Mengamankan komputer dari virus Tojan.Agent.BLNH

01 Oktober 2015
Mengamankan komputer dari virus Tojan.Agent.BLNH
G Data Application Control
Trojan.Agent.BLNH memiliki kemampuan membuat varian dengan ukuran file yang berbeda-beda, meskipun metode dan aksi yang dilakukan sama. Hal ini menjadi salah satu penyebab penyebaran virus ini cukup cepat  dan dapat mengelabui program antivirus.

Ukuran file induk Trojan.Agent.BLNH juga yang kebnayakan > 60 MB tergolong cukup besar jika dibandingkan dengan malware lainnya, sedangkan pada Flash disk akan berubah menjadi versi mini sebesar 19-23 MB. (lihat gambar 1)
Gambar 1, File yang akan di drop oleh Trojan.Agent.BLNH
Gambar 2, Beberapa file induk Trojan.Agent.BLNH akan mempunyai ukuran yang berbeda-beda

Lokasi drop file Trojan.BLNH
Dari hasil analisa yang dilakukan oleh Laboratorium virus Vaksincom, dapat diketahui bahwa sampai saat ini semua varian Trojan.BLNH yang menyebar akan menggunakan lokasi yang sama untuk menyimpan/drop file induknya.
Berikut lokasi yang sering digunakan oleh malware ini untuk menyimpan file induk tersebut:

Windows XP/Server 2003
  • C:\Documents and Settings\All Users
Windows Vista/7/8
  • C:\Users\All Users
  • C:\ProgramData
Mengamankan komputer dari virus Tojan.Agent.BLNH dengan menggunakan G Data Application Control

Bagi anda yang menggunakan G Data Endpoint Protection, anda dapat menggunakan Application Control untuk memantau pergerakan malware dan mencegah instalasi malware baru, baik yang sudah terdeteksi ataupun yang belum terdeteksi.

Untuk informasi mengenai antivirus G Data, silahkan akses website www.GDataSoftware.com

Silahkan anda download installer antvirus G Data korporat di alamat :

http://qsmirror.gdatasecurity.de/qs/WEB/B2B/GDATA_BUSINESS_13.2_EN.ISO
http://qsmirror.gdatasecurity.de/qs/WEB/B2B/GDATA_BUSINESS_13.2_EN.zip

Sebagai informasi, G Data Endpoint Protection mempunyai fitur “Application Control” yang dapat di gunakan untuk melakukan pembatasan akses/blok terhadap program/aplikasi yang tidak di inginkan. System pembatasan ini dapat di lakukan berdasarkan file (Checksum: MD5), Vendor maupun Direktori (lihat gambar 3). 
Gambar 3, G Data Administrator | Application Control

Berikut penjelasan singkat metode blok berdasarkan file, vendor atau direktori:

  • File (Checksum:MD5), G Data akan blok/allow berdasarkan file yang sudah didaftarkan. File yang dapat di blok adalah jenis file yang mempunyai tipe aplikasi (seperti *.com, *.pif, *.exe, *.scr).
  • Vendor, G Data akan blok/allow file/aplikasi berdasarkan vendor yang terdapat pada file tersebut (contohnya: Microsoft dll). File yang akan di blok/allow berdasarkan Vendor adalah file yang mempunyai ekstensi *.exe
  • Directory, G Data akan blok/allow file/aplikasi yang ada pada folder tertentu yang sudah didaftarkan. G Data juga mempunyai kemampuan untuk blok/allow file/aplikasi pada subfolder yang ada pada direktori utama yang sudah di daftarkan.

Fitur Application control mempunyai 2 (dua) motode akses yakni Blacklist dan Whitelist.
  • Blacklist adalah blok berdasarkan daftar hitam dimana file / direktori yang di blacklist akan diblok dan tidak bisa berjalan.
  • Whitelist adalah blok berdasarkan daftar putih. Jadi semua program akan diblok tanpa pandang bulu dan administrator harus mendaftarkan satu per satu program yang boleh dijalankan.

Berikut langkah konfigurasi “Application Control” untuk melindungi komputer dari Trojan.BLNH dengan menggunakan G Data Application control (mode: blacklist):

A. Login G Data Administrator pada Server antivirus G Data
  • Klik [Start] [All Programs] [G Data] [G Data Administrator] [G Data Administrator]
  • Kemudian akan muncul layar [G Data Administrator]. lihat pada gambar 4.
Gambar 4, G Data Administrator

  • Pada kolom [Language], isi dengan “English”
  • Pada kolom [Server], isi dengan nama komputer atau alamat IP server antivirus G Data
  • Pada kolom “User name” dan “Password”, isi dengan user name dan password yang anda miliki dengan akses administrator (user name dan password ini adalah username dan password yang digunakan untuk login Windows).
  • Kemudian klik tombol [OK], lalu akan muncul layar utama [G Data Administrator]. Lihat gambar 4 di atas.

B. Konfigurasi “Monitor” G Data Client
  • Pada layar utama “G Data Administrator”, klik [All ManagementServer] atau klik pada salah satu ManagementServer (contoh: MARKETING-LP2). Ini dilakukan agar konfigurasi dapat di berlakukan untuk semua PC Client yang update ke ManagementServer tersebut. Lihat gambar 4 di bawah ini.
  • Klik menu [Client settings] dan klik tabulasi [Monitor]
  • Pada menu “Monitor status”, checklist pada opsi [Enabled (recommended)] (lihat gambar 5)
Gambar 5, Layar utama G Data Administrator | Client settigs | Monitor

  • Pada kolom “Scanning mode”, pilih [Read access] atau [Read and write access]. Lihat gambar 60
Gambar 5, Metode pemeriksaan file [Scanning mode]

  • Kemudian klik tombol [Apply]
Pastikan fitur Monitor di PC Client sudah aktif. Berikut cara untuk mengetahui apakah File Monitor G Data di PC Client sudah aktif
  • Pada komputer Client, Klik kanan icon G Data pada tray menu
  • Kemudian pastikan muncul menu [Disable monitor]. Lihat gambar 6
Gambar 6, Status file Monitor G Data

C. Konfigurasi “Application Control” pada PolicyManager
  • Pada layar “G Data Administrator”, klik [All ManagementServer] atau klik pada salah satu ManagementServer (contoh: MARKETING-LP2). Ini dilakukan agar konfigurasi dapat di berlakukan untuk semua PC Client yang update ke ManagementServer tersebut. Anda juga dapat melakukan konfigurasi berdasarkan group yang sudah anda tentukan (jika anda ingin melakukan perbedaan konfigurasi pada masing-masing client)
  • Kemudian klik menu [PolicyManager] [Application control]
  • Pada kolom “Status”, pilih [enabled for users and administrators]
  • Pada kolom “Mode”, pilih [Blacklist: only block listed applications]
  • Checklist pada opsi [Allow the user to report blocked applications], jika menghendaki G Data akan menampilkan notifikasi pada komputer client pada saat G Data melakukan blok terhadap aplikasi yang aktif pada folder yang sudah ditentukan. (Lihat gambar 7)
Gambar 7, Application control |  Blok aplikasi
Gambar 8, Pesan notifikasi yang akan ditampilkan oleh G Data pada saat blok aplikasi
  • Klik tombol [New...]. Lihat gambar 7 di atas
  • Kemudian akan muncul layar ”Create new rule”. Lihat gambar 9
  • Pilih Opsi [Directory]
  • Kemudian klik [OK]
Gambar 9, Create new rule
  • Kemudian akan muncul layar ”Rule for a directory”. Lihat gambar 10
Gambar 10, Rule for a directory

  • Pada kolom “Directory”, ketik format [C:\Users\All Users] , [C:\ProgramData] dan [C:\Documents and Settings\All Users]
Catatan:
[C:\Users] jika menggunakan Windows Vista/7/8, Windows Server 2008/2012 (lihat gambar 11)
Gambar 11
  • [C:\Documents and Settings] jika menggunakan Windows XP atau Windows Server 2003 (lihat gambar 12)
Gambar 12
  • Hilangkan tanda Checklist pada opsi “Apply to subdirectories”. G Data tidak akan melakukan blok file aplikasi pada subfolder  yang berada di direktori [C:\Users\All Users\], [C:\ProgramData] atau [C:\Documents and Settings\All Users\]
  • Kemudian Klik tombol [OK]
  • Kemudian pada layar “Rule for a directory”, pada kolom “Description”, isi dengan informasi yang anda inginkan (opsional), Kemudian klik tombol [OK]
  • Jika sudah selesai, pada layar utama “G Data Administrator” klik tombol [Apply] (lihat gambar 13)
Gambar 13, Daftar direktori yang akan monitor oleh G Data

  • Untuk mengetahui konfigurasi “Application control” yang sudah anda buat sudah di distribusikan ke PC Client, klik menu [Statistics] [Clients]
  • Pada kolom [Settings up-to-date] dan [Server connection] pastikan sudah tanda centang  yang menandakan bahwa konfigurasi tersebut sudah di distribusikan ke PC Client. (lihat gambar 14)
Gambar 14, Status distribusi konfigurasi Application Control
  • Dengan demikian, konfigurasi “Application control” sudah selesai dilakukan
Pada saat file Trojan.BLNH tersebut aktif/dijalankan maka secara otomatis antivirus GData akan melakukan blok agar virus tidak dapat aktif dan menginfeksi komputer dengan menampilkan pesan notifikasi seperti terlihat pada gambar 15 dan 16
Gambar 15, Pesan yang akan ditampilkan oleh G Data
Gambar 16, Notifikasi yang akan ditampilkan oleh G Data pada saat blok file induk Trojan

Semua log aktivitas malware juga akan terlihat di menu “Report” (lihat gambar 17)
Gambar 17, Report “Application control”
Salam,

A. J Tau
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: