Khasanah Islam

W32/Slugin.A "Aktor intelektual" dibelakang banjir SPAM dgn tautan

Kalau anda sering menerima email spam tanpa Subject yang jelas dan body email hanya berisi link / tautan saja. Kemungkinan besar anda menjadi korban pengiriman SPAM dari komputer teman anda. TETAPI, jika banyak teman mengeluhkan / bertanya kepada anda mengapa email anda mengirimkan banyak email dengan Subject yang kosong atau unknown dan body email berisi tautan saja. Anda perlu waspada, kemungkinan besar komputer anda terinfeksi oleh Virut http://www.vaksin.com/2009/0909/virut/virut.htm yang mengganas sejak tahun 2009. Di tahun 2011 ini ada satu virus yang bandelnya tidak kalah dengan Virut dan juga memiliki payload mengirimkan SPAM (lihat gambar 1) di bawah. Virus dengan nama Slugin ini memiliki kemampuan untuk menggunakan akun email dari komputer korbannya untuk mengirimkan email SPAM ke alamat-alamat email yang ditemukan dalam address book komputer korbannya. Kemungkinan besar motivasi Slugin mengirimkan SPAM adalah untuk mendapatkan keuntungan finansial karena kerap kali link tersebut di forwardkan ke situs-situs penjual obat kuat.

Gambar 1, Aksi Slugin mengirimkan email dari komputer korbannya.

Siapa tidak kenal Brazil ??? Sebagai salah satu negara kiblat sepakbola dunia, Brazil menjadi salah satu kekuatan besar sepakbola di dunia. Dengan memiliki para pemain kelas dunia yang bermain di Eropa, Brazil merupakan salah satu negara yang memiliki sumber daya manusia pemain muda yang menjadi incaran para pemandu bakat dunia.

Jika anda menyaksikan laga final liga champions antara Barcelona (Spanyol) melawan Manchester United (Inggris), terdapat sekumpulan pemain kelas dunia dari berbagai negara yang bertanding. Tidak hanya menampilkan dominasi pemain Spanyol dan Inggris, tetapi juga pemain-pemain antar benua seperti Messi dan Mascherano (Argentina),  Park Ji Sung (Korea Selatan), Valencia (Ekuador), Hernandez (Mexico), serta duo pemain Brazil yaitu Daniel Alves (Barcelona) dan Fabio (Manchester United).

Selain memiliki para pemain berbakat dalam sepakbola, Brazil ternyata juga tidak kalah berbakat dibandingkan para pembuat virus lokal dari Indonesia. Dalam rentang waktu 4 bulan sejak awal tahun 2011, terdapat salah satu virus yang berasal dari Brazil dan ternyata memiliki cara infeksi yang mirip dengan Ramnit.

Bagi anda para pengguna komputer di Indonesia, harap berhati-hati karena sejak Januari hingga saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan virus yang mampu merusak program/aplikasi anda. Dan salah satu-nya adalah varian virus yang terdeteksi dan memakan banyak korban yaitu W32/Slugin.A atau Win32.Plugin.1. (lihat gambar 2)
Gambar 2, Norman mendeteksi virus W32/Slugin.A (Win32.Plugin.1)

Karakteristik W32/Slugin.A (Win32.Plugin.1)
Slugin.A (Plugin.1) bukanlah merupakan kelompok malware baru, melainkan sudah ada sejak tahun 2008. Dengan memiliki teknik tambahan yang berbeda, Slugin.A (Plugin.1) mampu menyebar dan berkembang setidaknya dari Januari 2011 hingga kini masih berkeliaran dengan berbagai varian yang lain.

Slugin.A (Plugin.1) memiliki kemampuan melakukan infeksi program/aplikasi yang mirip seperti varian malware lain yaitu Alman, Sality, Virut dan Ramnit. Hal ini yang bisa membuat para pengguna komputer khususnya programmer atau pengkoleksi software menjadi ngeri, karena akan sulit jika membersihkan virus yang melakukan infeksi file terutama file executable (aplikasi).

Slugin.A (Plugin.1) merupakan salah satu varian virus yang melakukan infeksi file executable (application). Dan tidak hanya file executable, tetapi juga melakukan infeksi terhadap file DLL (dynamic load library).

Selain itu jika anda terhubung ke internet, Slugin.A (Plugin.1) akan menghubungi remote server (IRC server) dan melakukan koneksi ke beberapa alamat server zombie untuk mendownload sekumpulan malware (virus, trojan, spyware). Pada beberapa waktu tertentu, Slugin.A (Plugin.1) akan mematikan beberapa service tertentu dan mengirimkan spam secara acak.

File W32/Slugin.A (Win32.Plugin.1)
Berbeda dengan varian malware pada umum-nya, Slugin.A (Plugin.1) hanya memanfaatkan file executable (aplikasi) yang telah terinfeksi untuk melakukan penyebaran. Sedangkan file utama yang dibuat bertujuan untuk melindungi diri.

File utama Slugin.A (Plugin.1) dibuat menggunakan bahasa pemrograman C. File utama yang dibuat akan menjaga agar file executable (aplikasi) yang sudah terinfeksi virus akan berjalan dengan baik sehingga komputer akan sulit dibersihkan.

Jika anda sudah terinfeksi Slugin.A (Plugin.1), malware akan membuat file utama yaitu :
  • C:\Documents and Settings\[User]\Application Data\Wplugin.dll (111 kb)
  • C:\WINDOWS\wplugin.dll (111 kb)

Kemudian untuk melakukan penyebaran dengan melakukan infeksi maka malware akan membuat file lain yaitu :
  • C:\Program Files\Messenger\ws2help.dll (21 kb)
  • C:\WINDOWS\ws2help.dll (21 kb)

Selain itu Slugin.A (Plugin.1) akan mencoba melakukan infeksi pada beberapa file Windows yang berjalan dan berusaha mengganti-nya seperti pada file :
  • C:\Program Files\Messenger\msmsgs.exe.local (1 kb)
  • C:\WINDOWS\explorer.exe.local (1 kb)

Kemudian malware juga membuat file log berikut pada :
  • C:\Windows\System32\smcinst.log (0 kb)

Sedangkan sasaran infeksi yaitu file yang memiliki ekstensi berikut :
  • .exe (pada seluruh drive)
  • .dll (pada seluruh drive)

Gejala & Efek W32/Slugin.A (Win32.Plugin.1)
Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :

ü Menginfeksi file executable (exe)
Agar dapat dengan mudah melakukan penyebaran serta menjaga agar komputer tetap terinfeksi, maka Slugin.A (Plugin.1) menginfeksi file executable (exe). Sehingga jika pengguna komputer tidak sengaja menjalankan file program/aplikasi yang menggunakan extension exe, Slugin.A (Plugin.1) akan kembali menginfeksi komputer. Dengan demikian komputer akan sangat sulit dibersihkan.

ü Menginfeksi file dll (dynamic load library)
Selain menginfeksi file executable (exe), Slugin.A (Plugin.1) juga melakukan infeksi terhadap file dll (dynamic load library) yang bertujuan untuk melindungi file terinfeksi yang sedang aktif dan melakukan penyebaran dengan menginfeksi file executable lain-nya..

ü Menginfeksi file system Windows (Explorer & Messenger)
Salah satu efek yang terbilang cukup sukses adalah kemampuan Slugin.A (Plugin.1) untuk menginfeksi file system Windows seperti Windows Explorer dan Windows Messenger. Dengan menginfeksi file system yang sudah otomatis berjalan saat komputer aktif, maka proses Slugin.A (Plugin.1) bisa dengan leluasa melakukan aksi-nya. (lihat gambar 3)
Gambar 3, Windows Explorer telah terinfeksi oleh Slugin.A (Plugin.1)

ü Melakukan koneksi ke Remote Server
Untuk memudahkan dalam melakukan aksi-nya, Slugin.A (Plugin.1) melakukan koneksi ke remote server dengan membuka port-port tertentu seperti 80, 81, 82. Remote Server ini yang dituju oleh pembuat virus Slugin.A (Plugin.1) yang berasal dari Brazil.

ü Mengirim informasi
Sebagai tanda bahwa komputer telah terinfeksi, Slugin.A (Plugin.1) melakukan koneksi ke remote server dan mengirim informasi bahwa komputer telah terinfeksi serta mengirimkan beberapa informasi lain yang diperlukan. Alamat email yang akan dituju yaitu :

ü Mendownload file malware
Slugin.A (Plugin.1) membuka beberapa port agar dapat melakukan salah satu aksi-nya yaitu mendownload file malware lain agar komputer tetap terinfeksi dan melakukan penyebaran. Port yang dibuka untuk mendownload yaitu 10100.

ü Mengirim SPAM
Selain mengirim pesan dan mendownload malware, Slugin.A (Plugin.1) juga melakukan salah satu aksi-nya yaitu mengirim SPAM kepada alamat-alamat yang berada pada address book pemilik komputer. SPAM tersebut biasanya hanya berisi link-link yang tidak jelas dan tidak bisa dibuka. (lihat gambar 1 di atas)
ü Mematikan service Windows tertentu
Akibat dari infeksi terhadap file executable (exe) termasuk file Windows Explorer dan mematikan beberapa service tertentu, maka terkadang beberapa file Windows akan menjadi error sehingga komputer menjadi tidak berjalan dengan normal. (lihat gambar 4)
Gambar 4, Windows Explorer error karena telah di-infeksi oleh Slugin.A (Plugin.1)

Metode Penyebaran W32/Slugin.A (Win32.Plugin.1)
Beberapa cara dari Slugin melakukan penyebaran adalah sebagai berikut :
  • Removable drive
Dengan memanfaatkan file executable (exe) dan file dll (dynamic load library) yang sudah terinfeksi oleh Slugin.A (Plugin.1), hal ini yang secara umum sering digunakan oleh para pembuat virus infeksi seperti Sality, Virut, Alman, Ramnit, dll. Perhatikanlah bagi anda yang suka menyimpan file program/aplikasi atau dll untuk dipastikan tidak terinfeksi oleh Slugin.A (Plugin.1).
  • Jaringan
Dengan memanfaatkan file sharing terutama sharing full akses, Slugin.A (Plugin.1) dapat menginfeksi file executable (exe) dan file dll. Sehingga jika file tersebut juga di akses orang lain, maka akan dengan mudah terinfeksi dengan cepat.

Pembersihan W32/Slugin.A (Win32.Plugin.1)
1.    Putuskan koneksi jaringan/internet.
2.    Matikan "System Restore" (Windows XP/ME)
ñ  Klik kanan My Computer, pilih Properties.
ñ  Pilih tab System Restore, beri ceklist pilihan Turn off System restore
ñ  Klik Apply, Klik OK. (lihat gambar 5)
Gambar 5, Matikan System Restore

3.    Matikan dan hapus Slugin.A (Plugin.1)
Lakukan langkah-langkah berikut :
Download tools untuk membersihkan Slugin.A (Plugin.1) pada komputer yang belum terinfeksi pada link berikut :

Norman Malware Cleaner


4.    Bersihkan temporary file dari jejak Slugin.A (Plugin.1)
Lakukan langkah-langkah berikut :
a)    Klik Menu Start -> Run
b)    Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
c)    Pada drive system (C) klik OK, biarkan proses scan drive.
d)    Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
e)    Tunggu hingga selesai.

5.    Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali malware ini dengan baik.

6.    Aktifkan kembali System Restore.

0 comments:

Posting Komentar

Share

Planetcopas