Browse » Home » , , » Mengatasi W32/Agent.VARB

Mengatasi W32/Agent.VARB

Varian Baru Virus LNK (shortcut) : W32/Agent.VARB

Seiring perkembangan proteksi pada antivirus, virus LNK (shortcut) pun ndak mau kalah mengembangkan varian terbarunya untuk mengelabui kembali para pengguna komputer. Kali ini pengembang virus LNK (shorcut) mencoba memadukan teknik social engineering dengan cara membuat varian baru dari virus LNK yang menyamar sebagai file FONT. Smiley

Keluarga baru malware shortcut (LNK) : Worm Agent.VARB Smiley

Worm Agent.VARB (Norman) atau sering disebut Rorpian (Microsoft) atau SillyFDC (Symantec, Eset/ NOD), dan TDSS (TrendMicro, Sophos), merupakan salah satu kelompok worm yang mampu mengganggu system komputer dalam jaringan dan mencoba memanipulasi system yang ada dalam jaringan. Kemampuan utama dari worm ini adalah dengan melakukan broadcast internet dan membuat komputer menjadi lambat.

Worm ini banyak ditemukan pada komputer-komputer server (atau yang dijadikan sebagai server) yang sering melakukan pertukaran data atau sharing file khusus-nya pengguna Windows Server 2003.
Kelebihan dari worm ini selain mampu melakukan penyebaran menggunakan celah shortcut (LNK) atau MS10-046, juga dapat melakukan penyebaran melalui celah lain yaitu Windows Print Spooler atau MS10-061 dan Microsoft OpenType Font Driver atau MS10-091.


Gejala & Efek Virus :
Aktif dengan menginfeksi file Windows Explorer dan Print Spooler

File worm aktif pada memory komputer dengan menginjeksi/menumpang file Windows Explorer dan Print Spooler. Serangan akan terjadi pada komputer server yang menggunakan Windows Server 2003.

Windows Explorer akan terasa lambat (hang) pada saat komputer baru dinyalakan akibat aktifitas dari worm yang mencoba menginjeksi Windows Explorer. Terkadang hal ini membuat akibat fatal pada Windows Explorer yang menjadi error. 
Worm W32/Agent.VARB juga berusaha melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Koneksi ke beberapa remote server dilakukan dengan menggunakan port acak : 
    82.192.xx.xx
    188.138.xx.xx
    94.75.xx.xx

Mendownload file agar tetap terupdate
Trojan W32/Agent.VARB juga melakukan download beberapa file tertentu dari Remote Server yang bertujuan agar worm tetap terupdate dan tidak mudah dikenali oleh antivirus.

File worm W32/Agent.VARB dibuat menggunakan bahasa pemrograman C. Berikut ciri-ciri file utama trojan sebagai berikut :
  •     Berukuran 63 kb (tergantung varian yg ditemukan)
  •     Type file “Font File”
  •     Icon file “Font
  •     Berekstensi “fon”



Selain file tersebut, worm Agent.VARB akan mendownload beberapa file lain, yaitu sebagai berikut :
C:\Documents and Settings\%user%\Local Settings\Temp\srv[acak].tmp (1 kb)
C:\Documents and Settings\%user%\Local Settings\Temp\srv[acak].ini (1 kb)

Metode Penyebaran :

1. Removeable Media :
Memanfaatkan celah autoplay dan memanfaatkan celah keamanan MS10-046 (Windows Icon handler) maka file shortcut/LNK akan langsung dieksekusi pada saat drive tersebut diakses.

2. Jaringan LAN : 
Dengan memanfaatkan celah file sharing yang terbuka plus memanfaatkan celah keamanan MS10-061 (Windows Print Spooler) pada komputer yang mengkases komputer Print Server yang telah terinfeksi worm jenis ini.


Pembersihan Virus/Worm :

1. Putuskan koneksi jaringan/internet.
   
2. Matikan “System Restore”
  •     Klik kanan My Computer, pilih Properties.
  •     Pilih tab System Restore, beri ceklist pilihan Turn off System restore
  •     Klik Apply, Klik OK.
3. Download tools untuk membersihkan worm W32/Agent.VARB pada komputer yang belum terinfeksi pada link berikut : Norman Malware Cleaner
  •     Setelah selesai download, kompress file tersebut hingga menjadi file zip.
  •     Copy file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
  •     Klik kanan file zip tersebut, kemudian klik explore.
  •     Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.
  •     Klik Start untuk memulai Scan, dan klik Yes untuk memulai.
  •     Biarkan hingga proses scan selesai.
4. Repair registri yang telah dimodifikasi.

a. Hapus key registry yang telah dibuat oleh worm dengan langkah sebagai berikut :

    Klik Menu [Start] => Klik [Run] => Ketik "regedit" (tanpa tanda petik), kemudian klik tombol [OK]

b. Cari dan hapus key berikut :
    HKEY_LOCALMACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\srv[acak]
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srv[acak]
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\srv[acak]
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv[acak]
c. Rubah key registri yang telah dimodifikasi oleh worm dengan langkah sebagai berikut :
Masuk ke menu registy editor kembali (cek step a)

Cari dan rubah key berikut menjadi :
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
Cookies = C:\Documents and Settings\NetworkService\Cookies
History = C:\Documents and Settings\NetworkService\Local Settings\History
5. Bersihkan temporary file dengan cara disk cleanup atau dengan memakai software TempCleaner

6. Install Security Patch MS10-046, MS10-061 dan MS10-091 sesuai dengan versi Windows yang dimiliki. Silahkan download pada link berikut :
http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-061.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-091.mspx 
7. Selesai.
Keep Bookmark !! yak Blog Ala Kadalnya  Smiley
Referensi : vaksin.com
Smiley

Artikel Terkait

Label: , ,

0 komentar:

Posting Komentar

Komentar Anda :

Langganan: Posting Komentar (Atom)
 
© 2011 Kadal In Your Mind | Powered by Blogger | Built on the Blogger Template Framework | Design: Choen