Kalau anda ingin tahu virus apa yang paling memusingkan vendor antivirus di tahun 2009 ini, jawabannya bukan Conficker atau Alman.
Conficker boleh menjadi virus yang paling ditakuti oleh administrator jaringan, tetapi saat ini sudah banyak sekali tools yang disediakan oleh vendor-vendor antivirus bisa membersihkan dan membasmi Conficker dengan tuntas. Dan bisa dipastikan Conficker sudah memasuki masa 'purna bakti' karena patch terhadap RPC Dcom III yang secara efektif menghentikan penyebaran virus ini sudah diimplementasikan secara meluas di kalangan pengguna komputer.
Lain ceritanya dengan virus yang bernama Virut, ia tidak mengandalkan eksploitasi celah keamanan untuk menyebarkan dirinya sehingga tidak ada patch yang dapat menangkalnya (hal inilah yang menyebabkan penyebarannya tidak secepat Conficker). Tetapi jangan anda pandang enteng virus ini, karena Virut termasuk virus yang paling ditakuti oleh vendor antivirus.
Hal ini terbukti dari kehebatannya di mana sampai saat ini tidak ada tools yang mampu mendeteksi dan membasmi virus ini dengan tuntas. Adapun aksi Virut juga bisa membuat jantung administrator copot seperti :
1. Mendisable Windows File Protection yang tujuannya sangat “mulia” (untuk Virut) karena ia ingin menginfeksi seluruh file sistem OS Windows.
2. Menyebarkan dirinya melalui halaman web. HTML, ASP, PHP.
3. Menginfeksi Host file Windows, sehingga ia memiliki kontrol penuh terhadap koneksi internet komputer yang di infeksinya.
4. Melakukan kontak remote ke IRC server.
5. Menjadikan komputer korbannya server zombie untuk mendownload update virus dan perintah lain seperti mendownload master email spam dan menyebarkan ke alamat-alamat yang telah ditentukan.
6. Mendownload virus dan spyware lain untuk di infeksikan ke komputer.
7. Menjadikan komputer korbannya sebagai server spam dengan memanfaatkan IP publik yang dimiliki router komputer sehingga mengakibatkan IP tersebut di ban dan di-blacklist.
8. Mematikan Firewall.
9. Disable share folder supaya sulit dibersihkan secara remote.
10. Inject network driver sehingga jika hostnya dibersihkan akan menyebabkan kelumpuhan akses komputer ke jaringan.
Menurut pengamatan Vaksincom saat ini sangat sulit ditemukan program cleaner untuk membersihkan Virut dengan tuntas. Jika terdeteksi pun, kerusakan atau infeksi yang diakibatkan oleh Virut ini sangat meluas sehingga banyak korban yang memilih melakukan jurus Pasopati, alias format.
Dalam artikel ini, Vaksincom akan menjelaskan secara detail aksi virus dan bagaimana cara membasminya.
Bagi anda para pengguna crack/keygen pada software aplikasi maupun game, sebaiknya harap berhati-hati dikarenakan banyak beberapa program tersebut terindikasi mengandung virus. Jika pada beberapa bulan terakhir ini penyebaran virus yang mampu menginfeksi program executable didominasi oleh virus Alman maupun Sality, kini juga terdapat virus yang memiliki berbagai macam varian yang mampu menginfeksi file executable yaitu “Virut”.
Berbeda denga Sality atau Alman, virus Virut mampu menginfeksi seluruh file system Windows maupun seluruh file executable yang ada pada komputer anda. Dengan kemampuan infeksi tersebut, yang dilengkapi teknik enkripsi dalam menginfeksi file, sangat sulit untuk antivirus mampu melakukan proses pembersihan/clean file secara tepat.
Bahkan masih banyak antivirus yang hanya mampu menghapus file atau mengkarantina file, sehingga file yang terinfeksi virus (termasuk file system Windows) menjadi rusak dan akibat secara umum file tersebut tidak bisa dijalankan dan bahkan menyebabkan Windows tidak berjalan secara normal. Hal ini yang kadang ditemui pada beberapa forum, milis maupun artikel beberapa vendor yang memberikan solusi alternatif untuk di-repair Windows ataupun jalan terakhir format/install ulang.
Norman mendeteksi salah satu varian virus ini sebagai W32/Virut.DG. Norman mendeteksi dan menghapus file virus, serta mampu membersihkan file yang sudah terinfeksi virus.
Karakteristik Virut
Virut merupakan salah satu varian virus yang memiliki kemampuan menginfeksi file executable dalam hal ini EXE dan SCR. Virut merupakan salah satu virus yang muncul sejak tahun 2007 bersamaan dengan munculnya virus Alman dan Sality, hanya saja saat itu penyebarannya tidak terlalu populer dibandingkan Alman.
Di tahun 2009 ini pun, penyebaran Virut bersamaan dengan serangan varian Sality yang menyebar banyak dan mendominasi serangan virus mancanegara di Indonesia. Berbeda dengan Sality dan varian awal Virut sebelumnya, Virut saat ini memiliki berbagai metode yang digunakan baik untuk menginfeksi file maupun untuk melakukan penyebaran virus.
Saat ini, varian Virut tidak hanya menginfeksi file executable (exe dan scr) tetapi juga menginfeksi file web (asp, php, htm) serta host file dan driver. Selain itu, jika anda terhubung internet virut akan menghubungi remote server (IRC server) dan melakukan koneksi ke beberapa alamat server zombie untuk mendownload sekumpulan malware (virus, trojan, spyware).
Dengan terhubung pada beberapa alamat server zombie tersebut, Virut juga mendapatkan akses data IP atau komputer yang akan dijadikan sasaran serangan selanjutnya yaitu SPAM. Dalam hal ini, seandainya komputer kita sudah terinfeksi oleh Virut, tentunya komputer kita sudah menjadi zombie untuk melakukan serangan SPAM sekaligus mengirim virus kepada komputer lain.
Pada beberapa varian, virut mendownload spyware, menggunakan iklan dan popup dengan konten pornografi dan perjudian (casino) maupun iklan komersial lain yang tentunya membuat anda tidak nyaman saat hendak browsing maupun surfing.
Metode Penyebaran
Banyak cara yang coba dilakukan untuk menginfeksi komputer korban. Beberapa hal yang dilakukan yaitu sebagai berikut:
Infeksi pada crack/keygen yang ada pada situs-situs crack. Ini merupakan salah satu cara efektif yang dilakukan pembuat virus. Link-link atau pop-up untuk mendownload file, baik pada situs ataupun pada forum.
Teknologi drive by download yang digunakan untuk menginfeksi komputer anda. Harap berhati-hati saat anda mengakses web-web yang tidak dikenal.
Mengirim e-mail yang disertakan link ataupun attachment tertentu (SPAM). Perhatikan email anda dan jangan hiraukan email-email yang memiliki konten tidak jelas.
File sharing (terutama program executable) pada jaringan. Pada beberapa developer program aplikasi, memilki cara agar program dapat jalan pada jaringan perusahan adalah dengan digunakannya sharing file khususnya sharing full. Hal ini justru menyebabkan serangan virus baik Alman, Sality bahkan Virut dapat leluasa menginfeksi file. Virut menjadikan ini sebagai sasaran utama penyebaran pada perusahaan ataupun pada jaringan korporat.
Karena itu Vaksincom menghimbau kepada para pengembang software untuk memasukkan masalah sekuriti sebagai salah satu faktor yang penting dalam membangun software anda. Salah satunya adalah hindari penggunaan sharing FULL tanpa password karena akan memicu penyebaran virus dan akan mengakibatkan masalah pada aplikasi anda dan jaringan perusahaan yang menggunakan aplikasi anda.
Penggunaan removable drive seperti USB, Card Reader, dan media tulis lainnya. Bagi anda yang biasa menyimpan file executable harap di perhatikan dan di cek selalu untuk menghindari infeksi file pada komputer.
Disable Windows File Protection
Saat pertama kali dijalankan, W32/Virut.DG akan berusaha menginjeksi file Winlogon.exe pada proses system. Dengan menginjeksi file tersebut, virus telah men-disable Windows File Protection (System File Checker). Hal ini dilakukan dengan mengubah/patch file sfc.dll dan sfc_os.dll. Hal ini dilakukan agar mampu menginfeksi seluruh file system Windows dan mempermudah infeksi seluruh file executable (exe dan scr) pada komputer tersebut.
Infeksi File Executable dan File Web
Sama seperti halnya Sality dan Alman, Virut mampu menginfeksi file dalam hal ini file executable yang di infeksi adalah :
* .EXE dengan type file “Application”
* .SCR dengan type file “Screen Saver”
File executable yang telah terinfeksi virus akan bertambah sebesar 22 kb.
Selain menginfeksi file executable, virus juga menginfeksi beberapa file web atau HTML yaitu yang memiliki extention berikut :
* .HTM
* .ASP
* .PHP
Dengan menyisipkan string link alamat server download virus sebelum tag penutup body.
Infeksi File Hosts dan Kontak ke Remote Server (IRC Server)
Untuk mempermudah aksinya mendownload sekumpulan malware dan tetap terkoneksi pada remote server, virus menambahkan script pada header host file. Hal yang sama dilakukan seperti saat menginfeksi file HTML (dengan menambahkan script pada file HTML).
Saat terkoneksi internet, virus melakukan kontak ke remote server/IRC (Internet Relay Chat) menggunakan port 65520. Beberapa IP yang digunakan yaitu :
* 91.212.220.156:65520
* 91.121.221.157:65520
Beberapa IP tersebut memiliki domain sebagai berikut :
* dns2.zief.pl
* nss2.ircgalaxy.pl
* proxim.ircgalaxy.pl
* proxima.ircgalaxy.pl
* sys.zief.pl
* gidromash.cn
* core.ircgalaxy.pl
* jl.chura.pl
Zombie Server (Download Server)
Setelah melakukan kontak, akan dilanjutkan dengan melakukan koneksi pada beberapa server zombie dengan berbagai port untuk mendownload sekumpulan malware. Beberapa IP tersebut diantaranya yaitu :
* 211.95.79.170:80 (HTTP)
* 65.54.82.160
* 218.61.7.9
* 64.4.20.174
* 216.32.90.186
* dll
* 59.30.90.84:3128 (Proxy)
* 77.93.21.45
* 76.31.92.235
* 123.236.125.64
* 93.114.249.122
* dll
* 217.11.54.126:3954 (AD Replication RPC)
* dll
* 66.90.104.13:443 (HTTPS)
* 211.95.79.170
* 216.32.90.186
* dll
Di salah satu server zombie tersebutlah , virus mendapatkan data IP atau komputer yang akan mendapatkan serangan SPAM.
Aksi Virut
Virus akan melakukan serangan SPAM kepada IP-IP yang terdapat pada data komputer pada server zombie. Secara khusus, virus menyerang IP yang menggunakan MX (Mail Exchanger) dengan memiliki account user pada beberapa alamat e-mail, yaitu :
* yahoo.com
* web.de
* hotmail.com
* gmail.com
* aol.com
Fungsi yang Dimatikan
* Windows Firewall dimatikan dan diproteksi. Hal ini dilakukan untuk mencegah akses pengguna komputer mengaktifkan kembali Firewall.
* File aplikasi/executable tidak bisa dijalankan, baik karena ukuran sudah berubah maupun karena telah terinfeksi virus. Biasanya jika anda ingin menjalankan suatu program baik program antivirus ataupun program aplikasi lainnya, akan muncul error saat dijalankan.
* Tidak bisa melakukan share folder ataupun share drive. Hal ini dilakukan untuk mencegah akses share dari komputer lain.
Replace/Inject Network Driver
Salah satu akibat yang ditimbulkan oleh virus ini adalah berusaha menggantikan file network ataupun menginjeksi file tersebut. Driver network yang berusaha digantikan adalah :
* ndis.sys
* TCPIP.sys
Akibat yang ditimbulkan adalah rusaknya driver network walaupun sudah anda re-install driver sehingga komputer tersebut tidak dapat terkoneksi pada jaringan.
File Virus
Varian W32/Virut.DG memiliki beberapa file virus yang diantaranya sebagai berikut :
* C:\Documents and Settings\%user%\reader_s.exe
* C:\Documents and Settings\%user%\%user%.exe
* C:\WINDOWS\fonts\services.exe
* C:\WINDOWS\SoftwareDistribution\Download\[random_folder]\[nama_random].tmp
* C:\WINDOWS\system32\reader_s.exe
* C:\WINDOWS\system32\servises.exe
* C:\WINDOWS\system32\regedit.exe
* C:\WINDOWS\system32\[angka_random].tmp (beberapa file)
* C:\WINDOWS\Temp\VRT[angka_random].tmp (beberapa file)
* C:\WINDOWS\Temp\~TM[angka_random].tmp (beberapa file)
* C:\WINDOWS\Temp\[angka_random].exe (beberapa file)
* C:\WINDOWS\Temp\[nama_acak].dll (beberapa file)
Salah satu file virus menyamarkan dirinya sebagai “PE Explorer”, PE Explorer merupakan salah satu tools yang dibuat oleh perusahaan Heaven Tools.
Registry Windows
Agar dapat aktif pada saat menjalankan Windows, virus membuat string registry pada :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
22951 = C:\WINDOWS\system32\[nama_random].tmp.exe
reader_s = C:\WINDOWS\system32\reader_s.exe
Regedit32 = C:\WINDOWS\system32\regedit.exe
servises = C:\WINDOWS\system32\servises.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run
servises = C:\WINDOWS\system32\servises.exe
exec = C:\WINDOWS\fonts\services.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
reader_s = C:\Documents and Settings\klasnich\reader_s.exe
servises = C:\WINDOWS\system32\servises.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run
servises = C:\WINDOWS\system32\servises.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\ Windows
load = C:\WINDOWS\system32\servises.exe
run = C:\WINDOWS\system32\servises.exe
Agar tidak mudah diidentifikasi oleh user, virus membuat string registry pada :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\NOHIDORSYS
CheckedValue = 0
Selain itu, virus menambahkan dan mengubah string registry pada firewall:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandarProfile\AuthorizedApplications\List
\\??\C:\WINDOWS\system32\winlogon.exe = \\??\C:\WINDOWS\system32\winlogon.exe:*:enabled:@shell32.dll,-1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\ StandardProfile
EnableFirewall = 0
Cara Pembersihan Virus
Matikan System Restore (XP/ME) (pada saat digunakan)
Hapus dan matikan proses virus yang aktif. Gunakan Norman Malware Cleaner untuk mematikan sekaligus menghapus virus. Anda dapat mendownload pada link berikut: http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe
Sebaiknya anda men-download pada komputer yang masih bersih atau simpan file tersebut dengan extension file executable lain seperti com atau cmd.
Sebelum anda menjalankan file Norman Malware Cleaner, sebaiknya ubah terlebih dahulu extension file tersebut menjadi com atau cmd, atau anda kompress file tersebut menjadi zip. Jalankan file yang berada dalam zip atau yang sudah berubah menjadi com atau cmd.
Norman Malware Cleaner mampu menghapus virus, membersihkan file yang terinfeksi virus, serta memperbaiki driver yang terinfeksi. Setelah selesai proses pembersihan, disarankan segera restart komputer.
Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Gendong Virut Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001, 1
HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile, EnableFirewall, 0x00010001, 1
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, servises
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, load
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, servises
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 22951
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Regedit32
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS
HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandarProfile\AuthorizedApplications\List, \\??\C:\WINDOWS\system32\winlogon.exe
HKLM, SOFTWARE\Policies\Microsoft\WindowsFirewall
Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Sebagai antisipasi jika masih belum bisa terkoneksi dalam jaringan atau network drive masih error, sebaiknya replace driver network yaitu file “ndis.sys” (berukuran 179 kb) dan “TCPIP.SYS” (berukuran 351 kb) dari komputer yang belum terinfeksi. Biasanya file tersebut berada pada C:\WINDOWS\system32\driver dan C:\WINDOWS\system32\dllcache
Kembalikan hosts file yang sudah terinfeksi. Replace file “hosts” (berukuran 1 kb) dari komputer yang belum terinfeksi. Biasanya berada pada C:\WINDOWS\system32\driver\etc. Anda bisa juga menggunakan tools perubah hosts file yaitu “HostsXpert”. Anda dapat mendownload pada link berikut: http://www.funkytoad.com/download/HostsXpert.zip
Pada hostsxpert anda dapat me-restore kembali hosts file seperti semula. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan dapat mendeteksi dan membasmi virus ini dengan baik.