Trojan.Autoit.ANA

20 Januari 2014
Trojan.Autoit.ANA
JPG hilang dan perang terhadap antivirus lokal
Salah satu aksi malware yang mengkhawatirkan adalah aksinya melumpuhkan program antivirus. Resikonya bukan pada aksi langsung malware tersebut terhadap sistem yang terinfeksi tetapi karena lumpuhnya antivirus menyebabkan sistem komputer rentan terhadap jutaan malware lain yang kita ketahui mengintai korbannya di internet. Aksi inilah yang dilakukan oleh Tojan.Autoit.ANA yang melumpuhkan antivirus dengan cara menghapus service antivirus dan menyebabkan si antivirus menjadi lumpuh. Salah satu tujuannya tentu supaya dirinya bebas menjalankan aksinya dan tidak diganggu oleh antivirus, namun resiko lain yang lebih menakutkan adalah komputer menjadi tidak terlindung sama sekali dari ancaman malware. Ana dapat menyebar melalui USB maupun melalui Drive mapping guna menyebarkan dirinya ke komputer lain.

Ciri ciri Ana:

  • Terdeteksi oleh G Data Antivirus sebagai Trojan.Autoit.ANA (lihat gambar 1)
20140120I_trojanana10
  • Ana akan memalsukan diri sebagai file gambar icon windows photo viewer, namun penyamaran yang dilakukan kurang sempurna karena file typenya masih tetap Application.
  • Pada Folder Options, jika kita mencoba membuang centang Hide extensions for known file types dan hide protected operating system files (recommended) untuk melihat file malware yang biasanya menyembunyikan diri dengan memberikan atribut hidden pada dirinya. Komputer yang terinfeksi Ana akan memblok hal tersebut dan centang tersebut tidak bisa dihilangkan dan muncul kembali setiap kali dihilangkan. Hal ini dilakukan Tojan.Autoit.ANA untuk mempertahankan eksistensinya pada computer agar tidak mudah di ketahui dan di hapus (lihat: gambar 2).
 Gambar 1: Tojan.Autoit.ANA yang tertangkap oleh G Data Bootmedium 2014
20140120I_trojanana07
Gambar 2:centang pada Hide extensions for known file types dan hide protected operating system files (recommended) akan selalu kembali jika kita mencoba membuangnya
 Ana akan menyembunyikan file gambar asli dengan attribute super hidden dan akan membuat file penggantinya yang bericon gambar palsu dengan nama file yang sama dengan file yang di sembunyikan (lihat: gambar 3)
20140120I_trojanana11
 Gambar 3: File JPG asli yang di super hidden dan di palsukan dengan file virus dengan nama yang sama
Pada USB flashdisk terdapat file dengan ikon gambar tetapi jika di lihat secara detail pada Type akan terlihat “Application”(lihat: gambar3) dan bukan file gambar pada “JPG image,JPEG image, PNG image, BMP image, atau tipe gambar lain tergantung jenis file gambarnya” (lihat: gambar 4 dan 5)
20140120I_trojanana06
 Gambar 4: File Virus, dengan icon file gambar yang di samarkan dengan type Application
20140120I_trojanana04
 Gambar 5: File asli, gambar PNG dengan icon file gambar dan dengan Type PNG image
  • Jika komputer memiliki Drive mapping dengan security full control. File gambar pada drive mapping tersebut juga akan ikut terinfeksi virus Tojan.Autoit.ANA yang membuat icon gambar menjadi ber type Application (lihat: gambar 6)
20140120I_trojanana03
 Gambar 6: File JPG pada drive mapping yang terkena virus Tojan.Autoit.ANA
Proses aktif pada komputer

Ketika kita melakukan double klik pada file yang sudah terinfeksi malware maka malware akan menanamkan diri pada directory windows yang di super hidden dengan nama:


Windows 7, windows 8, windows 2008 dan windows 2012:

C:\Users\[nama user]\AppData\Roaming\Java\<karakter ASCII> jview <karakter ASCII>.exe

C:\Users\[nama user]\AppData\Roaming\Java\<karakter ASCII> shimgvw <karakter ASCII>.exe (lihat gambar 7)
20140120I_trojanana01
 Gambar 7: Letak file master virus Tojan.Autoit.ANA pada windows 7
Windows 2013 dan windows XP:

C:\Users\Document and settings\[user]\Application Data\Java\<karakter ASCII> jview <karakter ASCII>.exe

C:\Users\Document and settings\[user]\Application Data \Java\<karakter ASCII> shimgvw <karakter ASCII>.exe


Dan akan langsung mencari file image/gambar (JPG image, JPEG image, PNG image, BMP image, dll) pada USB flash drive dan drive mapping untuk di sembunyikan kemudian di palsukan sehingga ketika user membuka file image/gambar yang sudah di palsukan makan secara otomatis akan menjalankan file malware dan mengaktifkannya pada komputer korban. Guna menutupi aksinya menginfeksi komputer, gambar asli yang dibuka juga akan ditampilkan.


Media Penyebaran
  •     USB flashdisk, memory card, MMC, hdd external, dll
  •     Drive mapping yang di setting full control
Melumpuhkan antivirus
Untuk mempertahankan dirinya dan agar virus ini susah di hapus maka jika pada komputer terdapat antivirus di bawah ini akan langsung di hapus servicesnya sehingga antivirus menjadi lumpuh. Salah satunya adalah antivirus lokal Ansav yang dilumpuhkan, mungkin tujuannya supaya insaf tidak mendeteksi malware ini :p. Adapun beberapa antivirus lokal dan mancanegara yang dilumpuhkan adalah sebagai berikut : (lihat gambar 8)
  •     Ansav
  •     Nod32 / ESET
  •     Norman
  •     Norman security suite
  •     PCMAV RealTime Protector
20140120I_trojanana02
 Gambar 8: Walaupun norman dilumpuhkan tetapi norman tetap dapat mendeteksi virus Tojan.Autoit.ANA dan memasukan ke dalam karantina norman
Penanganan
Untuk membersihan Tojan.Autoit.ANA Silahkan download G Data Bootmedium 2014 pada link di bawah ini:

http://www.gdatasoftware.co.uk/?eID=PushFile HYPERLINK "http://www.gdatasoftware.co.uk/?eID=PushFile&dl=06ffac985b%3AAFoFBA4%3D"& HYPERLINK "http://www.gdatasoftware.co.uk/?eID=PushFile&dl=06ffac985b%3AAFoFBA4%3D"dl=06ffac985b%3AAFoFBA4%3D

Jika G Data meminta update silahkan masukan user name dan password G Data di bawah ini: (lihat gambar 9)

User name: vizta26514
Password : ZLR489
20140120I_trojanana05
 Gambar 9: Proses G Data Bootmedium 2014 ketika update
Recover file yang di sembunyikan pada USB flashdisk dan drive mapping

Buka notepad.exe
  •     Ketikan: attrib -s -a -r -h /s /d
  •     Simpan pada drive flashdisk dengan, file name: unlock.bat. Ingat, pilih :
[Save as] type: All Files (*.*)

Jalankan file unlock.bat yang baru anda simpan.

Hapus registry yang di buat Tojan.Autoit.ANA


Download aplikasi Autoruns pada alamat berikut:
http://download.sysinternals.com/files/Autoruns.zip

Explore dan jalankan file “autoruns.exe”. Biarkan hingga proses scanning selesai.
Klik pada tab “Image Hijacks”, hapus seluruh entry yang ada. (lihat gambar 10)
20140120I_trojanana09
 Gambar 10: Image Hijacks yang perlu dibersihkan
Fix Registry Windows yang sudah di ubah oleh virus. Untuk mempercepat proses penghapusan, silahkan salin script di bawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara:

Klik REPAIR.INF

Klik INSTALL

Berikut script yang harus di copy

<<<Start of Script>>>


[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee 2014

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del


[UnhookRegKey]


HKLM \ SYSTEM \ CurrentControlSet \ Control

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,SuperHidden,0x00010001,1

HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,1

HKLM, SOFTWARE \ Microsoft \ Security Center \ Svc, AntiVirusOverride,0x00000000,0

[del]

HKLM, SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder, HideFileExt

HKCU, Control Panel \ Desktop, AutoEndTasks

HKLM, SOFTWARE \ Microsoft \ Security Center, AntiVirusOverride

HKLM, SOFTWARE \ Classes \ exefile, NeverShowExt

HKLM, SOFTWARE \ Classes \ jpegfile, NeverShowExt


<<<End of Script>>>


** Khusus untuk windows XP dan windows server 2013

Agar komputer dapat booting safe mode dan safe mode command prompt kembali, salin script di bawah ini pada program “notepad” kemudian simpan dengan nama FIXSafeMode.reg. Jalankan file tersebut dengan cara klik ganda (klik 2x) file [FIXSafeMode.reg]

Berikut script yang harus di salin

<<<Start of Script>>>


Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]

"AlternateShell"="cmd.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]

@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]

@="Driver"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]

@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]

@="Driver"


<<<End of Script>>>


Repair services norman yang di hapus oleh virus:

  •     Buka notepad
  •     Kopi teks di bawah ini dan paste pak pada notepad
  •     Pilih [Save As]
  •     Pada [File name:] isikan nama file dengan extensi .reg, contoh: norman.reg
  •     Pada [save as type] pilih All Files(*.*)
  •     Klik kanan pada file yang sudah di save lalu pilih [merge]
  •     Restart computer
Salam,

Netsky Vista
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: