Menghalau Win32.HLLW.Autoruner1.4721
Diakhir tahun ini, setelah hebohya ramnit (virus yang masih sangat populer saat ini, karena proses pembersihannya agak ribet menurut beberapa orang), sekarang muncul virus baru yang saya rasa tidak kalah hebat dan efek kerusakan yang ditimbulkannya, masalah populer atau tidaknya mari kita lihat saja kedepannya. Posting ini sekaligus menjawab komentar pengunjung pada komentar ini. Mari kita lihat cara kerja virus Win32.HLLW.Autoruner1.4721 ini.
Untuk memastikan autorun dan penyebarannya:
Melakukan modifikasi registry key berikut:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ‘Windows Help’ = ‘<SYSTEM32>\wmpht32.exe’
Membuat file berikut di removable media/flashdisk:
- abh48.lnk
- abh47.lnk
- Autorun.inf
- DrvRom.{645FF040-5081-101B-9F08-00AA002F954E}\drvrom-x426969.x32
- h.cpl
- ~drvmon32.exe
- abh46.lnk
- abh45.lnk
Fungsi virus:
Untuk membypass firewall, virus akan membuang atau modifikasi registry keys di bawah:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] ‘<SYSTEM32>\wmpht32.exe’ = ‘<SYSTEM32>\wmpht32.exe:*:Enabled:Windows Help’
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] ‘<SYSTEM32>\wmpht32.exe’ = ‘<SYSTEM32>\wmpht32.exe:*:Enabled:Windows Help’
Menciptakan dan mengeksekusi file berikut
- <SYSTEM32>\wmpht32.exe <Full path to virus>
Menyuntikkan/injeksi kode ke system/proses berikut
- %WINDIR%\Explorer.EXE
Melakukan pencarian di windows untuk mendeteksi analytical utilities:
- ClassName: ‘PROCMON_WINDOW_CLASS’ WindowName: ‘Process Monitor – Sysinternals: www.sysinternals.com’
Mendeteksi programs dan game:
- ClassName: ‘gdkWindowToplevel’ WindowName: ‘The Wireshark Network Analyzer’
Menyembunyikan proses berikut:
- <Full path to virus>
- <SYSTEM32>\wmpht32.exe
Memodifikasi file system :
Membuat file di bawah:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\3×1[1].zip
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\qdat01[1].txt
- <SYSTEM32>\wmpht32.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\3×1[1].zip
Menyembunyikan/hidden file berikut:
- <Drive name for removable media>:\h.cpl
- <SYSTEM32>\wmpht32.exe
Menghapus file dibawah:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\3×1[1].zip
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\3×1[1].zip
Menghapus diri.
Network activity/aktivitas jaringan yang dilakukan:
Melakukan koneksi ke:
- ‘s3#.##telaids.su’:6104
- ‘s2#.##telaids.su’:5213
- ’14#.#48.35.28′:80
- ‘s1#.##telaids.su’:4619
- ‘vp####.#ntelbackupsvc.su’:80
- ‘s7#.##telblog.su’:4001
- ‘s6#.##telblog.su’:4999
TCP:
HTTP GET requests:
- 14#.#48.35.28/awstats/qdat01.txt
- vp####.#ntelbackupsvc.su/net/3×1.zip
UDP:
- DNS ASK s1#.##telaids.su
- DNS ASK s3#.##telaids.su
- DNS ASK s2#.##telaids.su
- DNS ASK s6#.##telblog.su
- DNS ASK vp####.#ntelbackupsvc.su
- DNS ASK s7#.##telblog.su
- ‘<Private IP address>’:1039
Lain-lain:
Melakukan pencarian di windows:
- ClassName: ‘TCPViewClass’ WindowName: ”
- ClassName: ‘#32770′ WindowName: ‘Regshot 1.8.2′
- ClassName: ‘PROCEXPL’ WindowName: ”
- ClassName: ‘CNetmonMainFrame’ WindowName: ‘Microsoft Network Monitor 3.3′
- ClassName: ‘SmartSniff’ WindowName: ‘SmartSniff’
- ClassName: ‘CurrPorts’ WindowName: ‘CurrPorts’
Sebagai langkah pencegahan inveksi virus tersebut, pastikan update anti virus anda, saya sarankan menggunakan Kaspersky. Jika tidak, tool freeware dari Dr.web ini mengklaim dapat melakukan pembersihan virus tersebut, silahkan download , untuk perbaikan registry silahkan scan dengan smadav. Penting: Untuk melakukan pembersihan “Reboot Windows in Safe Mode”
Komentar Terakhir