Thursday 24 April 2014

Virus Gen.Autoit NjW0rm Pencuri Password

Posted by ayuwidayanti at 01:50 0 comments
Pernahkan anda menyimpan password di browser google chrome? Jawabannya sudah pasti pernah hehe :D , berhati-hatilah sekarang sudah banyak ditemukan virus-virus yang mampu mencuri data yg tersimpan dibrowser, salah satunya adalah virus NjW0rm mampu mencuri password yang tersimpan di browser Google Chrome dan FTP Client seperti FileZilla.

Karakteristik Virus
Ukuran : 683 Kb
Icon : Bola biru
Dibuat Menggunakan : Autoit
File Induk Virus
Saat aktif virus akan menanamkan file induknya disistem, lokasi file induk tersebut berada di  :
  • C:\Users\<NamaUser>\AppData\Local\Temp\njw0rm.exe
  • C:\Users\<NamaUser>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\njw0rm.exe
File induk tersebut akan dijadikan proses utama oleh virus, agar file induk bisa berjalan secara otomatis, virus juga membuat beberapa autorun di registry
Bypass Windows Firewall
Virus  mencoba menambahkan daftar baru di windows firewall dengan hak akses Public, hal ini virus lakukan agar virus dapat dengan bebas mengirim data tanpa dihalangi oleh firewall windows. virus juga mengupdate dirinya melalui url mody2014.no-ip.biz
Mencuri Password

Saat aktif virus mencoba mendeteksi keberadaan software browser Google Chrome dan Filezilla, apabila terinstall dikmuter korban, maka virus akan menjalankan aksinya untuk mencuri password yg tersimpan dikedua software tersebut dan mengirimkan hasilnya kepada sipembuat virus.
Dengan adanya pencurian password seperti itu, tidak disarankan menyimpan password di browser yg anda gunakan, apapun browser yg anda gunakan tetap tidak aman, karena bisa saja pembuat virus mentargetkan browser-browser lainnya. Sebagai pengganti anda bisa menggunakan plugin Extention /Addon seperti LastPass yg keamanannya lebih baik

Infeksi  Flash Disk
Sama seperti kebanyakan virus, virus ini juga mentargetkan Flashdisk sebagai media utama penyebarannya, Virus akan menghidden seluruh folder yang terdapat diflashdisk dan menggantikanya dengan shortcut yang mengarah langsung ke file induk virus.  :
  • njw0rm.exe
  • <Folder>.lnk
Virus juga mencoba menghapus beberapa ektensi file tertentu, mungkin ini dimaksudkan untuk mencegah penyebaran virus lain. uniknya virus tidak menghapus file-file yang sudah dibuatnya, extensi file yang dihapus oleh virus antara lain :
  • *.vbs
  • *.lnk
  • *.scr

Cara Pembersihan


Untuk membersihkan virus ini gunakan Smadav Revisi terbaru, anda bisa mendownloadnya di www.smadav.net. Pada Smadav Revisi terbaru virus ini sudah dapat terdeteksi dengan baik. harap ikuti cara-cara dibawah ini untuk pembersihan total virus dari sistem., apabila anda memiliki USB Flashdisk jangan lupa untuk menscan isi Flash Disk tersebut untuk mencegah virus kembali menginfeksi sistem.
  • Download / Update Smadav Revisi terbaru
  • Kemudian jalankan
  • Klik tombol Scanner > Pada pilihan Auto Checking > Pilih Full Scan
  • Beri centang pada Deep (Over 1500 Registry Values)
  • Kemudian klik tombol Scan >>
  • Apabila smadav belum mendeteksi varian virus ini, gunakan fitur One Virus By User, Klik tombol Tools > Tab One Virus By User, kemudian pilih file virusnya, Kemudian scan kembali keselruhan drive.
  • Tunggu hingga proses scanning selesai, dan terakhir tinggal klik Tombol Bersihkan
  • Jangan Lupa scan juga Flash Disk / HD External lainnya yang anda punya

Leave a Reply

 

Copyright © TKJ2 PROFIL. Menma Uzumaki Template Design By Dimas Andi.