Trojan Agent BNLH

28 September 2015
Trojan Agent.BLNH
Shortcut Pemindah data di Flash Disk
Dalam penyebaran virus di bulan Agustus 2015, Trojan menempati peringkat tertinggi dengan persentasi penyebaran 25 %. Salah satu anggota trojan yang menyebabkan masalah ini adalah Trojan Agent.BLNH yang memiliki ciri khas memindahkan data di Flash Disk.

Flash disk adalah salah satu media yang umum digunakan sebagai alat untuk menyebarkan dirinya dan tentunya tak luput dengan data yang ada di dalamnya (seperti menghapus maupun menyembunyikan file). Ada satu jenis virus yang mempunyai ciri khusus yang tidak dilakukan oleh kebanyakan virus lain, virus ini tidak hanya menyembunyikan file yang ada di flash disk tetapi juga akan memindahkan ke folder yang sudah ditentukan. G Data mendeteksi virus ini dengan nama Trojan.Agent.BLNH.

Trojan.Agent.BLNH adalah salah satu virus yang saat ini cukup cepat penyebaran nya dan termasuk dalam kategori keluarga virus shorcut. (lihat gambar 1)
Gambar 1, hasil deteksi antivirus G Data

Trojan.Agent.BLNH mempunyai varian cukup banyak dengan ukuran file dan nama yang berbeda-beda, walapun demikian virus ini mempunyai metode dan aksi yang sama seperti berusaha mengelabui program antivirus dan memiliki ukuran yang cukup besar di atas rata-rata virus konvensional yang biasanya memiliki ukuran kecil supaya mudah dan cepat disebarkan. Namun hal itu hanya berlaku untuk file yang di drop di PC lokal, sedangkan untuk tugas penyebarkan dirinya, ia akan mengubah dirinya menjadi berukuran 19-24 MB.

Ukuran file induk Trojan.Agent.BLNH juga tergolong cukup besar rata-rata akan mempunyai ukuran di atas 60 MB untuk file virus yang akan di drop pada drive PC lokal , sedangkan file yang akan di drop pada Flash disk akan mempunyai ukuran sekitar 19-23 MB. (lihat gambar 2 dan 3)

Gambar 2, file yang akan di drop oleh Trojan.Agent.BLNH
Gambar 3, beberapa file induk Trojan.Agent.BLNH akan mempunyai ukuran yang berbeda-beda

Lokasi penyimpanan file induk Trojan.BLNH
Setelah Trojan.Agent.BLNH aktif, ia akan membuat file induk di lokasi yang sudah ditentukan dengan ukuran file acak (biasanya akan mempunyai ukuran di atas 50 MB). File inilah yang nantinya akan di jalankan pertama kali pada saat komputer di nyalakan.

Untuk mengetahui apakah komputer anda sudah terinfeksi Trojan.Agent.BLNH, salah satunya dengan menggunakan aplikasi Task Manager Windows atau aplikasi lain nya, Anda akan menemukan sebuah proses dengan nama MSIEXEC.EXE (file ini biasanya digunakan untuk menjalankan file yang mempunyai format .MSI). File inilah yang akan digunakan oleh virus ini untuk menjalankan file induk yang sudah di drop tersebut. (lihat gambar 4)
Gambar 4, Trojan.Agent.BLNH

Jika anda menggunakan tools Process Explorer (https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx) untuk melihat proses yang aktif di memory, anda dapat melihat bahwa file MSIEXEC.EXE tersebut akan menjalankan file Trojan.Agent.LBHN (lihat gambar 5). 
Gambar 5, Proses Trojan.Agent.BLNH yang aktf di memory

Berikut lokasi penyimpanan file induk Trojan.Agent.BLNH

C:\Documents and Settings\All Users\%file acak%.exe (Windows XP/2003)
C:\Users\All Users\%file acak%.exe (Windows Vista/7/8)
C:\ProgramData\%file acak%.exe (Windows Vista/7/8)

Catatan: %file acak% menunjukan nama file acak dengan ekstensi *.exe, file ini juga akan disembunyikan untuk mempersulit penghapusan.

Melindungi dirinya dari pembasmian
Agar file yang sudah di drop tersebut dapat aktif secara otomatis, Trojan.Agent.BLNH akan membuat string registri pada lokasi yang sudah ditentukan. Untuk mempersulit penghapusan registri tersebut, ia akan merubah permission dengan menghilangkan permission “Full control” dan “Read” pada key RUN sehingga anda tidak dapat menghapus string yang sudah dibuat oleh Trojan.Agent.BLNH (lihat gambar 6 dan 7). Tentunya dengan bantuan Vaksincom anda akan mendapatkan petunjuk bagaimana mengembalikan setting yang dirubah oleh malware ini.

Gambar 6, Permission key RUN yang diubah oleh Trojan.Agent.BLNH
Gambar 7, pesan error saat menghapus registry string Trojan.Agent.BLNH

Berikut lokasi registri yang dibuat oleh virus. (lihat gambar 8)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
%nama acak% = C:\ProgramData\%file acak%.exe (Windows Vista/7/8)
%nama acak% = C:\Document and Settings\All Users\%file acak%.exe (Windows XP/2003)
%nama acak% = C:\Users\All Users\%file acak%.exe (Windows Vista/7/8)

Keterangan: 
%nama acak% menunjukan string acak
% file acak% menunjukan nama file acak
Gambar 8, Registri yang dibuat oleh Trojan.Agent.BLNH

Media Penyebaran
Sama seperti kebanyakan virus shortcut yang beredar, mereka akan menggunakan Removable Storage Media (Flash disk/eksternal HDD) untuk menyebarkan dirinya, hal ini juga akan di lakukan oleh Trojan.Agent.BLNH dengan membuat/drop beberapa file yang akan di aktifkan secara otomatis pada saat user mengakses Flash Disk. Untuk mengelabui user sekaligus melancarkan aksinya, Trojan.Agent.BLNH akan menyembunyikan file/folder yang ada pada flash disk tersebut dan sebagai gantinya ia akan membuat file duplikat dengan ekstensi .lnk sesuai dengan nama folder/file yang disembunyikan tersebut. 

Jika kita buka properti dari file .lnk yang dibuat oleh Trojan.Agent.LNH akan mempunyai target untuk menjalankan file yang sudah di drop pada Flash disk tersebut (lihat gambar 3). Ciri khusus lain nya, Tojan.Agent.BLNH juga akan membuat sebuat shortcut sesuai dengan nama Removable storage tersebut sebagai sarana untuk mengelabui user (contohnya, jika Flash Disk tersebut mempunyai nama WOKO maka Trojan.Agent.BLNH akan membuat sebuat shortcut dengan nama WOKO.lnk (link file palsu ini akan mempunyai icon HDD), jika WOKO.lnk dijalankan maka akan menjalankan file virus yang sudah di drop pada Flash disk tersebut (lihat gambar 9 dan 10)
Gambar 9, Icon HDD palsu yang dibuat oleh Agent.BLNH
Gambar 10, properties file .lnk yang dibuat oleh Trojan.Agent.BLNH

Adapun file yang akan di drop pada Removable storage media dengan ukuran yang berbeda-beda adalah :

%file acak%.bak
%file acak% (dengan ekstensi acak)
Desktop.ini
Indexer Volume Guid

Memindahkan File/Folder 
Seperti yang sudah diinformasikan di atas, bahwa Trojan.Agent.BLNH ini akan menyembunyikan file/folder yang ada pada removable media storage (flash disk/eksternal hdd), bukan cuma itu saja Trojan.Agent.BLNH juga akan memindahkan file/folder tersebut kedalam folder kosong (folder ini akan disembunyikan) yang sudah di siapkan.

Cara membersihkan Trojan.Agent.LBNH secara manual

DISCLAIMER !!!
Petunjuk ini diberikan oleh Vaksincom secara gratis untuk membantu para korban Trojan.Agent.BLNH dan pengetesan dilakukan atas sampel-sampel yang masuk ke Laboratorium Virus Vaksincom dan berjalan dengan baik.
Namun, tidak tertutup kemungkinan adanya varian lain yang memiliki karakter berbeda dari malware ini. Untuk menjalankan petunjuk ini anda diperlukan kemampuan sedang dan cukup menguasai perubahan sistem registri dan sistem konfigurasi lain di Microsoft Windows. Ada kemungkinan kesalahan yang bisa menyebabkan sistem Microsoft tidak bekerja dengan baik. Karena itu jika anda tidak yakin akan langkah yang disarankan Vaksincom menyarankan untuk tidak mengikuti langkah Vaksincom dan silahkan menghubungi vendor antivirus anda untuk mendapatkan solusi. Sebelum menjalankan langkah yang disarankan sebaikna backup dahulu data penting anda.
Semua resiko mengikuti petunjuk ini adalah tanggung jawab anda dan Vaksincom tidak bertanggung jawab atas kerugian langsung atau ditak langsung yang diakibatkan oleh kesalahan mengikuti petunjuk ini.

  • Matikan proses virus dengan nama MSIEXEC.EXE yang aktif di memori. Untuk mematikan proses virus ini anda dapat menggunakan Task Manager atau tools lain seperti Process Explorer.
Gambar 11, mematikan proses virus yang aktif di memori

Hapus file induk yang dibuat oleh virus. Sebelum menghapus file tersebut, anda tampilkan terlebih dahulu file yang di sembunyikan dengan memilih opsi “Show hidden files, folders and drives” dan menghilangkan tanda centang pada opsi “Hide protected operating system files (Recommended)” (lihat gambar 12)
Gambar 12, Menampilkan file yang tersembunyi

Kemudian hapus file yang ada di direktori berikut:
  • C:\Documents and Settings\All Users\%file acak%.exe (Windows XP/2003)
  • C:\User\All Users\%file acak%.exe (Windows Vista/7/8)
  • C:\ProgramData (Windows Vista/7/8)
  • Hapus file duplikat (.lnk) dan file file induk yang ada di flash disk
  • Hapus registry yang dibuat oleh virus: 
    - Klik [Start]
    - Klik RUN 
    - Pada dialog box RUN ketik REGEDIT.exe kemudian klik tombol [OK]
    - Kemudian akses ke registri
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

    Kemudian hapus string berikut :
    %nama acak% = C:\ProgramData\%file acak%.exe (Windows Vista/7/8)
    %nama acak% = C:\Document and Settings\All Users\%file acak%.exe (Windows XP/2003)
    %nama acak% = C:\Users\All Users\%file acak%.exe (Windows Vista/7/8)

    Keterangan: 
    %string acak% menunjukan string acak
    % file acak% menunjukan nama file acak
Catatan:
Sebelum menghapus string registri tersebut, anda ubah terlebih dahulu permission key tersebut agar dapat menghapus string yang sudah dibuat oleh virus. Caranya :

Pada registry editor, klik kanan pada menu RUN
Kemudian pilih [Permission..] (lihat gambar 14)
Gambar 14, Merubah permission registri

Kemudian pada layar “Permission for Run”, centang pada opsi “Full Control” dan “Read” pada kolom “Allow”, kemudian klik tombol [OK] (lihat gambar 15)
Gambar 15, Merubah permission registri

Tampilkan file yang disembunyikan pada flash disk dengan mengetik perintah ATTRIB -s -r -h /s /d pada aplikasi DOS PROMPT
Gambar 16, menampilkan file yang disembunyikan pada flash disk

Untuk pembersihan optimal, silahkan scan dengan menggunakan antivirus yang up-to-date
Salam,

AJ Tau
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: