7 Dec 2009

Awas Worm D-WAR

Waktu mau jalan ke kamar mandi aku lewat kamar temen kos. Disana ada temen2ku sedang nongkrong (walah nongkrong dikamar). Salah satu temanku ada yang sibuk otak atik laptop. Lalu dia bertanya ke aku “mas bisa perbaiki laptop ini?”.”emangnya kenapa?” jawabku. “kena virus mas”. Lalu aku mulai beraksi untuk analisa (sok bisa). Oh iya laptop dia pake Avira sebagai anti virus dan update juga. Seperti biasa aku selalu cek regdit, task manager, folder option. Ternyata bisa dibuka hihihi....
Kemudian waktu di scan pake avira terdeteksi 2 aplikasi yang terdeteksi sebagai trojan. Ctfm0n.exe dan apa gitu cos aku lupa. Kemudian ku pilih kill process eh malah laptopnya mati. Nyalain lagi. Kemudian ku analisa bagian processes task manager. Ada program yang ku curigai yaitu ctfm0n.exe dan Sidimpuan Worm Maker Community.exe. Ga mungkin windows ada ctfm0n.exe, dan yang benar adalah ctfmon.exe. Kemudian kucari letak folder ctfm0n.exe dan ternyata terletak di C:\WINDOWS\system32\1986\ tapi folder 1986 kehidden dan aku ga bisa masuk. Kemudian aku logon menjadi administrator dan bisa kubuka folder tersebut dan berisi 2 file msvbvm60.dll dan ctfm0n.exe lalu aku mendelete file tersebut tapi ga bisa. Ku kill process lewat task manager tetap ga bisa (laptop malah mati).

Lalu program yang kedua yaitu Sidimpuan Worm Maker Community.exe yang terletak di C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Sidimpuan Worm Maker Community.exe. Biar ga bisa bekerja saat startup maka ku buka msconfig lewat run walah kok ga bisa ke buka nih. Kemudian ku siapin HijackThis untuk mendelete file tersebut saat booting tapi hasilnya nihil.
Analisa lagi di drive windows dan aku mendapatkan file aneh lagi yaitu D-WAR.html yang ada di C:\D-WAR.html maupun di semua Partisi termasuk Flashdiskku dan isinya seperti pada gambar dibawah ini.

Photobucket

Photobucket

jadi hasil analisaku worm/virus ini membuat file :
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Sidimpuan Worm Maker Community.exe
C:\WINDOWS\system32\1986\ctfm0n.exe
C:\WINDOWS\system32\1986\msvbvm60.dll
C:\WINDOWS\system32\Micros0ft\msvbvm60.dll
C:\WINDOWS\system32\Micros0ft\winserv.exe
C:\WINDOWS\system32\3003\smsvr.exe
C:\WINDOWS\system32\3003\msvbvm60.dll
Drive Flashdisk:\GhostBuster.exe
[Drive]:\D-WAR.html
file lain yang aku dapatkan dari codenesia adalah :
C:\WINDOWS\system32\pasid.ico
C:\WINDOWS\system32\pasids.ico
C:\WINDOWS\system32\rambe.dll
C:\WINDOWS\system32\dog.bat (tidak ada di laptop yang ku tangani)
C:\hantu.exe (tidak ada di laptop yang ku tangani)
Aku bingung ini virus apa ea? Aku berpikiran ini trojan cos bagian C:\WINDOWS\system32\drivers\etc\HOSTS terdeteksi sebagai trojan padahal file asli windows yaitu hosts (huruf kecil).
Langkah terakhir yaitu browsing dengan kata kunci ctfm0n.exe dan aku menemukan artikel menarik dari codenesia.com yang membahas tentang D-WAR.ia dan kusamakan hasil analisaku dengan analisa artikel ternyata tidak jauh beda. Aku berkesimpulan ini sama.
Artikel yang lain di codenesia juga membahas D-KILLER yaitu program untuk membersihkan D-WAR. Tanpa pikir panjang kusedot tuh program lalu kujalankan di laptop. Hasilnya? Tetap nihil dan worm kembali lagi. Aku teringat UBUNTU tapi dari kemarin aku belum mendapatkan DVDnya karena aku juga butuh untuk di install di komputerku hehhehe...
Iseng2 aku buka bungkusan CD yang dibawa temen, dan disana aku mendapatkan DVD UBUNTU hore....hore....UBUNTU dijalankan lalu ku delete file-file induk dari worm D-WAR. Bismillahhirohmannirohim....tereng....Windows kembali normal dan worn D-WAR hilang dengan tuntas. Alhamdulillah.
Seperti biasa aku buka isi laptop, disana ada beberapa software dan game lalu ku copi ke FD dan sebagian game portable (Age Of Empires2) ku jalanin. Apa yang terjadi?lho kok ga bisa jalan?kenapa nie?apa mungkin worm/virus ini menyebar?lalu ku cek seperti biasa dimana file worm/virus dibuat,ternyata memang benar disana ada file worm/virum D-WAR. Aduh aduh....ternyata file exe masih ke infeksi D-WAR.
Kesimpulan :
1. Jika FD kalian ada file D-WAR.html berarti file exe terinfeksi. Untuk mengetahuinya coba liat ukurannya. Jika ukurannya 65kb berarti sudah direplace dan itu bisa menyebar dikomputer
2. Cek processes task manager, bila ada ctfm0n.exe dan Sidimpuan Worm Maker Community.exe berarti komputer anda sudah terinfeksi
3. Waspadai aplikasi exe ukuran 65 kb
4. Belum ada antivirus atau vaksin untuk memperbaiki file yang terinfeksi virus
5. Virus/worm D-WAR sebagai perusak file exe (untuk file lain belum ditemukan)
6. Virus/worm D-WAR tidak menggunakan autorun untuk menyebarkan dirinya
7. Untuk pembersihan bisa menggunakan LINUX atau D-KILLER dan cek aplikasi yang berekstensi .exe bahwa ukurannya tidak 65 kb
8. Worm perusak terganas yang pernah ku temui seumur hidup (di atas sality)
9. Contoh / sample D-WAR bisa didownload di link dibawah
Tambahan dari referensi codenesia.com :
Registry yang dbuat untuk StartUp
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows server=C:\WINDOWS\system32\3003\smsvr.exe
Windows file monitor=C:\WINDOWS\system32\1986\ctfm0n.ex
Windows services controler=C:\WINDOWS\system32\Micros0ft\winserv.exe
Web yang coba di Blok
www.symantec.com
symantec.com
securityresponse.symantec.com
sarc.com
www.sarc.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.wormlist.com
wormlist.com
f-secure.com
www.f-secure.com
f-prot.com
www.f-prot.com
kaspersky.com
kaspersky-labs.com
www.avp.com
avp.com
www.kaspersky.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.comnai.com
www.nai.com
vil.nai.com

password : chaironi

5 comments:

  1. Wuih canggih juga nih ilmunya mas Chaironi, kuliahnya IT ya? Apakah program UBUNTU memang bisa untuk membasmi virus? Makasih banyak mas sudah mau berbagi.

    ReplyDelete
  2. bukan IT. q cuma elektro aja.belajar komputer dari otodidak hehehe

    untuk smentara virus tidak bisa berjalan di OS linux,dsb karena pembuat virus hanya menggunakan windows untuk menyebarkan virus. berhubung kebanyakan orang pake windows maka sipembuat hanya membuat virus untuk windows. kan sekarang jarang pake linux hehhe...mungkin kalo linux dah familiar ada orang yang mau membuat virus buat linux (semoga tidak)

    ReplyDelete
  3. lam sukses and thank's buat infonya bro..!!

    ReplyDelete
  4. haha... jadi rindu kena virus.. udah lama komputer aku gak kena virus.. padahal gak pake antivirus yg macem-macem kok apalagi yang bayar.. aku cuma pakai LINUX!!

    oia jangan lupa mampir ke sini ya...

    ReplyDelete
  5. kian-->ok bro

    ranger-->walo linux gratis tapi bagus hahhaha...
    mari berlinux ria hehhehe

    ReplyDelete

Jangan lupa tinggalkan komentar :)