W32/Agent.VARB
Font file kerabat shortcut yang menyebarkan virus
Tidak mau kalah dengan group konglomerat bioskop di Indonesia yang membuat beberapa perusahaan importir film baru yang diperkirakan sebagai antisipasi jika perusahaan importir film lama (yang menunggak pajak ke pemerintah ratusan milyar rupiah) tidak diperbolehkan mengimpor film. Maka varian virus LNK (shortcut) juga membuat beberapa virus varian baru. Kali ini menyaru sebagai file Font.
Dominasi varian virus shortcut (LNK) mulai bertambah lagi dengan muncul-nya salah satu varian terbaru sejak akhir Maret 2011 lalu. Entah apakah celah shortcut (LNK) menjadi salah satu celah favorit bagi para pembuat malware untuk melakukan penyebaran sehingga menjadi trend, kini makin banyak bermunculan berbagai macam varian dari virus/trojan berbahaya dan worm jaringan yang akan membuat komputer anda menjadi lambat dan tentunya mengganggu pekerjaan anda.
Bagi anda para pengguna komputer dan internet di Indonesia, harap berhati-hati karena saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan worm ini, dan salah satu varian yang terdeteksi yaitu W32/Agent.VARB (lihat gambar 1)
Gambar 1, Norman mendeteksi varian worm W32/Agent.VARB
Keluarga baru malware shortcut (LNK) : worm Agent.VARB
Worm Agent.VARB (Norman) atau sering disebut Rorpian (Microsoft) atau SillyFDC (Symantec, Eset/NOD), dan TDSS (TrendMicro, Sophos), merupakan salah satu kelompok worm yang mampu mengganggu system komputer dalam jaringan dan mencoba memanipulasi system yang ada dalam jaringan. Kemampuan utama dari worm ini adalah dengan melakukan broadcast internet dan membuat komputer menjadi lambat.
Worm ini banyak ditemukan pada komputer-komputer server (atau yang dijadikan sebagai server) yang sering melakukan pertukaran data atau sharing file khusus-nya pengguna Windows Server 2003.
Kelebihan dari worm ini selain mampu melakukan penyebaran menggunakan celah shortcut (LNK) atau MS10-046, juga dapat melakukan penyebaran melalui celah lain yaitu Windows Print Spooler atau MS10-061 dan Microsoft OpenType Font Driver atau MS10-091.
Gejala & Efek Virus
Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :
Aktif dengan menginfeksi file Windows Explorer dan Print Spooler
File worm aktif pada memory komputer dengan menginjeksi/menumpang file Windows Explorer dan Print Spooler. Dengan melakukan hal seperti itu, maka akan menghindari antisipasi dari antivirus sehingga sangat sulit dibersihkan. Serangan akan terjadi pada komputer server yang menggunakan Windows Server 2003.
Membuat komputer menjadi hang (explorer error)
Saat komputer dinyalakan pertama kali dan login, Windows Explorer akan terasa lambat (hang) akibat aktifitas dari worm yang mencoba menginjeksi Windows Explorer. Dengan melakukan hal tersebut, pengguna komputer akan merasa terganggu dan tidak nyaman menggunakan komputer. Terkadang hal ini membuat akibat fatal pada Windows Explorer yang menjadi error. (lihat gambar 2)
Gambar 2, Windows Explorer menjadi error
Melakukan koneksi ke Remote Server
Worm W32/Agent.VARB juga berusaha melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Koneksi ke beberapa remote server dilakukan dengan menggunakan port acak :
82.192.xx.xx
188.138.xx.xx
94.75.xx.xx
Mendownload file agar tetap terupdate
Tidak mau kalah dengan program antivirus, trojan W32/Agent.VARB juga melakukan download beberapa file tertentu dari Remote Server yang bertujuan agar worm tetap terupdate dan tidak mudah dikenali oleh antivirus.
File trojan W32/Agent.VARB
File worm W32/Agent.VARB dibuat menggunakan bahasa pemrograman C. Berikut ciri-ciri file utama trojan sebagai berikut : (lihat gambar 3)
Berukuran 63 kb (tergantung varian yg ditemukan)
Type file “Font File”
Icon file “Font
Berekstensi “fon”
Gambar 3, File trojan W32/Agent.VARB
File-file tersebut yaitu ;
autorun.inf
myporno.avi.lnk
pornmovs.lnk
setup50039.fon
setup50039.lnk
setup50045.fon
setup50045.lnk
Selain file tersebut, worm Agent.VARB akan mendownload beberapa file lain, yaitu sebagai berikut :
C:\Documents and Settings\%user%\Local Settings\Temp\srv[acak].tmp (1 kb)
C:\Documents and Settings\%user%\Local Settings\Temp\srv[acak].ini (1 kb)
Modifikasi Registry
Beberapa modifikasi registry yang dilakukan oleh worm Agent.VARB antara lain sebagai berikut :
Menambah Registry
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\srv[acak]
(Default) = "service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srv[acak]
Type = 0x00000020
Start = 0x00000002
ErrorControl = 0x00000001
ImagePath = "%System%\svchost.exe -k netsvcs"
DisplayName = "srv[acak]"
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srv[acak]\parameters
servicedll = "\\?\globalroot\Device\HarddiskVolume1\DOCUME~1\%UserName%\LOCALS~1\Temp\srv[acak].tmp"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srv[acak]\Security
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\srv[acak]
(Default) = "service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv[acak]
Type = 0x00000020
Start = 0x00000002
ErrorControl = 0x00000001
ImagePath = "%System%\svchost.exe -k netsvcs"
DisplayName = "srv[acak]"
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv[acak]\parameters
servicedll = "\\?\globalroot\Device\HarddiskVolume1\DOCUME~1\%UserName%\LOCALS~1\Temp\srv[acak].tmp"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv[acak]\Security
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
Merubah Registry
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
Cookies =
History =
Metode Penyebaran
Beberapa cara worm W32/Agent.VARB melakukan penyebaran yaitu sebagai berikut :
Removable drive/disk
Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. worm (memanfaatkan celah autoplay) membuat beberapa file agar menginfeksi komputer yaitu :
autorun.inf
myporno.avi.lnk
pornmovs.lnk
setup50039.fon
setup50039.lnk
setup50045.fon
setup50045.lnk
Selain itu, dengan memanfaatkan celah keamanan MS10-046 (Windows Icon handler) maka file shortcut/LNK akan langsung dieksekusi pada saat drive tersebut diakses.
Jaringan LAN
Salah satu metode utama yang digunakan untuk melakukan penyebaran yaitu menggunakan jaringan LAN. Dengan memanfaatkan file sharing yang terbuka (full), worm melakukan penyebaran file. Sehingga komputer yang akan mengkases file sharing akan terinfeksi dengan mudah (juga ikut memanfaatkan celah MS10-046).
Selain itu, dengan memanfaatkan celah keamanan MS10-061 (Windows Print Spooler) pada komputer yang mengkases komputer Print Server yang telah terinfeksi worm jenis ini.
Pembersihan Virus/Worm
Putuskan koneksi jaringan/internet.
Matikan “System Restore” (Windows XP/ME) (lihat gambar 4)
Klik kanan My Computer, pilih Properties.
Pilih tab System Restore, beri ceklist pilihan Turn off System restore
Klik Apply, Klik OK.
Gambar 4, System Restore dahulu supaya dalat membasmi virus dengan tuntas
Matikan dan hapus worm W32/Agent.VARB
Lakukan langkah-langkah berikut :
Download tools untuk membersihkan worm W32/Agent.VARB pada komputer yang belum terinfeksi pada link berikut :
Norman Malware Cleaner
http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe
Setelah selesai, kompress file tersebut hingga menjadi file zip.
Copy file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
Klik kanan file zip tersebut, kemudian klik explore.
Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.
Klik Start untuk memulai Scan, dan klik Yes untuk memulai.
Biarkan hingga proses scan selesai.
Repair registri yang telah dimodifikasi.
Hapus key registry yang telah dibuat oleh worm dengan langkah sebagai berikut :
Klik Menu [Start]
Klik [Run]
Ketik _"regedit", kemudian klik tombol [OK] hingga muncul tampilan "Registry Editor"
Cari dan hapus key berikut :
HKEY_LOCALMACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\srv[acak]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srv[acak]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\srv[acak]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv[acak]
Rubah key registri yang telah dimodifikasi oleh worm dengan langkah sebagai berikut :
Klik Menu [Start]
Klik [Run]
Ketik _"regedit", kemudian klik tombol [OK] hingga muncul tampilan "Registry Editor"
Cari dan rubah key berikut menjadi :
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
Cookies = C:\Documents and Settings\NetworkService\Cookies
History = C:\Documents and Settings\NetworkService\Local Settings\History
Bersihkan temporary file dari jejak worm.
Lakukan langkah-langkah berikut :
Klik Menu Start -> Run
Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
Pada drive system (C) klik OK, biarkan proses scan drive.
Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
Tunggu hingga selesai. (lihat gambar 5)
Gambar 5, Disk Cleanup, melakukan pembersihan file temporary Windows
Install Security Patch MS10-046, MS10-061 dan MS10-091 sesuai dengan versi Windows yang dimiliki. Silahkan download pada link berikut :
http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-061.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-091.mspx
Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali worm ini dengan baik.
sumber : forum.binushacker.net
