Category: Malware

Mengenali sebuah link atau file sebagai Malware (Virus, Trojan, Worm dkk)

Ketika kita menggunakan Social Networking semacam Facebook, Twitter, Linkedin dkk banyak sekali ditemukan sebuah link atau file yang ternyata setelah di-klik berupa Malware. Tentu saja hal ini tidak menyenangkan karena telah mengganggu keasyikan dalam bermain Social Networking karena dapat mencemarkan nama baik kita atau bahkan mengancam keamanan orang-orang di dekat kita…

Kali ini saya akan berbagi bagaimana caranya kita bisa mengetahui apakah sebuah link atau file tersebut adalah sebuah malware.

Caranya??

Buka Virustotal.com

Di halaman website Virustotal kita bisa Upload a File atau Submit a URL, tinggal di klik aja sesuai gambar diatas.

Virustotal.com berisi sekitar 43 software antivirus yang digunakan untuk menganalisa dan mengenali apakah sebuah file atau link berupa malware.

Sekarang mari kita cari contoh file Malware di internet, biasanya saya ambil dari Contagiodump.Blogspot.com. Di blog ini bisa didapatkan contoh-contoh malware terbaru yang lagi tren maupun yang lama, pokoknya cocok buat yang mau menjadi peneliti Malware 🙂

Contoh tampilan ketika upload file Malware di Virustotal.com:

Perhatikan pada tampilan paling atas yang menunjukkan:

File name:                 file-2897776_exe
Submission date:    2011-10-08 10:45:51 (UTC)
Current status:         finished
Result:                        40 /43 (93.0%)
Pada informasi diatas didapatkan bahwa file-2897776_exe diupload pada tanggal 8 Oktober 2011 ternyata dikenali oleh 40 dari 43 software antivirus sebagai malware. Hanya 3 produk antivirus yang tidak mengenalinya sebagai malware.
Kondisi diatas akan berubah jika file atau link yang diberikan adalah sebuah malware varian terbaru, bisa jadi hasilnya akan 0 atau sedikit sekali, tetapi dengan berjalannya waktu sebuah malware akan dikenali oleh semakin banyak produk antivirus.

Jika pada halaman diatas di-scroll kebawah maka akan muncul informasi lebih lengkap dengan cara klik “Show All”

 

Mau tahu yang lebih seru??

Selain di Virustotal.com kita juga bisa membuka website Anubis.Iseclab.org, kurang lebih penggunaannya sama tetapi lebih lengkap informasi yang ditampilkan dan kita juga bisa menyimpan hasilnya dalam bentuk file html, pdf, xml maupun plaintext.

Contoh bentuk laporan dalam file html bisa dilihat disini.

 

Laporan diatas ini jika di-scroll kebawah akan terlihat bahwa yang dilakukan oleh Anubis Iseclab benar-benar serius 🙂

File malware akan dibedah cukup mendalam dan dipelajari tingkah laku dan apa saja yang dihasilkannya…

Anubis Iseclab ini sering digunakan oleh Peneliti Malware yang menangkap sample langsung dari Honeypot/Honeynet yang mereka bangun sehingga daftar malware yang ditemukan lebih banyak dan laporan yang dihasilkan lebih komprehensif.

Silahkan buat yang ingin jadi Peneliti Malware atau yang berminat dengan keamanan komputer belajar dari link-link diatas…

 

Note:
Mempelajari Malware menyenangkan bagi sebagian orang karena sifatnya yang selalu muncul varian baru dan tantangan terus mengalir, well setidaknya we’re on the good side 😀

 

Semoga bermanfaat dan keep sharing,

M


Pemeriksaan Malware pada Website

Setelah membahas Malware disini dan membahas cara membersihkannya dengan Hijackthis, mari kita lanjutkan dengan pemeriksaan malware pada sebuah website.

Karena jaman sekarang yang semuanya sudah praktis dan  maka tidak mengherankan kalau ditemukan sebuah scanner gratis, yup completely free 😀

Berikut contohnya:

http://sitecheck.sucuri.net/scanner/

Sucuri Security adalah salah satu provider terkemuka dalam bidang monitoring dan deteksi malware pada suatu website dan jasanya telah digunakan oleh 18.000 pemilik website/hosting di seluruh dunia.

Caranya??

Ternyata caranya mudah sekali, masukkan URL website yang anda inginkan seperti pada gambar dibawah ini:

Mudah kan?? 😀

Hasilnya akan ditunjukkan seperti gambar berikut:

Alhamdulillah yah ternyata blog saya yg gratisan ini masih dalam kondisi aman terkendali 😀

Berikut daftar URL blog saya yang di-scan oleh Sucuri:

  1. http://ikonspirasi.wordpress.com
  2. http://ikonspirasi.wordpress.com/
  3. http://ikonspirasi.wordpress.com/about/
  4. http://ikonspirasi.wordpress.com/os-backtrack/
  5. http://ikonspirasi.wordpress.com/feed/
  6. http://ikonspirasi.wordpress.com/2011/09/24/apa-itu-os-backtrack/
  7. http://ikonspirasi.wordpress.com/category/backtrack/
  8. http://ikonspirasi.wordpress.com/category/coretanku/
  9. http://ikonspirasi.wordpress.com/2011/09/24/apa-itu-os-backtrack/?share=facebook
  10. http://ikonspirasi.wordpress.com/2011/09/24/apa-itu-os-backtrack/?share=twitter
  11. http://ikonspirasi.wordpress.com/2011/09/24/apa-itu-os-backtrack/?share=email
  12. http://ikonspirasi.wordpress.com/page/2/
  13. http://ikonspirasi.wordpress.com/2011/09/
  14. http://ikonspirasi.wordpress.com/2011/09/21/hari-minggu-18-september-2011/
  15. http://ikonspirasi.wordpress.com/2011/09/08/tentang-botnet-zombies/
  16. http://ikonspirasi.wordpress.com/2011/09/07/pengertian-malware-dan-cara-untuk-mengatasinya/
  17. http://ikonspirasi.wordpress.com/2011/09/02/apache-dos-vulnerability-cve-2011-3192/
  18. http://ikonspirasi.wordpress.com/2011/08/29/bermain-dota-di-os-linux/
  19. http://ikonspirasi.wordpress.com/2011/08/28/mendapatkan-privilege-administrator-via-command-prompt-os-windows/
  20. http://ikonspirasi.wordpress.com/2011/08/26/custom-word-list-generator-cewl/
  21. http://ikonspirasi.wordpress.com/2011/08/09/nmap-sebagai-vulnerability-scanner/
  22. http://ikonspirasi.wordpress.com/2011/07/13/cara-membuat-password-dictionary-wordlist-via-cupp-py/
  23. http://ikonspirasi.wordpress.com/category/hobby/
  24. http://ikonspirasi.wordpress.com/category/malware/
  25. http://ikonspirasi.wordpress.com/category/networking/
  26. http://ikonspirasi.wordpress.com/category/os-dan-programming/
  27. http://ikonspirasi.wordpress.com/category/security-and-vulnerability/
  28. http://ikonspirasi.wordpress.com/category/tanpa-batas/
  29. http://ikonspirasi.wordpress.com/category/teknologi-dan-informasi/
  30. http://ikonspirasi.wordpress.com/category/troubleshooting/
  31. http://ikonspirasi.wordpress.com/category/web-dan-database/
  32. http://ikonspirasi.wordpress.com/2011/08/
  33. http://ikonspirasi.wordpress.com/2011/07/
  34. http://ikonspirasi.wordpress.com/2011/06/
  35. http://ikonspirasi.wordpress.com/2011/05/
  36. http://ikonspirasi.wordpress.com/2011/04/
  37. http://ikonspirasi.wordpress.com/2011/03/
  38. http://ikonspirasi.wordpress.com/2011/02/
  39. http://ikonspirasi.wordpress.com/author/ikonspirasi/
  40. http://s0.wp.com/wp-includes/js/jquery/jquery.js?m=1305826061g&ver=1.6.1
  41. http://s1.wp.com/wp-content/blog-plugins/loggedout-follow/widget.js?m=1316614530g&ver=20110921a
  42. http://s1.wp.com/wp-content/themes/pub/skeptical/js/audio-player.js?m=1315596926g&ver=20110801
  43. http://use.typekit.com/jrg5ack.js
  44. http://edge.quantserve.com/quant.js
  45. http://s.gravatar.com/js/gprofiles.js?z&ver=MU
  46. http://s1.wp.com/wp-content/mu-plugins/gravatar-hovercards/wpgroho.js?m=1311367661g&ver=MU
  47. http://i.polldaddy.com/ratings/rating.js?ver=MU
  48. http://s2.wp.com/wp-content/mu-plugins/post-flair/sharing/sharing.js?m=1315610344g&ver=0.2
  49. http://apis.google.com/js/plusone.js
  50. http://platform.twitter.com/widgets.js?ver=20110531
  51. http://b.scorecardresearch.com/beacon.js
  52. https://ssl-stats.wordpress.com/w.js?21

Ternyata scanner ini juga melakukan pemeriksaan pada plugins yang digunakan oleh blog saya….menarik bukan? bahkan Javascript yang terdapat pada blog saya juga diperiksa…

Berikut daftar Javascript yang digunakan oleh blog saya:

  1. http://s0.wp.com/wp-includes/js/jquery/jquery.js?m=1308978500g&ver=1.6.1
  2. http://s1.wp.com/wp-content/blog-plugins/loggedout-follow/widget.js?m=1316614531g&ver=20110921a
  3. http://s1.wp.com/wp-content/themes/pub/skeptical/js/audio-player.js?m=1315596931g&ver=20110801
  4. http://use.typekit.com/jrg5ack.js
  5. http://edge.quantserve.com/quant.js
  6. http://s.gravatar.com/js/gprofiles.js?z&ver=MU
  7. http://s1.wp.com/wp-content/mu-plugins/gravatar-hovercards/wpgroho.js?m=1311367662g&ver=MU
  8. http://i.polldaddy.com/ratings/rating.js?ver=MU
  9. http://s2.wp.com/wp-content/mu-plugins/post-flair/sharing/sharing.js?m=1315610349g&ver=0.2
  10. http://apis.google.com/js/plusone.js
  11. http://platform.twitter.com/widgets.js?ver=20110531
  12. http://b.scorecardresearch.com/beacon.js
  13. https://ssl-stats.wordpress.com/w.js?21

Details pada website juga ditunjukkan dalam hasil pemeriksaan seperti gambar dibawah ini:

Status blacklist terhadap Google Safe Browsing, Norton Safe Web dan Phish Tank  juga diperiksa:

Walaupun cara diatas belum tentu 100% terjamin dapat mendeteksi malware, tetapi karena gratisan bukan berarti layanan ini tidak mumpuni. Dengan nama Sucuri Security setidaknya mereka telah berpengalaman dalam bidangnya.

Tolong blog saya ini jangan diserang ya…. 😀

Semoga bermanfaat

M


Pengertian Malware dan Cara untuk Mengatasinya

Hmm..daripada duduk diam dirumah, lebih baik menulis artikel buat blog nih hehe
Kali ini saya akan membagi yang saya tahu mengenai malware..

Menurut om Wiki, Malware atau singkatan dari Malicious Software adalah segala software/aplikasi (berisi code, scripts, active content dan sebagainya) yang dibuat untuk mengganggu atau merusak sebuah operasi sebuah software lainnya. Untuk lebih lengkapnya bisa dilihat disini.

Malware pada umumnya telah kita semua ketahui, yaitu mulai dari virus, worm, trojan, keylogger, phising site, rogue antivirus dan sebagainya

Biasanya untuk mengumpulkan informasi target, meremote atau mendapatkan hak akses terhadap target, menjadikan target sebagai zombie/botnet.

Apalagi itu zombie/botnet?

Yang pasti bukan mayat hidup yang gentayangan (bahkan ada lari!) di film-film Hollywood itu 😛

Zombie disini adalah sebuah komputer/server yang sedang terkoneksi dengan internet dan telah disusupi oleh sebuah malware yang bisa dijalankan/diremote dari jarak jauh

Nah botnet itu adalah kumpulan dari zombie-zombie yang telah dijelaskan diatas, biasanya botnet ini dikontrol melalui protokol IRC (Internet Relay Chat) walaupun kadang ditemukan juga yg dikontrol melalui protokol http

Akhir-akhir ini botnet telah menjadi sebuah bisnis yang cukup menguntungkan karena bisa disewakan (umumnya untuk melakukan DDos), hal ini akan dibahas lebih lanjut di lain artikel…


Cara Menghapus Worm Emule (Rogue Software)

Minggu lalu salah satu rekan saya di kantor meminta tolong agar komputernya dibersihkan dari virus. Katanya nama virusnya Emule, ciri-cirinya:

  • semua icon link shortcut dan program berekstensi exe (.exe) berubah menjadi gambar keledai (donkey)
  • ketika menjalankan program selalu diarahkan untuk membuka emule
  • tidak dapat menjalankan regedit
  • tidak dapat melakukan run as administrator
  • tidak dapat membuka task manager
  • agar emule tidak melakukan notifikasi terus menerus, pengguna ditawarkan software emule yang berbayar (hah? harus bayar? :hammer)

Seingat saya waktu itu Emule adalah salah satu software peer to peer (p2p) yang gratis, contoh lainnya adalah Azure, BitTorrent, Gnutella dll, tapi mengapa yang dialami rekan saya mirip seperti Rogue Antivirus? hanya saja softwarenya berupa p2p bukan Antivirus, apa ini semacam malware baru? Rogue Software?

Setelah sedikit melakukan Google-Fu, saya mendapatkan beberapa artikel yang menyebutkan bahwa memang ada Emule versi malwarenya :hammer atau disebut juga dengan W32.Changeup
http://www.symantec.com/connect/blogs/w32changeup-installing-and-running-emule
http://kill-computer-virus.blogspot.com/2008/10/emule-worm.html
http://www.exterminate-it.com/malpedia/remove-emule
dll

Berbekal file di virus klinik Kaskus seperti Trend Micro Hijackthis, Fixregistry, CCleaner, process explorer ccpb, ccpb regedit, LSPfix dan USB Flashdisk bootable berisi Kaspersky Rescue 10, saya akan mencoba memperbaikinya.

Karena malware ini mirip seperti Rogue Antivirus maka saya pikir kemungkinan langkah-langkah memberantasnya kurang lebih sama, hapus file yang dijalankan oleh malware tersebut, dalam hal ini emule.exe.

#NOTE: Maaf lagi-lagi tidak ada screenshot dari proses penghapusan malware ini :P.

Cara menghapus malware ini:

  1. Task manager tidak dapat dijalankan, file .exe selalu membuka emule.exe, run as administrator juga tidak bisa, ide: bagaimana kalau mengganti ekstensi .exe menjadi .com? saya coba di file process_explorer_ccpb.exe menjadi process_explorer_ccpb.com kemudian dijalankan, voila! ternyata jalan 😀
  2. Jalankan file .exe atau shortcut yang memiliki gambar keledai, perhatikan pada process explorer yang barusan dijalankan…apakah ada file selain emule.exe? *kalau tidak salah ada 3 (tiga) file yang mencurigakan, lihat saja apakah file tersebut penggunaan CPU dan Memory-nya cukup besar dan aktif.
    Lihat juga di command prompt, tasklist /svc, cek apakah file-file tersebut memiliki keterangan yang valid atau tidak.Gambar. Tampilan emule.exe pada Process Explorer.
  3. Jalankan Hijackthis, pertama ubah dulu ekstensinya menjadi .com, cara penggunaan hijackthis bisa dilihat disini. hapus semua yang mendapatkan rating berbahaya di hijackthis.de
  4. Restart komputer, ketika login ternyata masih dalam kondisi yang sama seperti sebelumnya, setelah dicek kembali hijackthis tidak dapat menghapus autorun malware emule ini. sepertinya harus menggunakan OS lain seperti Linux untuk menghapus file emule.exe ini, kebetulan flashdisk saya berisi Kaspersky Rescue 10 yang berbasis Linux, tinggal update kemudian scan 😀Cara membuat dan menggunakan Kaspresky Rescue 10 dapat dilihat disini atau di Kaspersky sendiri.
    Lalu hapus emule.exe dan beberapa file yang dideteksi di Hijackthis.
  5. Selesai? tampaknya setelah di restart kembali semua link shortcut dengan icon yang bergambar keledai menjadi hanya berwarna putih polos saja, begitu juga dengan file .exe-nya.
    Karena file emule.exe telah dihapus maka ketika ada shortcut atau file .exe yang dijalankan akan mencari keberadaan file emule.exe dan muncul sebuah window yang mencari file emule.exe tersebut. Hal ini menandakan bahwa registry Windows-nya telah rusak/corrupt.
  6. Kemudian saya melakukan sedikit Google-Fu lagi untuk mencari cara agar mengembalikan registry menjadi normal, ternyata ada cara yang mudah, tinggal download file bernama Default_EXE.reg lalu jalankan saja.
    File Default_EXE.reg bisa didapatkan disini.
  7. YES! akhirnya semua shortcut dan file .exe telah kembali normal 😀
    Tetapi icon shortcut dan file .exe masih sama saja berupa icon berwarna putih sehingga membuat tampilan masih berasa terinfeksi malware 😛
    Triknya cukup simpel, saya menemukannya secara tidak sengaja :D, waktu itu saya curiga bahwa malware ini menginfeksi browser Mozilla Firefox komputer tersebut (masih versi 3.6) karena ada add-on Emule dan browser tersebut selalu membuka link emule palsu untuk meminta pembayaran, kemudian saya install ulang dengan versi 5.0 yang lebih baru, eh ternyata semua link shortcut dan file .exe menjadi normal kembali 😀

