Virus Facebook
Daftar Isi [ Tampilkan ]
Email yang dikirimkan oleh virus Facebook ini akan mempunyai ciri-ciri berikut :
File yang di sertakan dalam email tersebut mempunyai ukuran sekitar 24 KB (ZIP) atau 30 KB(exe),file dalam bentuk exe akan mempunyai icon MS.Excel dengan type file sebagai “Application”
Dengan update terbaru Norman Security Suite mendeteksi virus tersebut sebagai W32/Obfuscated.D2!genr sedangkan untuk file [reader_s.exe] dikenali sebagai W32/Pandex.YE.Dengan teknologi Sandbox Norman Security Suite juga mengenali varian baru dari virus ini [possible new,unknown virus]
Jika file tersebut di jalankan ia akan membuat beberapa file induk yang akan di jalankan pertama kali pada saat komputer dinyalakan:
- C:\Documents and Settings\%user%\reader_s.exe
- C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
- C:\WINDOWS\system32\reader_s.exe
- C:\Windows\system32\wbem\proquota.exe
- C:\windows\system32\sdra64.exe
- C:\Windows\system32\lowsec
- local.ds
- user.ds
- user.ds.lll
- C:\Documents and Settings\Elvina\Application Data\wiaservg.log
Registry
Virus ini tidak banyak bermain dengan registri karena tujuannya adalah untuk mendownload scareware yang “jika” berhasil dijalankan akan merubah segambreng regisrti, walaupun demikian ia akan tetap mencoba untuk melakukan perubahan pada registry khususnya agar file yang dibuat tersebut dapat dijalankan pertama kali saat komputer di nyalakan, yakni:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- reader_s = C:\Documents and Settings\Elvina\reader_s.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- reader_s = C:\Wincdows\system32\reader_s.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- EnableProfileQuota =1
- HKEY_LOCAL_MACHINE\SOFTWARE\AGProtect
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer{43BF8CD1C5D5-2230-7BB2-98F22C2B7DC6}
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}
Download Trojan/spyware
Virus ini akan mencoba untuk melakukan koneksi ke beberapa alamat yang telah ditentukan dengan tujuan untuk mendownload trojan/spyware lain yang kemudian akan dijalankan secara otomatis, file yang berhasil di download akan di simpan di direktori berikut:
- C:\Windows\temp
- Wp%xxx%.exe (xxx ini berbeda-beda, contohnya wpv271256600826.exe
- _ex-08.exe
- C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
- C:\Documents and Settings\All Users\Application Data\47543326\ 47543326.exe
- 202.39.17.53
- 217.23.7.162
- 95.211.27.211
- 202.169.46.56
- http://mmsfoundsystem.ru/public/controller.php?action=bot&entity_list=&uid=&first=1&guid=13441600&v=15&rnd=8520045
- http://hostvegass.ru/cman/receiver/online
- http://wapdodoit.ru/mn/base.cfg
- http://www.whatsmyipaddress.com
Media penyebaran (Email)
Untuk menyebarkan dirinya ia akan mengirimkan email kesemua alamat email yang telah diperolahnya dengan melampirkan sebuah file dalam bentuk ZIP. Bagi anda yang mempunyai account Facebook harap berhati-hati jika menerima email yang anda terima seolah-olah berasal dari Admin Facebook karena kemungkinan email yang Anda terima adalah email yang berisi virus.
Jika kita telurusi dengan tools monitoring jaringan seperti wireshark atau command netstat dari DOS prompt maka dapat dilihat dengan jelas bahwa komputer yang telah terinfeksi virus berusaha untuk mengirimkan email ke sejumlah alamat yang telah ditemukan dengan menyertakan sebuah file attachment yang berisi virus
Selain mengirimkan email yang seolah-olah datang dari Admin Facebook, ia juga akan menjadikan komputer yang terinfeksi sebagai server spam dengan mengirimkan email kesejumlah alamat email yang di dapat
Mengundang Antispyware palsu “Security Tools”
Aksi lain yang akan di lakukan oleh virus Facebook adalah akan mendownload dan menginstal sebuah program antispyware palsu dengan nama “Security Tools”. Antispyware palsu ini akan memberikan informasi palsu dengan menampilkan sederetan nama virus/trojan yang berhasil di deteksi,informasi palsu ini biasanya akan ditampilkan secara terus-menerus pada waktu yang telah ditentukan
Jika user mencoba untuk melakukan aksi pembersihan dengan menggunakan software palsu tersebut maka ia akan menampilkan layar agar user melakukan pembelian software tersebut, jika muncul hal ini sebaiknya Anda abaikan saja karena anda tidak akan mendapatkan software antispyware tersebut.
File antyspyware “security tools” mempunyai ukuran sekitar 1.103 MB dengan type file sebagai“application”
Antispyware ini akan secara membuat beberapa file berikut agar dirinya tetap aktif:
- C:\Documents and Settings\All Users\Application Data\47543326
- C:\Documents and Settings\Elvina\Desktop\security tools.lnk
- C:\Windows\temp\_ex-08.exe
- C:\Documents and Settings\Elvina\Start Menu\Programs\security tools.lnk
Registry antispayware Security Tools
Sebagai pendukung agar dirinya tetap aktif, ia akan membuat beberapa string pada registry berikut:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 47543326= C:\DOCUME~1\ALLUSE~1\APPLIC~1\47543326\47543326.exe
- PromoReg = C:\WINDOWS\Temp\_ex-08.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\47543326
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network
- UID = %user%_00127065
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
- Rlist
- Menampilkan pesan notifikasi bahwa komputer telah terinfeksi virus/spyware
- Menampilkan konfirmasi update database Antispyware Security Tools
- Restart komputer pada waktu yang teah ditetukan dengan menampilkan layar “Blue Sreen” seolah-olah terjadi error pada system/hardware komputer yang telah terinfeksi.
- Mengganti walpaper/desktop Windows
Cara membersihkan W32/Obfuscated.D2!genr dan Antispyware Security Tools
- Disable system restore selama proses pembersihan
- Disconect komputer dari jaringan/internet
- Sebaiknya lakukan pembersihan pada mode “safe mode”
- Install software “unlocker” [http://www.filehippo.com/download_unlocker/]
- Matikan proses virus yang aktif dimemory, gunakan tools “Security Task Manager”, silahkan download tools tersebut di alamat http://www.neuber.com/taskmanager/download.html
- Fix registry, untuk mempercepat proses perbaikan registry silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama [repair.inf]. Jalankan file tersebut dengan cara:
- Klik kanan [repair.inf]
- Klik [install]
- Hapus file yang dibuat oleh virus dengan terlebih dahulu menampilkan file yang tersebunyi
Kemudian hapus file berikut::
- C:\Documents and Settings\All Users\Application Data\47543326
- C:\Documents and Settings\Elvina\Start Menu\Programs\Security Tools.lnk
- C:\Documents and Settings\Elvina\Desktop\ Security Tools.lnk
- C:\Documents and Settings\Elvina\Application Data\ wiaservg.log
- C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
- C:\WINDOWS\Temp\ wpv311256600826.exe
- C:\WINDOWS\Temp\ wpv411256806849.exe
- C:\Documents and Settings\%user%\reader_s.exe
- C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
- C:\WINDOWS\system32\reader_s.exe
- C:\Windows\system32\wbem\proquota.exe
- C:\windows\system32\sdra64.exe
- C:\Windows\system32\lowsec
- local.ds
- user.ds
- user.ds.lll
Catatan:
Untuk menghapus folder [C:\Windows\system32\lowsec] dan [C:\windows\system32\sdra64.exe], gunakan tools “unlocker” untuk memisahkan proses tersebut dengan proses system windows (explorer.exe dan svchost.exe),karena kedua file tersebut akan menginjeksi file [explorer.exe dan svchost.exe].Caranya:
- Klik kanan pada file [C:\windows\system32\sdra64.exe] atau folder [C:\Windows\system32\lowsec]
- Kemudian klik menu “unlocker”
- Pada layar unlocker, pilih opsi [hapus]
- Kemudian klik tombol [OK]
- Jika muncul pesan error, di abaikan saja (klik ok)
- Hapus file temporary dan temporary interet file, gunakan tools ATF-Cleaner [http://majorgeeks.com/download.php?det=4949]
- Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date.Anda juga dapat membersihkan dengan menggunakan tools Norman Malware Cleaner [http://www.norman.com/support/support_tools/58732/en-us] atau Malwarebytes Anti Malware (www.malwarebytes.org)
[Version] Signature="$Chicago$" Provider=Vaksincom [DefaultInstall] AddReg=UnhookRegKey DelReg=del [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1"" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe" HKCU, Software\Microsoft\Internet Explorer\Main, tart Page,0, "about:blank" HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,userinit,0, "userinit.exe" [del] HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,47543326 HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,PromoReg HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,EnableProfileQuota HKLM, SOFTWARE\AGProtect HKLM, SOFTWARE\47543326 HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network, UID HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, Rlist HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}
Sumber :Vaksin