Khasanah Islam
Home » Antivirus » Tips Trik » Invulnerable to Alman or Almanahe virus without antivirus

Invulnerable to Alman or Almanahe virus without antivirus

Posted by idiot on duty 14 September 2011 0 comments
AntiAlman, Aji Kanuragan Kebal Alman / Almanahe
Alman, Phidippidesnya virus yang bertahan sampai 3 tahun

Pengantar :
Alkisah Phidippides (530 SM – 490 SM), kurir pelari Athena dikirim ke Sparta untuk meminta pertolongan karena diserang oleh Persia yang mendarat id Marathon, Yunani. Dia berlari 240 KM selama 2 hari PP (Pulang Pergi) karena Sparta menolak membantu dan ia harus mengabarkan hal ini kembali ke bosnya. Lalu setelah itu ia harus berlari lagi 40 KM dari Marathon ke Athens untuk mengabarkan kemenangan Yunani melawan Persia dalam "Battle of Marathon" (490 SM) dan ia meninggal tepat setelah menjalankan tugasnya (berlari sejauh 42.195 Meter) ia berteriak NIKE (serius ini bukan pesan sponsor :)) atau "Nenikekamen" dalam bahasanya Hercules yang artinya kira-kira "Kita Sudah Menang" (bukan "Hari ini pasti menang" …. tapi habis itu kalah 2:0 :p). Terinspirasi oleh Phidippides maka jarak ia berlari dari Marathon ke Athens dijadikan sebagai jarak untuk lari Marathon yang kita kenal sampai hari ini. Nah, kalau di dunia olahraga ada Marathon, maka di dunia virus ada virus yang staminanya tidak kalah dengan Phidippides. Namanya Alman / Almanahe, virus yang muncul pertama kali di tahun 2008 http://www.vaksin.com/2008/0708/alman/Alman.html ini sudah menginjeksi file dengan ekstensi .exe dan mengakibatkan kekacauan pada sistem komputer korbannya. Melanjutkan aksinya di tahun 2009 Alman yang juga dikenal dengan nama Almanahe sering menduduki tangga virus top Indonesia di tahun 2010 dan sampai hari ini masih menjadi ancaman terhadap sistem komputer di Indonesia. Karena itu, melanjutkan proyek Aji Kanuragan Ramnit, maka Vaksincom kali ini membuat tools yang kembali dapat membuat komputer anda kebal Alman dengan nama Aji Kanuragan Alman.

Anda tentu masih ingat dengan virus W32/Alman atau lebih dikenal dengan sebutan Almanahe. Virus ini satu angkatan dengan Ramnit, Virut atau Sality dan memiliki kemampuan untuk menginjeksi file yang mempunyai ekstensi EXE. Alman (Almanahe) tergolong virus lama dengan awal kemunculan sekitar pertengahan tahun 2008 sebelum kemunculan Sality dan Virut. Alman adalah salah satu dari sederetan virus yang sukses dalam penyebarannya hingga sampai saat ini masih banyak kasus virus alman yang Kami temukan.

Penyebaran
Seperti kebanyakan virus yang menyebar, W32/Alman akan memanfaatkan beberapa media untuk menyebarkan dirinya seperti USB Flash dengan membuat file [boot.exe] dan [autorun.inf] serta menyebar melalui jaringan (LAN/WAN) dengan memanfaatkan Default Share Windows (ADMIN$, C$, D$ dll) jika berhasil di tembus ia akan membuat file [setup.exe] pada drive [C:\] dan menjalankan nya, selain itu ia juga akan memanfaatkan Folder/Drive yang di share dengan akses Full kemudian akan menginfeksi file aplikasi yang mempunyai ekstensi EXE.

Trojan downloader
Bukan cuma itu saja, W32/Alman (Almanahe) juga akan mendownload beberapa malware lain dengan melakukan koneksi ke beberapa website yang telah ditentukan untuk kemudian menjalankanya.

  • pic.imrw0rldwide.com
  • soft.imrw0rldwide.com
  • tj.imrw0rldwide.com

Metode pertahanan diri
Untuk mempertahakan dirinya, ia akan membuat beberapa file induk yang akan di aktifkan pada saat komputer dinyalakan. W32/Alman (Almanahe) juga mempunyai kemampuan rootkit yang cukup baik untuk melindungi file induk yang aktif di memori maupun file yang di drop serta menyamarkan dirinya sebagai service Windows sehingga mempersulit proses pembersihan. Jika dilihat secara sepintas file induk yang dibuat (berupa file .dll dan .sys) tidak akan dapat dilihat walaupun sudah menampilkan file yang disembunyikan.

Berikut beberapa file yang akan di buat oleh W32/Alman (Almanahe)

  • C:\Windows\linkinfo.dll
  • C:\Windows\System32\drivers\LsDrv118.sys
  • C:\Windows\system32\drivers\nvmini.sys
  • C:\Windows\System32\drivers\cdralw.sys
  • C:\Windows\System32\drivers\riodrvs.sys
  • C:\Windows\System32\drivers\DKIs6.sys

Injeksi [Explorer.exe]
Untuk mengelabui user, W32/Alman (Almanahe) akan memanfaatkan rekayasa sosial dengan membuat file [linkinfo.dll] palsu yang akan di simpan di direktori [C:\Windows] sedangkan untuk file [linkinfo.dll] asli Windows akan di simpan di direktori [C:\Windows\system32] dengan ukuran yang berbeda-beda, jika kita lihat secara sepintas, kedua file ini akan mempunyai informasi file yang sama (lihat gambar1).


Gambar1, file linkinfo.dll palsu dan linkinfo asli Windows

Untuk memperlancar aksi dalam upaya menginjeksi file aplikasi, W32/Alman (Almanahe) akan menginjeksi [Explorer.exe] dengan menggunakan file [linkinfo.dll] palsu yang sudah dipersiapkan, file inilah yang bertugas untuk memonitoring dan menginjeksi file aplikasi [EXE]. Dengan kemampuan injeksi terhadap file [Explorer] akan semakin mempersulit user untuk melihat proses virus konvensional seperti Task Manager, Security Task Manager ataupun Process Explorer kecuali CurrProcess (lihat gambar 2)

Gambar2, CurrProcess mampu melihat file [linkinfo.dll] palsu yang menginjeksi [Explorer.exe]
Target Injeksi
Seperti yang sudah dijelaskan sebelumnya, W32/Alman (Almanahe) akan menginjeksi file aplikasi yang mempunyai ekstensi EXE. Walaupun demikian W32/Alman (Almanahe) boleh dibilang agak 'sopan' tidak menginjeksi semua file EXE yang ada di komputer yang berada di direktori berikut:

  • \LOCAL SETTINGS\TEMP
  • \QQ
  • \Windows
  • \Winnt

Serta beberapa file yang mempunyai nama berikut:

  • launcher.exe
  • repair.exe
  • wow.exe
  • wooolcfg.exe
  • woool.exe
  • ztconfig.exe
  • patchupdate.exe
  • trojankiller.exe
  • xy2player.exe
  • flyff.exe
  • xy2.exe
  • au_unins_web.exe
  • cabal.exe
  • cabalmain9x.exe
  • cabalmain.exe
  • meteor.exe
  • patcher.exe
  • mjonline.exe
  • config.exe
  • zuonline.exe
  • userpic.exe
  • main.exe
  • dk2.exe
  • autoupdate.exe
  • dbfsupdate.exe
  • asktao.exe
  • sealspeed.exe
  • xlqy2.exe
  • game.exe
  • wb-service.exe
  • nbt-dragonraja2006.exe
  • dragonraja.exe
  • mhclient-connect.exe
  • hs.exe
  • mts.exe
  • gc.exe
  • zfs.exe
  • neuz.exe
  • maplestory.exe
  • nsstarter.exe
  • nmcosrv.exe
  • ca.exe
  • nmservice.exe
  • kartrider.exe
  • audition.exe
  • zhengtu.exe

LANGKAH PENCEGAHAN
Yang menjadi pertanyaan adalah, bagaimana caranya agar komputer kebal terhadap serangan virus Alman ?. Dari hasil analisa beberapa contoh virus W32/Alman (Almanahe) di laboratorium virus Vaksincom, ia akan membuat file induk [C:\Windows\linkinfo.dll] yang akan aktif di memory dengan menginjeksi file Explorer.exe serta file [C:\Windows\System32\Drivers\*.SYS] akan aktif sebagai service dan berfungsi untuk melindungi file [C:\Windows\linkinfo.dll].

Satu tips untuk melindungi komputer dari Alman (Almanahe):
    Matikan Default Share Widows [Admin$, C$, D$] jika tidak digunakan dan disable fitur autorun Windows
Silahkan copy script dibawah ini pada Notepad kemudian simpan dengan nama DisableDefaultShare.inf, kemudian jalankan file tersebut dengan cara :
  • Klik kanan INF file
  • Klik [Install]

[Version]
Signature="$Chicago$"
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0x00010001,0
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0x00010001,0
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255



Proteksi USB Flash
Sebagaimana yang telah dijelaskan sebelumnya, W32/Alman (Almanahe) juga akan menyebarkan dirinya dengan memanfaatkan media USB Flash dengan membuat beberapa file virus, berikut tips dan trik agar W32/Alman (Almanahe) tidak membuat file induk kedalam Media USB Flash :

  1. Khusus untuk file dengan ekstensi EXE sebaiknya di kompres dengan menggunakan program WinZIP/WinRAR agar virus tidak bisa menginfeksi file tersebut, jika perlu gunakan password.
  2. Buat folder kosong dengan nama [autorun.inf]. Agar folder [autorun.inf] tidak dihapus oleh virus buat folder kosong di dalam folder [autorun.inf] dengan karakter yang tidak dikenal oleh Windows seperti CON dan NUL (lihat gambar 3). Jika folder [autorun.inf] tersebut di hapus akan terjadi kegagalan dengan menampilkan pesan error (lihat gambar 4). Sebaiknya ubah atribut menjadi Hidden, System dan Read Only

Gambar 3, Membuat file autorun.inf

Gambar 4, Pesan error saat menghapus file autorun.inf

Anti Alman Tools
Vaksincom kembali membuat tools sederhana untuk mempermudah membasmi dan membuat komputer kebal dari virus dengan nama Anti Alman Tools v1. Tools ini TIDAK dibuat untuk membersihkan file aplikasi (EXE) yang sudah terinjeksi oleh W32/Alman (Almanahe). Untuk membersihkan file aplikasi (EXE) yang sudah terinjeksi W32/Alman (Almanahe) silahkan gunakan antivirus lain yang sudah dapat mendeteksi W32/Alman (Almanahe) atau gunakan Norman Malware Cleaner, silahkan download di website berikut:
http://www.norman.com/downloads/malware_cleaner/en

Catatan: Lakukan pembersihan pada mode aman (SAFE MODE).

Berikut beberapa kelebihan yang dimiliki oleh Alman Protection Tools adalah : (lihat gambar 5)
    1. GRATIS dan satu-satunya yang membuat komputer anda KEBAL dair virus Laman, sekalipun komputer tersebut belum dipatch dan tidak dilindungi dengan program antivirus :). Harap ingat kalau tools ini hanya untuk memproteksi komputer kebal dari virus Alman saja. Anda disarankan untuk selalu menggunakan program antivirus yang terupdate untuk memproteksi sistem komputer anda dari serangan virus.
    2. Mampu mencari dan mematikan proses W32/Alman (Almanahe) yang aktif di memory
    3. Mampu memperbaiki registry yang diubah oleh virus
    4. Mampu menghapus file induk W32/Alman (Almanahe)
    5. Proteksi PC agar kebal dari W32/Alman (Almanahe)
    6. Proteksi agar W32/Alman (Almanahe) tidak drop file virus ke USB Flash

Gambar 5, Anti Alman Tools v1

Keterangan menu:
  • Kill Alman Process, berfungsi untuk mencari dan mematikan proses virus
  • Protect Alman, berfungsi untuk proteksi agar komputer kebal dari W32/Alman (Almanahe)
  • Restore…, berfungsi untuk mengembalikan semua perubahan yang dilakukan oleh Anti Alman Tools.
  • About, informasi Anti Alman Tools
  • Exit, keluar dari Anti Alman Tools

Link download Anti Alman Tools :
http://www.vaksin.com/2011/0911/AntiAlman/AntiAlman.zip 

(vaksin.com) 
Categories: ,
Pin It

Related Post:



0 comments:

Posting Komentar

Share

Planetcopas

Copyright © 2011 Not Ordinary Idiot Weblog. All rights reserved.

- created by Blogger | Published by Team Blogspot