Trojan dan virus autorun terbaru serta pencegahannya

Lagi iseng-iseng buka flash disk yang terkena virus di makassar beberapa minggu yang lalu, coba menganalisa apa sih yg virus/trojan/worm tersebut lakukan. Ada 2 kategori yang terdapat di flash disk tersebut, yaitu Trojan dan Trojan, virus.

Kemudian saya cari-cari, dapat lah file a.bat, a.txt, b.txt, ctxt.txt dan avi.log, mp3.log, mp4.log, mp5.log

TROJAN, menggunakan fasilitas autorun USB (tapi tekniknya bukan autorun.inf, dia memakai cara yang lebih dalem lagi) ninja, smadav atau pcmav bakalan lewat oleh teknik ini. Teknik trojan ini mengaktifkan terminal services untuk remote komputer korban kemudian create user dengan level administrator (ada 3 teknik yg mereka lakukan, bisa anda baca di a.txt, b.txt dan ctxt.txt)

Symantec pun hanya mendeteksi replika dari tojan di flashdisk ini yaitu Trojan.ADH, sedangkan file inti-nya, yaitu file-file yg saya sebutkan diatas, belom terdeteksi, kalau batch dan text file mungkin tidak akan terdeteksi karena kategorinya sebagai eksekusi regedit terminal service, akan tetapi avi.log, mp3.log, mp4.log, mp5.log yang merupakan cikal bakal trojan, di virustotal.com pun tidak mendeteksi file tersebut adalah trojan.

Trojan.ADH is a detection technology designed to detect entirely new malware threats without traditional signatures. This technology is aimed at detecting malicious software that has been intentionally mutated or morphed by attackers.

Walau kategori low tapi banyak user yang bisa terkelabui dengan folder palsu tersebut. Folder aselinya di hide, dan folder palsunya adalah trojannya

Virus Bloodhound.Exploit.343 kategorinya trojan, virus dengan menggunakan fasilitas link-nya microsoft, pasti banyak orang yang terkelabui oleh trojan virus ini nama virusnya bermacam-macam seperti :

  1. Copy of Shortcut to (1).lnk
  2. Documents and Settings.lnk
  3. System Volume Information.lnk
  4. dll

Apa bedanya dengan trojan.ADH ? bedanya kl bloodhound ini meng-infeksi komputernya dengan virus. Dahsyatnya bisa semua terkena infeksi, mulai dari html, exe, dll (pernah virus ini terkena komputer server yg berisi citrix, dan oracle developer, terpaksa citrixnya di Install ulang akibat infeksi virus ini)

Bloodhound.Exploit.343 is a heuristic detection for files attempting to exploit the Microsoft Windows Shortcut ‘LNK’ Files Automatic File Execution Vulnerability (BID 41732).

Cara pencegahan

1. Disable autorun dengan cara ini (jalankan dua2nya) -> http://sikathabis.multiply.com/journal/item/1844


2. Buka windows explorer, click tools – folder options. Setting seperti yang ada pada gambar (kotak biru). NOTES : tambahan hide extension for known files juga di uncek


3. Biasakan setting view -nya details, karena kalau thumbnails tidak kelihatan mana itu icon folder yang benar mana itu icon folder yang ternyata application, di details bisa terlihat

http://multiply.com/mu/sikathabis/image/gVd51pFGembGh1InAXJWNA/photos/1M/1200x1200/3196/Clipboard02.jpg?et=xyIbugWP%2B4Gu%2B6LvweyJEA&nmid=0
ini perbedaannya jika anda menggunakan details

File Upload yang palsu sebagai Application, sedangkan yang aseli File Folder

4. Pasang antivirus/antimalware (optional) rekomendasi emco malware destroyer, superantispyware, spywareblaster dan untuk antivirusnya symantec.

Kesimpulan
Selama anda tidak menggunakan flash disk dari luar (mungkin nanti ada teknik terbaru lagi) / internet secara aman tidak melakukan yang aneh-aneh atau membuka email secara waspada dan hati-hati serta jaringan (network) anda aman, virus trojan kemungkinan besar tidak akan masuk.

Lampiran:a.bat
Lampiran:a.txt
Lampiran:avi.log
Lampiran:b.txt
Lampiran:ctxt.txt
Lampiran:mp3.log
Lampiran:mp4.log
Lampiran:mp5.log
Lampiran:UnHookExec.inf
Lampiran:disableautoplay.reg

links : http://sikathabis.multiply.com/journal/item/2010

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: