.: Dee Personal Blog :.

Subtitle

Blog

Hapus Worm.Win32.Ngrbot.hry alias Worm:Win32/Dorkbot.A secara manual

Posted by Root on December 6, 2012 at 8:35 AM

Beberapa jam yang lalu, penulis mendapatkan E-Mail berisi sampel Malware dari seorang rekan di Forum. Ternyata setelah diusut, Malware ini berupa Varian dari NigerBot, adapun NigerBOT adalah Malware yang dapat melakukan komunikasi antara perangkat yang terinfeksi dengan Host pembuat Malware ini. Disebut NigerBOT karena banyak digunakan oleh orang-orang Nigeria untuk melakukan tindakan Scamming, Spamming, pencurian kata sandi atau histori browser maupun cookies ataupun bentuk Abuse pada dunia maya (dampak bergantung si pembuat Malware). Adapun Malware yang akan dianalisis pada tulisan ini adalah Worm.Win32.Ngrbot.hry (penamaan dari Kaspersky) atau Worm:Win32/Dorkbot.A (penamaan dari Microsoft). 25 dari 46 Software Anti-Virus terkemuka dapat mendeteksi dan menghalau pergerakan dari Worm ini, apa sajakah Anti-Virus yang dapat mendeteksinya?



 

TheHacker : W32/Ngrbot.hry

TrendMicro : WORM_NGRBOT.BH

DrWeb : BackDoor.IRC.NgrBot.42

AVG : BackDoor.SmallX.AKV

VBA32 : BScope.Trojan.AldiBot.9112

AntiVir : TR/Offend.KD.455812

GData : Trojan.Generic.KD.455812

BitDefender : Trojan.Generic.KD.455812

F-Secure : Trojan.Generic.KD.455812

MicroWorld-eScan : Trojan.Generic.KD.455812

nProtect : Trojan.Generic.KD.455812

Emsisoft : Trojan.Generic.KD.455812 (B)

VIPRE : Trojan.Win32.Generic!BT

NANO-Antivirus : Trojan.Win32.Offend.gpdrc

Fortinet : W32/DorkBot.B

McAfee : W32/Sdbot.worm!mc

Norman : W32/Suspicious_Gen2.UNXHD

ESET-NOD32 : Win32/Dorkbot.B

Avast : Win32:VBCrypt-GE [Trj]

Agnitum : Worm.Ngrbot!foqYXxXCG1U

Kingsoft : Worm.Ngrbot.(kcloud)

Kaspersky : Worm.Win32.Ngrbot.hry

Jiangmin : Worm/Ngrbot.ky

Antiy-AVL : Worm/Win32.Ngrbot.gen

Microsoft : Worm:Win32/Dorkbot.A

 



Nah setelah penulis lakukan analisa lebih lanjut, ditemukan ciri-ciri seperti ini : 


File Name : Terdiri dari 6 karakter acak atau 8 karakter acak (6 abjad 2 angka) 

Icon File : Seperti pada Screenshot

Ukuran : 164.5 KB ( 168448 bytes )

MD5 : 8aeeb6db246e6a67cd5b7ee197c5facf

SHA256 : ef1f9a3c0c3a979e9b444b422620c2c44edea203e53e5577d39f2d24f019a49b

SHA1 : b62cb54522367b16a54d89a59165fb0419e11ba5

Tipe : Executable File (.exe)






Pada Properti Filenya bercirikan sebagai berikut :

 

Company Name : finita stesse

File Description : scorti parti abitua revoca

Original Filename : Nama File Random.exe

Product Name : purga psiche

File Version : 6.08.0001

Internal Name : Sesuai dengan Original Filename

Copyright : fecero stazze niente



 

Lantas jika perangkat yang kita gunakan terinfeksi Worm ini, apa yang harus kita lakukan? Pertama-tama bukalah msconfig.exe dari Run kemudian lihat pada bagian Startup. Nama Startup Item Worm ini biasanya mengacu pada Nama File Wormnya, sehingga mudahlah bagi kita untuk menyortir mana StartUp milik Worm ini dan mana StarUp milik Proccess lain. Worm ini memiliki Nama File 6 hingga 8 karakter acak, nah berarti pembaca harus melihat StartUp Item yang memiliki Nama 6 hingga 8 karakter acak, misal : Scxaxs atau ozkqke. Kemudian lihat di sebelahnya (bagian Command), ada Path atau Lokasi milik File tersebut berada, semisal : C:\Documents and Settings\Nama User Windowsnya\Application Data\Scxaxs.exe (Pada Windows XP) atau C:\Users\Nama User Windowsnya\AppData\Roaming\ozkqke.exe (Pada Windows Vista/7).


Nah karena kita sudah dapat mengetahui Lokasi File Worm (Pathnya) maka kita tinggal mendeletenya melalui Command Prompt. Pertama-tama buka Command Prompt dan ketik attrib -r -a -s -h Path Worm, contoh : attrib -r -a -s -h C:\Users\Nama User Windowsnya\AppData\Roaming\ozkqke.exe dan tekan enter. Kemudian matikan Proccess si Worm, misal File Name Wormnya ozkqke.exe berarti pembaca harus mengetik taskkill /f /im Lokasi File ozkqke.exe dan tekan enter. Barulah setelah itu dilakukan penghapusan File Worm dengan perintah erase /f /s /q Nama dan Lokasi File Wormnya, misal : erase /f /s /q Lokasi File ozkqke.exe dan tekan enter. Setelah itu buka Regedit melalui Run, ketik regedit.exe dan tekan enter. Cari di bagian : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, nah carilah di sisi kanan Name yang memiliki 6 sampai 8 karakter acak, misal : Scxaxs, setelah itu kanan dan pilih delete. 



Tugas pembaca belum selesai sampai disitu, pembaca harus memblokir IP dan Port berikut : 199.15.234.7 Port 80 dan 46.166.157.25 Port 3212, pada Host/IP tersebut Worm ini akan mencoba melakukan interaksi. Selain pada IP tersebut, juga pada Website berikut shuwhyyu.com, lovealiy.com, s.yegyege.com. Bagaimana cara memblokirnya? Untuk memblokir IP/Website pada Windows XP bisa menggunakan tutorial ini (mywebhostingblog.net/aspnet-web-hosting/how-to-block-ip-on-windows/) sedangkan pada Windows Vista dan 7 bisa menggunakan tutorial ini (techtips.salon.com/block-website-parental-control-437.html) atau di sini (groovypost.com/forum/windows-xp/how-to-block-internet-websites-from-my-computer-t96059.html). 



Untuk memastikan agar perangkat benar-benar bersih lakukan Full Scanning dengan beberapa Anti-Virus berikut (silahkan dipilih) : Kaspersky (Trial), AVG Free,  Avira AntiVir Free,  BitDefender Free, Microsoft Security Essentials, Eset-NOD32 (Trial) dan McAfee (Trial). Sekian dari penulis dan selamat mencoba :)


 

Categories: Malware Discussions

Post a Comment

Oops!

Oops, you forgot something.

Oops!

The words you entered did not match the given text. Please try again.

Already a member? Sign In

0 Comments