Bredolab Security Essential 2010 | Jenis virus = W32/Bredolab.GY

Don't Judge the book from the cover

 

Tampilan sering mengelabui kita, apalagi kita hidup di dunia yang dapat dikatakan lebih mengutamakan kulit daripada isi. Jika kita dihadapkan pada orang yang rapih, memakai kemeja yang disetrika rapih lengkap dengan dasi yang bermerek berjalan beriringan dengan seorang yang memakai kaus oblong dan sepatu sandal. Dapat dipastikan kita akan lebih menghargai orang yang memakai kemeja rapih dan berdasi. Padahal tidak ada jaminan kalau orang yang penampilannya necis, keren dan mobilnya mahal itu lebih tajir daripada orang yang penampilannya biasa-biasa saja. Malahan sebenarnya yang terjadi terkadang kebalikannya. Karena ingin tampil keren dan mentereng dengan barang-barang bermerek, sebagian besar gaji tersedot untuk membeli barang-barang tersebut dan tidak bisa digunakan untuk tujuan yang produktif seperti menabung atau keperluan lain yang lebih penting. Akibatnya malah hutang menumpuk, plafond kartu kredit mentok dan hanya bayar cicilan minimal tiap bulan. Kalau hal itu terjadi di dunia nyata, rupanya di dunia maya (tanpa “luna”) hal itu juga terjadi. Saat ini banyak sekali menyebar program antivirus palsu yang aktivitasnya jelas bukan melindungi komputer, tetapi mencuri data dan menakut-nakuti korbannya. Tetapi hebatnya, tampilan antivirus palsu ini sangat bagus dan nama-nama yang digunakan juga sangat keren. Karena itu para pengguna komputer harus berhati-hati, “Don’t judge the book from the cover”.

 

Jika anda menerima email dengan lampiran ”aneh” dari siapapun, baik orang yang anda kenal maupun dari orang yang tidak di kenal, anda harus selalu waspada. Definisi ”aneh”  disini bukan lampiran dengan logo tabung gas hijau, itu sih semua langsung tiarap :p.

Aneh yang dimaksudkan adalah lampirannya disertakan tidak lazim seperti “hanya” menyertakan link untuk download suatu file, mengandung lampiran executable terlebih jika menggunakan icon yang di manipulasi / tidak sesuai dengan asosiasi file nya (contohnya: menggunakan icon word tetapi mengandung ekstensi .EXE) karena bisa jadi ini merupakan ulah virus dalam upaya menyebarkan dirinya karena saat ini sudah banyak virus lokal maupun mancanegara yang menggunakan teknik rekayasa sosial seperti ini.

 

Virus yang menyebar saat ini biasanya akan menggunakan beberapa media yang biasa di akses atau di gemari oleh pengguna komputer sehingga hal ini sangat ”membantu” penyebarannya seperti situs jejaring sosial (facebook, twitter, myspace) atau media chating seperti Yahoo Messager.

 

Trend antivirus gadungan

Makin maraknya penyebaran virus baik local maupun mancanegara saat ini “memaksa” user harus menginstal piranti pengamanan berupa antivirus, sayangnya hal ini tidak ditunjang dengan pengetahuan dari user itu sendiri tentang bagaimana menerapkan cara berkomputer yang baik dan kurang mengikuti perkembangan virus, hal inilah yang menjadi salah satu celah yang akan dimanfatkan oleh virus.

 

Kurangnya dari sisi pengetahuan user menjadikan mereka ”mudah” dijebak oleh virus, anda tentu masih ingat dengan jelas dengan kasus virus yang menyamarkan dirinya sebagai ”antivirus palsu” pada beberapa waktu lalu dan sampai saat ini pun peredarannya sudah sangat luas dan sudah menghasilkan banyak varian, beberapa contoh yang sempat booming diantaranya ”Antivirus XP 2008, antivirus XP 2009, Antivirus Xp 2010 atau Internet Security 2010. JIka dibandingkan dengan antivirus alsi, antivirus palsu tersebut mempunyai tampilan yang sangat menarik, antivirus palsu ini juga dilengkapi dengan  fitur-fitur yang sama persis dengan antivirus asli seperti fasilitas scan hard disk, update definisi, firewall, email protection dan setting optimalisasi antivirus tersebut sehingga user tidak dapat membedakan antara antivirus palsu tersebut dengan antivirus asli. Antivirus palsu ini lebih “agresif” dibandingkan dengan antivirus asli dengan menampilkan beberapa peringatan  hasil deteksi virus “yang tentunya juga palsu”  dengan tingkat resiko yang membuat user menjadi lebih “paranoid”.

 

Saat ini golongan mereka (virus) masih tetap setia mengincar user-user terutama yang awam untuk dijadikan korban, ini terbukti dengan kemunculan varian lain dengan nama W32/Bredolab.GY , virus ini mempunyai tugas untuk membuka port dan melakukan koneksi ke website yang telah ditentukan kemudian mendownload Trojan/ virus lain, virus ini juga akan mendownload dan menginstall sebuah program antivirus palsu dengan nama “Security essentials 2010 ” secara otomatis, jika anda melihat tampilannya anda juga tidak akan percaya bahwa antivirus tersebut sebenarnya adalah virus yang memalsukan dirinya sebagai antivirus. Jika dilihat dari namanya, antivirus palsu ini mempunyai nama yang “hampir” sama dengan program antivirus yang dikeluarkan oleh Microsoft yakni “Microsoft Security Essentials”, perbedaannya terdapat dari segi tampilan selain itu untuk mendapatkan versi full dari program “Security essentials 2010 ” ini anda akan di tawarkan untuk melakukan pembelian terlebih dahulu sedangkan “Microsoft  Security Essentials” adalah program free yang dikeluarkan langsung oleh Microsoft, apakah hal ini dilakukan untuk menjebak user ataukan ada hal lain ????. Antivirus palsu tersebut di kenali oleh Norman Security Suite sebagai W32/FakeAV (lihat gambar 1 dan 2)

 

Gambar 1, Tampilan antivirus “palsu” Security essentials 2010

 

Gambar 2, Tampilan “Microsoft Security Essentials”

 

Antivirus palsu yang di install oleh W32/Bredolab.GY ini memang cukup menarik perhatian apalagi ia akan menampilkan beberapa nama virus “berbahaya” yang berhasil di kenali serta peringatan-peringatan lain yang mengiformasikan adanya upaya dari pihak luar yang mencoba untuk menyusup kedalam komputer yang berhasil di tangkal oleh Firewall “palsu” dari antivirus tersebut. Antivirus palsu ini juga mempunyai fasilitas untuk update definisi layaknya antivirus. (lihat gambar 3)

 

Gambar 3, Hasil deteksi “palsu” dari ”Security essentials 2010 ”

 

Ternyata dibalik penampilan yang “menawan” tersebut tersisip sebuah ancaman yang cukup berbahaya, apa saja ancamannya …silahkan baca artikel ini lebih lanjut.

 

Untuk mengelabui user, W32/Bredolab.GY  akan mengunakan rekayasa sosial dengan memanfaatkan icon MS.Word dengan ekstensi EXE. Virus ini akan di kompresi dengan menggunakan UPX dan mempunyai ukuran sekitar 50 KB (sebelum di kompres mempunyai ukuran 76 KB), lihat gambar 4.

 

Gambar 4, Contoh File virus W32/Bredolab.GY

 

Dengan update definisi terakhir, Norman Security Suite berhasil mendeteksi virus ini sebagai W32/Bredolab.GY  (lihat gambar 5)

 

Gambar 5, Hasil deteksi Norman Security Suite

 

Pada saat file yang telah terinfeksi W32/Bredolab.GY  ini di aktifkan, ia akan mendownload beberapa trojan/virus lainnya yang akan di simpan dibeberapa lokasi kemudian mengeksekusi dan menginstall kan dirinya kedalam komputer target (oleh karena itu virus ini akan aktif sempurna jika komputer target mempunyai koneksi internet). Untuk mengelabui user, ia akan menginstall sebuah program antivirus palsu dengan nama ”Security essentials 2010 ”, kemudian ia akan membuat beberapa file berikut:

 

·         C:\Documents and Settings\%user%\orflrkuat.exe

·         C:\Program Files\Securityessentials2010\SE2010.exe

·         C:\WINDOWS\system32

o   smss32.exe

o   orflrkuat.exe

o   winlogon32.exe

o   Warning.html

o   Post.txt

o   %x%.exe (%x%, menunjukan angka)

o   Pgsb.lto

o   Adbd.sys

o   Helpers32.dll

o   ES15.exe

 

·         C:\Documents and Settings\%user%\Local Settings\Temp

o   *.tmp

o   *.bat

 

·         C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files

 

·         C:\windows\system32\drivers\ndis.sys (merubah isi file)

 

·         C:\WINDOWS\system32\ipsecndis.sys

 

·         C:\WINDOWS\system32\Drivers\ntndis.sys

 

·         C:\Documents and Settings\%user%\Application Data\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010 .lnk (lihat gambar 6)

Gambar 6, Program Security essentials 2010  pada tray menu

 

Registry Windows

W32/FakeAV  akan membuat perubahan pada sejumlah registry berikut dengan tujuan agar salah satu dari file induk tersebut dapat di aktifkan secara otomatis pada saat komputer dihidupkan

 

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • orflrkuat = C:\Documents and Settings\%user%\orflrkuat.exe
  • Security essentials 2010  = C:\Program Files\Securityessentials2010\SE2010.exe
  • smss32.exe = C:\WINDOWS\system32\smss32.exe

 

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • orflrkuat = C:\WINDOWS\System32\orflrkuat.exe
  • smss32.exe = C:\WINDOWS\system32\smss32.exe

 

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

• Shell = Explorer.exe rundll32.exe pgsb.lto csxyfxr
• Userinit = C:\WINDOWS\system32\winlogon32.exe

 

• HKEY_CURRENT_USER\Software\SE2010

 

W32/FakeAV juga akan melakukan sejumlah perubahan pada registry berikut

 

• HKEY_USERS\S-1-5-21-1644491937-113007714-1580818891-1003\software\microsoft\internet explorer\main
  • Disable Script Debugger = ye
  • Error Dlg Displayed On Every Error = ye
  • DisableScriptDebuggerIE = ye

 

• HKEY_USERS\S-1-5-21-1644491937-113007714-1580818891-1003\software\microsoft\windows\currentversion\explorer
  • ShellState = 24 00 00 00 73 88 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 0D 00 00 00 00 00 00 00 00 00 00 00
  • EnableAutoTray  = 0

 

• HKEY_LOCAL_MACHINE\system\ControlSet001\services\winsock2\parameters\protocol_catalog9\catalog_entries\000000000012

 

• HKEY_LOCAL_MACHINE\system\ControlSet001\services\winsock2\parameters\protocol_catalog9\catalog_entries\000000000013

 

• HKEY_LOCAL_MACHINE\system\ CurrentControlSet\services\winsock2\parameters\protocol_catalog9\catalog_entries\000000000012

 

• HKEY_LOCAL_MACHINE\system\ CurrentControlSet\services\winsock2\parameters\protocol_catalog9\catalog_entries\000000000013

 

 

• HKEY_LOCAL_MACHINE \system\ControlSet001\services\adbd

 

• HKEY_LOCAL_MACHINE \system\ControlSet002\services\adbd

 

• HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\adbd

 

Lumpuhkan Fungsi Windows

Agar tidak mudah di bersihkan oleh user, W32/FakeAV akan melumpuhkan beberapa  fungsi Windows seperti Task Manager, Registry Editor atau CMD, selain itu ia akan blok sederetan proses yang mempunyai nama tertentu dengan menampilkan peringatan “palsu” seolah-olah file tersebut telah terinfeksi virus seperti terlihat pada gambar 7 di bawah ini

 

Gambar 7, Peringatan “palsu” dari W32/FakeAV saat menjalankan fungsi Windows atau tools security

 

Berikut beberapa daftar nama file yang akan dilumpuhkan oleh W32/FakeAV

• calc.exe
• notepad.exe
• control.exe
• WINWORD.exe
• winmine.exe
• vmware.exe
• uTorrent.exe
• msconfig.exe
• thebat.exe
• taskmgr.exe
• spider.exe
• sol.exe
• sndvol32.exe
• Skype.exe
• wupdmgr.exe
• GoogleEarth.exe
• chrome.exe
• MsnMsgr.Exe
• word.exe
• POWERPOI.exe
• RealPlayer.exe
• skypePM.exe
• shvlzm.exe
• RWipeRun.exe
• RwcRun.exe
• regedit.exe
• RegCloneCD.exe
• RecordingManager.exe
• POWERPNT.exe
• PokerStars.exe
• pinball.exe
• Photoshop.exe
• OUTLOOK.exe
• nfs.exe
• NeroExpressPortable.exe
• Nero.exe
• MSWorks.exe
• mspaint.exe
• msmsgs.exe
• msimn.exe
• mshearts.exe
• mplayer2.exe
• mplay32.exe
• moviemk.exe
• miranda32.exe
• Illustrator.exe
• Icq.exe
• hrtzzm.exe
• FullTiltPoker.exe
• freecell.exe
• digitaleditions.exe
• cmd.exe
• CloneCD.exe
• rstrui.exe
• AcroRd32.exe
• wmplayer.exe
• mplayerc.exe
• PowerDVD.exe
• setup_wm.exe
• winamp.exe
• windvd.exe
• realplay.exe
• WindowsAnytimeUpgradeUI.exe
• sidebar.exe
• tvp.exe
• AdvancedDVDPlayer.exe
• QuickTimePlayer.exe
• winupdate.exe

 

Untuk melumpuhkan beberapa  fungsi Windows di atas ia akan membuat string pada registry berikut:

 

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
  • NoChangingWallpaper

 

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  • NoActiveDesktopChanges
  • NoSetActiveDesktop

 

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • DisableTaskMgr

 

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop
  • NoChangingWallpaper

 

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
  • NoActiveDesktopChanges
  • NoSetActiveDesktop

 

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
  • EnableLUA = 0

 

Selain itu W32/FakeAV  juga akan mendaftarkan sejumlah website dirinya ke zona aman (trusted sites) Internet Explorer agar tidak diblok oleh dengan membuat string pada registry berikut:

 

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com    
  • http : 0x00000002 (2)

 

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com
  • http : 0x00000002 (2)

 

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com
  • http : 0x00000002 (2)

 

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com
  • http : 0x00000002 (2)

 

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com (lihat gambar 8)
  • http : 0x00000002 (2)

 

Gambar 8, Kumpulan alamat website yang di amankan oleh W32/Bredolab.GY

 

Peringatan palsu

Untuk menarik perhatian korban, W32/FakeAV  “si antivirus palsu” akan menampilkan beberapa peringatan “palsu” berupa hasil deteksi virus dilengkapi dengan tingkat resiko dari virus tersebut lengkap dengan tombol pembersih (Remove Threats], jika user memilih tombol tersebut maka W32/FakeAV  akan menampilkan sebuah layar konfirmasi yang mengharuskan anda untuk melakukan aktivasi/register program tersebut terlebih dahulu. Jika user tidak memiliki kode aktivasi, W32/FakeAV  akan menyediakan tombol bantu lain untuk mendapatkan kode aktivasi yakni “Get License”, jika user klik tombol tersebut maka W32/FakeAV  akan menggiring korban untuk mengisi sederetan kolom-kolom yang akan ditampilkan oleh website yang sudah dipersiapkan  yang merupakan website “jebakan” dengan dalih untuk mendapatkan produk “full version”, sebaiknya jangan anda isi karena bukan antivirus “palsu” tersebut yang anda dapatkan melainkan sejumlah uang akan melayang dengan percuma tanpa bisa membersihkan virus tersebut. (lihat gambar 9 - 12)

 

Gambar 9

 

Gambar 10

 

Gambar 11

 

Gambar 12

 

Kumpulan virus dan peringatan palsu yang berhasil di deteksi oleh W32/FakeAV (lihat gambar 13 da 14)

 

Gambar 13, Layar konfirmasi aktivasi “Security essentials 2010 ”

 

Gambar 14, Website “palsu” Security essentials 2010

 

Selain itu, ia juga akan menampilkan peringatan palsu pada saat komputer dinyalakan atau di restart seperti terlihat pada gambar 15 dibawah ini

 

Gambar 15, Peringatan palsu “Security Essentials 2010”, saat computer login Windows

 

