W32/Alman

W32/Alman (Almanahe) 12 Juli 2008

Komputer kacau karena file .exe di injeksi virus

Selain virus ARP Poisoning yang sedang marak menyebar di Indonesia. Diam-diam ada satu virus yang juga merepotkan para pengguna komputer di Indonesia dan banyak sekali memakan korbannya. Salah satu ciri khas dari virus ini adalah kehebatannya dalam mengubah semua file yang memiliki ekstensi .EXE sehingga jelas mengganggu korbannya karena aplikasi di komputer yang menjadi korban virus ini akan menjadi kacau.

Dalam menyebarkan dirinya, virus hasil racikan luar ini akan menyebar dengan melalui jaringan dengan mengincar direktori yang di share “full” dan menginfeksi file EXE yang ada di dalam folder tersebut.

Ada beberapa lokasi yang tidak akan di rubah seperti file yang berada di direktori :

\LOCAL SETTINGS\T
\QQ
\Windows
\Winnt

Untuk mempertahankan dirinya, ia akan aktif di memori sebagai services serta akan menginfeksi library (.dll file) dari file explorer.exe serta memantau koneksi internet yang kemudian akan mendownload malware lainnya serta menjalankannya. Virus ini dibuat dengan menggunakan program bahasa “Microsoft Visual C ++ 6.0”.

Dengan update terbaru Norman sudah dapat mendeteksi virus ini sebagai W32/Alman. (lihat gambar 1).

Gambar 1, Norman Virus Control mendeteksi varian-varian virus Alman / Almanahe yang sedang mengganas di Indonesia.

Drop File

Pada saat virus ini aktif, ia akan membuat beberapa file induk yang akan di jalankan pertama kali setiap kali komputer aktif, file ini akan di jadikan sebagai service Windows.

C:\Windows\linkinfo.dll
C:\Windows\System32\drivers\LsDrv118.sys
C:\Windows\system32\drivers\nvmini.sys
C:\Windows\System32\drivers\cdralw.sys
C:\Windows\System32\drivers\riodrvs.sys
C:\Windows\System32\drivers\DKIs6.sys

Registri

Agar dirinya dapat aktif secara otomatis, ia akan membuat dirinya seolah-olah merupakan service Windows dengan terlebih dahulu membuat string pada registri berikut:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%file%]
- "DisplayName" = "NVIDIA Compatible Windows Miniport Driver"
- "ImagePath" = "%system%\drivers\%file%.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%]
- "NextInstance" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%\0000]
- "Service" = "%file%"
- "Legacy" = 1
- "ConfigFlags" = 0
- "Class" = "LegacyDriver"
- "ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
- "DeviceDesc" = "%file%"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%\0000\Control]
- "NewlyCreated" = 0
- "ActiveService" = "%file%"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%file%
- "DisplayName" = "RioDrvs Usb Driver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\%file%
- DisplayName" = "RioDrvs Usb Driver"

Catatan:

%file% ini berbeda-beda yang terdiri dari salah satu file dibawah ini:

Nvmini
Cdralw
RioDrvs

Terminate program / Aplikasi / Malware

W32/Alman juga akan mencoba untuk mematikan dan menghapus beberapa program/apalikasi/malware/library (dll file) salah satu file dibawah ini:

c0nime.exe
cmdbcs.exe
ctmontv.exe
explorer.exe
fuckjacks.exe
iexpl0re.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo_1.exe
logo1_.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svhost32.exe
svch0st.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
wdfmgr32.exe
wsvbs.exe
dllwm.dll
dllhosts.dll
notepad.dll
rpcs.dll
rdihost.dll
rdfhost.dll
reshost.dll
lgsym.dll
rund11.dll
midddsccrt.dll
wsvbs.dll
cmdb.dll
richdll.dll
wininfo.rxk
windhcp.dll
upxdhnd.dll

Ia juga akan blok proses dari software antirootkit atau network filter dibawah ini:

SPUBDRV
ISDRV1
RKREVEAL
PROCEXP
SAFEMON
RKHDRV10
NPF
IRIS
NPPTNT
DUMP_WMIMMC
SPLITTER
EAGLENT

Media penyebaran

Virus ini menyebar cukup cepat dengan memanfaatkan media Flash Disk atau Disket dan melalui jaringan. Untuk menyebar melalui Flash Disk / Disket, ia akan membuat 2 buah file yakni boot.exe (40KB) dan autorun.inf. Virus ini akan aktif secara otomatis setiap kali Flash Disk tersebut dihubungkan ke komputer atau pada saat pengguna komputer mengakses ke Flash Disk tersebut. File autorun.inf ini berisi script untuk menjalankan file boot.exe. Selain meembuat 2 file tersebut, ia juga akan menginfeksi semua file yang mempunyai ekstensi EXE. File yang sudah terinfeksi tersebut akan bertambah 32 KB dari ukuran semula.

Sedangkan untuk menyebar melalui jaringan, ia akan menginfeksi semua file EXE yang ada di folder yang di sharing yang mempunyai akses “Full”. Selain itu ia juga akan mencoba untuk mengakses drive lokal pada komputer target (C:\) dengan menggunakan username administrator serta mencoba beberapa password berikut:

admin
1
111
123
Aaa
12345
123456789
654321
!@#$
qsdf
asdfgh
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
!@#$%^&*(
!@#$%^&*()
qwer
admin123
love
test123
owner
mypass123
root
letmein
qwerty
abc123
password
monkey
password1

Jika berhasil di tembus, ia akan drop dan menjalankan satu file dengan nama setup.exe pada drive C:\.

Mampu mengupdate diri seperti antivirus

W32/Alman juga akan mencoba untuk mengirimkan beberapa informasi dari komputer yang telah terinfeksi serta mengirimkan informasi tentang keberadaan driver dari software security dibawah ini ke pembuat virus

Hooksys
KWatch3
KregEx
KLPF
NaiAvFilter1
NAVAP
AVGNTMGR
AvgTdi
nod32drv
PavProtect
TMFilter
BDFsDrv
VETFDDNT

dan mencoba untuk download malware lain dari url yang telah di tentukan seperti:

pic.imrw0rldwide.com
soft.imrw0rldwide.com
tj.imrw0rldwide.com

Injeksi File EXE

Target selanjutnya yang dilakukan adalah mencoba untuk menginfeksi semua file yang mempunyai ekstensi EXE yang tidak diproteksi oleh System File Checker (SFC).

Walaupun ia berusaha untuk menginfeksi file EXE tetapi ada beberapa lokasi yang tidak akan di incar yakni file yang berada di direktori berikut:

\LOCAL SETTINGS\TEMP
\QQ
\Windows
\Winnt

Serta beberapa file yang mempunyai salah satu nama dibawah ini:

launcher.exe
repair.exe
wow.exe
wooolcfg.exe
woool.exe
ztconfig.exe
patchupdate.exe
trojankiller.exe
xy2player.exe
flyff.exe
xy2.exe
au_unins_web.exe
cabal.exe
cabalmain9x.exe
cabalmain.exe
meteor.exe
patcher.exe
mjonline.exe
config.exe
zuonline.exe
userpic.exe
main.exe
dk2.exe
autoupdate.exe
dbfsupdate.exe
asktao.exe
sealspeed.exe
xlqy2.exe
game.exe
wb-service.exe
nbt-dragonraja2006.exe
dragonraja.exe
mhclient-connect.exe
hs.exe
mts.exe
gc.exe
zfs.exe
neuz.exe
maplestory.exe
nsstarter.exe
nmcosrv.exe
ca.exe
nmservice.exe
kartrider.exe
audition.exe
zhengtu.exe

Cara membersihkan W32/Alman

Putuskan komputer yang ingin dibersihkan dari jaringan.
Matikan “System Restore” selama proses pembersihan berlangsung.
Disarankan lakukan pembersihan pada mode “safe mode”.
Matikan service virus yang aktif dimemory dengan cara:

Klik [Start] [Run].
Ketik services.msc, pada dialog box RUN kemudian klik tombol [OK]
Cari services virus dengan nama “NVIDIA Compatible Windows Miniport Driver” atau “RioDrvs Usb Driver”
Kemudian klik menu Action > Properties.
Klik tombol Stop.
Pada bagian Startup Type pilih Manual.
Klik OK

Hapus registry Windows yang sudah dibuat oleh virus. Untuk mempermudah proses penghapusan, silahakn salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: Klik kanan repair.inf | klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

[del]

HKLM, Software\Microsoft\Internet Explorer\Main, Window Title

HKLM, SYSTEM\ControlSet001\Services\RioDrvs

HKLM, SYSTEM\ControlSet001\Services\cdralw

HKLM, SYSTEM\ControlSet001\Services\nvmini

HKLM, SYSTEM\CurrentControlSet\Services\RioDrvs

HKLM, SYSTEM\CurrentControlSet\Services\nvmini

HKLM, SYSTEM\CurrentControlSet\Services\cdralw

HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RIODRVS

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_RIODRVS

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini

HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_cdralw

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_cdralw

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini

Hapus file yang di drop oleh virus di direktori:
- C:\Windows\linkinfo.dll
- C:\Windows\System32\drivers\lsDrv118.sys
- C:\Windows\system32\\drivers\nvmini.sys
- C:\Windows\System32\\drivers\cdralw.sys
- C:\Windows\System32\drivers\riodrvs.sys
- C:\Windows\System32\drivers\DKIs6.sys

Hapus juga file Boot.exe dan autorun.inf yang dibuat di Flash Disk

Catatan:

Sebelum menghapus file tersebut, sebaiknya tampilkan terlebih dahulu file yang disembunyikan dengan cara (lihat gambar 2):

Buka Windows Explorer
Klik menu “Tools” | Folder Option
Klik tabulasi “View”
Pilih opsi “Show hidden files and folders”
Uncheck pilihan “Hide protected operating system files (recommended)”
Klik “Apply”
Klik “Ok”

Gambar 2, Menampilkan file yang tersembunyi

Repair file yang sudah di injeksi oleh virus. Untuk clean file tersebut silahkan gunakan removal tools berikut :
http://www.4shared.com/file/50751394/a0aa95b5/_2__Norman_Alman_Cleaner.html?dirPwdVerified=7a224f27
Untuk pembersihan optimal install scan dengan antivirus yang dapat mengenali dan membasmi virus ini dengan baik.

Silahkan download antivirus Norman free trial 1 bulan di alamat berikut

http://www.norman.com/Download/Trial_versions/

salam,

Aj Tau

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III/19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 6851