lihat gambar 12, 13 dan 14)
Gambar 12, Contoh email yang di kirim oleh W32/Zbot.DBB
Gambar 13, Contoh email yang di kirim oleh W32/Zbot.DBB
Gambar 14, Informasi pengirim email phishing yang sebenarnya
Berikut ciri-ciri email phishing yang dikirimkan oleh W32/Zbot.DBB (lihat gambar 15).
Gambar 15, Ciri email phishing yang dikirimkan oleh virus.
Jadi harap berhati-hati jika menerima email walaupun dari Admin Facebook terutama yang mempunyai subject di bawah ini, sebaiknya HAPUS dan jangan ikuti informasi yang terdapat dalam email tersebut.
Cara membersihkan W32/Zbot.DBB
1) Putuskan komputer yang akan di bersihkan dari jaringan/internet
2) Disable [System Restore] selama proses pembersihan [jika menggunakan Windows XP] (lihat gambar 16)
· Buka Windows Explorer
· Klik kanan [My Computer]
· Klik [Properties]
· Klik tabulasi [System Retore]
· Centang opsi [Turn off System Restore on all drives]
· Klik tombol [Apply]
· Klik tombol [OK]
Gambar 16, Disable [System Restore] Windows
3) Install tools “unlocker” untuk menghapus file virus yang menginjeksi proses Windows [http://unlocker.en.softonic.com/download]
4) Sebaiknya lakukan pembersihan melalui “safe mode”
5) Matikan proses virus yang aktif di memori. Silahkan gunakan tools pengganti Task Manager seperti “Security Task Manager” [http://www.neuber.com/taskmanager/download.html] seperti terlihat pada gambar di bawah ini dengan cara : (lihat gambar 17 dan 18)
a. Klik kanan pada file yang dianggap virus [sdra64.exe]
b. Klik [remove]
c. Pilih opsi [move file to quarantine]
d. Klik [OK]
Gambar 17, Mematikan proses virus dengan “security task manager”
Gambar 18, Menghapus file virus
6) Hapus file yang dibuat oleh virus dengan terlebih dahulu menampilkan file yang tersembunyi : (lihat gambar 19)
· Buka [Windows Explorer]
· Klik menu [Tools]
· Klik [Properties]
· Klik tabulasi [View]
· Check list opsi [Show hidden files and folders]
· Uncheck opsi [Hide protected operating system files (recommanded).
Gambar 19, Menampilkan file yang tersembunyi
Kemudian hapus file berikut:
· C:\WINDOWS\system32\sdra64.exe
· C:\Windows\system32\lowsec
- local.ds
- user.ds
- user.ds.lll
Catatan:
Untuk menghapus folder [C:\Windows\system32\lowsec] dan [C:\windows\system32\sdra64.exe], gunakan tools “unlocker” untuk memisahkan proses tersebut dengan proses system windows (services.exe, lsass.exe, alg.exe, svchost.exe dan iexplore.exe), karena kedua file tersebut akan menginjeksi file Windows di atas, caranya : (lihat gambar 20)
· Klik kanan pada file [C:\windows\system32\sdra64.exe] atau folder [C:\Windows\system32\lowsec]
· Kemudian klik menu [unlocker]
· Pada layar unlocker, pilih opsi [Hapus]
· Kemudian klik tombol [OK]
· Jika muncul pesan error, di abaikan saja (klik ok)
Gambar 20, Menghapus file dengan menggunakan unlocker
7) Hapus registry yang dibuat oleh virus. Untuk mempercepat proses pembersihan silahkan salin script di bawah ini pada program notepad, kemudian simpan dengan nama REPAIR.INF. Jalankan file tersebut dengan cara:
a. Klik kanan REPAIR.INF
b. Klik INSTALL
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,userinit,0, "userinit.exe"
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,47543326
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,PromoReg
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,EnableProfileQuota
HKLM, SOFTWARE\AGProtect
HKLM, SOFTWARE\47543326
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network, UID
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, Rlist
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}
8) Hapus file temporary dan temporary internet file dengan menggunakan tools ATF-Cleaner
9) Restart komputer kemudian booting ke mode “safe mode”
10) Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date. Anda juga dapat membersihkan dengan menggunakan tools Norman Malware Cleaner http://www.norman.com/support/support_tools/58732/en-us atau Malwarebytes Anti Malware www.malwarebytes.org (lihat gambar 21 dan 22)
Gambar 21, Hasil deteksi Malwarebytes Anti Malware
waspadalah...waspadalah...
sumber : vaksin.com
