In a few words

Posts tagged “Trojan

A – Z Tentang Komputer dan Data Security Threats

Saat ini, saya yakin hampir Semua pengguna komputer tahu (atau pernah merasakan) virus komputer 😀  … atau setidaknya pernah mendengar tentang keberadaan virus tersebut. Hampir 30 tahun lalu, virus komputer pertama ditulis (Elk Cloner), tampaknya dengan maksud menampilkan puisi pendek ketika komputer boot untuk ke-50 kalinya. Dan sejak saat itu, jutaan virus dan malware lainnya virus email, Trojan, worm, spyware, keylogger dan segala antek-anteknya mulai bermunculan, beberapa darinya telah mampu menyebar di seluruh dunia dan menjadi perhatian. Banyak orang telah merasakan bagaimana virus menginfeksi komputernya dengan sampah bahkan menghapus file…

Dalam imajinasi populer, malware berarti pranks atau sabotase. Hingga pada awal 1990-an pernah terjadi kepanikan global tentang virus Michelangelo. Dan kepanikan ini terjadi lagi ketika jutaan komputer terinfeksi dengan SoBig-F virus yang mampu mendownload program tidak dikenal dari web pada waktu yang ditetapkan oleh pembuatnya, sampai-sampai perusahaan anti-virus membujuk penyedia layanan internet untuk menutup server untuk menghindari skenario “hari kiamat” tersebut…

Lalu Bagaimana virus di masa depan? Memprediksi bagaimana ancaman keamanan akan dikembangkan adalah hampir mustahil. Beberapa penafsir beranggapan bahwa tidak akan ada lebih dari beberapa ratus virus, dan Microsoft (Bill Gates) menyatakan bahwa spam tidak lagi menjadi masalah pada tahun 2006. Belum jelas bagaimana  ancaman virus yang akan datang di masa depan atau bagaimana ancaman virus akan menjadi lebih serius.  Yang jelas adalah bahwa setiap kali ada kesempatan untuk keuntungan finansial, maka para pembuat virus akan berusaha untuk mengakses dan melakukan penyalahgunaan data.

Huah… pengantarnya kepanjangan? hehe…  😛

Mungkin tidak semua dari kita mengetahui serangan-serangan yang dilakukan virus seperti serangan berupa Adware, Autorun worm, trojan Backdoor, Cookie, sampai Zombies… namun jika anda tertarik untuk mengetahui lebih jauh, Sophos Antivirus telah mengeluarkan sebuah Treatsaurus berupa Kamus mini yang berisi informasi semua jenis treat virus dari A sampai Z, diantaranya menjelaskan tentang :

  • Adware
  • Anonymizing proxies
  • Autorun worms
  • Backdoor Trojans
  • Blended threats
  • Boot sector malware
  • Botnet
  • Browser hijackers
  • Brute force attack
  • Buffer overflow
  • Chain letters
  • Command and control center
  • Cookies
  • Data leakage
  • Data loss
  • Data theft
  • Denial-of-service attack
  • Document malware
  • Email malware
  • Exploits
  • Fake anti-virus malware
  • Hoaxes
  • Internet worms
  • dll…dll…dll…

Treatsaurus ini berisi treat-treat yang sering menyerang komputer, jenis-jenis software security serta hardware yang digunakan untuk mengamankan komputer, tips keamanan dari serangan virus, trojan, worm, spyware, hoax dan tentang sejarah singkat perkembangan virus.

Jika tertarik anda dapat memiliki kamus mini ini dengan mendownloadnya dari sini.

Segitu saja, Semoga bermanfaat …

Salam …


Trojan.AutoRun.A atau amvo.exe

Pesan error disebelah ini selalu muncul di komputer Windows XP SP2 milik teman saya yang “chatingcholic” 😀 …  Kerusakan sistem memang tidak begitu terasa selain pesan error yang sangat menggangu tersebut.  Hmm.. kenapa antivirus tidak bisa mendeteksinya sebagai virus… hayyaaahh… ternyata antivirus  dikomputernya sudah tidak aktif alias tidak jalan ketika starup windows.. hehehe… pantas.. jangan salahkan virusnya.

Karena sudah terlanjur kena, tidak ada gunanya menyalahkan teman saya yang alpa memeriksa antivirusnya,  lebih baik kita cari solusinya saja…

Ok, seperti biasa … pengenalan dulu.. Trojan.AutoRun.A atau amvo.exe adalah Trojan yang membuat file AUTORUN.INF secara otomatis ketika hard drive utama diakses, sehingga ketika membuka drive C, D, E di My Computer tidak terbuka normal dengan menampilkan pesan bahwa pada drive, Windows tidak dapat menemukan xn1i9x.com.  Error lain yang mungkin muncul ketika terjadi adalah :
n1deiect.com, ntde1ect.com, nudeiect.com, ntdelect.com, nideiect.com, ek.com, d.com, usdeiect.com, 80avp08.com, dosocom.com, xfoolavp.com atau uxdeiect.com

Pesan error yang mungkin ditampilkan antara lain :
Avpo.exe Application Error
Amvo.exe Application Error
Kavo.exe Application Error

Trojan ini menyembunyikan induknya dan men-disable fungsi “Show hidden files and folders”. Menghapus induk trojan ini sedikit sulit karena Trojan menambahkan registri yang berjalan otomatis load ketika booting, berikut baris perintah yang terdapat dalam AUTORUN.INF :
[AutoRun]
open=xn1i9x.com
;shell\open=Open(&O)
shell\open\Command=xn1i9x.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=xn1i9x.com

Dalam aksinya trojan ini juga membuat files.dll  dengan nama : amvo0.dll, gnsmo.dll, amvo1.dll, avp0.dll, taso0.dll, kavo0.dll, kavo1.dll. serta membuat file.exe dengan nama : amvo.exe, avpo.exe, avp0.exe, kavo.exe, semo2x.exe.

Langkah pembersihan yang dilakukan adalah mencari proses yang berjalan ketika starup dengan menggunakan tools Hijackthis (ambil disini)… singkat saja, didapatlah nama dibawah ini :
O4 – HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
O4 – HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 – HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe

Dengan petunjuk diatas maka untuk membersihkan :

  • Buka task manager (ctrl+alt+del) cari file amvo.exe pada pada process tab dan klik “end process”.
  • Buka start–> Run ketik msconfig.
  • Pada startup tab. buang centang amvo.exe -> apply -> ok — jika anda diminta restart, abaikan dengan klik “Exit Without Restart”
  • Buka start–> Run ketik regedit
  • Klik menu Edit -> find…> ketik amvo.exe -> klik find dan delete registry yang ditemukan oleh hasilpencarian. ulangi hingga tidak ditemukan lagi.
  • Untuk menampilkan file tersembunyi, buka My computer -> klik tab tools pilih folder options -> klik tab view -> pilih opsi “show hidden files and folders” dan buang centang pada:

“Hide extensions for known file types”

“Hide protected Operating system files”

  • Buka my computer\Local Disk c:\windows\system32 dan hapus file berikut:

* amvo.exe
* amvo0.dll
* amvo1.dll

  • Cari di setiap drive lalu delete file autorun.inf
  • Restart windows anda.
  • Selesai …

Jangan lupa mengembalikan setting folder option ke pengaturan semula :
buka My computer -> klik tab tools pilih folder options -> klik tab view -> pilih opsi “Do not show hidden files and folders” dan beri centang pada: “Hide extensions for known file types” dan  “Hide protected Operating system files”

Sedikit tambahan, dari googling tentang amvo.exe, ada tool gratis “Amvo Variants” yang dapat menghapus trojan ini secara otomatis, namun saya sendiri belum pernah mencobanya… jika anda berminat bisa ambil disini

Segitu saja, semoga bermanfaat …

Salam…


Menghapus W32/Buzus.BDHC Trojan

Buzus TrojanSeharusnya ketika hujan sore sore paling enak minum kopi plus pisang goreng.. tapi hujan sore kali ini terpaksa saya minum kopi sambil membersihkan trojan… hmmm..

Kali ini yang menjadi bintang tamu adalah W32/Buzus.BDHC Trojan, seperti halnya Win32.IRCBot worm (baca posting terdahulu)  yang selalu membuat antivirus avira menjerit-jerit karena permintaan delete/ quarantine selalu muncul. 😀

Dideteksi oleh antivirus sebagai :

Antivirus Version Name
a-squared 4.0.0.26 Virus.Trojan.Win32.Buzus.zzi!IK
AntiVir 7.9.0.35 TR/Dropper.Gen
AVAST! 3.0.1 Win32:Trojan-gen {Other}
BitDefender 7.81008.2252442 Trojan.AgentMB.ZVTS150316
Dr.Web 4.44.0.9170 Win32.HLLW.Autoruner.3009
ewido 4.0.0.2 Trojan.Buzus.shq
F-Secure 5.51.6100 Trojan.Win32.Buzus.acvw [AVP]
Kaspersky 5.5.10 Trojan.Win32.Buzus.acvw
Trend Micro 8.700-1004 TROJ_BUZUS.NY

Tak kenal maka tak sayang, mari kita berkenalan dulu,

Trojan W32/Buzus.BDHC ini mempunyai banyak nama yaitu diantaranya : Trojan.Win32.Buzus.hc,Trojan.Win32.Buzus.adrc, Trojan.Win32.Buzus.aebi,Trojan.Win32.Buzus.828416,Trojan.Win32.StartPage.cyu,Trojan.Win32.Buzus.acxp, Trojan.Win32.Buzus.adyf, trojan.win32.buzus.aanr, Trojan.Win32.Buzus.pe, Trojan.Win32.Buzus.51712.E,Trojan.Win32.Buzus.69632.K,Trojan.Win32.Crypt.5632,

Trojan.Win32.Buzus.aa,Trojan.Win32.Buzus.322076,Trojan.Win32.Buzus.27648.L, Trojan.Win32.Buzus.46461,Trojan.Win32.Buzus.aebj,Trojan.Win32.CDur.hp, Trojan.Win32.Buzus.hrp

Termasuk trojan serakah, namanya diborong semua 😀 !!! ..

