W32/Obfuscated.J (Trojan.Downloader2.25378) Trojan proaktif yang jangan dijadikan karyawan

03.21
Andai saja ada calon karyawan yang memiliki spesifikasi seperti Trojan W32/Obfuscated.J. Dijamin banyak perusahaan yang berlomba-lomba untuk mepekerjakan karyawan tersebut dan karyawan tersebut kalau bekerja di KFC dijamin setiap bulan akan muncul fotonya sebagai Karyawan Teladan. Bagaimana tidak ? Trojan ini memiliki kebiasaan :
  1. Selalu berkoordinasi dengan kantor pusatnya (alias selalu menghubungi server pusat komando Trojan untuk mendownload trojan baru).
  2. Memiliki sifat terbuka alias aktif membuka port-port komputer yang di infeksinya.
  3. Supel dalam pergaulan, dimana setelah menginfeksi komputer ia akan mengundang teman-temannya virus lain dan mendownloadkan ke komputer yang di infeksinya.
  4. Memangkas birokrasi, dimana ia akan melumpuhkan firewall komputer yang diinfeksinya.
  5. Memanfaatkan sumberdaya distribusi yang secara efektif dimana ia akan memanfaatkan jaringan baik intranet dan internet secara optimal dalam menyebarkan dirinya.
Tetapi sayangnya sifat ini bukan sifat yang dimiliki oleh calon karyawan melainkan Trojan Obfuscated, karena itu Vaksincom tidak menyarankan anda pengguna komputer untuk mempekerjakan karya... virus ini.

Serangan virus dari mancanegara masih menjadi dominan di Indonesia, jika kemarin kita masih dibuat sibuk oleh sekumpulan virus yang menggunakan celah shortcut (LNK) seperti Stuxnet, Ramnit dan Webmoner, kini makin banyak bermunculan berbagai macam varian dari virus/trojan berbahaya dan worm jaringan yang akan membuat komputer anda menjadi lambat dan tentunya mengganggu pekerjaan anda.

Bagi anda para pengguna komputer dan internet di Indonesia, harap berhati-hati karena sejak akhir Januari 2011 hingga saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan trojan ini, dan salah satu varian baru yang terdeteksi oleh Norman sebagai W32/Obfuscated.j (Dr Web mendeteksi sebagai Trojan.Downloader2.25378). lihat gambar 1 di bawah
Gambar 1, Norman mendeteksi varian baru dari W32/Obfuscated

Keluarga trojan Obfuscated
Trojan Obfuscated (Norman) atau sering disebut Rimecud (McAfee, Microsoft) atau Palevo (Symantec, Kaspersky), sedangkan Dr.Web mendeteksi sebagai Trojan.Downloader, merupakan salah satu kelompok trojan yang mampu mengganggu system komputer dalam jaringan dan mencoba memanipulasi system yang ada dalam jaringan. Salah satu aksi yang mengganggu dari trojan ini adalah melakukan broadcast internet dan membuat komputer menjadi lambat.

Trojan Obfuscated ditemukan sejak tahun 2009, dan hingga kini sudah berbagai varian macam Obfuscated yang beredar. Salah satu varian terbaru dari Obfuscated yang terdeteksi yaitu W32/Obfuscated.J.

Gejala & Efek Virus
Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :

  • Aktif menggunakan file program Visual Basic
Aksi virus mudah diketahui oleh pengguna komputer, trojan W32/Obfuscated.J berusaha aktif dan berjalan menggunakan file program Visual Basic (walaupun pengguna tidak memiliki program Visual Basic di komputer). Dengan banyak-nya file program tersebut yang berjalan, trojan W32/Obfuscated.J dapat dengan mudah melakukan infeksi, membaca aktivitas pengguna serta melakukan koneksi pada Remote Server. (lihat gambar 2)
Gambar 2, Proses trojan yang aktif menggunakan banyak file program Visual Basic

  • Membuat komputer menjadi hang (explorer error)
Saat komputer dinyalakan pertama kali dan login, Windows Explorer akan terasa lambat (hang) akibat aktivitas dari trojan yang mencoba menjalankan banyak file trojan. Dengan melakukan hal tersebut, pengguna komputer akan merasa terganggu dan tidak nyaman menggunakan komputer. Terkadang hal ini membuat akibat fatal pada Windows Explorer yang menjadi error. (lihat gambar 3)

Gambar 3, Windows Explorer menjadi error

  • Melakukan koneksi ke Remote Server
Trojan W32/Obfuscated.J juga berusaha melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Koneksi ke remote server dilakukan dengan menggunakan beberapa port acak seperti :
  • 112.78.112.208 : 80
  • 216.108.234.10 : 80
  • 218.85.133.201 : 80
  • 72.18.202.18 : 80
  • 91.213.29.141 : 80
  • 91.213.29.147 : 80
  • 123.183.217.32 : 5943
  • 60.190.223.125 : 6943

Selain itu, trojan akan membuka berbagai macam port seperti : (lihat gambar 4)
1053, 1055, 2290, 2291, 2292, 2294, 2386, 2397, 2398, 2400 s/d 2490
Gambar 4, Proses trojan yang melakukan koneksi ke remote server

  • Mendownload file agar tetap terupdate
Untuk mempermudah aksi-nya melakukan infeksi komputer, trojan W32/Obfuscated.J juga melakukan download beberapa file tertentu dari Remote Server yang bertujuan agar virus/trojan tetap terupdate dan tidak mudah dikenali oleh antivirus.

  • Melakukan transfer informasi yang telah didapatkan ke Remote Server
Hal yang perlu diperhatikan dari trojan W32/Obfuscated.J adalah kemampuan mengirimkan informasi dari pengguna komputer yang sudah terinfeksi ke remote server. Hal ini sangat membahayakan jika yang dikirim adalah informasi mengenai sistem komputer yang ada dalam jaringan. (lihat gambar 5)
Gambar 5, Proses trojan yang mengirim informasi paket data ke remote server

  • Mematikan Windows Firewall
Salah satu usaha agar dapat menggunakan berbagai macam port untuk melakukan koneksi ke remote server yaitu dengan mematikan fitur Windows Firewall pada komputer. Dengan begitu maka trojan dapat mudah melakukan koneksi setiap saat. (lihat gambar 6)
Gambar 6, Windows Explorer menjadi error

File trojan W32/Obfuscated.J
File utama trojan W32/Obfuscated.J dibuat menggunakan bahasa pemrograman C. Penggunaan C sebagai bahasa pemrograman secara tidak langsung menunjukkan “kasta” virus ini masuk dalam tingkatan tinggi, sebagai gambaran, virus lokal di Indonesia pada umumnya menggunakan bahasa pemrograman (sejuta umat) Visual Basic yang relatif mudah dipelajari tetapi sangat tergantung pada komponen lain seperti MSVBVM60.dll sehingga aktivitasnya akan mudah dilumpuhkan jika komponen yang mengaktifkannya dilumpuhkan.
Berikut ciri-ciri file utama trojan sebagai berikut : (lihat gambar 7)
  • Berukuran 49 kb (tergantung varian yg ditemukan)
  • Type file “application”
  • Icon file “Command Prompt
  • Berekstensi “exe”
  • Lokasi file “C:\WINDOWS\wjdrive32.exe”
Gambar 7, File trojan W32/Obfuscated.J

Selain file utama, trojan W32/Obfuscated.J akan mendownload beberapa file lain yang dibuat menggunakan bahasa pemrograman Visual Basic, yaitu sebagai berikut :
  • C:\WINDOWS\system32\.exe (76 kb)
  • C:\WINDOWS\system32\vyre32.exe (76 kb)

Dan beberapa file trojan lain yaitu :
  • C:\asetup.exe (31 kb)
  • C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\wincache.exe (31 kb)
  • C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (31 kb)
  • C:\Documents and Settings\[UserName]\bnt.exe (51 kb)
  • C:\Documents and Settings\[UserName]\Local Settings\Temp\_co.txt (1 kb)
  • C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (1 kb)
  • C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (1 kb)
  • C:\Windows\System32\browseit.log (0 kb)
  • C:\Windows\System32\umdmgr.exe (61 kb)

Modifikasi Registri
Beberapa modifikasi registri yang dilakukan oleh malware ini adalah sebagai berikut :
  • Menambah Registri
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Microsoft Config Setup = "C:\WINDOWS\wjdrive32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Config Setup = "C:\WINDOWS\wjdrive32.exe"
(Default) = "C:\WINDOWS\system32\.exe"
vyre32 = " C:\WINDOWS\system32\vyre32.exe"
ms0593[1] = " C:\WINDOWS\system32\umdmgr.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Taskman = "C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\wincache.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
12CFG214-K641-12SF-N85P = "C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe"

File-file tersebut berjalan pada start-up Windows, sehingga trojan dapat langsung aktif pada saat komputer dinyalakan.

Metode Penyebaran
Beberapa cara trojan W32/Obfuscated.J melakukan penyebaran yaitu sebagai berikut :
  • Removable drive/disk
Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. Trojan (memanfaatkan celah autoplay) membuat beberapa file agar menginfeksi komputer yaitu :
  1. RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\wincache.exe
  2. RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe

Dengan membuat pada folder RECYCLER, trojan dapat menyebar tanpa diketahui oleh pengguna komputer.

  • Jaringan LAN & internet
Salah satu metode utama yang digunakan untuk melakukan penyebaran yaitu menggunakan jaringan LAN & internet. Dengan melakukan download trojan terbaru dan broadcast informasi dari internet, trojan melakukan penyebaran kepada jaringan LAN melalui port-port tertentu sehingga dengan mudah menginfeksi dan tidak mudah dideteksi oleh antivirus.

Pembersihan Obfuscated :
  1. Putuskan hubungan komputer dari jaringan/internet.
  2. Lakukan pembersihan virus pada mode “safe mode”. Untuk masuk pada mode “safe mode”, tekan tombol F8 pada keyboard saat komputer dinyalakan. (lihat gambar 8)
Gambar 8, Masuk Windows melalui mode “safe mode”

Biarkan Windows berjalan hingga anda dapat login Windows dan mendapatkan konfirmasi penggunaan “safe mode”.

  1. Matikan dan hapus trojan W32/Obfuscated.J
Lakukan langkah-langkah berikut :
  1. Download tools untuk membersihkan trojan W32/Obfuscated.J pada komputer yang belum terinfeksi pada link berikut : (lihat gambar 9)
Dr.Web Cure-It!
Norman Malware Cleaner
Gambar 9, Dr.Web CureIt! mendeteksi W32/Obfuscated.J (trojan.downloader2.25378)

  1. Setelah selesai, kompres file tersebut hingga menjadi file zip.
  2. Kopi file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
  3. Klik kanan file zip tersebut, kemudian klik explore.
  4. Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.
  5. Jika sudah muncul jendela Dr.Web CureIt, klik OK untuk menjalankan dalam mode EPM (Enhanced Protection Mode).
  6. Klik Start untuk memulai Scan, dan klik Yes untuk memulai.
  7. Biarkan hingga proses scan selesai.

  1. Repair registri yang telah dimodifikasi.
Lakukan langkah-langkah berikut :
  • Salin script dibawah ini dengan notepad :
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee 2011

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe

[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Microsoft Config Setup
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, (Default)
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, vyre32
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, MS0593[1]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, Microsoft Config Setup
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Taskman
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, 12CFG214-K641-12SF-N85P

  • Simpan file dengan nama “repair.inf”. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan.
  • Klik kanan file “repair.inf”, kemudian pilih “install”.
  • Restart komputer.

  1. Bersihkan temporary file dari jejak trojan.
Lakukan langkah-langkah berikut :
  1. Klik Menu Start -> Run
  2. Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
  3. Pada drive system (C) klik OK, biarkan proses scan drive.
  4. Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
  5. Tunggu hingga selesai.

  1. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali trojan ini dengan baik.

Previous
Next Post »
0 Komentar