OS yang digunakan oleh rekan saya adalah Windows 7 fully patched dengan antivirus AVG yang selalu diupdate tiap hari, tetapi masih dapat dengan mudah terinfeksi malware karena kurang waspadanya seseorang akan keamanan komputernya, NEVER CLICK ANYTHING THAT YOU DONT KNOW/TRUST!!

Akhir-akhir ini tampaknya malware dengan model meminta pembayaran untuk program yang mereka buat semakin marak, waspadalah!

Semoga bermanfaat,

iKONs

Catatan:

Pembuatan file Default_EXE.reg bisa dilihat disini. atau bisa dibuat melalui notepad dengan isi:

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT.exe]

[HKEY_CLASSES_ROOT.exe]
 @="exefile"
 "Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT.exePersistentHandler]
 @="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOTexefile]
 @="Application"
 "EditFlags"=hex:38,07,00,00
 "FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,
 00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,
 32,00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,
 00,2c,00,2d,00,31,00,30,00,31,00,35,00,36,00,00,00

[HKEY_CLASSES_ROOTexefileDefaultIcon]
 @="%1"

[HKEY_CLASSES_ROOTexefileshell]

[HKEY_CLASSES_ROOTexefileshellopen]
 "EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOTexefileshellopencommand]
 @=""%1" %*"
 "IsolatedCommand"=""%1" %*"

[HKEY_CLASSES_ROOTexefileshellrunas]
 "HasLUAShield"=""

[HKEY_CLASSES_ROOTexefileshellrunascommand]
 @=""%1" %*"
 "IsolatedCommand"=""%1" %*"

[HKEY_CLASSES_ROOTexefileshellrunasuser]
 @="@shell32.dll,-50944"
 "Extended"=""
 "SuppressionPolicyEx"="{F211AA05-D4DF-4370-A2A0-9F19C09756A7}"

[HKEY_CLASSES_ROOTexefileshellrunasusercommand]
 "DelegateExecute"="{ea72d00e-4960-42fa-ba92-7792a7944c1d}"

[HKEY_CLASSES_ROOTexefileshellex]

[HKEY_CLASSES_ROOTexefileshellexContextMenuHandlers]
 @="Compatibility"

[HKEY_CLASSES_ROOTexefileshellexContextMenuHandlersCompatibility]
 @="{1d27f844-3a1f-4410-85ac-14651078412d}"

[HKEY_CLASSES_ROOTexefileshellexDropHandler]
 @="{86C86720-42A0-1069-A2E8-08002B30309D}"

[-HKEY_CLASSES_ROOTSystemFileAssociations.exe]

[HKEY_CLASSES_ROOTSystemFileAssociations.exe]
 "FullDetails"="prop:System.PropGroup.Description;System.FileDescription;System.ItemTypeText;System.FileVersion;System.Software.ProductName;System.Software.ProductVersion;System.Copyright;*System.Category;*System.Comment;System.Size;System.DateModified;System.Language;*System.Trademarks;*System.OriginalFileName"
 "InfoTip"="prop:System.FileDescription;System.Company;System.FileVersion;System.DateCreated;System.Size"
 "TileInfo"="prop:System.FileDescription;System.Company;System.FileVersion;System.DateCreated;System.Size"

[-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.exe]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.exe]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.exeOpenWithList]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.exeOpenWithProgids]
 "exefile"=hex(0):

[-HKEY_LOCAL_MACHINESOFTWAREClasses.exe]

[HKEY_LOCAL_MACHINESOFTWAREClasses.exe]
 @="exefile"
 "Content Type"="application/x-msdownload"

[HKEY_LOCAL_MACHINESOFTWAREClasses.exePersistentHandler]
 @="{098f2470-bae0-11cd-b579-08002b30bfeb}"

Lalu save menjadi filename.reg dan tinggal di jalankan saja.