Menghalau Win32.HLLW.Autoruner1.4721

Diakhir tahun ini, setelah hebohya ramnit (virus yang masih sangat populer saat ini, karena proses pembersihannya agak ribet menurut beberapa orang), sekarang muncul virus baru yang saya rasa tidak kalah hebat dan efek kerusakan yang ditimbulkannya, masalah populer atau tidaknya mari kita lihat saja kedepannya. Posting ini sekaligus menjawab komentar pengunjung pada komentar ini. Mari kita lihat cara kerja virus Win32.HLLW.Autoruner1.4721 ini.

Untuk memastikan autorun dan penyebarannya:

Melakukan modifikasi registry key berikut:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ‘Windows Help’ = ‘<SYSTEM32>\wmpht32.exe’

Membuat file berikut di removable media/flashdisk:
abh48.lnk
abh47.lnk
Autorun.inf
DrvRom.{645FF040-5081-101B-9F08-00AA002F954E}\drvrom-x426969.x32
h.cpl
~drvmon32.exe
abh46.lnk
abh45.lnk



Fungsi virus:

Untuk membypass firewall, virus akan membuang atau modifikasi registry keys di bawah:
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] ‘<SYSTEM32>\wmpht32.exe’ = ‘<SYSTEM32>\wmpht32.exe:*:Enabled:Windows Help’
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] ‘<SYSTEM32>\wmpht32.exe’ = ‘<SYSTEM32>\wmpht32.exe:*:Enabled:Windows Help’

Menciptakan dan mengeksekusi file berikut
<SYSTEM32>\wmpht32.exe <Full path to virus>

Menyuntikkan/injeksi kode ke system/proses berikut
%WINDIR%\Explorer.EXE

Melakukan pencarian di windows untuk mendeteksi analytical utilities:
ClassName: ‘PROCMON_WINDOW_CLASS’ WindowName: ‘Process Monitor – Sysinternals: www.sysinternals.com’

Mendeteksi programs dan game:
ClassName: ‘gdkWindowToplevel’ WindowName: ‘The Wireshark Network Analyzer’

Menyembunyikan proses berikut:
<Full path to virus>
<SYSTEM32>\wmpht32.exe

Memodifikasi file system :

Membuat file di bawah:
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\3×1[1].zip
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\qdat01[1].txt
<SYSTEM32>\wmpht32.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\3×1[1].zip

Menyembunyikan/hidden file berikut:
<Drive name for removable media>:\h.cpl
<SYSTEM32>\wmpht32.exe

Menghapus file dibawah:
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\3×1[1].zip
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\3×1[1].zip

Menghapus diri.

Network activity/aktivitas jaringan yang dilakukan:

Melakukan koneksi ke:
‘s3#.##telaids.su’:6104
‘s2#.##telaids.su’:5213
’14#.#48.35.28′:80
‘s1#.##telaids.su’:4619
‘vp####.#ntelbackupsvc.su’:80
‘s7#.##telblog.su’:4001
‘s6#.##telblog.su’:4999

TCP:

HTTP GET requests:
14#.#48.35.28/awstats/qdat01.txt
vp####.#ntelbackupsvc.su/net/3×1.zip

UDP:
DNS ASK s1#.##telaids.su
DNS ASK s3#.##telaids.su
DNS ASK s2#.##telaids.su
DNS ASK s6#.##telblog.su
DNS ASK vp####.#ntelbackupsvc.su
DNS ASK s7#.##telblog.su
‘<Private IP address>’:1039

Lain-lain:

Melakukan pencarian di windows:
ClassName: ‘TCPViewClass’ WindowName: ”
ClassName: ‘#32770′ WindowName: ‘Regshot 1.8.2′
ClassName: ‘PROCEXPL’ WindowName: ”
ClassName: ‘CNetmonMainFrame’ WindowName: ‘Microsoft Network Monitor 3.3′
ClassName: ‘SmartSniff’ WindowName: ‘SmartSniff’
ClassName: ‘CurrPorts’ WindowName: ‘CurrPorts’

Sebagai langkah pencegahan inveksi virus tersebut, pastikan update anti virus anda, saya sarankan menggunakan Kaspersky. Jika tidak, tool freeware dari Dr.web ini mengklaim dapat melakukan pembersihan virus tersebut, silahkan download , untuk perbaikan registry silahkan scan dengan smadav. Penting: Untuk melakukan pembersihan “Reboot Windows in Safe Mode”