Atasi Serangan Virus Winlogon


Virus yang satu ini saya sebut dengan VIrus “Berdarah Dingin” kenapa?” karena beberapa kali virus ini mengerjai saya, dan Virus yang satu ini bisa dibilang Cerdas, dia berkembang dengan menggunakan media Antivirus  yang sudah terpasang di komputer… WOw.. Apa jadinnya klo ANtivirus sudah jadi “CS” dengan Virusnya…??” Pelan tapi pasti.. begitulah virus ini mengerogoti Pc hingga Pc benar-benar lumpuh tak berdaya dan hanya sebagian kecil ANtivirus yang mampu untuk mendeteksi Keberadaannya…. Seraammmmmm!!”

dari beberapa kasus yang pernah saya temui, Virus ini bisa dibilang Virus keluaran baru dimana jarang terdapat Tips yang bener-bener mampu untuk mengusirnya… so.. saya akan Coba berbagi..

VB-Shortcut-WinLogon

 

 

VB-Shortcut-WinLogon. Gambar diatas adalah hasil infeksi dari worm VB-Shortcut-WinLogon yang sekarang masih banyak menyebar di masyarakat. Sebelumnya PCMAV mengenal worm VB-Shortcut dengan nama Random8, dikarenakan selalu memiliki Properties Name yang terdiri dari 8 karakter dan selalu berubah-ubah pada setiap varian. Akan tetapi, semakin banyaknya user yang melaporkan varian VB-Shortcut, di forum virusindonesia.com ataupun mengirimkan email serta meng-submit menggunakan PCMAV, kami mendapatkan beberapa varian VB-Shortcut dengan kemampuan berbeda. Salah satunya adalah VB-Shortcut-WinLogon.

Masih menggunakan ciri khas yang sama seperti varian yang lain yaitu membuat shortcut di Removable Disk dan menggunakan icon aplikasi pemrograman Visual Basic. Perbedaan yang sangat terlihat adalah pada VB-Shortcut-WinLogon adalah :

1. Di-pack menggunakan UPX.

UPX1

Terlihat pada gambar di atas bahwa worm VB-Shortcut-WinLogon menggunakan UPX sebagai packernya. Berbeda dengan varian VB-Shortcut sebelumnya yang menyebar di masyarakat tanpa di-pack seperti pada gambar dibawah.

UPX2

 

2.  Menggunakan folder tempat persembunyian di flash disk.

Folder

Hampir sama dengan pola yang digunakan worm Recycler ataupun Conficker yaitu menggunakan folder yang sama dengan Recycler Bin. Caranya juga mirip, yaitu menambahkan file Desktop.ini yang berisi CLSID untuk Recycler Bin. Perbedaannya adalah biasanya folder persembunyian worm Recycler menggunakan nama folder “RECYCLER” pada root drive flash disk, sedangkan untuk worm VB-Shortcut-WinLogon folder yang mirip dengan Recycler Bin adanya di dalam folder dengan nama acak. Misal :

“a3ojiH9luFefkO0mG6Hl1XplgLV3L0YyVfdZRr3dtLhE6i0DnzEPQX8Y2sziakx2axTnS4SA0647SPkbMn4uN”


3. Isi autorun.inf.

Pada varian VB-Shortcut sebelumnya, isi autorun.inf biasanya hanya merubah besar kecil karakter didalamnya, seperti pada gambar dibawah ini.

Autorun.inf VB-Shorcut

Berbeda dengan file autorun.inf pada VB-Shortcut-WinLogon, yang memiliki lebih banyak karakter pengecoh teknik pendeteksian file autorun beberapa antivirus karena setiap kali autorun.inf dibuat selalu mengacak isi autorunnya. Contoh autorun.inf yang diciptakan VB-Shortcut-WinLogon adalah seperti pada gambar berikut, dibuka dengan hexa editor:

Autorun.inf VB-Shorcut-WinLogon

Beberapa hal di atas adalah ciri umum yang biasanya menjadi ciri khas dari worm VB-Shortcut-WinLogon. Selain itu ada beberapa yang tidak biasa ditemukan pada variant VB-Shortcut sebelumnya, antara lain:

– Merubah bentuk icon shortcut setiap jangka waktu tertentu. Jika varian VB-Shortcut sebelumnya membuat shortcut dengan nama Documents, Music, New Folder, Passwords, Pictures, dan Video atau membuat shortcut dengan nama acak yang terdiri dari 3 karakter dan dapat membuat shortcut sesuai dengan nama semua file dan folder pada flash disk, maka VB-Shortcut-WinLogon ini mampu mebuat shortcut yang berbeda-beda. Selama flash disk terhubung dengan komputer yang sudah terinfeksi worm ini, maka isi flash disknya akan berubah seperti pada dua gambar berikut.

Icon1

Icon2

– Memanfaatkan koneksi Internet untuk mengupdate otomatis. Dengan aplikasi CurrPorts dapat dilihat aktivitas worm VB-Shortcut-WinLogon setelah proses startup yang mencoba menggunakan koneksi internet agar bisa dikendalikan sesuai dengan hostnya.

CommPort
– Mendisable serta otomatis menutup 631 program dengan nama file dan nama caption khusus sepeti di bawah ini:

a2servic.exe, ackwin32.exe, acs.exe, advxdwin.exe, agentsvr.exe, agentw.exe, ahnsd.exe, alerter.exe, alertsvc.exe, alogserv.exe, amon.exe, amon9x.exe, anti-trojan.exe, antigen.exe, antivirus.exe, ants.exe, apimonitor.exe, aplica32.exe, apvxdwin.exe, ashWebSv.exe, atcon.exe, atguard.exe, atro55en.exe, atupdater.exe, atwatch.exe, aupdate.exe, autodown.exe, autotrace.exe, autoupdate.exe, avcenter.exe, avconfig.exe, avconsol.exe, ave32.exe, avgcc32.exe, avgctrl.exe, avgemc.exe, avgnt.exe, avgserv.exe, avgserv9.exe, avguard.exe, avgw.exe, avkpop.exe, avkserv.exe, avkservice.exe, avkwcl9.exe, avkwctl9.exe, avnotify.exe, avnt.exe, avp.exe, avp32.exe, avpcc.exe, avpdos32.exe, avpexec.exe, avpinst.exe, avpm.exe, avpmon.exe, avpnt.exe, avptc32.exe, avpupd.exe, avrescue.exe, avscanavshadow.exe, avsched32.exe, avsynmgr.exe, avupgsvc.exe, avwebloader.exe, avwin95.exe, avwinnt.exe, avwsc.exe, avwupd32.exe, avxmonitor9x.exe, avxmonitornt.exe, avxquar.exe, avxw.exe, azonealarm.exe, bd_professional.exe, bidef.exe, bidserver.exe, bipcp.exe, bipcpevalsetup.exe, bisp.exe, blackd.exe, blackice.exe, boot.exe, bootwarn.exe, borg2.exe, bs120.exe, BullGuard.exe, callmsi.exe, ccapp.exe, ccevtmgr.exe, cclaw.exe, ccpxysvc.exe, ccsetmgr.exe, ccshtdwn.exe, cdp.exe, cfgwiz.exe, cfiadmin.exe, cfiaudit.exe, cfind.exe, cfinet.exe, cfinet32.exe, chrome.exe, ChromeSetup.exe, clamauto.exe, claw95.exe, claw95cf.exe, claw95ct.exe, clean.exe, cleaner.exe, cleaner3.exe, cleanpc.exe, cmd.exe, cmgrdian.exe, cmon016.exe, connectionmonitor.exe, consent.exe, cpd.exe, cpdclnt.exe, cpf.exe, cpf9x206.exe, cpfnt206.exe, crashreporter.exe, csinject.exe, csinsm32.exe, css1631.exe, ctfmon.exe, ctrl.exe, cv.exe, cwnb181.exe, cwntdwmo.exe, defalert.exe, defscangui.exe, defwatch.exe, deputy.exe, Diskmon.exe, doors.exe, dpf.exe, drvins32.exe, drwatson.exe, drweb32.exe, dumphive.exe, dv95.exe, dv95_o.exe, dvp95.exe, dvp95_0.exe, earthagent.exe, ecengine.exe, ecls.exe, ecmd.exe, edi.exe, efinet32.exe, efpeadm.exe, egui.exe, EHttpSrv.exe, ekrn.exe, ent.exe, esafe.exe, escanh95.exe, escanhnt.exe, escanv95.exe, espwatch.exe, etrustcipe.exe, evpn.exe, ewido.exe, exantivirus-cnet.exe, exit.exe, expert.exe, explored.exe, f-agnt95.exe, f-prot.exe, f-prot95.exe, f-stopw.exe, fa-setup.exe, fact.exe, fameh32.exe, fast.exe, fch32.exe, fih32.exe, Filemon.exe, findviru.exe, firefox.exe, firewall.exe, FirewallControlPanel.exe, FirewallSettings.exe, fix-it.exe, flowprotector.exe, fnrb32.exe, fp-win.exe, fp-win_trial.exe, FPAVServer.exe, fprot.exe, fprot95.exe, frw.exe, fsaa.exe, fsav.exe, fsav32.exe, fsav530stbyb.exe, fsav530wtbyb.exe, fsav95.exe, fsave32.exe, fsgk32.exe, fslaunch.exe, fsm32.exe, fsma32.exe, fsmb32.exe, fssm32.exe, fwenc.exe, fwinstall.exe, gbmenu.exe, gbpoll.exe, GenericRenosFix.exe, generics.exe, gibe.exe, GoogleToolbarInstaller_download_signed.exe, gpedit.exe, guard.exe, guarddog.exe, guardgui.exe, guardhlp.exe, hacktracersetup.exe, helper.exe, HiJackThis.exe, HJTInstall.exe, HostsChk.exe, htlog.exe, hwpe.exe, iamapp.exe, iamserv.exe, iamstats.exe, ibmasn.exe, ibmavsp.exe, icload95.exe, icloadnt.exe, icmon.exe, icmoon.exe, icssuppnt.exe, icsupp.exe, icsupp95.exe, icsuppnt.exe, IEDFix.exe, iface.exe, ifw2000.exe, iomon98.exe, iparmor.exe, iris.exe, isrv95.exe, jammer.exe, jed.exe, jedi.exe, kav8.0.0.357es.exe, kavlite40eng.exe, kavpers40eng.exe, kavsvc.exe, kerio-pf-213-en-win.exe, kerio-wrl-421-en-win.exe, kerio-wrp-421-en-win.exe, killprocesssetup161.exe, kis8.0.0.506latam.exe, kpf.exe, kpfw32.exe, ldnetmon.exe, ldpro.exe, ldpromenu.exe, ldscan.exe, licmgr.exe, localnet.exe, lockdown.exe, lockdown2000.exe, lookout.exe, lsetup.exe, luall.exe, luau.exe, lucomserver.exe, luinit.exe, luspt.exe, mbam.exe, mbamgui.exe, mbamservice.exe, mcagent.exe, mcmnhdlr.exe, mcshield.exe, mctool.exe, mcuimgr.exe, mcupdate.exe, mcvsrte.exe, mcvsshld.exe, mdll.exe, mfw2en.exe, mfweng3.02d30.exe, mgavrtcl.exe, mgavrte.exe, mghtml.exe, mgui.exe, minilog.exe, monitor.exe, monsys32.exe, monsysnt.exe, monwow.exe, moolive.exe, mpfagent.exe, mpfservice.exe, mpftray.exe, mrflux.exe, MSASCui.exe, msblast.exe, msconfig.exe, msinfo32.exe, msn.exe, mspatch.exe, mssmmc32.exe, mu0311ad.exe, mwatch.exe, mxtask.exe, n32scan.exe, n32scanw.exe, nai_vs_stat.exe, nav32_loader.exe, nav80try.exe, navap.exe, navapsvc.exe, navapw32.exe, navauto-protect.exe, navdx.exe, naveng.exe, navengnavex15.exe, navex15.exe, navlu32.exe, navnt.exe, navrunr.exe, navsched.exe, navstub.exe, navw.exe, navw32.exe, navwnt.exe, nc2000.exe, ncinst4.exe, nd98spst.exe, ndd32.exe, ndntspst.exe, neomonitor.exe, neowatchlog.exe, netarmor.exe, netcfg.exe, netinfo.exe, netmon.exe, netscanpro.exe, Netscape.exe, netspyhunter-1.2.exe, netstat.exe, netutils.exe, nisserv.exe, nisum.exe, nmain.exe, nod32.exe, normist.exe, norton_internet_secu_3.0_407.exe, notstart.exe, npf40_tw_98_nt_me_2k.exe, npfmessenger.exe, nprotect.exe, npscheck.exe, npssvc.exe, nsched32.exe, ntdetect.exe, ntrtscan.exe, ntxconfig.exe, nui.exe, nupdate.exe, nupgrade.exe, nvapsvc.exe, nvarch16.exe, nvc95.exe, nvlaunch.exe, nvsvc32.exe, nwinst4.exe, nwservice.exe, nwtool16.exe, offguard.exe, ogrc.exe, opera.exe, Opera_964_int_Setup.exe, ostronet.exe, outpost.exe, outpostinstall.exe, outpostproinstall.exe, padmin.exe, panixk.exe, pathping.exe, pavcl.exe, pavproxy.exe, pavsched.exe, pavw.exe, pcc2002s902.exe, pcc2k_76_1436.exe, pccclient.exe, pccguide.exe, pcciomon.exe, pccmain.exe, pccntmon.exe, pccpfw.exe, pccwin97.exe, pccwin98.exe, pcdsetup.exe, pcfwallicon.exe, pcip10117_0.exe, pcscan.exe, pcscanpdsetup.exe, penis32.exe, periscope.exe, persfw.exe, perswf.exe, pf2.exe, pfwadmin.exe, ping.exe, pingscan.exe, platin.exe, pop3trap.exe, poproxy.exe, popscan.exe, portdetective.exe, portmon.exe, portmonitor.exe, ppinupdt.exe, pptbc.exe, ppvstop.exe, prckiller.exe, Process.exe, processmonitor.exe, procexp.exe, procexplorerv1.0.exe, Procmon.exe, programauditor.exe, proport.exe, protectx.exe, pspf.exe, purge.exe, pview.exe, pview95.exe, qconsole.exe, qserver.exe, rapapp.exe, rav.exe, rav7.exe, rav7win.exe, rav8win32eng.exe, realmon.exe, regedit.exe, regedt32.exe, Regmon.exe, rescue.exe, rescue32.exe, Restart.exe, route.exe, routemon.exe, rrguard.exe, rshell.exe, rstrui.exe, rtvscn95.exe, rulaunch.exe, Safari.exe, safeweb.exe, SandboxieBITS.exe, SandboxieCrypto.exe, SandboxieDcomLaunch.exe, SandboxieRpcSs.exe, SandboxieWUAU.exe, SbieCtrl.exe, SbieSvc.exe, sbserv.exe, scan32.exe, scan95.exe, scanpm.exe, sched.exe, schedapp.exe, scrscan.exe, scvhosl.exe, sd.exe, sdclt.exe, serv95.exe, setupvameeval.exe, setup_flowprotector_us.exe, sgssfw32.exe, sh.exe, sharedaccess.exe, shellspyinstall.exe, shn.exe, smc.exe, SmitfraudFix.exe, sofi.exe, spf.exe, sphinx.exe, spider.exe, spysweeper.exe, spyxx.exe, SrchSTS.exe, srwatch.exe, ss3edit.exe, st2.exe, supftrl.exe, supporter5.exe, sweep.exe, sweep95.exe, sweepnet.exe, sweepsrv.sys.exe, swnetsup.exe, swsc.exe, swxcacls.exe, symproxysvc.exe, symtray.exe, sysdoc32.exe, syshelp.exe, taskkill.exe, tasklist.exe, taskmgr.exe, taskmon.exe, taumon.exe, tauscan.exe, tbscan.exe, tc.exe, tca.exe, tcm.exe, tcpsvs32.exe, tds-3.exe, tds2-98.exe, tds2-nt.exe, tds2.exe, tfak.exe, tfak5.exe, tftpd.exe, tgbob.exe, titanin.exe, titaninxp.exe, tmlisten.exe, tmntsrv.exe, tracerpt.exe, tracert.exe, trjscan.exe, trjsetup.exe, trojantrap3.exe, UCCLSID.exe, UI0Detect.exe, undoboot.exe, unzip.exe, update.exe, updater.exe, UserAccountControlSettings.exe, VACFix.exe, vbcmserv.exe, vbcons.exe, vbust.exe, vbwin9x.exe, vbwinntw.exe, vccmserv.exe, vcleaner.exe, vcontrol.exe, vcsetup.exe, vet32.exe, vet95.exe, vet98.exe, vettray.exe, vfsetup.exe, vir-help.exe, virusmdpersonalfirewall.exe, vmsrvc.exe, vnlan300.exe, vnpc3000.exe, vpc32.exe, vpc42.exe, vpcmap.exe, vpfw30s.exe, vptray.exe, vscan.exe, vscan40.exe, vscenu6.02d30.exe, vsched.exe, vsecomr.exe, vshwin32.exe, vsisetup.exe, vsmain.exe, vsmon.exe, vsscan40.exe, vsstat.exe, vswin9xe.exe, vswinntse.exe, vswinperse.exe, vvstat.exe, w32dsm89.exe, w9x.exe, watchdog.exe, webscan.exe, webscanx.exe, webtrap.exe, WerFault.exe, wfindv32.exe, wgfe95.exe, whoswatchingme.exe, wimmun32.exe, wingate.exe, winhlpp32.exe, wink.exe, winmgm32.exe, winppr32.exe, winrecon.exe, winroute.exe, winservices.exe, winsfcm.exe, wmias.exe, wmiav.exe, wnt.exe, wradmin.exe, wrctrl.exe, WS2Fix.exe, wsbgate.exe, wuauclt.exe, wyvernworksfirewall.exe, xpf202en.exe, xscan.exe, zapro.exe, zapsetup3001.exe, zatutor.exe, zatutorzauinst.exe, zauinst.exe, zlh.exe, zonalarm.exe, zonalm2601.exe, zonealarm.exe, _avp.exe, _avp32.exe, _avpcc.exe, _avpm.exe, _findviru.exe

– Mendisable beberapa fungsi dan tools Windows seperti:
Hidden dan Superhidden
Hidden File Extension
Folder Option
No File
System Restore
Command Promt
Task Manager
Regedit
Run Command

– Merubah default homepage Internet Explorer ke beberapa website seperti: http://5g7p5rbtw7c12ao.xxx (dimana xxx adalah sebuah domain yang digunakan virus). Angka dan huruf pada subdomain dapat acak dan berbeda pada tiap penginfeksian. Alamat-alamat ini akan di-direct ke website pada tampilan pertama (gambar paling atas) yang mirip dengan search engine Google.

– Membuat file dengan nama winlogon.exe pada root drive C.

PCMAV 4.2 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.2 Update Build1 telah hadir dengan penambahan 76 pengenal varian virus bau. Bagi Anda pengguna PCMAV 4.2, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet (non-proxy). Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV.

Namun bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.2 Update Build1:
ArieLiverMartilina
ArieLiverMartilina.inf
ArieLiverMartilina.msg
BassAlac
BassAlac.dll
BlankBin
BlankBin.inf
Boller
Boller.inf
CintaFitri
CintaFitri.bat
ColdHot
ColdHot.inf
CyborgBrondong
Defecha
DEnkrip
DigitalCat
DigitalCat.html.A
DigitalCat.html.B
DigitalCat.inf
FullHouse.D
Funva
Hakif
Intimidate
Julia
Julia.cmd.A
Julia.cmd.B
Julia.cmd.C
Julia.html
Julia.vbs.A
Julia.vbs.B
Kanigalindo
Kanigalindo.inf
Kanigalindo.txt
Kopat
Kopat.exe
Momo
Mshearts.vbs.C
MyPCMD.B
Priza
Priza.bmp
Priza.htm
Priza.inf
Proggy
Ramz
Ramz.inf
Recycler.AX
Recycler.AX.inf
Recycler.AY
Recycler.AY.inf
Recycler.AZ
Recycler.AZ.inf
Recycler.BA
Recycler.BA.inf
Rieysha-Jogja.D
Rieysha-Jogja.D.txt
Rieysha-Jogja.ini
Sabotage.C
Sabotage.C.inf
Sabotage.C.ini
Sabotage.C.job
Sabotage.C.TXT
Tondano
Tondano.bat
Tondano.inf
Tondano.txt
TripleBox
VB-Shortcut-WinLogon.A
VB-Shortcut-WinLogon.B
VB-Shortcut-WinLogon.C
VB-Shortcut-WinLogon.D
VB-Shortcut-WinLogon.E
VB-Shortcut-WinLogon.F
VB-Shortcut-WinLogon.G
YDU.vbs
YDU.vbs.inf

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s