Indikasi infeksi:

  • Hasil mesin pencarian dan browser halaman utama diarahkan ke situs palsu.
  • Hilang ikon desktop, mengubah wallpaper dan pengaturan desktop.
  • Proses tidak dikenal oleh Win32.Buzus.ym berjalan di Windows TaskManager, tidak bisa dihentikan.
  • Trojan.Win32.Buzus sulit dibersihkan oleh antivirus, selalu muncul setiap kali dihapus ketika booting.
  • Mengurangi kinerja komputer, sistem lamban pada startup dan reboot.
  • Popup blocker tidak mampu menghentikan situs porno, kasino dan situs dewasa lain.

Perilaku Trojan.Win32.Buzus :

  • Melakukan pemeriksaan sistem registry, menciptakan pop-up ketika aktivitas browsing.
  • Menonaktifkan firewall, anti virus dan utility keamanan lainnya.
  • Menginfeksi komputer melalui lubang keamanan, mendownload dan menginstal berbagai file dari remote server.

Bagaimana W32/Buzus.BDHC Trojan mampu menyusup dan menginfeksi PC Anda?

1. P2P (Peer-to-Peer) Jaringan

Jaringan P2P telah menjadi semakin populer selama bertahun-tahun, sehingga memiliki resiko terkait dengan penggunaan jaringan. Ketika anda menginstal sebuah aplikasi P2P atau mendownload file dari jaringan P2P, spyware akan dibundel dengan file dan software.

2. Sofware Freeware dan Shareware

Banyak aplikasi Freeware dan Shareware atau bajakan yang dibundel dengan spyware ?? ( anda pasti mengerti maksud saya 😀 )

3. Website Jahat

Tidak semua situs web tidak bersalah. Bahkan, ada yang khusus dirancang dengan maksud jahat. Jika Anda mengunjungi salah satu situs jahat ini, maka secara otomatis menginstal spyware pada hardrive tanpa sepengetahuan atau persetujuan Anda.

Sudah cukup perkenalan-nya, sekarang cara pembersihan…

Terkadang antivirus tidak bisa menghapus permanen trojan ini dan hanya memunculkan kotak peringatan untuk melakukan penghapusan atau quarantine tetapi setelah reboot akan kembali hadir, maka disini kita akan melakukan penghapusan secara manual dulu… ok?, kita coba…

Download dulu senjata anda disini (file ini berisi  Killbox, EnableRegistry.reg, UnHookExec.inf dan Registry Enabler) letakkan hasil download di desktop, maksudnya biar mudah mencarinya ketika anda telah masuk ke dalam SAFE MODE.

Lakukan penghapusan melalui SAFE MODE (Restart komputer, tekan F8 berulang ulang, pilih Safe mode, tekan enter)

Matikan Proses yang Aktive sebelum penghapusan

Buka hasil download anda, gunakan killbox atau dengan TaskManager, jika TaskManager didisable maka gunakan Enable Registry.reg dengan cara klik kanan – instal – pilih Yes/Ok.

–   Matikan proses dengan nama rundm.exe dan oute.exe

Jika kedua proses diatas tidak terdapat pada list proses, maka teruskan pada tahap berikutnya.

Penghapusan Registry yang dibuat virus

Klik Start, pilih Run, ketikkan: regedit, Enter

Jika Registry Editor tidak bisa terbuka maka buka hasil download anda, gunakan UnHookExec.inf – klik kanan – instal – pilih Yes/Ok. (karena filenya kecil, maka tidak akan menampilkan pemberitahuan atau kotak bila Anda menjalankannya)

W32/Buzus.BDHC Trojan memodifikasi registry pada lokasi-lokasi berikut untuk menjalankan eksekusi run otomatis di setiap sistem Startup karena itu hapus /klik kanan pada entri dan pilih delete pada :

  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  2. HKEY_USERS\S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XX\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

(Catatan : XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XX berisi angka yang berbeda pada setiap komputer)

Exit Registry Editor,

Restart Komputer

————

Setelah komputer anda selesai startup ada kemungkinan beberapa aplikasi yang aktif pada startup tidak berjalan, karenanya instal ulang aplikasi penting seperti antivirus… Update dan lakukan scan dengan antivirus anda yang telah terupdate tersebut… pada kasus saya, antivirus (avira) akan dapat menghapus trojan tersebut secara permanen karena string pada registry yang dihapus diatas tidak lagi menjalankan eksekusi otomatis pembuat runtime proses trojan. Jika ditemukan alert virus dalam proses scan tersebut maka delete saja, kemudian setelah selesai, reboot … maka komputer anda telah terbebas dari W32/Buzus.BDHC Trojan ini..

“Habiskan sisa kopi anda, tarik nafas dan bersyukurlah….”

Begitu saja, Terimakasih telah membaca dan semoga bermanfaat.

Salam . . .

signature Transblog