DNSChanger2 Malware

27 Maret 2014
DNSChanger2 malware
Trojan.GenericKD.1602846
Aksi DNSchanger2 yang mengarahkan download setup.exe setiap kali mengakses Facebook, Google dan Youtube menyebabkan banyak korban yang mau-tidak mau menjalankan file tersebut. Dalam artikel ini Vaksincom membahas aksi dari file setup.exe yang sebenarnya malware dan terdeteksi G Data sebagai Trojan.Generic.KD dan menjalankan cukup banyak aksi jahat seperti berusaha mengakses server DNS palsu lainnya.

File setup.exe akan ditawarkan sebagai update untuk Flash Player seperti gambar 1 di bawah ini.
20140327I_dnsmalware09
Gambar 1, Permintaan untuk update Flash Player setiap kali mengakses Google, Facebook dan Youtube
Jika anda menjalankan file ini, maka anda akan mendapatkan peringatan dari Google bahwa privasi anda terancam. (lihat gambar 2)
20140327I_dnsmalware05
Gambar 2, Pesan google chrome yang telah di infeksi malwareTrojan.GenericKD.1602846
Adapun bunyi pesan yang akan muncul adalah sebagai berikut :


Tidak dapat menyambung ke www.google.com yang asli
Saat ini ada yang mengganggu sambungan aman Anda ke mail.google.com

Coba muat ulang laman ini beberapa menit lagi atau setelah beralih ke jaringan baru. Jika Anda baru tersambung ke jaringan Wi-Fi baru, selesaikan proses masuk sebelum memuat ulang.

Jika Anda akan mengunjungi www.google.com sekarang, Anda mungkin akan membagikan informasi pribadi dengan penyerang. Untuk melindungi privasi Anda, Chrome tidak akan memuat laman sampai dapat membuat sambungan aman ke www.google.com yang asli.Tidak dapat menyambung ke www.google.com yang asli


Itulah pesan yang di sampaikan oleh browser chrome ketika kita membuka email dengan metode “run as administrator”.karena ketika chrome di buka dengan mode biasa atau double klik pada icon chrome akan secara otomatis tertutup sehingga si pemakai komputer tidak akan berfikir bahwa komputer yang di pakai sebetulnya telah terinstall Malware Trojan.GenericKD.1602846 dari file “setup.exe” yang di paksakan untuk di instal oleh flash player pro gadungan dengan menggunakan DNS palsu yang di injeksikan ke router.



Proses instalasi malware
Ketika melakukan double klik pada file setup.exe akan malware akan menciptakan file utama dengan nama:
  •     Windows 8 64 Bit : $RVG7BVF.exe
  •     Windows 32 Bit : wuauclt.exe atau services.exe
pada direktori: (lihat gambar 3)
  • Windows 64 Bit : C:\$Recycle.Bin\S-1-5-21-733140856-3886824562-806213051-1001
  • C:\Documents and Settings\ARES\Application Data\Identities
  •  Windows 32 Bit : C:\Documents and Settings\[user]\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#effectivemeasure.net
20140327I_dnsmalware07
Gambar 3, letak malwareTrojan.GenericKD.1602846 pada windows 32 bit dan 64bit
Dan pada windows 64 Bit akan meciptakan varian lain dengan nama Trojan.GenericKD.1611032 yang di tanam pada direktori windows acak dengan nama file yang berada pada direktori “C:\Windows\SysWOW64” seperti: (lihat gambar 4)
  •     rasautou.exe
  •     schtasks.exe
  •     svchost.exe
  •     TCPSVCS.EXE
  •     diskperf.exe
  •     dllhost.exe
  •     bootcfg.exe
20140327I_dnsmalware10
Gambar 4, ktmutil.exe adalah malware Trojan.GenericKD.1611032 yang di ciptakan oleh Malware Trojan.GenericKD.1602846di windows 64 Bit
Efek yang di timbulkan:
  •     Hanya bisa dibuka sebagai administrator (lihat gambar 5)
20140327I_dnsmalware11
Gambar 5, Chrome di buka dengan mode “Run as administrator”
  • Tidak bisa membuka koneksi https, kemungkinan karena malware ini berusaha menyadap semua transaksi internet yang dilakukan oleh Chrome.
  • Menutup file autoruns.exe (tools pengganti msconfig), kemungkinan besar tujuannya untuk mempersulit proses analisa dan penghapusan malware ini.
  • Menutup semua situs kecuali google.com, facebook.com dan youtube.com itupun ketika ketiga browser tersebut di buka akan selalu di arahkan untuk mendownload update flash player (lihat gambar 6)
20140327I_dnsmalware08
Gambar 6, Memblokir akses situs lain dan memaksakan instal setup.exe jikam mengakses Facebook, Google dan youtube.
  • Pada Folder Options, memindahkan radio button dari “Show hidden files, folders and drives” ke “don't show hiden file, folder and drive” dan memberikan centang pada “hide protected operating system files (recommended)”. Tujuannya jelas untuk mempersulit akses analisa dan pembersihan malware ini. (lihat gambar 7)
20140327I_dnsmalware04
Gambar 7, Mengubah setting Folder Options
  • Berusaha melakukan koneksi ke DNS : (lihat gambar 8)
  • leq.su
  • kity.cc
  • jcy.su
  • cene.cc
  • 6ss9f6av9r3lqjhl.cene.cc
  • mts2l0u0dt1m7.cene
  • wb8t2eSokiw2j8wrn.cene.cc
  • 56tqfyl1.cene.cc
  • sorg.cc
  • www.download.windowsupdate.com
20140327I_dnsmalware01
Gambar 8, Aksi malware menghubungi situs DNS untuk mendapatkan perintah berikutnya
Pembersihan:
20140327I_dnsmalware06
 Gambar 8, G Data Antivirus akan mendeteksi dan membasmi malware yang diinstalkan oleh DNSchanger2
  • Ganti DNS pada komputer dan pada router dengan DNS ISP anda atau DNSgoogle (8.8.8.8 dan 8.8.4.4)
  • Bersihkan memori sementara dari settingan DNS lama dengan DNS Flush. Caranya :
  • Buka command prompt atau cmd.exe dari menu run windows
  • Ketik [ipconfig /flushdns] (lihat gambar 9)
20140327I_dnsmalware02
Gambar 9, Flush DNS untuk membersihkan memori dari setting DNS lama
Pencegahan:

Untuk mencegah terjadi nya serangan Malware ini pastikan komputer anda sudah terproteksi oleh AntiVirus yang handal seperti G Data Antivirus yang mampu mendeteksi file “setup.exe” sebagai malware dan melakukan blokir atas akses file ini sekalipun ingin anda instal. (lihat gambar 10)
20140327I_dnsmalware03
Gambar 10, G Data medeteksi file setup.exe sebagai Trojan.GenericKD.1602846 dan akses untuk mendownload setup.exe langsung di blok
Salam,


Netsky Vista
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: