W32/Virut.DG
Ini dia biang keladinya banjir SPAM
Kalau anda ingin tahu virus apa yang paling memusingkan vendor antivirus di tahun 2009 ini, jawabannya bukan Conficker atau Alman. Conficker boleh menjadi virus yang paling di takuti oleh administrator jaringan tetapi saat ini sudah banyak sekali tools yang disediakan oleh vendor-vendor antivirus bisa membersihkan dan membasmi Conficker dengan tuntas dan bisa dipastikan Conficker sudah memasuki masa “purna bakti” :P karena patch terhadap RPC Dcom III yang secara efektif menghentikan penyebaran virus ini sudah di implementasikan secara meluas di kalangan pengguna komputer. Lain ceritanya dengan virus yang bernama Virut, ia tidak mengandalkan eksploitasi celah keamanan untuk menyebarkan dirinya sehingga tidak ada patch yang dapat menangkalnya (hal inilah yang menyebabkan penyebarannya tidak secepat Conficker) tetapi jangan anda pandang enteng virus ini, karena Virut termasuk virus yang paling ditakuti oleh vendor antivirus. Hal ini terbukti dari kehebatannya dimana sampai saat ini tidak ada tools yang mampu mendeteksi dan membasmi virus ini dengan tuntas. Adapun aksi Virut juga bisa membuat jantung administrator copot seperti :
- Mendisable Windows File Protection yang tujuannya sangat “mulia” (untuk Virut) karena ia ingin menginfeksi seluruh file sistem OS Windows.
- Menyebarkan dirinya melalui halaman web. HTML, ASP, PHP.
- Menginfeksi Host file Windows, sehingga ia memiliki kontrol penuh terhadap koneksi internet komputer yang di infeksinya.
- Melakukan kontak remote ke IRC server.
- Menjadikan komputer korbannya server zombie untuk mendownload update virus dan perintah lain seperti mendownload master email spam dan menyebarkan ke alamat-alamat yang telah ditentukan.
- Mendownload virus dan spyware lain untuk di infeksikan ke komputer.
- Menjadikan komputer korbannya sebagai server spam dengan memanfaatkan IP publik yang dimiliki router komputer sehingga mengakibatkan IP tersebut di ban dan di blacklist.
- Mematikan Firewall.
- Disable share folder supaya sulit dibersihkan secara remote.
- Inject network driver sehingga jika hostnya dibersihkan akan menyebabkan kelumpuhan akses komputer ke jaringan.
Menurut pengamatan Vaksincom saat ini sangat sulit ditemukan program cleaner untuk membersihkan Virut dengan tuntas dan jika terdeteksipun, kerusakan / infeksi yang diakibatkan oleh Virut ini sangat meluas sehingga banyak korban yang memilih melakukan jurus Pasopati, alias format. Dalam artikel ini, Vaksincom akan menjelaskan secara detail aksi virus dan bagaimana cara membasminya.
Bagi anda para pengguna crack/keygen pada software aplikasi maupun game, sebaiknya harap berhati-hati dikarenakan banyak beberapa program tersebut terindikasi mengandung virus. Jika pada beberapa bulan terakhir ini penyebaran virus yang mampu menginfeksi program executable di dominasi oleh virus Alman maupun Sality, kini juga terdapat virus yang memiliki berbagai macam varian yang mampu menginfeksi file executable yaitu “Virut”. Berbeda denga Sality atau Alman, virus Virut mampu menginfeksi seluruh file system Windows maupun seluruh file executable yang ada pada komputer anda. Dengan kemampuan infeksi tersebut yang dilengkapi teknik enkripsi dalam menginfeksi file, sangat sulit untuk antivirus mampu melakukan proses pembersihan/clean file secara tepat. Bahkan masih banyak antivirus yang hanya mampu menghapus file atau mengkarantina file, sehingga file yang terinfeksi virus (termasuk file system Windows) menjadi rusak dan akibat secara umum file tersebut tidak bisa dijalankan dan bahkan menyebabkan Windows tidak berjalan secara normal. Hal ini yang kadang ditemui pada beberapa forum, milis maupun artikel beberapa vendor yang memberikan solusi alternatif untuk di repair Windows ataupun jalan terakhir format/install ulang.
Norman mendeteksi salah satu varian virus ini sebagai W32/Virut.DG. Norman mendeteksi dan menghapus file virus, serta mampu membersihkan file yang sudah terinfeksi virus. (lihat gambar 1)
Gambar 1, Norman mendeteksi salah satu varian yaitu W32/Virut.DG
Karakteristik Virut…
Virut merupakan salah satu varian virus yang memiliki kemampuan menginfeksi file executable dalam hal ini EXE dan SCR. Virut merupakan salah satu virus yang muncul sejak tahun 2007 bersamaan dengan munculnya virus Alman dan Sality, hanya saja saat itu penyebarannya tidak terlalu populer dibandingkan Alman. Di tahun 2009 ini pun, penyebaran Virut bersamaan dengan serangan varian Sality yang menyebar banyak dan mendominasi serangan virus mancanegara di Indonesia. Berbeda dengan Sality dan varian awal Virut sebelumnya, Virut saat ini memiliki berbagai metode yang digunakan baik untuk menginfeksi file maupun untuk melakukan penyebaran virus.
Saat ini, varian Virut tidak hanya menginfeksi file executable (exe dan scr) tetapi juga menginfeksi file web (asp, php, htm) serta host file dan driver. Selain itu, jika anda terhubung internet virut akan menghubungi remote server (IRC server) dan melakukan koneksi ke beberapa alamat server zombie untuk mendownload sekumpulan malware (virus, trojan, spyware). Dengan terhubung pada beberapa alamat server zombie tersebut, Virut juga mendapatkan akses data IP atau komputer yang akan dijadikan sasaran serangan selanjutnya yaitu SPAM. Dalam hal ini, seandainya komputer kita sudah terinfeksi oleh Virut, tentunya komputer kita sudah menjadi zombie untuk melakukan serangan SPAM sekaligus mengirim virus kepada komputer lain. Pada beberapa varian, virut mendownload spyware, menggunakan iklan dan popup dengan konten pornografi dan perjudian (casino) maupun iklan komersial lain yang tentunya membuat anda tidak nyaman saat hendak browsing maupun surfing.
Metode Penyebaran…
Banyak cara yang coba dilakukan untuk menginfeksi komputer korban. Beberapa hal yang dilakukan yaitu sebagai berikut :
- Infeksi pada crack/keygen yang ada pada situs-situs crack. Ini merupakan salah satu cara efektif yang dilakukan pembuat virus.
- Link-link atau pop-up untuk mendownload file, baik pada situs ataupun pada forum. Teknologi drive by download yang digunakan untk menginfeksi komputer anda. Harap berhati-hati saat anda mengakses web-web yang tidak dikenal.
- Mengirim e-mail yang disertakan link ataupun attachment tertentu (SPAM). Perhatikan email anda danjangan hiraukan email-email yang memiliki konten tidak jelas.
- File sharing (terutama program executable) pada jaringan. Pada beberapa developer program aplikasi, memilki cara agar program dapat jalan pada jaringan perusahan adalah dengan digunakannya sharing file khususnya sharing full. Hal ini justru menyebabkan serangan virus baik Alman, Sality bahkan Virut dapat leluasa menginfeksi file. Virut menjadikan ini sebagai sasaran utama penyebaran pada perusahaan ataupun pada jaringan korporat. Karena itu Vaksincom menghimbau kepada para pengembang software untuk memasukkan masalah sekuriti sebagai salah satu faktor yang penting dalam membangun software anda. Salah satunya adalah hindari penggunaan sharing FULL tanpa password karena akan memicu penyebaran virus dan akan mengakibatkan masalah pada aplikasi anda dan jaringan perusahaan yang menggunakan aplikasi anda.
- Penggunaan removable drive seperti USB, Card Reader, dan media tulis lainnya. Bagi anda yang biasa menyimpan file executable harap di perhatikan dan di cek selalu untuk menghindari infeksi file pada komputer.
Disable Windows File Protection…
Saat pertama kali dijalankan, W32/Virut.DG akan berusaha menginjeksi file Winlogon.exe pada proses system. Dengan menginjeksi file tersebut, virus telah mendisable Windows File Protection (System File Checker). Hal ini dilakukan dengan mengubah/patch file sfc.dll dan sfc_os.dll. Hal ini dilakukan agar mampu menginfeksi seluruh file system Windows dan mempermudah infeksi seluruh file executable (exe dan scr) pada komputer tersebut. (lihat gambar 2)
Gambar 2, Fitur Windows File Protection yang didisable oleh Virut
Infeksi File Executable…
Sama seperti halnya Sality dan Alman, Virut mampu menginfeksi file dalam hal ini file executable yang di infeksi adalah :
- .EXE dengan type file “Application”
- .SCR dengan type file “Screen Saver”
File executable yang telah terinfeksi virus akan bertambah sebesar 22 kb.
Infeksi File Web…
Selain menginfeksi file executable, virus juga menginfeksi beberapa file web atau HTML yaitu yang memiliki extention berikut :
- .HTM
- .ASP
- .PHP
Dengan menyisipkan string link alamat server download virus sebelum tag penutup body. (lihat gambar 3)
Gambar 3, Menyisipkan script link download virus sebelum tag penutup body.
Infeksi File Hosts…
Untuk mempermudah aksinya mendownload sekumpulan malware dan tetap terkoneksi pada remote server, virus menambahkan script pada header host file. Hal yang sama dilakukan seperti saat menginfeksi file HTML (dengan menambahkan script pada file HTML). (lihat gambar 4)
Gambar 4, Hosts yang telah diubah dan ditambahkan link remote server virus.
Remote Server (IRC Server)…
Saat terkoneksi internet, virus melakukan kontak ke remote server/IRC (Internet Relay Chat) menggunakan port 65520. Beberapa IP yang digunakan yaitu :
- 91.212.220.156:65520
- 91.121.221.157:65520
Beberapa IP tersebut memiliki domain sebagai berikut : (lihat gambar 5)
- dns2.zief.pl
- nss2.ircgalaxy.pl
- proxim.ircgalaxy.pl
- proxima.ircgalaxy.pl
- sys.zief.pl
- gidromash.cn
- core.ircgalaxy.pl
- jl.chura.pl
Gambar 5, Virus melakukan koneksi dengan remote server melalui port 65520
Zombie Server (Download Server)…
Setelah melakukan kontak, akan dilanjutkan dengan melakukan koneksi pada beberapa server zombie dengan berbagai port untuk mendownload sekumpulan malware. Beberapa IP tersebut diantaranya yaitu :
- 211.95.79.170:80 (HTTP)
- 65.54.82.160
- 218.61.7.9
- 64.4.20.174
- 216.32.90.186
- dll
- 59.30.90.84:3128 (Proxy)
- 77.93.21.45
- 76.31.92.235
- 123.236.125.64
- 93.114.249.122
- dll
- 217.11.54.126:3954 (AD Replication RPC)
- dll
- 66.90.104.13:443 (HTTPS)
- 211.95.79.170
- 216.32.90.186
- dll
Disalah satu server zombie tersebutlah , virus mendapatkan data IP atau komputer yang akan mendapatkan serangan SPAM. (lihat gambar 6)
Gambar 6, Virus melakukan koneksi pada salah satu server zombie untuk mendapatkan data.
SPAM Action…
Virus akan melakukan serangan SPAM kepada IP-IP yang terdapat pada data komputer pada server zombie. Secara khusus, virus menyerang IP yang menggunakan MX (Mail Exchanger) dengan memiliki account user pada beberapa alamat e-mail, yaitu : (lihat gambar 7)
- yahoo.com
- web.de
- hotmail.com
- gmail.com
- aol.com
Gambar 7, Virus melakukan koneksi pada IP yang menggunakan Mail Exchanger
Disable Firewall (Turnoff Firewall)…
Windows Firewall dimatikan dan di proteksi. Hal ini dilakukan untuk mencegah akses pengguna komputer mengaktifkan kembali. (lihat gambar 8)
Gambar 8, Matikan dan blok windows firewall
File Program Error (gagal dijalankan)
File aplikasi/executable tidak bisa dijalankan, baik karena ukuran sudah berubah maupun karena telah terinfeksi virus. Biasanya jika anda ingin menjalankan suatu program baik program antivirus ataupun program aplikasi lainnya, akan muncul error saat dijalankan. (lihat gambar 9)
Gambar 9, File tidak mau dijalankan karena sudah terinfeksi virus
Disable Share Folder…
Tidak bisa melakukan share folder ataupun share drive. Hal ini dilakukan untuk mencegah akses share dari komputer lain. (lihat gambar 10)
Gambar 10, Matikan dan blok windows firewall
Replace/Inject Network Driver…
Salah satu akibat yang ditimbulkan oleh virus ini adalah berusaha menggantikan file network ataupun menginjeksi file tersebut. Driver network yang berusaha digantikan adalah :
- ndis.sys
- TCPIP.sys
Akibat yang ditimbulkan adalah rusaknya driver network walaupun sudah anda re-install driver sehingga komputer tersebut tidak dapat terkoneksi pada jaringan. (lihat gambar 11)
Gambar 11, Network Driver yang sudah rusak oleh virus
File Virus…
Varian W32/Virut.DG memiliki beberapa file virus yang diantaranya sebagai berikut : (lihat gambar 12)
- C:\Documents and Settings\%user%\reader_s.exe
- C:\Documents and Settings\%user%\%user%.exe
- C:\WINDOWS\fonts\services.exe
- C:\WINDOWS\SoftwareDistribution\Download\[random_folder]\[nama_random].tmp
- C:\WINDOWS\system32\reader_s.exe
- C:\WINDOWS\system32\servises.exe
- C:\WINDOWS\system32\regedit.exe
- C:\WINDOWS\system32\[angka_random].tmp (beberapa file)
- C:\WINDOWS\Temp\VRT[angka_random].tmp (beberapa file)
- C:\WINDOWS\Temp\~TM[angka_random].tmp (beberapa file)
- C:\WINDOWS\Temp\[angka_random].exe (beberapa file)
- C:\WINDOWS\Temp\[nama_acak].dll (beberapa file)
Gambar 12, File virus W32/Virut.DG
Salah satu file virus menyamarkan dirinya sebagai “PE Explorer”, PE Explorer merupakan salah satu tools yang dibuat oleh perusahaan Heaven Tools.
Registry Windows…
Agar dapat aktif pada saat menjalankan Windows, virus membuat string registry pada :
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
22951 = C:\WINDOWS\system32\[nama_random].tmp.exe
reader_s = C:\WINDOWS\system32\reader_s.exe
Regedit32 = C:\WINDOWS\system32\regedit.exe
servises = C:\WINDOWS\system32\servises.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run
servises = C:\WINDOWS\system32\servises.exe
exec = C:\WINDOWS\fonts\services.exe
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
reader_s = C:\Documents and Settings\klasnich\reader_s.exe
servises = C:\WINDOWS\system32\servises.exe
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run
servises = C:\WINDOWS\system32\servises.exe
- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\ Windows
load = C:\WINDOWS\system32\servises.exe
run = C:\WINDOWS\system32\servises.exe
Agar tidak mudah diidentifikasi oleh user, virus membuat string registry pada :
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\NOHIDORSYS
CheckedValue = 0
Selain itu, virus menambahkan dan mengubah string registry pada firewall:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandarProfile\AuthorizedApplications\List
\\??\C:\WINDOWS\system32\winlogon.exe = \\??\C:\WINDOWS\system32\winlogon.exe:*:enabled:@shell32.dll,-1
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = 0
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\ StandardProfile
EnableFirewall = 0
Cara Pembersihan Virus…
- Matikan System Restore (XP/ME) (pada saat digunakan)
- Hapus dan matikan proses virus yang aktif. Gunakan Norman Malware Cleaner untuk mematikan sekaligus menghapus virus. Anda dapat mendownload pada link berikut :
Sebaiknya anda men-download pada komputer yang masih bersih atau simpan file tersebut dengan extension file executable lain seperti com atau cmd.
Sebelum anda menjalankan file Norman Malware Cleaner, sebaiknya rubah terlebih dahulu extension file tersebut menjadi com atau cmd, atau anda kompress file tersebut menjadi zip. Jalankan file yang berada dalam zip atau yang sudah berubah menjadi com atau cmd. (lihat gambar 13)
Gambar 13, Matikan dan hapus virut dengan Norman Malware Cleaner
Norman Malware Cleaner mampu menghapus virus, membersihkan file yang terinfeksi virus, serta memperbaiki driver yang terinfeksi.
Setelah selesai proses pembersihan, disarankan segera restart komputer.
- Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Gendong Virut Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001, 1
HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile, EnableFirewall, 0x00010001, 1
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, servises
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, load
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, servises
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 22951
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Regedit32
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS
HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandarProfile\AuthorizedApplications\List, \\??\C:\WINDOWS\system32\winlogon.exe
HKLM, SOFTWARE\Policies\Microsoft\WindowsFirewall
Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
- Sebagai antisipasi jika masih belum bisa terkoneksi dalam jaringan atau netwrok drive masih error, sebaiknya replace driver network yaitu file “ndis.sys” (berukuran 179 kb) dan “TCPIP.SYS” (berukuran 351 kb) dari komputer yang belum terinfeksi. Biasanya file tersebut berada pada C:\WINDOWS\system32\driver dan C:\WINDOWS\system32\dllcache
- Kembalikan hosts file yang sudah terinfeksi. Replace file “hosts” (berukuran 1 kb) dari komputer yang belum terinfeksi. Biasanya berada pada C:\WINDOWS\system32\driver\etc. Anda bisa juga menggunakan tools perubah hosts file yaitu “HostsXpert”. Anda dapat mendownload pada link berikut :
Pada hostsxpert anda dapat me-restore kembali hosts file seperti semula. (lihat gambar 14)
Gambar 14, Hostsxpert me-restore kembali file hosts yang di-infeksi virus.
- Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan dapat mendeteksi dan membasmi virus ini dengan baik.