Update layaknya antivirus

Untuk meyakinkan korban, W32/FakeAV akan menyediakan fasilitas update database layaknya sebuah antivirus. Lagi-lagi virus antivirus palsu ini akan meminta anda untuk melakukan register atau melakkan pembelian jika mengaktifkan tombol  yang tersedia [update now]. (lihat gambar 16)

 

Gambar 16, Konfirmasi update database Security essentials 2010

 

Hidden Proses

Jika dilihat dengan menggunakan tools Wireshark  atau dengan menggunakan  perintah NETSTAT pada command prompt (cmd) terlihat jelas bahwa W32/FakeAV  akan melakukan serangkaian aktifitas tersembunyi dengan melakukan koneksi ke sejumlah alamat IP yang telah ditentukan dengan tujuan untuk mendownload virus/trojan lain atau mendownload file tertentu untuk meng-update dirinya agar tidak mudah dikenali oleh antivirus lain.

 

Selain itu W32/FakeAV  juga melakukan serangkaian aktifitas pengiriman email ke sejumlah alamat email yang sudah di dapat dari komputer target, aktivitas ini dilakukan dalam upaya untuk menyebarkan dirinya. (lihat gambar 17 - 19)

 

Gambar 17

Gambar 18

Gambar 19, Aktivitas pengiriman email

 

Jebakan W32/FakeAV

Setelah virus W32/FakeAV  berhasil di bersihkan, jangan lupa untuk mengembalikan string yang berada di registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon  ke nilai default dengan mengganti string Userinit   menjadi userinit32.exe atau %windir%\System32\userinit.exe,

 

Jika hal ini tidak dilakukan, maka pada saat computer booting/restart maka akan terjadi  kegagalan pada saat anda login Windows

 

Catatan: Nilai %Windir% ini berbeda-beda

• Windows 2000 (C:\Winnt\system32)
• Windows XP/2003/Vista/Windows 7 (C:\Windows\System32)

 

Blue Screen Windows

Untuk beberapa kasus, virus ini akan menyebabkan computer mengalami blue screen setelah login Windows dengan terlebih dahulu menampilkan pesan error berikut (lihat gambar 20)

 

Gambar 20

 

Langkah pembersihan W32/Bredolab.GY dan W32/FakeAV

 

1. Putuskan komputer yang akan di bersihkan dari intranet dan internet
2. Disable ”system restore” selama proses pembersihan
3. Sebaiknya lakukan pembersihan pada mode “safe mode”
4. Matikan proses virus yang aktif dimemori gunakan tools Security Task Manager.

 

Pada layer “Security Task Manager”, klik kanan pada proses dengan nama smss32.exe, winlogon32.exe, orflrkuat.exe, Security Essentials 10, klik “Remove”, kemudian pilih opsi “Move file to quarantine”, klik tombol “OK” (lihat gambar 21)

 

Gambar 21, Matikan proses virus dengan menggunakan Security Task Manager

 

5. Scan dengan menggunakan antivirus yang up-to-date, anda dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut di alamat http://www.norman.com/support/support_tools/58732/en atau menggunakan tools Malwarebytes Antimalware (www.malwarebytes.org), lihat gambar 22 dan 23

 

Gambar 22, Hasil deteksi Norman Malware Cleaner

 

Gambar 23, Hasil deteksi “Malware Bytes Antimalware”

 

6. Fix Winsock Windows yang sudah di ubah oleh virus. Anda dapat menggunakan tools lsfix, silahkan download di website http://download.cnet.com/LSPFix/3000-2085_4-10417026.html (lihat gambar 24)

 

• Pada program “Winsock 2 repair Utility”, klik opsi “I known what I’m doing”
• Pada kolom “Keep”, pindahkan file “helpers32.dll” (jika ditemukan) ke kolom “Remove” dengan klik tanda ”>>”
• Klik tombol ”Finish”

 

Gambar 24, Fix Winsock Windows      

 

7. Hapus file temporary dan temporary internet file, anda dapat menggunakan tools ATF-Cleaner (lihat gambar 25)

                                                                          

Gambar 25, ATF-Cleaner

 

8. Restart komputer dan lakukan scan ulang dengan menggunakan antivirus yang sudah terupdate atau dengan menggunakan removal tools di atas.
   
   
   
   
   
   
   
   
   
   
   
   
   source : vasksin