W32.Dumaru.Y@mm         26 Januari 2004

Trojan dengan keylogger di awal tahun 2004

 

Setelah vakum beberapa saat, sebuah worm virus trojan yang mempunyai telah muncul. Dan mungkin ini adalah virus pertama jenis trojan pada tahun 2004 ini yang beresiko sedang. Tetapi jangan kita lengah, karena setiap virus mempunyai potensi untuk menjadi ganas setiap saat, meskipun antivirusnya sudah ada.

 

Virus ini dikenal sebagai virus W32/Dumaru.Y atau ada juga yang menamakannya sebagai W32/Dumaru.Z. Mungkin ini tidak penting, apalah artinya sebuah nama. Yang terpenting adalah bagaimana virus tersebut dapat masuk, kelemahan apa saja yang digunakan oleh virus tersebut sehingga dapat menular pada komputer kita.

 

Dumaru dapat masuk ke dalam komputer kita seperti biasa melalui email yang kita terima dan mengandung sebuah attach yang berextention *.ZIP.  Seakan-akan virus ini memberitahukan kepada kita, bahwa attach yang dikirimkan adalah sebuah foto yang telah diminta oleh kita kemarin.

 

Ciri-ciri lengkapnya adalah sebagai berikut :

 

 

Seperti contoh gambar di atas, terlihat bahwa ada sebuah attach yang bernama ‘myphoto.zip’, besarnya kurang lebih 15 Kb. Attach ini berisi sebuah file ‘myphoto.jpg.exe’. File ini mempunyai keunikan, karena jarak antara extention JPG dengan EXE dipisahkan 56 karakter space bar. File ini dikompres dengan menggunakan metode FSG.

 

Setelah file ZIP tersebut di download maka dengan secara otomatis akan dijalankan, dan akan meletakkan beberapa buah file utamanya pada folder-folder seperti di bawah ini :

  • %System%\l32x.exe

  • %System%\vxd32v.exe

File-file ini diletakkan sesuai dengan system operasi yang anda gunakan secara default seperti contoh di bawah ini :

 

Kalau anda menggunakan Windows 95,98 dan ME folder tersebut adalah :

C:\Windows\System

 

Kalau anda menggunakan Windows 2000 dan NT folder tersebut adalah :

C:\Winnt\System32

 

Dan untuk Windows XP folder tersebut adalah :

C:\Windows\System32.

 

Untuk file l32x.exe tersebut di atas virus ini merubah file registry dan menambahkannya beberapa value :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\load32 = "%system%\l32x.exe"

 

Untuk menjamin dan memastikan bahwa file tersebut di jalankan maka ia menambahkan pada file WIN.INI dan SYSTEM.INI sebuah command line (biasanya ini berlaku pada Windows 9.x) :

 

pada file WIN.INI :

[windows]
"run" = %WinDir%\RUNDLLX.SYS          

 

pada file SYSTEM.INI :

[boot]
shell=explorer.exe %System%\vxd32v.exe

 

dan pada system Windows NT file registrynya ada penambahan value :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon
Shell = explorer.exe %System%\vxd32v.exe

 

Selain itu, virus ini juga meletakkan sebuah file lainnya, DLLXW.EXE pada Windows Stratup folder dan mengubah value pada file registry windows agar setiap kali windows digunakan selalu dijalankan :

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\

Startup

 

Virus ini akan mengumpulkan semua alamat email yang dicari pada setiap file-file yang berextensi :

  • .HTM

  • .WAB

  • .HTML

  • .DBX

  • .TBB

  • .ABD

dan mengirimkannya dengan menggunakan Simple Mail Transfer Protocol (SMTP) engine, setiap kali alamat email didapat akan dikumpulkan di dalam sebuah file pada folder :

 

%windows%\winload.log

 

Dan untuk berjaga-jaga, virus ini juga menyimpan dirinya (*.ZIP) sebagai sebuah file *.TMP di dalam folder :

%windows%\TEMP\zip.tmp

 

Seperti yang sudah dijelaskan di atas, virus ini mempunyai kemampuan sebagai virus trojan. Untuk melakukan aksinya ia akan membuka port :

  • 2283

Port ini sebagai sebuah TCP proxy yang dapat digunakan oleh user lain (jahat) untuk menghubungkannya ke komputer yang terinfeksi.

  • 10000

Port ini digunakan untuk menyetup sebuah remote File Transfer Protocol (FTP) server yang mengizinkan seseorang dapat mengontrol secara full access ke semua file pada komputer yang terinfeksi.

Virus ini juga mengumpulkan semua data yang kita ketik, jadi setiap kali hentakan tuts keybord akan terekam. Apa lagi yang berhubungan dengan rekening bank, No.PIN, USER ID, PASSWORD seperti E-Gold., WebMoney, Far Manager, PayPal dan eBay

 

Bagaimana cara membasminya ?

  1. Jalankan antivirus yang sudah terupdate data definisi virusnya.

  2. Hapus semua file yang berhubungan dengan virus tersebut.

  3. Di sarankan untuk menjalankannya pada system Windows SAFE MODE.

  4. Hapus semua perubahan yang dilakukan pada file registry, WIN.INI dan SYSTEM.INI

 

  • Jalankan Regedit, masuk pada key :
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  • Pada panel sebelah kanan hapus value
    "load32"="%System%\l32x.exe""

  • Masuk pada key :
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ Winlogon

  • Pada panel sebelah kanan double-click: Shell, ganti :
    "explorer.exe %Windir%\system32\vxd32v.exe"

    menjadi:

    "explorer.exe"

  • Keluar dari Registry Editor.

 

pada file WIN.INI :

 

hapus command line pada “run”

[windows] "run" = %WinDir%\RUNDLLX.SYS          

 

menjadi

 

[windows] "run" =

 

pada file SYSTEM.INI :

 

hapus kata %System%\vxd32v.exe

[boot]  shell=explorer.exe %System%\vxd32v.exe

 

menjadi :

 

[boot] shell=explorer.

 

MGM Latupeirissa

support@vaksin.com