Virus Gen.Autoit NjW0rm Pencuri Password

Pernahkan anda menyimpan password di browser google chrome? Jawabannya sudah pasti pernah hehe , berhati-hatilah sekarang sudah banyak ditemukan virus-virus yang mampu mencuri data yg tersimpan dibrowser, salah satunya adalah virus NjW0rm mampu mencuri password yang tersimpan di browser Google Chrome dan FTP Client seperti FileZilla.

Karakteristik Virus

Ukuran : 683 Kb

Icon : Bola biru

Dibuat Menggunakan : Autoit

File Induk Virus

Saat aktif virus akan menanamkan file induknya disistem, lokasi file induk tersebut berada di  :

• C:\Users\<NamaUser>\AppData\Local\Temp\njw0rm.exe
• C:\Users\<NamaUser>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\njw0rm.exe

File induk tersebut akan dijadikan proses utama oleh virus, agar file induk bisa berjalan secara otomatis, virus juga membuat beberapa autorun di registry

Bypass Windows Firewall

Virus  mencoba menambahkan daftar baru di windows firewall dengan hak akses Public, hal ini virus lakukan agar virus dapat dengan bebas mengirim data tanpa dihalangi oleh firewall windows. virus juga mengupdate dirinya melalui url mody2014.no-ip.biz

Mencuri Password

Saat aktif virus mencoba mendeteksi keberadaan software browser Google Chrome dan Filezilla, apabila terinstall dikmuter korban, maka virus akan menjalankan aksinya untuk mencuri password yg tersimpan dikedua software tersebut dan mengirimkan hasilnya kepada sipembuat virus.

Dengan adanya pencurian password seperti itu, tidak disarankan menyimpan password di browser yg anda gunakan, apapun browser yg anda gunakan tetap tidak aman, karena bisa saja pembuat virus mentargetkan browser-browser lainnya. Sebagai pengganti anda bisa menggunakan plugin Extention /Addon seperti LastPass yg keamanannya lebih baik

Infeksi  Flash Disk

Sama seperti kebanyakan virus, virus ini juga mentargetkan Flashdisk sebagai media utama penyebarannya, Virus akan menghidden seluruh folder yang terdapat diflashdisk dan menggantikanya dengan shortcut yang mengarah langsung ke file induk virus.  :

• njw0rm.exe
• <Folder>.lnk

Virus juga mencoba menghapus beberapa ektensi file tertentu, mungkin ini dimaksudkan untuk mencegah penyebaran virus lain. uniknya virus tidak menghapus file-file yang sudah dibuatnya, extensi file yang dihapus oleh virus antara lain :

• *.vbs
• *.lnk
• *.scr

Cara Pembersihan

Untuk membersihkan virus ini gunakan Smadav Revisi terbaru, anda bisa mendownloadnya di www.smadav.net. Pada Smadav Revisi terbaru virus ini sudah dapat terdeteksi dengan baik. harap ikuti cara-cara dibawah ini untuk pembersihan total virus dari sistem., apabila anda memiliki USB Flashdisk jangan lupa untuk menscan isi Flash Disk tersebut untuk mencegah virus kembali menginfeksi sistem.

• Download / Update Smadav Revisi terbaru
• Kemudian jalankan
• Klik tombol Scanner > Pada pilihan Auto Checking > Pilih Full Scan
• Beri centang pada Deep (Over 1500 Registry Values)
• Kemudian klik tombol Scan >>

• Apabila smadav belum mendeteksi varian virus ini, gunakan fitur One Virus By User, Klik tombol Tools > Tab One Virus By User, kemudian pilih file virusnya, Kemudian scan kembali keselruhan drive.

• Tunggu hingga proses scanning selesai, dan terakhir tinggal klik Tombol Bersihkan

• Jangan Lupa scan juga Flash Disk / HD External lainnya yang anda punya

Baca Selengkapnya →

GEN.InjectorNero, Trojan yang Ngakunya Sensei

Sensei (先生?) adalah sufiks yang digunakan oleh orang-orang Jepang sebagai panggilan untuk orang yang dihormati karena posisinya. Biasanya yang mendapatkan gelar ini adalah seorang guru.
Sen pada kata Sensei berasal dari kata sakidatsu (先立って?, lebih dulu di depan), sedangkan sei berarti murid. Gelar sensei biasanya diberikan kepada orang yang menekuni pekerjaan yang memerlukan pengetahuan khusus seperti anggota parlemen, dokter, pengacara, seniman, musisi, mangaka, kritikus, guru ilmu bela diri, guru agama, guru sekolah, guru les, guru bimbingan tes dan sebagainya).
Entah apa sebenarnya tujuan dari penggunaan Sensei dan Master pada informasi yang ada didetail file program trojan ini.
Mari kita simak saja detail profil dan aksinya.
Kararteristik Virus (Trojan)
FileDescription: Master
CompanyName: Sensei
FileVersion: 5.7.2.2
Ukuran: 186 KB (190,976 bytes)
Dibuat Menggunakan: Borland Delphi 4.0
Aksi Virus
1. Efek pada Sistem Komputer
Saat virus (trojan) ini aktif, akan menyalin dirinya pada sistem dengan alamat direktori / folder:

• %AppData%\<Nama_Acak.exe>

Juga membuat parameter / perintah ‘Run’ agar virus dijalankan otomatis saat komputer dihidupkan pada Registry dengan nilai parameter:

• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
• <Nama_Acak>= “%AppData%\<Nama_Acak.exe>”

2. Efek pada Flashdisk
Tak hanya menyalinkan diri pada sistem, virus ini juga menyalinkan diri pada flashdisk dan bersembunyi pada folder “RECYCLER”, juga membuat file shortcut (*.lnk) setiap dia menemui folder yang ada pada direktori utama (root) dan menghidden / menyembunyikan direktori utama tersebut. Pada file shortcut tersebut dibuatnya parameter untuk menjalankan virus, juga menjalankan ‘explorer.exe’ agar jendela direktori atau folder asli terbuka yang membuat user kadang tidak sadar bahwa sebenarnya virus juga ikutan berjalan pada sistem komputer.



Alamat Situs yang Dicurigai
Sebagai trojan, tentunya memiliki markas rahasia pada website atau IP tertentu, tempat dimana data yang ia perlukan dikumpulkan. Berikut alamat-alamat yang dicurigai adalah markasnya:

a. dcool.su
b. x3x4.su
c. x6au.su
d. n0ur.org
e. xcool.su
f. m4r4.org
g. rgsw.us
h. x1x2.su
i. api.wipmania.com (markas utama, IP: 116.251.214.147, port: 80)

Penulis kurang tau pasti tentang apa saja yang  ia kirimkan ke markasnya itu, karena memang tidak dapat penulis lihat akan adanya aktifitas ‘post’ maupun ‘get’ data pada alamat-alamat markas tujuannya itu.
Cara Pembersihan
Silakan update Smadav dengan mendownload Smadav di www.smadav.net . Jika sudah menggunakan Smadav terbaru, selamat, trojan akan bisa diatasi tanpa takut keburu serangannya (virus / trojan ini) menjadi akut / parah.
1. Pembersihan pada Sistem Komputer
Lakukan pemindaian virus / scan pada direktori sistem komputer, biasanya pada drive “C:\”.
Pada gambar di bawah, terlihat laporan hasil pemindaian Smadav akan adanya virus / trojan ini bersarang pada sistem komputer, atau ceklist saja ‘Full Scan’ pada opsi / pilihan ‘Auto-Checking’ pada Tab ‘Scanner’ Smadav.
Sebelum Dibersihkan


Setelah dibersihkan menggunakan Smadav, maka file virus dikarantina, dan kerusakan pada Registry diperbaiki oleh Smadav.
Sesudah Dibersihkan Semua / Fix All


2. Pembersihan pada Flashdisk

Sebelum


Untuk pembersihkan (menghilangkan virus dari flashdisk, menormalkan kembali folder yang dihidden / disembunyikan) virus, cukup klik tombol ‘Fix All‘ (perbaiki semua).

Sesudah



Link terkait:

• http://www.herdprotect.com/qebubk.exe-ec2780dc6cf517579ea66ae56117d12bf466d83a.aspx

• https://www.virustotal.com/en/file/115e44e0af69b60235806a9ae455753b1a7250bed8b0385c1965777ceaa3907e/analysis/

Baca Selengkapnya →

worm video bangka worm yang bandel

Dari sekian banyak ulah virus, seperti menyebar ke USB flashdisk dengan jumlah yang banyak melalui penggandaan sebanyak folder yang ada, merusak dokumen, dan lain sebagainya, namun beda dengan worm satu ini. Walaupun worm ini hanya membuat dua buah file indukan, tetapi kekuatan bertahannya memang kuat, bandel untuk dibersihkan dengan mudah.

Karakteristik Worm

Icon: Windows Media Player
Dibuat menggunakan: MS Visual Basic 5.0-6.0   EXE
Nama asli file: KJfiles
Ukuran: 444 KB (454,656 bytes)
Tak ada yang baru dan unik dari tampilan karakter virus ini, tapi siapa yang tau dengan aksinya?

Aksi Virus
Walau kita punya banyak drive aktif, maupun banyak flashdisk yang tertancap ke port USB, hal itu bukan menjadi santapan worm ini.
Adapun yang menjadi aksi serangan worm ini adalah pada Registry:

• Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“HKCU”=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,\
00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,00,\
69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,65,\
00,72,00,2e,00,65,00,78,00,65,00,00,00

• Windows Registry Editor Version 5.00

 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
“Policies”=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,\
72,00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,\
00,69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,\
65,00,72,00,2e,00,65,00,78,00,65,00,00,00

•  Windows Registry Editor Version 5.00

•  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• “HKLM”=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,\
• 00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,00,\
• 69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,65,\
• 00,72,00,2e,00,65,00,78,00,65,00,00,00

• Windows Registry Editor Version 5.00

 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
“Policies”=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,\
72,00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,\
00,69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,\
65,00,72,00,2e,00,65,00,78,00,65,00,00,00

Sedangkan untuk peletakan lokasi induk file pada harddisk yaitu pada:

1. C:\directory\CyberGate\install\server.exe
2. C:\Document and Settings\User\Application Data\install\server.exe

Saat virus sudah berhasil meletakkan indukannya pada lokasi yang aman (yang bahkan pada lokasi tersebut ternyata kita tidak bisa menghapus folder yang dibuat oleh virus/worm), virus akan memanggil “iexplore.exe” untuk dijalankan dan berjalan dibalik layar, entah ini semacam sistem remot kuda Trojan, tak dapat diselidiki dengan mudah. Namun entah kenapa harus ada pemanggilan Dr. Watson (yang mengakibatkan muncunya kotak pesan adanya kerusakan dari IE) dengan parameter:

• C:\WINDOWS\system32\drwtsn32 -p 320 -e 364 –g

Parameter pemanggil Dr. Watson bisa berubah-ubah.

Cobalah untuk mengkill IE! Jika IE atau Internet Explorer ini tidak dapat dikill berarti indukan virus (worm) ini memang masih aktif, belum benar-benar terhapus.


Mencoba Bersihkan dengan Smadav


Walaupun dari laporan hasil Scanning Smadav menyatalkan “Sudah dikarantina”, namun ternyata setelah dilihat pada proses, jika IE masih aktif, dan dicoba dikill, lalu IE aktif kembali, berarti worm ini memang bandel untuk dibersihkan.
Semoga kedepan hal ini sudah bisa diatasi!
Tapi untuk database, Smadav sudah mengenali worm ini, sehingga bagi komputer yang belum terkena worm ini dapat tetap aman dalam pengawasan Smadav.
Download Smadav di www.smadav.net

Baca Selengkapnya →