Pages

Rabu, 29 Januari 2014

Ada Virus Mematikan Penghancur Antivirus

Trojan.Autoit.ANA

JPG hilang dan perang terhadap antivirus lokal

Salah satu aksi malware yang mengkhawatirkan adalah aksinya melumpuhkan program antivirus. Resikonya bukan pada aksi langsung malware tersebut terhadap sistem yang terinfeksi tetapi karena lumpuhnya antivirus menyebabkan sistem komputer rentan terhadap jutaan malware lain yang kita ketahui mengintai korbannya di internet. Aksi inilah yang dilakukan oleh Tojan.Autoit.ANA yang melumpuhkan antivirus dengan cara menghapus service antivirus dan menyebabkan si antivirus menjadi lumpuh. Salah satu tujuannya tentu supaya dirinya bebas menjalankan aksinya dan tidak diganggu oleh antivirus, namun resiko lain yang lebih menakutkan adalah komputer menjadi tidak terlindung sama sekali dari ancaman malware. Ana dapat menyebar melalui USB maupun melalui Drive mapping guna menyebarkan dirinya ke komputer lain.

Ciri ciri Ana:

  • Terdeteksi oleh G Data Antivirus sebagai Trojan.Autoit.ANA (lihat gambar 1)


Gambar 1: Tojan.Autoit.ANA yang tertangkap oleh G Data Bootmedium 2014

  • Ana akan memalsukan diri sebagai file gambar icon windows photo viewer, namun penyamaran yang dilakukan kurang sempurna karena file typenya masih tetap Application.
  • Pada Folder Options, jika kita mencoba membuang centang Hide extensions for known file types dan hide protected operating system files (recommended) untuk melihat file malware yang biasanya menyembunyikan diri dengan memberikan atribut hidden pada dirinya. Komputer yang terinfeksi Ana akan memblok hal tersebut dan centang tersebut tidak bisa dihilangkan dan muncul kembali setiap kali dihilangkan. Hal ini dilakukan Tojan.Autoit.ANA untuk mempertahankan eksistensinya pada computer agar tidak mudah di ketahui dan di hapus (lihat: gambar 2).


Gambar 2:centang pada Hide extensions for known file types dan hide protected operating system files (recommended) akan selalu kembali jika kita mencoba membuangnya

  • Ana akan menyembunyikan file gambar asli dengan attribute super hidden dan akan membuat file penggantinya yang bericon gambar palsu dengan nama file yang sama dengan file yang di sembunyikan (lihat: gambar 3)


Gambar 3: File JPG asli yang di super hidden dan di palsukan dengan file virus dengan nama yang sama

  • Pada USB flashdisk terdapat file dengan ikon gambar tetapi jika di lihat secara detail pada Type akan terlihat �Application�(lihat: gambar3) dan bukan file gambar pada �JPG image,JPEG image, PNG image, BMP image, atau tipe gambar lain tergantung jenis file gambarnya� (lihat: gambar 4 dan 5)


Gambar 4: File Virus, dengan icon file gambar yang di samarkan dengan type Application


Gambar 5: File asli, gambar PNG dengan icon file gambar dan dengan Type PNG image

  • Jika komputer memiliki Drive mapping dengan security full control. File gambar pada drive mapping tersebut juga akan ikut terinfeksi virus Tojan.Autoit.ANA yang membuat icon gambar menjadi ber type Application (lihat: gambar 6)


Gambar 6: File JPG pada drive mapping yang terkena virus Tojan.Autoit.ANA

Proses aktif pada komputer

Ketika kita melakukan double klik pada file yang sudah terinfeksi malware maka malware akan menanamkan diri pada directory windows yang di super hidden dengan nama:

Windows 7, windows 8, windows 2008 dan windows 2012:

C:\Users\[nama user]\AppData\Roaming\Java\<karakter ASCII> jview <karakter ASCII>.exe

C:\Users\[nama user]\AppData\Roaming\Java\<karakter ASCII> shimgvw <karakter ASCII>.exe (lihat gambar 7)


Gambar 7: Letak file master virus Tojan.Autoit.ANA pada windows 7

Windows 2013 dan windows XP:

C:\Users\Document and settings\[user]\Application Data\Java\<karakter ASCII> jview <karakter ASCII>.exe

C:\Users\Document and settings\[user]\Application Data \Java\<karakter ASCII> shimgvw <karakter ASCII>.exe

Dan akan langsung mencari file image/gambar (JPG image, JPEG image, PNG image, BMP image, dll) pada USB flash drive dan drive mapping untuk di sembunyikan kemudian di palsukan sehingga ketika user membuka file image/gambar yang sudah di palsukan makan secara otomatis akan menjalankan file malware dan mengaktifkannya pada komputer korban. Guna menutupi aksinya menginfeksi komputer, gambar asli yang dibuka juga akan ditampilkan.

Media Penyebaran

  • USB flashdisk, memory card, MMC, hdd external, dll
  • Drive mapping yang di setting full control

Melumpuhkan antivirus

Untuk mempertahankan dirinya dan agar virus ini susah di hapus maka jika pada komputer terdapat antivirus di bawah ini akan langsung di hapus servicesnya sehingga antivirus menjadi lumpuh. Salah satunya adalah antivirus lokal Ansav yang dilumpuhkan, mungkin tujuannya supaya insaf tidak mendeteksi malware ini :p. Adapun beberapa antivirus lokal dan mancanegara yang dilumpuhkan adalah sebagai berikut : (lihat gambar 8)

  • Ansav
  • Nod32 / ESET
  • Norman
  • Norman security suite
  • PCMAV RealTime Protector


Gambar 8: Walaupun norman dilumpuhkan tetapi norman tetap dapat mendeteksi virus Tojan.Autoit.ANA dan memasukan ke dalam karantina norman

Penanganan

Untuk membersihan Tojan.Autoit.ANA Silahkan download G Data Bootmedium 2014 pada link di bawah ini:

Jika G Data meminta update silahkan masukan user name dan password G Data di bawah ini: (lihat gambar 9)

User name: vizta26514

Password : ZLR489


Gambar 9: Proses G Data Bootmedium 2014 ketika update

Recover file yang di sembunyikan pada USB flashdisk dan drive mapping

Buka notepad.exe

  • Ketikan: attrib -s -a -r -h /s /d
  • Simpan pada drive flashdisk dengan, file name: unlock.bat. Ingat, pilih :

[Save as] type: All Files (*.*)

Jalankan file unlock.bat yang baru anda simpan.

Hapus registry yang di buat Tojan.Autoit.ANA

Download aplikasi Autoruns pada alamat berikut:




Explore dan jalankan file �autoruns.exe�. Biarkan hingga proses scanning selesai.

Klik pada tab �Image Hijacks�, hapus seluruh entry yang ada. (lihat gambar 10)


Gambar 10: Image Hijacks yang perlu dibersihkan

Fix Registry Windows yang sudah di ubah oleh virus. Untuk mempercepat proses penghapusan, silahkan salin script di bawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara:


Klik REPAIR.INF

Klik INSTALL


Berikut script yang harus di copy

<<<Start of Script>>>

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee 2014


[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM \ SYSTEM \ CurrentControlSet \ Control

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,SuperHidden,0x00010001,1

HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,1

HKLM, SOFTWARE \ Microsoft \ Security Center \ Svc, AntiVirusOverride,0x00000000,0

[del]

HKLM, SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder, HideFileExt

HKCU, Control Panel \ Desktop, AutoEndTasks

HKLM, SOFTWARE \ Microsoft \ Security Center, AntiVirusOverride

HKLM, SOFTWARE \ Classes \ exefile, NeverShowExt

HKLM, SOFTWARE \ Classes \ jpegfile, NeverShowExt

<<<End of Script>>>

** Khusus untuk windows XP dan windows server 2013

Agar komputer dapat booting safe mode dan safe mode command prompt kembali, salin script di bawah ini pada program �notepad� kemudian simpan dengan nama FIXSafeMode.reg. Jalankan file tersebut dengan cara klik ganda (klik 2x) file [FIXSafeMode.reg]

Berikut script yang harus di salin

<<<Start of Script>>>

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]

"AlternateShell"="cmd.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]

@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]

@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]

@="Driver"



<<<End of Script>>>

Repair services norman yang di hapus oleh virus:

  • Buka notepad
  • Kopi teks di bawah ini dan paste pak pada notepad
  • Pilih [Save As]
  • Pada [File name:] isikan nama file dengan extensi .reg, contoh: norman.reg
  • Pada [save as type] pilih All Files(*.*)
  • Klik kanan pada file yang sudah di save lalu pilih [merge]
  • Restart computer

salam,

Netsky Vista
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)