.: Dee Personal Blog :.

Subtitle

Blog

Hapus Trojan.Agent.VB.BWB alias Win32/Pronny.AZ Malware yang menyamar sebagai Video Porno

Posted on December 7, 2012 at 6:45 AM

Video Porno ataupun sesuatu hal yang berkonten porno memang digeluti oleh manusia, karena semua manusia pada dasarnya memiliki hawa nafsu. Oleh sebab itu pembuat Malware memanfaatkan sisi sosial berupa kelemahan manusia atau biasa disebut dengan Social Engineering dengan menyamarkan File Malware dengan Icon File Windows Media Player (Video). Malware yang dikenal sebagai Trojan.Agent.VB.BWB (penamaan dari BitDefender) alias Win32/Pronny.AZ (penamaan dari NOD32) ini disinyalir dapat merekam semua aktivitas pada perangkat serta dapat berkomunikasi dengan Host yang sudah dipersiapkan oleh pembuat Malware ini. Tentunya hal ini dapat meresahkan bagi para pengguna perangkat yang terinfeksi oleh Malware ini, tidak mudah juga untuk menendang Malware ini yang bersarang pada perangkat yang sudah terinfeksi olehnya. Bahkan diketahui Malware ini memiliki beberapa Varian, pada Varian lain teknik Social Engineering menggunakan penyamaran Icon sebagai Folder. Namun 13 dari 46 Software Anti-Virus terkemuka dapat mendeteksi dan menghalau tingkah polah yang dilancarkan oleh Malware ini, apa sajakah produk Anti-Virus dunia yang dapat mendeteksinya?



 

AVG : SHeur4.AHMD

VBA32 : SScope.Trojan.VB.Onechki

BitDefender : Trojan.Agent.VB.BWB

F-Secure : Trojan.Agent.VB.BWB

GData : Trojan.Agent.VB.BWB

ViRobot : Trojan.Win32.A.VBKrypt.245760.DA

Rising : Trojan.Win32.FakeIcon.aj

TheHacker : Trojan/Pronny.az

nProtect : Trojan/W32.Agent.245760.AAK

Norman : W32/VBKrypt.KKR

NOD32 : Win32/Pronny.AZ

Microsoft : Worm:Win32/Vobfus.FV

TrendMicro : WORM_VOBFUS.SM15

 



Setelah dilakukan analisa lebih lanjut, ditemukan ciri-ciri seperti pada penjelasan sebelumnya :




File Name : Lebih dari 5 karakter acak

Icon File : Windows Media Player (Seperti pada Screenshot) 

Ukuran : 240.0 KB (245760 Bytes) 

MD5 (Pada Varian Pertama) : 097947fe2ebba9d06b590ad87a3c3045

SHA256 (Pada Varian Pertama) : 20905ebfd63b659fd8145517cceeb147eec6ec50d5f18958ecd7f0a81e102e2f

SHA1 (Pada Varian Pertama) : 8d76ffeaba0e1e524a57513c3e97fcfb59ae70e6

MD5 (Pada Varian Kedua) : f8b0e8fb3a8fddc5d075cb02bcd12d90

SHA256 (Pada Varian Kedua) : acb1191642b9f57cbdc0588848bf561329cfdf083b99b050601053e624a947d5

SHA1 (Pada Varian Kedua) : e1f971471a08a16f43cb20d56c2857665bef2115

MD5 (Pada Varian Ketiga) : d0c09fa954f4b633e40dae23d4c5e763

SHA256 (Pada Varian Ketiga) : 44fe223aec866a580f2f91977f8d7b90eb64e83696b7f6c27cea07ec0896abdd

SHA1 (Pada Varian Ketiga) : 1218801f151a46f99014c015f3e35b33f4474754

Tipe : Executable File (.exe) 



Pada Properti Filenya bercirikan sebagai berikut : 


Company Name : Splanchnopleure Saman 

File Description : Petaurine ubriaconi 

Original File Name : amzairfsnfla.exe

Product Name : piroplasmosis Proteroglypha Spinosotubercular

File Version :  6.7.0.0

Internal Name : amzairfsnfla

Copyright : identity



Untuk memberangus Malware ini pertama-tama matikan Proccess Malware melalui Task Manager atau menggunakan perintah taskkill /f /im nama File Malware.exe. Jika pembaca tidak tahu nama File Malwarenya, cukup dengan menerka di Task Manager. Berikut nama File Malware yang biasa dibuat oleh Win32/Pronny.AZ : 

amzairfsnfla.exe

uezttbhmqppj.exe

ziinioy.exe

fiejeu.exe

qaihou.exe

peipat.exe

yuueqe.exe

puika.exe

zlqw.exe

muouq.exe

neiero.exe

heicut.com

hiegen.com 

naugoj.com

joojil.com

1zur.exe

zrjo.exe

1rjo.exe

2rjo.exe

2txa.exe

 

3txa.exe

 

4txa.exe

start1.exe

svchost.exe ← Bukan svchost.exe yang sebenarnya, berjalan bukan sebagai Service.

suuruu.exe



Ingat-ingat nama Proccessnya, catat di Notepad. Kemudian buka teks editor, misal : Wordpad, Notepad atau Notepad++, dan ketik command ini :

:loop

taskkill /f /im (Nama Proccess Malware.exe)

taskkill /f /im (Nama Proccess Malware.exe)

dan seterusnya (Jika ada banyak Proccess Malware.exe nya)
goto loop



Simpan dengan File Name Killer.bat bukan Killer.bat.txt! Jalankan Killer.bat dan minimize saja. Setelah Proccess si Malware telah mati, barulah kita Search File-File Malwarenya. Pada Windows XP Path dari Malwarenya berada di C:\Documents and Settings\Nama User Windowsnya\ misal : C:\Documents and Settings\Root\. Sedangkan pada Windows Visa dan 7 berada di C:\Users\Nama User Windowsnya\ misal : C\Users\Root. Karena File Malwarenya tersembunyi, tidak kasat mata maka lakukan perintah ini di Command Prompt attrib -r -a -s -h C:\Documents and Settings\Root\*.exe /s /d dan tekan enter, kemudian attrib -r -a -s -h C:\Documents and Settings\Root\*.com /s /d dan tekan enter. Untuk pengguna Windows 7 hanya tinggal mengganti dengan attrib -r -a -s -h C:\Users\Root\*.exe /s /d dan tekan enter, kemudian attrib -r -a -s -h C:\Users\Root\*.com /s /d dan tekan enter. Barulah kita hapus File-file .exe dan .com pada Folder tersebut, penghapusan dapat menggunakan Software UnLocker (cirebon-cyber4rt.blogspot.com/2012/02/cara-menghapus-data-folder-yang-tidak.html). Saya harus hapus File .exe dan .com yang mana? Tentunya hapuslah File-file yang sesuai dengan Proccess yang dibuat oleh Malware pada Task Manager, semisal : muouq.exe, neiero.exe, heicut.com, hiegen.com dan lain-lain. Saya tidak menemukan File .exe dan File .com? Nah kemungkinan File ekstensinya di Hide, coba lakukan seperti yang dipaparkan pada tutorial ini (windows.microsoft.com/is-IS/windows-vista/Show-or-hide-file-name-extensions). Jangan heran jika pembaca melihat Folder atau File Windows Media Player dengan ekstensi .exe, karena itulah Social Engineering yang dilakukan si Pembuat Malwarenya. Ooo iya hampir lupa, satu lagi yang harus di Delete C:\Documents and Settings\All Users\ (Jika ada, pada Varian Malware ini yang lain pasti ada). 



Setelah dihapus kini saatnya membenahi Registry. Langsung saja pembaca buka Registry (Harap saat melakukan bagian pembenahan Registry ini, dipandu oleh yang berpengalaman). Gulir Registrynya ke : 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run dan lihat pada Kolom kanan, apakah terdapat Registry Name dan Registry Value seperti berikut

Name acak = C:\Documents and Settings\Username Windows\Name acak.exe /ABJAD

atau

Name acak = C:\Users\Username Windows\Name acak.exe /b

Contoh :

peipat = C:\Documents and Settings\User\peipat.exe /b

qaihou = C:\Users\Root\qaihou.exe /c

puika = C:\Documents and Settings\User\puika.exe /b

dan lain-lain



Jika ada, langsung saja klik kanan Delete. Kemudian delete Registry Hive ini : 

HKEY_CURRENT_USER\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}

HKEY_CURRENT_USER\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced cari kata ShowSuperHidden jika Valuenya 0 ubah menjadi 1, dengan mengklik kanan Modify.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU cari kata NoAutoUpdate jika Valuenya 1 ubah menjadi 0, dengan mengklik kanan Modify.



Oke penulis rasa sudah cukup penanggulangan secara manualnya, sekarang kita masuk ke bagian terakhir yaitu Pemblokiran akses ke Host. Silahkan pembaca blokir IP Address dan Port atau Alamat Website berikut, menggunakan tutorial ini (mywebhostingblog.net/aspnet-web-hosting/how-to-block-ip-on-windows/) pada Windows XP, sedangkan pada Windows Vista dan 7 bisa menggunakan tutorial ini (techtips.salon.com/block-website-parental-control-437.html) atau di sini (groovypost.com/forum/windows-xp/how-to-block-internet-websites-from-my-computer-t96059.html).

116.255.235.28:8000

61.160.215.174:8080

111.74.239.143:27000

111.74.239.143:8000

111.74.239.146:8000

78.129.196.41:80

megaupdate.dnsd.me:80

fastupdate.dnsd.me:80

directx3dcheck.3d-game.com:80

whatsthetime.dtdns.net:80

radiomuqdisho.net/wp-content/uploads/2012/06/Dhageyso-Warbixinta-oo-maqal-ah.exe



Untuk memastikan agar perangkat benar-benar bersih lakukan Full Scanning dengan beberapa Anti-Virus berikut yang penulis rekomendasikan (silahkan dipilih) : Trend Micro (Free Trial), BitDefender Free, NOD32 (Trial), atau Norman (Trial). Sekian dari penulis, selamat mencoba. :)





Categories: Malware Discussions

Post a Comment

Oops!

Oops, you forgot something.

Oops!

The words you entered did not match the given text. Please try again.

You must be a member to comment on this page. Sign In or Register

0 Comments