jump to navigation

Virut, Biang Keladi Banjir Spam September 10, 2009

Posted by haniki in ilmu.
Tags: , , , , , ,
trackback

Kalau anda ingin tahu virus apa yang paling memusingkan vendor antivirus di tahun 2009 ini, jawabannya bukan Conficker atau Alman.

Conficker boleh menjadi virus yang paling ditakuti oleh administrator jaringan, tetapi saat ini sudah banyak sekali tools yang disediakan oleh vendor-vendor antivirus bisa membersihkan dan membasmi Conficker dengan tuntas. Dan bisa dipastikan Conficker sudah memasuki masa ‘purna bakti’ karena patch terhadap RPC Dcom III yang secara efektif menghentikan penyebaran virus ini sudah diimplementasikan secara meluas di kalangan pengguna komputer.

Lain ceritanya dengan virus yang bernama Virut, ia tidak mengandalkan eksploitasi celah keamanan untuk menyebarkan dirinya sehingga tidak ada patch yang dapat menangkalnya (hal inilah yang menyebabkan penyebarannya tidak secepat Conficker). Tetapi jangan anda pandang enteng virus ini, karena Virut termasuk virus yang paling ditakuti oleh vendor antivirus.


File yang terinfeksi Virut (vaksincom)

Hal ini terbukti dari kehebatannya di mana sampai saat ini tidak ada tools yang mampu mendeteksi dan membasmi virus ini dengan tuntas. Adapun aksi Virut juga bisa membuat jantung administrator copot seperti :

1. Mendisable Windows File Protection yang tujuannya sangat “mulia” (untuk Virut) karena ia ingin menginfeksi seluruh file sistem OS Windows.
2. Menyebarkan dirinya melalui halaman web. HTML, ASP, PHP.
3. Menginfeksi Host file Windows, sehingga ia memiliki kontrol penuh terhadap koneksi internet komputer yang di infeksinya.
4. Melakukan kontak remote ke IRC server.
5. Menjadikan komputer korbannya server zombie untuk mendownload update virus dan perintah lain seperti mendownload master email spam dan menyebarkan ke alamat-alamat yang telah ditentukan.
6. Mendownload virus dan spyware lain untuk di infeksikan ke komputer.
7. Menjadikan komputer korbannya sebagai server spam dengan memanfaatkan IP publik yang dimiliki router komputer sehingga mengakibatkan IP tersebut di ban dan di-blacklist.
8. Mematikan Firewall.
9. Disable share folder supaya sulit dibersihkan secara remote.
10. Inject network driver sehingga jika hostnya dibersihkan akan menyebabkan kelumpuhan akses komputer ke jaringan.

Menurut pengamatan Vaksincom saat ini sangat sulit ditemukan program cleaner untuk membersihkan Virut dengan tuntas. Jika terdeteksi pun, kerusakan atau infeksi yang diakibatkan oleh Virut ini sangat meluas sehingga banyak korban yang memilih melakukan jurus Pasopati, alias format.

Dalam artikel ini, Vaksincom akan menjelaskan secara detail aksi virus dan bagaimana cara membasminya.

Bagi anda para pengguna crack/keygen pada software aplikasi maupun game, sebaiknya harap berhati-hati dikarenakan banyak beberapa program tersebut terindikasi mengandung virus. Jika pada beberapa bulan terakhir ini penyebaran virus yang mampu menginfeksi program executable didominasi oleh virus Alman maupun Sality, kini juga terdapat virus yang memiliki berbagai macam varian yang mampu menginfeksi file executable yaitu “Virut”.

Berbeda denga Sality atau Alman, virus Virut mampu menginfeksi seluruh file system Windows maupun seluruh file executable yang ada pada komputer anda. Dengan kemampuan infeksi tersebut, yang dilengkapi teknik enkripsi dalam menginfeksi file, sangat sulit untuk antivirus mampu melakukan proses pembersihan/clean file secara tepat.

Bahkan masih banyak antivirus yang hanya mampu menghapus file atau mengkarantina file, sehingga file yang terinfeksi virus (termasuk file system Windows) menjadi rusak dan akibat secara umum file tersebut tidak bisa dijalankan dan bahkan menyebabkan Windows tidak berjalan secara normal. Hal ini yang kadang ditemui pada beberapa forum, milis maupun artikel beberapa vendor yang memberikan solusi alternatif untuk di-repair Windows ataupun jalan terakhir format/install ulang.

Norman mendeteksi salah satu varian virus ini sebagai W32/Virut.DG. Norman mendeteksi dan menghapus file virus, serta mampu membersihkan file yang sudah terinfeksi virus.

Karakteristik Virut

Virut merupakan salah satu varian virus yang memiliki kemampuan menginfeksi file executable dalam hal ini EXE dan SCR. Virut merupakan salah satu virus yang muncul sejak tahun 2007 bersamaan dengan munculnya virus Alman dan Sality, hanya saja saat itu penyebarannya tidak terlalu populer dibandingkan Alman.

Di tahun 2009 ini pun, penyebaran Virut bersamaan dengan serangan varian Sality yang menyebar banyak dan mendominasi serangan virus mancanegara di Indonesia. Berbeda dengan Sality dan varian awal Virut sebelumnya, Virut saat ini memiliki berbagai metode yang digunakan baik untuk menginfeksi file maupun untuk melakukan penyebaran virus.

Saat ini, varian Virut tidak hanya menginfeksi file executable (exe dan scr) tetapi juga menginfeksi file web (asp, php, htm) serta host file dan driver. Selain itu, jika anda terhubung internet virut akan menghubungi remote server (IRC server) dan melakukan koneksi ke beberapa alamat server zombie untuk mendownload sekumpulan malware (virus, trojan, spyware).

Dengan terhubung pada beberapa alamat server zombie tersebut, Virut juga mendapatkan akses data IP atau komputer yang akan dijadikan sasaran serangan selanjutnya yaitu SPAM. Dalam hal ini, seandainya komputer kita sudah terinfeksi oleh Virut, tentunya komputer kita sudah menjadi zombie untuk melakukan serangan SPAM sekaligus mengirim virus kepada komputer lain.

Pada beberapa varian, virut mendownload spyware, menggunakan iklan dan popup dengan konten pornografi dan perjudian (casino) maupun iklan komersial lain yang tentunya membuat anda tidak nyaman saat hendak browsing maupun surfing.

Metode Penyebaran

Banyak cara yang coba dilakukan untuk menginfeksi komputer korban. Beberapa hal yang dilakukan yaitu sebagai berikut:

Infeksi pada crack/keygen yang ada pada situs-situs crack. Ini merupakan salah satu cara efektif yang dilakukan pembuat virus. Link-link atau pop-up untuk mendownload file, baik pada situs ataupun pada forum.

Teknologi drive by download yang digunakan untuk menginfeksi komputer anda. Harap berhati-hati saat anda mengakses web-web yang tidak dikenal.

Mengirim e-mail yang disertakan link ataupun attachment tertentu (SPAM). Perhatikan email anda dan jangan hiraukan email-email yang memiliki konten tidak jelas.

File sharing (terutama program executable) pada jaringan. Pada beberapa developer program aplikasi, memilki cara agar program dapat jalan pada jaringan perusahan adalah dengan digunakannya sharing file khususnya sharing full. Hal ini justru menyebabkan serangan virus baik Alman, Sality bahkan Virut dapat leluasa menginfeksi file. Virut menjadikan ini sebagai sasaran utama penyebaran pada perusahaan ataupun pada jaringan korporat.

Karena itu Vaksincom menghimbau kepada para pengembang software untuk memasukkan masalah sekuriti sebagai salah satu faktor yang penting dalam membangun software anda. Salah satunya adalah hindari penggunaan sharing FULL tanpa password karena akan memicu penyebaran virus dan akan mengakibatkan masalah pada aplikasi anda dan jaringan perusahaan yang menggunakan aplikasi anda.

Penggunaan removable drive seperti USB, Card Reader, dan media tulis lainnya. Bagi anda yang biasa menyimpan file executable harap di perhatikan dan di cek selalu untuk menghindari infeksi file pada komputer.

Disable Windows File Protection

Saat pertama kali dijalankan, W32/Virut.DG akan berusaha menginjeksi file Winlogon.exe pada proses system. Dengan menginjeksi file tersebut, virus telah men-disable Windows File Protection (System File Checker). Hal ini dilakukan dengan mengubah/patch file sfc.dll dan sfc_os.dll. Hal ini dilakukan agar mampu menginfeksi seluruh file system Windows dan mempermudah infeksi seluruh file executable (exe dan scr) pada komputer tersebut.

Infeksi File Executable dan File Web

Sama seperti halnya Sality dan Alman, Virut mampu menginfeksi file dalam hal ini file executable yang di infeksi adalah :

* .EXE dengan type file “Application”
* .SCR dengan type file “Screen Saver”

File executable yang telah terinfeksi virus akan bertambah sebesar 22 kb.

Selain menginfeksi file executable, virus juga menginfeksi beberapa file web atau HTML yaitu yang memiliki extention berikut :

* .HTM
* .ASP
* .PHP

Dengan menyisipkan string link alamat server download virus sebelum tag penutup body.

Infeksi File Hosts dan Kontak ke Remote Server (IRC Server)

Untuk mempermudah aksinya mendownload sekumpulan malware dan tetap terkoneksi pada remote server, virus menambahkan script pada header host file. Hal yang sama dilakukan seperti saat menginfeksi file HTML (dengan menambahkan script pada file HTML).

Saat terkoneksi internet, virus melakukan kontak ke remote server/IRC (Internet Relay Chat) menggunakan port 65520. Beberapa IP yang digunakan yaitu :

* 91.212.220.156:65520
* 91.121.221.157:65520

Beberapa IP tersebut memiliki domain sebagai berikut :

* dns2.zief.pl
* nss2.ircgalaxy.pl
* proxim.ircgalaxy.pl
* proxima.ircgalaxy.pl
* sys.zief.pl
* gidromash.cn
* core.ircgalaxy.pl
* jl.chura.pl

Zombie Server (Download Server)

Setelah melakukan kontak, akan dilanjutkan dengan melakukan koneksi pada beberapa server zombie dengan berbagai port untuk mendownload sekumpulan malware. Beberapa IP tersebut diantaranya yaitu :

* 211.95.79.170:80 (HTTP)
* 65.54.82.160
* 218.61.7.9
* 64.4.20.174
* 216.32.90.186
* dll

* 59.30.90.84:3128 (Proxy)
* 77.93.21.45
* 76.31.92.235
* 123.236.125.64
* 93.114.249.122
* dll

* 217.11.54.126:3954 (AD Replication RPC)
* dll

* 66.90.104.13:443 (HTTPS)
* 211.95.79.170
* 216.32.90.186
* dll

Di salah satu server zombie tersebutlah , virus mendapatkan data IP atau komputer yang akan mendapatkan serangan SPAM.

(Bersambung)

Penulis Adi Saputra, adalah analis antivirus di Vaksincom.

Comments»

No comments yet — be the first.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: