^_^ hellcome ^_^

Messenger Virus (Yahoo Messenger, facebook, Gtalk, MSN, SKype) | |~dream cyber comunity~|
murah
Home » » Messenger Virus (Yahoo Messenger, facebook, Gtalk, MSN, SKype)

Messenger Virus (Yahoo Messenger, facebook, Gtalk, MSN, SKype)

Written By Unknown on 3 November 2011 | 20.50


Share160
W32/VBTroj.CEUU           
Teman YM atau teman facebook anda tahu-tahu jago Bahasa Inggris

Bila anda pengguna jejaring sosial seperti Yahoo Messenger, facebook,  MSN Messenger, Gtalk dan Skype dan tahu-tahu beberapa kontak Messenger anda tahu-tahu seperti burung beo fasih mengirimkan pesan dalam Bahasa Inggris yang keren, beserta lampirannya. Jangankan anda sekali-kali klik link tersebut sekalipun Bahasa Inggris anda cas cis cus dan anda mengerti apa arti pesan yang dikirimkan (apalagi kalau tidak mengerti) karena virus tidak memandang bulu apakah korbannya mengerti Inggris atau tidak, komputer anda akan langsung di infeksi olehnya. 

YM atau Yahoo! Messenger merupakan aplikasi chat yang paling populer. Hampir semua pengguna internet memiliki akun gratis Yahoo, tidak lengkap rasanya jika tidak memanfaatkan aplikasi YM pada komputer-nya. Bahkan tidak hanya pengguna komputer, pengguna ponsel dan Blackberry pun juga dimanjakan dengan tersedia-nya aplikasi YM pada perangkat tsb.
Jika sebelumnya varian virus Facebook dan virus Google telah meramaikan acara tutup tahun 2009, maka telah muncul varian virus Yahoo! Messenger yang menyebar cepat dan juga ikut merepotkan. (lihat gambar 1 dan 2)

Gambar 1, Pesan yang ditampilkan oleh virus melalui Yahoo Messenger.

Gambar 2, Virus ini terdeteksi oleh Norman Security Suite sebagai W32/VBTroj.CEUU.


Serangan pop-up YM (pesan dengan link attachment)
Jika anda mendapatkan pesan yang disertakan link (meskipun berasal dari teman anda sendiri), maka anda patut waspada. Pesan yang dikirim berbeda dengan varian sohanad yang menggunakan bahasa “Vietnam”, pesan yang dikirim menggunakan bahasa “Inggris” yang disertai link attachment. Jika anda cukup mahir Bahasa Inggris, jangan senang dulu meskipun anda sudah mengerti apa maksud link yang di kirimkan atau anda mengira teman anda yang selama ini Bahasa Inggrisnya jeblok kok tahu-tahu bisa mengirimkan kalimat-kalimat dalam Bahasa Inggris dan anda klik lagi ...... maka anda akan masuk ke dalam gang yang sama dengan teman anda, terinfeksi virus dan Ymnya otomatis mengirimkan pesan-pesan dalam Bahsa Inggris. Apalagi jika anda tidak mengerti Bahasa Inggris .... pokoknya ada link apapun walaupun itu dari teman, pacar, sosotan atau bos anda sekalipun, JANGAN di klik tanpa konfirmasi terlebih dahulu ke pengirimnya.

Link lampiran yang dikirimkan ini smeuanya seakan-akan file gambar (JPEG), padahal sebenarnya berisi file virus yang di kompress menjadi file zip.

Berikut beberapa bentuk pesan yang dikirim (dalam bahasa Inggris).

ü  I just found this pic of you last night, and I think you might want to save it, looks amazing. srv034.imageshares.info:88/cache/user2940/DVS-Picture009.JPEG.zip
ü  Would you care if I tagged you in this picture? Or would you get upset at me? srv057.imageshares.info:88/DisplayPics/user3052/DVT-NewPhoto009.JPG.zip
ü  This picture is creepy and disturbing! You have to check it out. http://srv034.imageshares.info:88/cache/user2940/DVS-Picture009.JPEG.zip
ü  I was at the mail, and you will never guess who i saw! http://srv057.imageshares.info:88/DisplayPics/user3052/DVT-NewPhoto009.JPG.zip
ü  I found the perfect wallpaper. You'll love it, what do you think? http://viewmorepics.facebookgallery.info:88/ImageView&profileID=1390/DVS-MyPhoto14.JPEG.zip
ü  Have you seen my new glasses? I just found out I had to get new ones. Do they look ok??http://viewmorepics.facebookgallery.info:88/ImageView&profileID=1390/DVS-MyPhoto14.JPEG.zip
ü  Why do I even bother taking pictures when they turn out to be like this. Don't show it to anyone please.http://img284.dlimageshack.info:88/img284/43930/MVC-NewPhoto12.JPG.zip
ü  I finished editing this picture last night for my facebook profile... How do you like it? http://img425.dlimageshack.info:88/~ProfileView/user4729/DVS-NewPhoto13.JPG.zip
ü  The pics from my new digital camera keep coming out strange. Can't you tell it doesn't look right in this one? http://c2ac-b.myspace-pics.info:88/images03/4986051/DVT-Picture004.JPG.ZIP
ü  If you decide to open this picture you have to promise not to show it to anyone. ok? http://c2ac-b.myspace-pics.info:88/images03/4986051/DVT-Picture004.JPG.zip

File virus
File attachment virus VBTroj.CEUU dibuat dengan menggunakan script bahasa pemrograman Visual Basic, dengan ukuran file sekitar 212 kb, sedangkan ukuran file pendukung lainnya berukuran berbeda-beda. (lihat gambar 3).
Gambar 3, File virus Messenger

Jika file yang dikirim dijalankan, maka virus akan membuat file virus serta mendownload beberapa file pendukung yaitu :
ü  C:\Documents and Settings\%user%\[nama_acak].exe
ü  C:\Documents and Settings\%user%\secupdat.dat
ü  C:\Documents and Settings\%user%\Local Settings\Temp\melt.bat
ü  C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files\3mc.zip
ü  C:\WINDOWS\system32\wmisrpc.exe
ü  C:\WINDOWS\system32\secupdat.dat

File induk virus “wmisrpc.exe” yang kemudian aktif akan menyamarkan diri sebagai salah satu file audio (Realtek AC97 Audio – Event monitor). Lihat gambar 4.
Gambar 4, File virus yang menyamarkan diri sebagai file Realtek Audio

Aksi virus
Beberapa aksi yang dilakukan virus yaitu sebagai berikut :

*    Mencoba melakukan koneksi/kontak ke remote server/IRC (Internet Relay Chat) dengan berbagai IP seperti : (lihat gambar 5)
-          231.102.234.209         (port 6104)
-          76.74.250.94               (port 41040)
-          195.149.74.40             (port 80)
-          216.105.85.153           (port 80)
-          209.234.102.231         (port 1054)

Beberapa IP tersebut memiliki nama domain sebagai berikut : (lihat gambar 5)
-          srvr24.ralden.com
-          webbox857.server-home.net
-          tvtcl-300103.tvt.ne.jp
-          coax.a-youtube.info
-          centre.a-youtube.info
-          com0.b-youtube.info
-          det0x.c-youtube.info
-          euro.b-youtube.info
-          mech.c-youtube.info
-          ptr.b-youtube.info
-          rgtryhbgddtyh.biz
-          sector9.myfilehd.info
-          sex.c-youtube.info
-          spazm.a-youtube.info
-          wertdghbyrukl.ch
-          dll……
Gambar 5, Virus akan berusaha mengkoneksikan diri ke beberapa situs

*    Mencoba melakukan koneksi ke beberapa website dan mencoba untuk melakukan sinkronisasi waktu. Kemungkinan besar tujuan dari sinkronisasi waktu adalah supaya komputer-komputer yang terinfeksi virus memiliki waktu yang sama dan kalau diperintahkan untuk melakukan Ddos akan berdampak masif. Adapu situs sinkronisasi waktu yang dikontak adalah :
-          Yahoo.com
-          Google.com
-          Time.windows.com
Gambar 6, Virus akan berusaha melakukan sinkronisasi waktu

*    Mencoba melakukan koneksi ke beberapa Mail Exchanger (MX) seperti : (lihat gambar 7)
-          Microsoft.com
-          Yahoo.com
-          Google.com
-          Mail.Ru (merupakan penyedia jasa e-mail gratis terbesar di Rusia)
*    Mencoba melakukan koneksi ke beberapa website dengan menggunakan berbagai port. (lihat gambar 8)
Gambar 8, Virus akan berusaha mengkoneksikan diri ke beberapa situs. Dalam banyak kasus koneksi secara masif ke suatu situs akan berakibat Ddos.

*    Sinkronisasi ke remote server/IRC server dan berkomunikasi. Salah satu text yang berhasil di capture yaitu sebagai berikut :
IRC@svx-01.jpl.nasa.gov PRIVM........................ Welcome to the 0wnage.com IRC Network USA

*    Mendownload file virus dan mendapatkan list pesan yang akan dikirimkan via aplikasi chat. Jadi jika pembuat virusnya melakukan update pada pesan yang di kirim, maka pesan yang di kirim dapat berubah dari yang kami utarakan di atas.

Jumlah list pesan yang didapat cukup banyak. Hanya dengan 1 link virus, pesan yang diterima bisa didapatkan sekitar ± 50 kalimat yang berbeda.

Berikut contoh pesan yang akan dikirimkan :
-          Does this picture look a little strange to you? It's supposed to be real, but I have doubts.
-          Have you seen the photo of my mom when she was a teenager? Doesn't she look outrageous?
-          Myspace just deleted this picture off my profile for abuse. I don't see anything wrong with it, can you?
-          Dll…….

*    Mengirim pesan kepada semua contact address yang ada pada aplikasi chat. (lihat gambar 9)
Gambar 9, Aksi virus mengirimkan pesan ke kontak-kontak Messenger

*    Mencoba akses jaringan dan menyebarkan virus. Dalam hal ini pun berusaha menembus IPC$ yang menurut pengalaman Vaksincom cukup efektif sebagai sarana penyebaran virus melalui jaringan.

CPU 100%
Akibat dari meningkatnya aktifitas koneksi jaringan dan internet yang dilakukan oleh viruskomputer akan terasa lambat. Hal ini dapat dilihat pada proses penggunaan resources memory yang meningkat hingga 100 %. Untuk memastikan anda dapat melihat pada Windows Task Manager. (lihat gambar 10)

Gambar 10, Aktivitas virus menyebabkan CPU usage komputer emnjadi 100 % sehingga mengganggu kinerja komputer.

Registry Windows
Agar dapat aktif saat komputer dijalankan, virus akan membuat string registri sebagai berikut :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WMI RPC Server = C:\WINDOWS\system32\wmisrpc.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = C:\WINDOWS\system32\userinit.exe
  • HKEY_USERS\S-1-5-21-1229272821-2052111302-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = explorer.exe C:\Documents and Settings\%user%\[nama_acak].exe

Untuk melakukan blok terhadap fungsi windows, virus membuat string sebagai berikut :
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableConfig = 1
DisableSR = 1

Metode penyebaran virus
Salah satu keunggulan utama virus ini adalah melakukan penyebaran melalui Yahoo Messenger (YM). Tidak hanya itu, kemungkinan virus ini pun menyebar melalui aplikasi chat yang lain seperti SkypeGTalk (Google Talk), Windows Live Messenger dan MRA (Mail.Ru Agent). Dengan mengirimkanbeberapa link pesan ke semua contact address yang ada, yang di arahkan ke sebuah website dan akan mendownload file virus. (lihat gambar 11)
Gambar 11, Aksi virus mengirimkan linknya melalui YM

Dalam jaringan, dengan memanfaatkan file sharing (terutama folder yang di share full), virus juga menyebar dengan membuat file virus “[nama_acak].exeyang berukuran 212 kb.

Cara pembersihan virus VBTroj.CEUU
  • Sebaiknya lakukan pembersihan melalui mode safe mode.
  • Matikan proses virus yang berjalan di memory. Gunakan Windows Task Manager. (lihat gambar 11)
Gambar 11, Gunakan Task Manager untuk mematikan proses virus.

Lakukan kill process, pada beberapa file yang aktif yaitu :

ü  Cmd.exe (digunakan oleh virus, cukup End Process saja)
ü  Svchost.exe (digunakan oleh virus, cukup End Process saja)
ü  C:\WINDOWS\system32\wmisrpc.exe (jika aktif)

  • Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
                       
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKU, S-1-5-21-1229272821-2052111302-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0, "C:\Windows\system32\userinit.exe,"

[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, WMI RPC Server
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

  • Hapus file virus dengan menggunakan Norman Malware Cleaner. Anda dapat mendownload pada link berikut :

http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

  • Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik. (lihat gambar 12)
sumber berita

Description: Messenger Virus (Yahoo Messenger, facebook, Gtalk, MSN, SKype) Rating: 5 Reviewer: Unknown - ItemReviewed: Messenger Virus (Yahoo Messenger, facebook, Gtalk, MSN, SKype)
Share this article :
Penulis Unknown di 20.50
Label:

0 komentar sobat dream cyber comunity :

Posting Komentar

komentar yang tidak sopan akan di hapus...terima kasih :-*

Follow Me

ARSIP BLOG

Pasang Iklan Murah
 
Support : My Blog | My Web | Contact Me
Copyright © 2013. |~dream cyber comunity~| - All Rights Reserved
Template Created by Creating Website Published by blogger
Proudly powered by Blogger