Kill Facebook Virus Zbot
Share

Membasmi Virus Facebook (W32/Zbot.DBB)          1 Februari 2010

Membasmi virus “maling teriak rampok”

 

Seiring dengan tingginya penyebaran virus yang mengeksploitasi Facebook http://vaksin.com/2009/1109/facebook-zbot/facebook-zbot.html yang bertujuan untuk mencuri password pengguna Facebook dan menginfeksi komputer korbannya dengan Scareware (antivirus palsu) yang akan menampilkan peringatan palsu “seakan-akan” komputer korbannya terinfeksi virus yang sangat akut dan gawat (padahal tidak) dengan tujuan menjual antivirus palsu yang jika di ikuti bukannya menyembuhkan komputer dari infeksi virus melainkan lebih parah dan data kartu kredit yang digunakan untuk pembelian antivirus palsu tersebut terancam disalahgunakan untuk menjadi sasaran fraud.

 

Facebook oh... Facebook

Masih ingat dengan virus Obfuscated.D2!genr atau Bredolab, sebuah virus yang akan  menggunakan rekayasa sosial dengan sasaran utama para member faceebook dengan mengirimkan sebuah notifikasi untuk merubah user account yang sudah terdaftar sebelumnya dengan alasan untuk keamanan dengan menyertakan sebuah attachment yang sebenarnya berisi trojan dan “sialnya” email ini dikirim seolah-olah dari Admin Faceebok (lihat gambar 2 dan 3). File attachment yang disertakan teryata bukan sebuah tools untuk meseset password seperti yang di informasikan dalam email tersebut, tetapi justru akan mendownload trojan baru berupa fake antispyware dengan nama “Security Tools” (lihat gambar 1), spyware yang menyamarkan dirinya sebagai antispyware ini akan memberikan informasi menampilkan sederetan virus/trojan palsu yang berhasil di deteksi. Sedangkan untuk menyebarkan dirinya ia akan mengirimkan email yang sama ke semua alamat email yang berhasil ia dapat dengan menyertakan attachment dalam bentuk ZIP dengan nama acak.

 

Gambar 1, Security Tools, spyware yang menyamar sebagai program Antispyware

 

Gambar 2 Contoh email yang akan di kirimkan oleh Obfuscated.D2!genr

 

Gambar 3 Aktivitas pengiriman email yang dilakukan oleh Obfuscated.D2!genr

 

Untuk informasi virus virus Obfuscated.D2!genr atau Bredolab, silahkan kunjungi situe http://vaksin.com/2009/1109/facebook/facebook2.html

 

W32/Zbot.DBB menyebarkan Email Phishing

Rupanya peperangan ini akan terus berlanjut, kini mereka datang dengan cara yang  berbeda dan lebih canggih. Kenapa dikatakan dengan demikian ??? Agar tidak mengundang kecurigaan dari user kini datang tidak  dengan menyertakan attachment seperti sebelumnya, tetapi ia akan datang sebagai email dari admin faceebok yang menginformasikan agar user melakukan update account dengan alasan untuk kenyamanan dan keamanan saat mengunjungi situs tersebut.

 

Unuk melakukan update terhadap account tersebut, ia akan menyertakan sebuah tombol “Update” yang akan mengakses webuah web login yang sudah dipalsukan, web login ini bukanlah web login facebook tetapi web login yang sudah di siapkan untuk menampung username dan password yang nantinya akan digunakan untuk mengambil daftar account yang ada di facebook dari komputer yang terinfeksi.

 

Web login palsu ini akan mempunyai alamat yang berbeda-beda seperti contoh dibawah ini : (lihat gambar 4)

 

http://www.facebook.com.xxxxx.eu/globaldirectory/LoginFacebook.php?ref=1584270691543478059651590405901802254672004589860384285&email=xxxxxxx@xxxx.com

 

Catatan: xxxxx adalah karakter acak.

 

Gambar 4, Alamat login facebook palsu

 

Jika kita perhatikan sepintas, web login palsu ini mirip dengan web login asli (lihat gambar 5)faceebok, tetapi jika ditelusuri lebih teliti terdapat beberapa perbedaan  yang mencolok seperti terlihat pada gambar dibawah ini :

 

Gambar 5, Web login faceebok asli

 

Pada saat user mengisi username dan password, ia akan membuka halaman baru yang berisi link untuk download tool update account dengan nama [updatetool.exe] yang sebenarnya adalah sebuah virus/trojan yang akan menginfeksi jika user menjalankan file tersebut. (lihat gambar 6)

 

Gambar 6, Link download virus/trojan

 

Subject email yang dikirimkan oleh virus ini biasanya akan berbeda-beda seperti : (lihat gambar 7)

 

-       New login system

-       Facebook account update

-       Facebook Update Tools

 

Gambar 7, Contoh email phishing yang akan di kirimkan oleh virus

 

Dengan teknologi Sandbox Norman mendeteksi virus tersebut sebagai Trojan: W32/Zbot.DBB (lihat gambar 8)

 

Gambar 8, Hasil deteksi Norman Security Suite

 

File Virus Zbot.DBB

Virus ini mempunyai ukuran file sekitar 105 KB  dengan nama [updatetools.exe], file ini mempunyai ekstensi EXE . (lihat gambar 9)

 

Gambar 9, File induk W32/Zbot.DBB

 

Jika file tersebut dijalankan ia akan membuat file induk dengan nama [C:\WINDOWS\system32\sdra64.exe], file inilah yang bertugas untuk menginjeksi beberapa proses Windows seperti :

 

·         C:\Windows\Syste32\services.exe

·         C:\Windows\System32\lsass.exe

·         C:\Windows\System32\svchost.exe

·         C:\Windows\System32\alg.exe

·         C:\ProgramFiles\internet explorer\iexplore.exe

 

Agar tidak mudah di hapus oleh virus, file tersebut akan disembunyikan walaupun user sudah menampilkan file yang tersembunyi. Selain itu ia juga akan membuat beberapa file berikut yang juga akan disembunyikan dengan tujuan agar tidak mudah di hapus:

 

·         C:\Windows\system32\lowsec

-       local.ds

-       user.ds

-       user.ds.lll

 

W32/Zbot.DBB juga akan membuat file lain dengan nama [C:\windows\pdhemprf.dll] serta mendownload beberapa file dari ip yang telah ditentukan [97.74.144.118] dan [hxxp://193.104.27.42/lcc/ip2.gif dan hxxp://193.104.27.42/ip.php], file yang di download tersebut akan di simpan ke direktori [C:\Documents and Settings\Elvina\Local Settings\Temp\] (lihat gambar 10 dan 11)

 

Gambar 10, Download trojan

 

Gambar 11, Proses download Trojan

 

Untuk memperlancar aksinya Ia juga akan membuat beberapa registri berikut:

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

-       C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

·         HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer

-       {43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}

-       {19127AD2-394B-70F5-C650-B97867BAA1F7}

-       {8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}

·         HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer

-       {43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}

-       {19127AD2-394B-70F5-C650-B97867BAA1F7}

-       {8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}

 

Media pengiriman (phishing)

Untuk menyebarkan dirinya, ia akan mengirimkan email phishing kesemua alamat yang telah diperoleh yang berisi pemberitahuan kepada user yang mempunyai account facebook untuk melakukan update tehadap account facebook yang dimilikinya demi keamanan dan kenyamanan saat akses ke situs facebook. Email tersebut akan menyertakan satu tombol “update” yang berisi alamat web login palsu untuk menampung username dan password yang digunakan oleh user, untuk kemudian akan menampilkan alamat download virus yang menyamar sebagai  sebuah tools dengan nama [updatetool.exe], file gadungan inilah yang akan mengaktifkan W32/Zbot.DBB di komputer user jika file tersebut dijalankan.

 

Jika menggunakan tools monitoring seperti Ethereal [http://www.ethereal.com/] atau Wireshark [http://www.wireshark.org/] W32/Zbot.DBB tidak melakukan pengiriman email phishing alamat email lain, jadi kemungkinan besar virus ini akan mengambil informasi penting termasuk username dan password facebook dari komputer yang terinfeksi dan mengirimkan ke pembuat virus, account yang berhasil ia dapat inilah yang akan digunakan untuk mengambil account lain yang terdapat dalam facebook tersebut yang kemudian akan mengiriman email phishing tersebut.

 

Jika kita telusuri lebih jauh dari email yang dikirimkan dapat dilihat bahwa pengirim email phishing tersebut berasal dari luar seperti Brazil, Italia atau Belanda dan bukan dari komputer yang terinfeksi. (lihat gambar 12, 13 dan 14)

 

Gambar 12, Contoh email yang di kirim oleh W32/Zbot.DBB

 

Gambar 13, Contoh email yang di kirim oleh W32/Zbot.DBB

 

Gambar 14, Informasi pengirim email phishing yang sebenarnya

 

Berikut ciri-ciri email phishing yang dikirimkan oleh W32/Zbot.DBB (lihat gambar 15).

 

Text Box: Form : “Facebook" < update+xxx@facebookmail.com> Subject : New login system/Facebook account update/Facebook Update Tools (acak) To : (acak) Message : Dear Facebook user, In an effort to make your online experience safer and more enjoyable, Facebook will be implementing a new login system that will affect all Facebook users. These changes will offer new features and increased account security. Before you are able to use the new login system, you will be required to update your account. Click here to update your account online now. If you have any questions, reference our New User Guide. Thanks, The Facebook Team Catatan: xxx adalah karakter acak

Gambar 15, Ciri email phishing yang dikirimkan oleh virus.

 

Jadi harap berhati-hati jika menerima email walaupun dari Admin Facebook terutama yang mempunyai subject  di bawah ini, sebaiknya HAPUS dan jangan ikuti informasi yang terdapat dalam email tersebut.

 

Cara membersihkan W32/Zbot.DBB

1)    Putuskan komputer yang akan di bersihkan dari jaringan/internet

2)    Disable [System Restore] selama proses pembersihan [jika menggunakan Windows XP] (lihat gambar 16)

 

·         Buka Windows Explorer

·         Klik kanan [My Computer]

·         Klik [Properties]

·         Klik tabulasi [System Retore]

·         Centang opsi [Turn off System Restore on all drives]

·         Klik tombol [Apply]

·         Klik tombol [OK]

 

Gambar 16, Disable [System Restore] Windows

 

3)    Install tools “unlocker” untuk menghapus file virus yang menginjeksi proses Windows [http://unlocker.en.softonic.com/download]

4)    Sebaiknya lakukan pembersihan melalui “safe mode”

5)    Matikan proses virus yang aktif di memori. Silahkan gunakan tools pengganti Task Manager seperti “Security Task Manager” [http://www.neuber.com/taskmanager/download.html] seperti terlihat pada gambar di bawah ini dengan cara : (lihat gambar 17 dan 18)

 

a.    Klik kanan pada file yang dianggap virus [sdra64.exe]

b.    Klik [remove]

c.    Pilih opsi [move file to quarantine]

d.    Klik [OK]

 

Gambar 17, Mematikan proses virus dengan “security task manager”

           

                       

                        Gambar 18, Menghapus file virus

           

6)    Hapus file yang dibuat oleh virus dengan terlebih dahulu menampilkan file yang tersembunyi : (lihat gambar 19)

 

·         Buka [Windows Explorer]

·         Klik menu [Tools]

·         Klik [Properties]

·         Klik tabulasi [View]

·         Check list opsi [Show hidden files and folders]

·         Uncheck opsi [Hide protected operating system files (recommanded).

 

Gambar 19, Menampilkan file yang tersembunyi

     

Kemudian hapus file berikut:

 

·         C:\WINDOWS\system32\sdra64.exe

·         C:\Windows\system32\lowsec

-       local.ds

-       user.ds

-       user.ds.lll

 

Catatan:

Untuk menghapus folder [C:\Windows\system32\lowsec] dan [C:\windows\system32\sdra64.exe], gunakan tools “unlocker” untuk memisahkan proses tersebut dengan proses system windows (services.exe, lsass.exe, alg.exe, svchost.exe dan iexplore.exe),  karena kedua file tersebut akan menginjeksi file Windows di atas, caranya : (lihat gambar 20)

 

·         Klik kanan pada file [C:\windows\system32\sdra64.exe] atau folder [C:\Windows\system32\lowsec]

·         Kemudian klik menu [unlocker]

·         Pada layar unlocker, pilih opsi [Hapus]

·         Kemudian klik tombol [OK]

·         Jika muncul pesan error, di abaikan saja (klik ok)

 

Gambar 20, Menghapus file dengan menggunakan unlocker

 

7)    Hapus registry yang dibuat oleh virus. Untuk mempercepat proses pembersihan silahkan salin script di bawah ini pada program notepad, kemudian simpan dengan nama REPAIR.INF. Jalankan file tersebut dengan cara:

 

a.    Klik kanan REPAIR.INF

b.    Klik INSTALL

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,userinit,0, "userinit.exe"

 

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,47543326

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,PromoReg

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,EnableProfileQuota

HKLM, SOFTWARE\AGProtect

HKLM, SOFTWARE\47543326

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network, UID

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, Rlist

HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}

HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}

HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}

 

8)    Hapus file temporary dan temporary internet file dengan menggunakan tools ATF-Cleaner

 

9)    Restart komputer kemudian booting ke mode “safe mode”

 

10) Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date. Anda juga dapat membersihkan dengan menggunakan tools Norman Malware Cleaner http://www.norman.com/support/support_tools/58732/en-us  atau Malwarebytes Anti Malware www.malwarebytes.org (lihat gambar 21 dan 22)

 

Gambar 21, Hasil deteksi Malwarebytes Anti Malware

 

Gambar 22, Hasil deteksi Norman Malware Cleaner

 

Salam,

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 3456850

Fx : 021 3456851