Your Ad Here

Tuesday, April 22, 2008

Services.exe(W32.Trafox.), Worms pintar nan merepotkan

Ada satu worms yang ngendon di C:\Windows\System32\2B170239 (tergantung komputer yang dijangkitnya) , nama file wormsnya Services.exe. Malware ini (Trafox) selain menggandakan diri juga meng-infeksi file-file .EXE, juga mampu menjadi parasit dalam tubuh program lainnya.

Malware ini tergolong sudah maju dibanding sebelumnya karena sudah menggunakan beberapa teknik yang tergolong maju seperti Encryption, Polymorphic, Antidebug dan yang tidak kalah pentingnya adalah PE Infector.

informasi string berikut pada tubuh raw via dump menggunakan Ansav Advanced :


W32.TR4F0X.A



- Say War To #VM Community (Jowoboot)

- Kill all AV

- Destroy all fuckin company.



[ IVS * INDONESIAN WORMS SOCIETY ]


String tersebut berada di dalam tubuhnya yang dienkripsi sekaligus dipack dimana packernya menggunakan ASpack, dan tidak terlihat apabila dibuka file rawnya menggunakan hexa editor, dan hanya bisa dibaca dengan cara men-dump memori prosesnya. String tersebut apabila dibuat dan dibuka pada file dengan ekstensi .HTM atau .HTML.

Kata-kata yang tidak mengenakkan ada pada pesan diatas pada baris kedua yaitu “Say War To #VM Community (Jowoboot)”, mengapa hal ini mengkhawatirkan?, karena kata-kata tersebut bisa memancing atau istilahnya memprovokasi para Vxer-vxer lain untuk berlomba-lomba membuat worms baru dan dapat berakibat Cyber War, seperti yang pernah terjadi sebelumnya yaitu pertarungan antara Gang Antibrontok yang diwakili RomanticDevil + NoBron melawan Gang Jowoboot yang diwakili Brontok + Rontokbro


Ciri-cirinya sebagai berikut.

  • Akan menyamar sebagai Services.exe pada proses manager. Task manager tidak dapat menghentikan prosesnya karena mempunyai nama sesuai dengan critical proses.

  • Ukuran file sekitar 17-18kb.

  • menuliskan perintah eksekusi pada startup dikedua Root Key registry, bila kita buka startup pada msconfig kemudian menghapus services.exe maka akan muncul kembali.

  • Akan menghapus antiworms anda, saat worms merasa terancam maka antiworms yang anda jalankan akan dihapus. Saat anda mencoba menginstall maka file master antiworms anda akan ikut dihapus juga.

  • Akan menginfeksi file berekstensi *.exe yang dijalankan. Menempel pada file tersebut dan merubah date modified serta menambah ukuran file sekitar 20kb. Beberapa file yang terinfeksi masih dapat dijalankan tapi beberapa file menjadi error. Bila kita mengeksekusi file tersebut sama saja kita mengeksekusi / mengaktifkan worms kembali.

  • AVG sudah mendeteksi file worms aslinya “Services.exe”, tapi tidak dapat mendeteksi worms yang menginfeksi file *.exe lainnya.

  • AVG mengenalinya sebagai Trojan Horse Generic8.EGR.

  • BitDefender mengenalnya sebagai W32.Trafox.A dan dapat mendeteksi worms yang meninfeksi file *.exe dengan menghapus berikut file inangnya. :(

  • Sampai update akhir desember 2007 AVG belum mampu memisahkan worms dengan file inangnya, ini penting karena beberapa file master driver saya terinfeksi.

  • Autorun pada media yang dijangkitinya(flashdisk). Dengan menuliskan windows host script pada file autorun.ini ia akan mengeksekusi file dekstop.exe yang merupakan file worms awal bencana.





Untuk mengatasi penyebarannya dapat dilakukan dengan cara :

  1. Matikan prosesnya, dengan menggunakan fasiilitas proses manager pada beberapa program utility (TuneUp Utilities2006, Tweak Accelerator XP) kita dapat mematikan seluruh proses meski bernama sama dengan critical proses. Dengan melihat pemilik proses(Author) jika “system” maka services.exe asli windows(“s” kecil). Jika pemiliknya nama user komputer (“S” besar) maka inilah proses sang worms. Segera kill proses tersebut.

  2. Kemudian cari dan hapus file Services.exe yang ada pada

    • C:\Windows\System32\2B170239(2B170239 bs berbeda tiap PC)

    • C:\Windows\

    • directory

    • Jangan lupa untuk mengeset folder options agar hidden files dan system files ditampilkan pada windows explorer.

  3. Hapus item Services.exe pada startup program, kemudian restart komputer anda.

  4. Ada baiknya anda menginstall ulang antiworms anda dan melakukan upadate terbaru, jangan lupa aktifkan selalu resident shield karena dapat memblokir worms jika terjadi pengaktifan secara tidak sengaja atau autorun pada flasdisk. Gunakan master yang steril, dari CD misalnya untuk menghidari jika master pada hardisk telah terinfeksi.

  5. Kemungkinan besar file-file ekstensi *.exe pada hard disk anda telah terinfeksi. Maka patut dicurigai bila terjadi modified pada date time files tersebut sesuai tanggal mulai terinfeksi padahal files tersebut usianya cukup lama. Hapus saja jika anda merasa file tersebut tidak penting. Bila file tersebut penting maka anda harus bersabar mencari program atau anti worms yang dapat memisahkan worms dengan file inangnya.

Wish U Luck..

0 comments: