» Palevo Myspace virus via Yahoo Messenger
Share

Worm:W32/Palevo.BQZ                  5 Mei 2010

Virus maut via YM bisa mem”bailout” komputer anda

Aplikasi messenger seperti Yahoo Messenger, MSN Messenger dan Skype saat ini dapat dikatakan sebagai salah satu aplikasi favorit para pembuat virus menyebarkan dirinya secara realtime dan dapat dikatakan posisinya menggantikan email yang dulunya menjadi agen favorit penyebaran virus. Salah satu sebabnya adalah karena penyebaran file virus melalui messeger saat ini relatif kurang diperhatikan oleh vendor antivirus, berbeda dengan mailserver yang sepertinya antivirus untuk mailserver sudah menjadi salah satu kewajiban administrator mailserver. Dalam 1 minggu terakhir ini, Vaksincom mendapatkan gelombang laporan serangan virus yang menyebarkan diri memanfaatkan messenger seperti Skype dan Yahoo Messenger. Dimana virus pertama yang akan dibahas dalam artikel ini adalah Worm: W32/Palevo.BQZ yang mengeksploitasi MySpace.

 

Facebook, Twitter dan Myspace merupakan salah satu contoh situs jaring sosial yang memungkinkan anggotanya dapat melakukan komunikasi di dunia maya dan  mempermudah berbagi informasi, hal ini menjadi salah satu celah dan daya tarik tersendiri yang dapat dimanfaatkan oleh virus untuk menyebarkan dirinya. Salah satu cara yang digunakan adalah dengan mengirimkan sebuah link atau file yang “mempunyai” hubungan dengan situs jaringan sosial tersebut sehingga menarik user untuk menjalankan file tersebut, hal ini sudah dibuktikan oleh virus Bredolab (virus Facebook) yang akan mengirimkan sebuah link untuk mendownload file yang seolah-olah dikirimkan oleh administrator pengelola situs facebook, penyebaran ini semakin sukses dengan memanfaatkan aplikasi media chating (YM) untuk mengirimkan dirinya ke semua alamat ID yang terdapat pada aplikasi YM di komputer yang telah terinfeksi.

 

Untuk informasi lebih jelas mengenai virus W32/Bredolab, silahkan klik link berikut

http://vaksin.com/2009/1109/facebook/facebook.html

http://vaksin.com/2010/0210/basmi%20zbot/basmi%20zbot.html

http://vaksin.com/2009/1109/facebook-zbot/facebook-zbot.html

 

Setelah para pengguna  facebook yang menjadi korban akibat virus bredolab , kini gililran para penguna Myspace yang akan menjadi target serangan virus, walaupun pengguna myspace tidak sebanyak pengguna facebook tetapi hal ini akan tetap dimanfaatkan oleh virus untuk menjaring korban.

 

Sama seperti yang terjadi pada kasus virus Bredolab, virus ini juga akan memanfaatkan aplikasi yahoo messager (YM) untuk menyebarkan dirinya ke semua alamat ID berupa link untuk download sebuah file yang telah  ditentukan [contoh: IM87654.JPG-www.myspace.com.exe  atau IM25394.JPG-www.myspace.com.exe]. Untuk menarik perhatian user, ia akan menggunakan icon image [gambar] seperti terlihat pada gambar 1 di bawah ini.

 

Gambar 1, File induk virus

 

Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai W32/Palevo.BQZ (lihat gambar 2)

 

Gambar 2, Hasil deteksi Norman Security Suite

 

Pada saat file yang telah terinfeksi W32/Palevo.BQZ dijalankan, ia akan menjalankan  perintah  “explorer.exe http//browseusers.myspace.com/Browse/Browse.aspx” untuk menampilkan sebuah halaman web myspace, hal ini dilakukan sebagai upaya agar aksi nya tidak dicurigai oleh user, agar aktivitas virus tersebut tidak diblok oleh Windows Firewall ia akan mendaftarkan dirinya dengan membuat rule firewall dengan menjalankan perintah netsh firewall add allowedprogram 1.exe 1 ENABLE. (lihat gambar 3, 4 dan 5)

 

Gambar 3, Web MySpace.com yang akan ditampilkan untuk mengelabui user

 

Gambar 4, Proses Virus W32/Palevo.BQZ  saat di aktifkan

 

Gambar 5, W32/Palevo.BQZ mendaftarkan diri pada rule Windows Firewall

 

File induk W32/Palevo.BQZ

Pada saat menginfeksi komputer target ia akan membuat beberapa file induk yang akan di jalankan secara otomatis pada saat komputer dinyalakan

 

  • C:\WINDOWS\infocard.exe

  • C:\Windows\mds.sys

  • C:\Windows\mdt.sys

  • C:\WINDOWS\winbrd.jpg

  • C:\Documents and Settings\%user%\winbrd.jpg

 

Registry Windows

Agar file tersebut dapat di aktifkan secara otomatis ia akan membuat string pada registry berikut:

 

  • HKLM\SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run

    • Firewall Administrating = C:\WINDOWS\infocard.exe

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • Firewall Administrating = C:\WINDOWS\infocard.exe

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • Firewall Administrating = C:\WINDOWS\infocard.exe

 

Agar proses virus tersebut tidak diblok oleh Windows Firewall, ia akan mendaftarkan rule pada Firewall Windows dengan membuat string pada registry berikut : (lihat gambar 6 dan 7)

 

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

    • %Drive%\IM87654.JPG-www.myspace.com\IM87654.JPG-www.myspace.com.exe = C:\WINDOWS\infocard.exe:*:Enabled:Firewall Administrating

 

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

    • %Drive%\IM87654.JPG-www.myspace.com\IM87654.JPG-www.myspace.com.exe = C:\WINDOWS\infocard.exe:*:Enabled:Firewall Administrating

 

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

    • %Drive%\IM87654.JPG-www.myspace.com\IM87654.JPG-www.myspace.com.exe = C:\WINDOWS\infocard.exe:*:Enabled:Firewall Administrating

 

Gambar 6, Perubahan pada Windows Firewall yang dilakukan virus

 

Gambar 7, Rule W32/Palevo.BQZ  pada Windows Firewall

 

 

Disable Windows Automatic Update

 

Virus ini juga akan disable service Windows update dengan merubah string pada registry berikut : (lihat gambar 8)

 

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\wuauserv

    • Start = 0x00000004 (4)

 

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\wuauserv

    • Start = 0x00000004 (4)

 

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv

    • Start = 0x00000004 (4)

 

Gambar 8, W32/Palevo.BQZ Disable Windows Update

 

W32/Palevo.BQZ akan mencoba untuk melakukan koneksi ke beberapa alamat ip server yang sudah ditentukan dengan menggunakan port 2345 dengan tujuan untuk download file yang  telah ditentukan. (lihat gambar 9)

 

Gambar 9, Palevo akan berusaha melakukan koneksi ke internet untuk mengupdate dirinya

 

Media penyebaran

Saat ini media chating khususnya yahoo Messager (YM) sudah menjadi “primadona” bagi virus untuk menyebarkan dirinya hal ini dilakukan untuk mempercepat proses penyebarannya, karena saat ini “hampir” semua pengguna komputer menggunakan alamat YM. Untuk menyebarkan dirinya, W32/Palevo.BQZ juga akan akan memanfaatkan media chanting seperti YM dengan mengirimkan sebuah file yang sudah terinfeksi virus ke semua alamat ID yang terdapat pada aplikasi YM di komputer korban berupa sebuah link untuk download file virus yang telah ditentukan  (nama file acak) contohnya: nama file IM87654.JPG-www.myspace.com.exe atau IM25394.JPG-www.myspace.com dengan ukuran sekitar 102 KB atau 109 KB. Berikut contoh pesan yang akan dikirim oleh W32/Palevo.BQZ. (lihat gambar 10)

Gambar 10, Contoh pesan yang akan dikirimkan oleh W32/Palevo.BQZ

 

Cara membersihkan Myspace

 

1.    Putuskan komputer dari koneksi internet dan intranet

2.    Nonaktifkan “System Restore” selama proses pembersihan dilakukan

3.    Matikan proses virus yang aktif dimemori, anda dapat menggunakan fiur Advanced System Reporter yang terdapat pada Norman Security Suite Pro yang, fitur ini dirancang khusus untuk mengetahui dan monitoring proses yang aktif di memori serta mempunyai kemampuan untuk mematikan proses virus sekaligus menghapus registry startup dari virus tersebut

 

Berikut langkah untuk mematikan proses virus yang aktif di memori dengan menggunakan Advanced System Reporter

 

-          Pada aplikasi Advanced System Reporter, klik tabulasi “Other”

