Hoi.. hoi.. hoii.. \(^o^)/
Jumpa lagi dengan RajaKadal Dudul :P
Ehehehe.. setelah pada posting sebelumnya saya membahas tentang korupsi,
sekarang kita akan coba membahas tentang sesuatu yang sama dudulnya ama korupsi..
yakni sama-sama merusak sistem >.<
Tanpa banyak basa basi lagi, kali ini kita akan mencoba membahas tentang Trojan Webmoner dengan nama lengkap W32/Webmoner.BNH (PWS.Kan.12) yang ciri penyerangan khususnya melakukan injeksi pada Rundll32.exe.
Nah, yang menjadikan trojan ini termasuk dalam kategori berbahaya adalah kemampuannya untuk mencuri data aktif seperti akun dan password. Sekalipun penyerangan trojan ini belom sekejam Sality Family, tapi menurut laporan, terdapat ratusan kompi yang terkena serangan trojan ini.
Anda tentunya tidak ingin menjadi korban selanjutnya bukan?
Dalam buku stategi perang berjudul "The Art of War" yang pernah ditulis oleh Sun Tzu, ada kutipan yang menyatakan bahwa untuk dapat mengalahkan musuh, kita harus mengenali musuh tersebut. Logika sederhananya, dengan mengenali, kita dapat melakukan proses scanning tentang titik-titik kelemahan yang mereka miliki. Dengan begitu kita bisa mengalahkan musuh dengan cara yang lebih efektif.
Filosofi tersebut tidak jauh berbeda ketika kita menghadapi virus atau trojan yang datang tanpa diundang ke komputer kita.. dan secara diam" melakukan aktifitas ilegal yang bisa merugikan kita tentunya.
Stop Here !! lanjut ke pokok persoalan..
Keluarga Webmoner : Pencuri Data Pribadi
Keluarga Webmoner merupakan salah satu kelompok trojan yang dirancang untuk mencuri informasi/ data dari pengguna komputer terutama hal-hal yang berhubungan dengan data pribadi keuangan.
W32/Webmoner ditemukan sejak tahun 2004, dan hingga kini sudah ratusan varian W32/Webmoner yang beredar. Salah satu varian terbaru dari W32/Webmoner yang terdeteksi yaitu W32/Webmoner.BNH.
Cara Mereka Masuk :
Memanfaatkan celah keamanan pada Windows yaitu Windows Shell Icon Handler / LNK (MS10-046)
Gejala & Efek Virus
# Aktif menggunakan file Windows (rundll32)
Agar tidak mudah diketahui oleh pengguna komputer, trojan W32/Webmoner.BNH berusaha menyamarkan identitas saat aktif dengan memanfaatkan file system Windows yaitu RUNDLL32.exe. Dengan file tersebut, trojan W32/Webmoner.BNH dapat dengan mudah melakukan infeksi, membaca aktivitas pengguna serta melakukan koneksi pada Remote Server
# Aktif menggunakan file Windows (rundll32)
Agar tidak mudah diketahui oleh pengguna komputer, trojan W32/Webmoner.BNH berusaha menyamarkan identitas saat aktif dengan memanfaatkan file system Windows yaitu RUNDLL32.exe. Dengan file tersebut, trojan W32/Webmoner.BNH dapat dengan mudah melakukan infeksi, membaca aktivitas pengguna serta melakukan koneksi pada Remote Server
# Membuat komputer menjadi hang (explorer hang)
Saat komputer dinyalakan pertama kali dan login, Windows Explorer akan terasa lambat (hang) akibat aktifitas dari trojan yang menjalankan beberapa file RUNDLL32.EXE. Dengan begitu, pengguna komputer akan merasa terganggu dan tidak nyaman menggunakan komputer.
# Melakukan koneksi ke Remote Server
Trojan W32/Webmoner.BNH berusaha melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Koneksi ke remote server dilakukan dengan menggunakan berbagai macam port acak seperti :
127.0.0.1 : 45316, 2820, 5339, 47347, 28787, 30738, dll
xx.195.47.170 : 57381
# Mengupdate dirinya seperti antivirus
Agar mempermudah aksi-nya, trojan W32/Webmoner.BNH juga melakukan download beberapa file tertentu dari Remote Server serta agar tetap terupdate dan tidak mudah dikenali oleh antivirus.
# Melakukan transfer data/dokumen yang telah didapatkan ke Remote Server
Tujuan utama dari trojan W32/Webmoner.BNH adalah mendapatkan informasi dari pengguna komputer yang sudah terinfeksi. Untuk melakukan hal tersebut, trojan W32/Webmoner.BNH menggunakan perintah command sebagai berikut :
Saat komputer dinyalakan pertama kali dan login, Windows Explorer akan terasa lambat (hang) akibat aktifitas dari trojan yang menjalankan beberapa file RUNDLL32.EXE. Dengan begitu, pengguna komputer akan merasa terganggu dan tidak nyaman menggunakan komputer.
# Melakukan koneksi ke Remote Server
Trojan W32/Webmoner.BNH berusaha melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Koneksi ke remote server dilakukan dengan menggunakan berbagai macam port acak seperti :
127.0.0.1 : 45316, 2820, 5339, 47347, 28787, 30738, dll
xx.195.47.170 : 57381
# Mengupdate dirinya seperti antivirus
Agar mempermudah aksi-nya, trojan W32/Webmoner.BNH juga melakukan download beberapa file tertentu dari Remote Server serta agar tetap terupdate dan tidak mudah dikenali oleh antivirus.
# Melakukan transfer data/dokumen yang telah didapatkan ke Remote Server
Tujuan utama dari trojan W32/Webmoner.BNH adalah mendapatkan informasi dari pengguna komputer yang sudah terinfeksi. Untuk melakukan hal tersebut, trojan W32/Webmoner.BNH menggunakan perintah command sebagai berikut :
C:\WINDOWS\system32\ftp.exe ftp-s : C:\WINDOWS\system32\ftp.sys-A
Selain itu, dengan memanfaatkan celah keamanan MS10-046 (Windows Icon handler) maka file shortcut/LNK menjadi memiliki kemampuan worm dan akan dapat aktif secara otomatis saat kita mengakses drive tersebut tanpa menjalankan file tersebut sekalipun.
- JaringanDengan memanfaatkan akses full sharing, trojan W32/Webmoner.BNH dapat mudah masuk dengan melakukan kopi beberapa file yang sama seperti penyebaran pada removable drive/disk.
Kira-kira seperti itulah ciri dan metode penyerangan pada sistem komputer kita.
Untuk mengatasi trojan jenis ini, saya sarankan anda menjalankan langkah-langkah yang telah terdapat di sini
Untuk mengatasi trojan jenis ini, saya sarankan anda menjalankan langkah-langkah yang telah terdapat di sini
Sumber :
Google.com
http://vaksin.com/2011/0511/webmoner/webmoner.html
EmoticonEmoticon