-          Klik kanan pada proses INFOCARD.EXE

-          Klik “Terminate Process”

-          Klik “Yes”

 

            Untuk menghapus registry autostart yang dibuat oleh virus, lakukan langkah berikut

 

-          Klik tabulasi “Autostart”

-          Klik kanan file virus INFOCARD.EXE

-          Klik “Terminate Process” jika proses tersebut masih aktif

-          Kemudian klik “Remove Autorun” untuk menghapus registry autostart yang telah dibuat oleh virus (lihat gambar 11)

 

Gambar 11, Gunakan Advance system Reporter dari Noeman untuk menghentikan proses virus yang disembunyikan

 

4.    Blok file virus dengan menggunakan “Software Restriction Policy” agar virus tidak dapat aktif kembali. Sementara fitur ini baru terdapat pada Windows XP Professional, Vista dan Windows 7, Windows Server 2003, Windows Server 2008.

 

  • Klik tombol “Start”

  • Klik “Run”

  • Ketik SECPOL.MSC kemudian klik tombol “OK”

  • Pada layar “Local Security Settings”, klik kanan pada menu “Software Restriction Policies”

  • Klik “Create New Policies” Kemudian akan  muncul 2 menu lain yakni “Security levels” dan “Additional rules” (lihat gambar 12)

 

Gambar 12, Optimalkan Secpol untuk menghadang virus

 

  • Klik kanan pada menu “Additional Rules”, kemudain klik “New Hash Rule....”

  • Pada kolom “File hash”, klik tombol “Browse” kemudian arahkan ke direktori dimana file virus tersebut berada [contoh: C:\Windows\IINFOCARD.EXE], kemudian klik “Open”

  • Klik tombol “Apply”

  • Klik tombol “OK”

 

5.    Pulihkan registry yang sudah diubah oleh virus, untuk mempercepat proses pemulihan silahkan salin script berikut pada program notepad kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara [Klik kanan REPAIR.INF | Install]

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

 

[del]

 

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Firewall Administrating

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Firewall Administrating

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run, Firewall Administrating

 

Hapus manual registry yang berada lokasi  berikut:

 

·         HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

o   %virus%= C:\WINDOWS\infocard.exe:*:Enabled:Firewall Administrating

 

Catatan: %virus%, adalah lokasi file virus pertama kali di jalankan

 

6.    Hapus file induk yang dibuat oleh virus

 

·         C:\WINDOWS\infocard.exe

·         C:\windows\mds.sys

·         C:\windows\mdt.sys

·         C:\WINDOWS\winbrd.jpg

·         C:\Documents and Settings\%user%\winbrd.jpg

 

7.    Hapus temporary internet file dan file temporary Windows, untuk mempercepaat proses penghapusan anda dapat menggunakan fitur Norman Privacy Tools yang terdapat pada Norman Security Suite PRO. Berikut cara untuk menghapus file temporary internet file dan file temporary Windows dengan menggunakan Norman Privacy Tools (lihat gambar 13)

a.    Pada menu utama Norman Security Suite, klik menu “Privacy Tools”

b.    Checklist opsi user profile yang digunakan

c.    Checklist web browser yang digunakan

d.    Klik tombol “Delete history now”, untuk memulai proses penghapusan

 

Gambar 13, Gunakan Norman Privacy Tools untuk menghapus file temporary Windows

 

8.    Untuk pebersihan optimal silahkan install dan scan dengan antivirus yang up-to-date,  anda juga dapat menggunakan tools Norman Malware Cleaner, silahkan download di alamat http://www.norman.com/support/support_tools/58732/en (lihat gambar 14)

 

Gambar 14, Gunakan Norman Malware Cleaner untuk memastikan Palevo terbasmi dengan tuntas.

 

Salam,

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 3456850

Fx : 021 3456851

» Reseller
Banda Aceh | Balikpapan | Bandung (4) | Banjarmasin | Batam | Cilacap | Cirebon | Denpasar | Gorontalo (2) | Jakarta | Lumajang| Makassar (1)
Malang | Medan | Padang | Palangka Raya (1) | Palembang (2) | Pekanbaru | Pontianak | Salatiga | Samarinda
Solo |Surabaya | Yogyakarta | Manado
Jika Anda pengusaha komputer dan berminat untuk bergabung menjadi reseller Vaksincom, silahkan emailkan profile perusahaan Anda ke info@vaksin.com