Tampilkan postingan dengan label Virus Komputer. Tampilkan semua postingan
Tampilkan postingan dengan label Virus Komputer. Tampilkan semua postingan

Senin, 14 November 2011

Source Code of ZeuS Botnet Version: 2.0.8.9


 Source Code of ZeuS Botnet Version: 2.0.8.9 from thehackernews.com

Download Now | RAR Password : zeus

Rabu, 10 Agustus 2011

Information on the Code Red Virus

The Code Red worm was first discovered and researched by eEye Digital Security employees, Marc Maiffret and Ryan Permeh. The worm was named the .ida "Code Red" worm because Code Red Mountain Dew was what they were drinking at the time, and because of the phrase "Hacked by Chinese!" with which the worm defaced websites.

Although the worm had been released on July 13, the largest group of infected computers was seen on July 19, 2001. On this day, the number of infected hosts reached 359,000.

Code Red has defacing many Web sites with the message "Hacked By Chinese," experts said. Despite the message, the origin of the virus is unknown.

The ultimate goal of the virus, known as a "worm," is to gather strength by infecting more computers and then have them all attack a numerical Internet address that represents the White House Web site. The assault, which was set to go off Thursday at 8 p.m. EDT, is a denial of service attack, designed to hamper or shut down a computer system by flooding it with huge amounts of data.

Jumat, 10 Juni 2011

Gejala dan Efek Trojan Webmoner

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgFblv1ZHYdbFTSMOUuHNcpLLS1NY6jU9MMuJ2ZG58gLdZFTnrxKmtIlfl_oHm0slTrznPrZil_pOWaRYcgkusXKGdJi2WWckxX6O5i2Q9N8X3jyr6Lhs6Nd45qlu4hjNa4MqwpJrq4YIAD/s400/trojan_horse.jpg


Hoi.. hoi.. hoii.. \(^o^)/
Jumpa lagi dengan RajaKadal Dudul :P
Ehehehe.. setelah pada posting sebelumnya saya membahas tentang korupsi,
sekarang kita akan coba membahas tentang sesuatu yang sama dudulnya ama korupsi..
yakni sama-sama merusak sistem  >.<

Tanpa banyak basa basi lagi, kali ini kita akan mencoba membahas tentang Trojan Webmoner dengan nama lengkap W32/Webmoner.BNH (PWS.Kan.12) yang ciri penyerangan khususnya melakukan injeksi pada Rundll32.exe.

Nah, yang menjadikan trojan ini termasuk dalam kategori berbahaya adalah kemampuannya untuk mencuri data aktif seperti akun dan password. Sekalipun penyerangan trojan ini belom sekejam Sality Family, tapi menurut laporan, terdapat ratusan kompi yang terkena serangan trojan ini.

Anda tentunya tidak ingin menjadi korban selanjutnya bukan?

Dalam buku stategi perang berjudul "The Art of War" yang pernah ditulis oleh Sun Tzu, ada kutipan yang menyatakan bahwa untuk dapat mengalahkan musuh, kita harus mengenali musuh tersebut. Logika sederhananya, dengan mengenali, kita dapat melakukan proses scanning tentang titik-titik kelemahan yang mereka miliki. Dengan begitu kita bisa mengalahkan musuh dengan cara yang lebih efektif.

Filosofi tersebut tidak jauh berbeda ketika kita menghadapi virus atau trojan yang datang tanpa diundang ke komputer kita.. dan secara diam" melakukan aktifitas ilegal yang bisa merugikan kita tentunya.

Stop Here !! lanjut ke pokok persoalan..

Keluarga Webmoner : Pencuri Data Pribadi
Keluarga Webmoner merupakan salah satu kelompok trojan yang dirancang untuk mencuri informasi/ data dari pengguna komputer terutama hal-hal yang berhubungan dengan data pribadi keuangan.

W32/Webmoner ditemukan sejak tahun 2004, dan hingga kini sudah ratusan varian W32/Webmoner yang beredar. Salah satu varian terbaru dari W32/Webmoner yang terdeteksi yaitu W32/Webmoner.BNH.

Cara Mereka Masuk :
Memanfaatkan celah keamanan pada Windows yaitu Windows Shell Icon Handler / LNK (MS10-046)

Gejala & Efek Virus

# Aktif menggunakan file Windows (rundll32)
Agar tidak mudah diketahui oleh pengguna komputer, trojan W32/Webmoner.BNH berusaha menyamarkan identitas saat aktif dengan memanfaatkan file system Windows yaitu RUNDLL32.exe. Dengan file tersebut, trojan W32/Webmoner.BNH dapat dengan mudah melakukan infeksi, membaca aktivitas pengguna serta melakukan koneksi pada Remote Server



# Membuat komputer menjadi hang (explorer hang)
Saat komputer dinyalakan pertama kali dan login, Windows Explorer akan terasa lambat (hang) akibat aktifitas dari trojan yang menjalankan beberapa file RUNDLL32.EXE. Dengan begitu, pengguna komputer akan merasa terganggu dan tidak nyaman menggunakan komputer.


# Melakukan koneksi ke Remote Server
Trojan W32/Webmoner.BNH berusaha melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Koneksi ke remote server dilakukan dengan menggunakan berbagai macam port acak seperti :

    127.0.0.1 : 45316, 2820, 5339, 47347, 28787, 30738, dll
    xx.195.47.170 : 57381

# Mengupdate dirinya seperti antivirus
Agar mempermudah aksi-nya, trojan W32/Webmoner.BNH juga melakukan download beberapa file tertentu dari Remote Server serta agar tetap terupdate dan tidak mudah dikenali oleh antivirus.

# Melakukan transfer data/dokumen yang telah didapatkan ke Remote Server
Tujuan utama dari trojan W32/Webmoner.BNH adalah mendapatkan informasi dari pengguna komputer yang sudah terinfeksi. Untuk melakukan hal tersebut, trojan W32/Webmoner.BNH menggunakan perintah command sebagai berikut :
C:\WINDOWS\system32\ftp.exe ftp-s : C:\WINDOWS\system32\ftp.sys-A


Selain itu, dengan memanfaatkan celah keamanan MS10-046 (Windows Icon handler) maka file shortcut/LNK menjadi memiliki kemampuan worm dan akan dapat aktif secara otomatis saat kita mengakses drive tersebut tanpa menjalankan file tersebut sekalipun.
  • Jaringan 
    Dengan memanfaatkan akses full sharing, trojan W32/Webmoner.BNH dapat mudah masuk dengan melakukan kopi beberapa file yang sama seperti penyebaran pada removable drive/disk.
Kira-kira seperti itulah ciri dan metode penyerangan pada sistem komputer kita.
Untuk mengatasi trojan jenis ini, saya sarankan anda menjalankan langkah-langkah yang telah terdapat di sini

Sumber : 
Google.com
http://vaksin.com/2011/0511/webmoner/webmoner.html

Kamis, 09 Juni 2011

Pertimbangan Memilih Antivirus yang Tepat

https://fbcdn-sphotos-a.akamaihd.net/hphotos-ak-ash4/251357_216656985024146_100000395371385_721252_4612755_n.jpg

Sudah dua bulan lamanya saya melakukan riset kecil-kecilan untuk memasang antivirus yang cocok di si kokom (nama komputer kesayangan saya). Mulai dari Antivirus luar seperti ABG eh.. AVG antivirus + Internet Security; Vipre Premium; Webrot Antivirus; Eset NOD32; Tren Micro Premium; Bit Defender + Internet Security 2011; Avast 6 Antivirus with Internet Security, Microsoft Security Essential + Windows Defender sampai yang terakhir saya mencoba menggunakan Dr.Web Antivirus V.4 yang telah memiliki lisensi.  Ndak ketinggalan pula mencicipi Antivirus lokal seperti PCMAV 5.1 dan Smadav 8.5 yang katanya cukup ampuh mengatasi virus-virus lokal :)

Sayangnya sampai saat ini saya belum menemukan AV yang handal plus nyaman saat dipakai. Kalo masalah kehandalan, saya percaya bahwa antivirus pada umumnya mampu meminimalisir masuknya malware" yang dikhawatirkan dapat merusak system di komputer. Tapi bagai buah simalakama, jaminan keamanan harus dibayar dengan pembengkakan kinerja RAM. Untuk komputer jaman sekarang yang udah canggih-canggih mah mungkin hal tersebut ndak jadi masalah, tapi buat si kokom,, hal tersebut menjadi pertimbangan :)

Kokom dari awal memang saya setting untuk memberikan kenyamanan ketika saya menggunakannya sehari-hari. Maka saya pikir, pemilihan antivirus yang tepat menjadi pertimbangan.

Setelah melakukan perundingan alot ama si kokom, akhirnya kami bersepakat untuk sementara waktu kokom ndak pake kondom.. eh.. antivirus kamsutnya :P 

Sebagai penggantinya, Kokom kembali saya pasangi Deepfreeze 7. Kemudian settingan 'save as' default dari Office sampai ke penyimpanan link download dari IDM, saya pindahkan ke drive yang tidak terlalu banyak mengandung file" penting. 

Selain itu tak lupa saya matikan semua 'automatic update' dan 'task scheduler' yang terdapat pada OS windows, juga pada browser. 

Nah.. yang tidak kalah pentingnya, tentu saja saya menyiapkan 'removal tool' untuk sesekali mengecek keberadaan penyusup di si Kokom. Biasanya saya mendownload Norman Malware Cleaner tiap Bulannya.
Tak lupa menyiapkan aplikasi" pendukung security lainnya seperti Port Monster, UnHackMe dan beberapa aplikasi security lainnya. Dengan begitu, saya tetap bisa menggunakan si Kokom dengan nyaman tanpa mengabaikan faktor security pada sebuah personal komputer.  :)

Bagaimana dengan Anda?

Selasa, 21 Desember 2010

AnVir TaskManager Portable

Task Manager Di blok ma Virus? AnVir TM Portable Solusinya


Kadang menyebalkan bukan jika fitur Task Manager di kompi kita di blok/ di disabled ma virus..???

Ndak usah khawatir.. AntiVir TaskManager Versi Portable bisa menjadi alternatif solusi bagi agan2

Aplikasi ini tentu saja memiliki banyak kelebihan dibandingkan dengan task manager bawaan dari windows..

Seperti kemampuan untuk mengendalikan segala sesuatu yang berjalan di komputer, menghapus proses Trojan, mempercepat komputer, tweak proses Monitor Windows , Services, program-program startup, menggantikan tugas Task Manager dari spyware dan virus yang mematikan antivirus, Meningkatkan dan melakukan tune up, Mengatur Windows startup pada XP, Vista atau Windows 7, Mampu melakukan hal yang tidak dapat dilakukan pada Task Manager bawaan Windows, Mengetahui secara detail proses services, dan lain lain


Screenshotnya :








Beberapa Fitur AnVir Task Manager:

* Deskripsi sebanyak + 70 000 + startup program, services dan Extensi Internet Explorer

* proses analisis security, program startup dan layanan dasar Windows

* Startup Monitor: alert jika ada proses start up baru, blok program startup yang tidak dikehendaki

* Analisa file pada VirusTotal.com dengan 30 + antivirus engine

* Startup manager: mengelola semua program yang berjalan pada startup termasuk service dan Internet Explorer toolbar

* Dapat menyimpan log HijackThis dengan tambahan info

* Antivirus scanner. Tool anti-rootkit

* Dilengkapi informasi database virus

* Blok proses yang tidak dikehendaki secara permanen

* Mencatat lalu lintas TCP / UDP dari proses ke file (sniffer)

* Monitor proses, layanan, koneksi internet, CPU, disk, memori, DLL, driver, file terkunci, Windows.

* Menampilkan grafik dari prosesor, memori dan disk aktivitas untuk setiap proses dan komputer

* Dll

Link Lokal : AnVIr TM 5.4.1 Portable FULL

Tutor nya bisa langsung di cek di mari : http://www.anvir.com/tutorial

my official thread at : here

Kamis, 09 Desember 2010

Mengatasi Virus Shortcut

Virus Shortcut 
 -Virus Shortcut-


Beberapa hari lalu, Kompi di kantor -secara ndak sengaja- terinfeksi virus shortcut aka Virus PIF/Starter. Virus ntu masuk tanpa bilang-bilang :P (padahal fungsi autorun di semua drive udah didisable) -dan langsung mengclone shortcut2 ndak penting :))
Sekalipun virus ini tergolong jenis virus yang berada di level medium risk, tapi efek psikologis yang ditimbulkan si virus ini ( yang terus membuat shortcut-shortcut baru sekalipun udah dihapus berkali-kali ) membuat si empunya kompi merasa kalo virus ini tergolong berbahaya (menyebalkan lebih tepatnya) :P

Menurut kabar yang beredar, virus ini bisa diatasi dengan antivirus lokal seperti Morphost AntiVirus dan Smavad. Saya sendiri telah mencoba men-scan virus tersebut memakai Smadav, dan CMC AntiVirus, tapi ndak ada perbaikan yang signifikan. Shortcut2 baru masih tetep bermunculan. :D

Alhasil, saya pun mencoba mengatasi virus tersebut secara manual :P (asyiknya berburu virus)
Hmm.. sebelum saya menuturkan cara2 mengatasi virus tersebut,, alangkah baiknya kita mengenali ciri-ciri dan bentuk serangan virus shortcut di kompi.. (kenali musuh agar kita lebih mudah mengalahkannya)


Ciri-Ciri si Virus Shortcut :

1. Membuat file induk database.mdb di My Documents
2. Membuat file autorun.inf di setiap Drive, Flash disk, dan folder
3. Membuat file Thumb.db (hati2 tanpa huruf s) di setiap folder
4. Membuat file Microsoft.lnk dan bla.. bla.. bla.. .ink
5. Membuat duplikat setiap folder dengan extensi .lnk
6. Pada task manager terdapat services wscript.exe

Nah.. kalo dah kenalan n cipika-cipiki ma virus shortcut, mari kita lanjut ke langkah2 mengatasi virus tersebut :P

Langkah – Langkah :

1. Matikan System Restore.
2. Matikan proses virus wsrcipt.exe (C:\WINDOWS\System32\wscript.exe)
    Bisa menggunakan Process Explorer atau misc. tool pada HijackThis.
 
3. Hapus file virus database.mdb di My Documents.
 
4. Hapus file duplikat virus.
 Gunakan fasilitas search pada Windows.. Pada “More advanced options”, pastikan option “Search system folders” dan “Search hidden files and folders” dah dicentang :P

Search file dengan nama autorun.inf ukurannya 8 KB
Search file dengan nama Thumb.db ukurannya 8 KB
Search file dengan ekstensi .lnk ukurannya 1 KB
 
Hapus semua file yang ditemukan.
Alternatif lain bisa pake aplikasi sederhana ini :  UTools. Program ini akan secara otomatis mencari dan kemudian menghapus file-file yang diinginkan.

utool

5. Hapus registry Autorun yang dibuat virus dengan menggunakan HijackThis.
 
Cari di bagian HKCU\..\Run: yang berhubungan dengan file database.mdb 

regedit_run

 Selesai. (dah gitu doank) :D

NB : Untuk mencegah penyebaran virus melalu removable media (flashdisk or cd) di sarankan untuk mendownload software USB DISK SECURITY -link donlotnya ubek2 aja sendiri di blog ini- see ya..

Minggu, 29 Agustus 2010

'Naik Kelas', Virus Lokal Manfaatkan Celah di Windows

Kebanyakan virus lokal di Indonesia melakukan serangan dengan memanfaatkan keteledoran pengguna semata. Namun virus yang satu ini telah 'naik kelas' dengan memanfaatkan celah keamanan Windows.

Keberadaan virus itu disampaikan oleh peneliti antivirus dari Vaksincom, Alfons Tanujaya. "Dia membuat shortcut dan mengeksploitasi celah keamanan. Jarang virus lokal eksploitasi celah keamanan," tutur Alfons kepada detikINET, Kamis (26/8/2010).

Adang Jauhar Taufik, analis antivirus Vaksincom, mengatakan laporan pertama virus ini berasal dari kota Gorontalo di Sulawesi. Penyebaran virus ini diketahui melalui USB Flashdisk.

Virus ini mengubah folder yang ada di dalam USB Flashdisk menjadi shortcut. Kemudian, jika shortcut itu diakses virus akan menginfeksi komputer hingga kinerja komputer menjadi buruk.

Selain itu, Alfons mengatakan, virus ini melindungi dirinya dari piranti seperti Security Task Manager atau aplikasi pembunuh proses lainnya. Jika digunakan, aplikasi tersebut bisa hang atau mati.

"Kelihatannya, pembuat virusnya memperhatikan artikel-artikel pembasmian virus Vaksincom yang sering menggunakan Security Task Manager. Sehingga kalau dibersihkan, dia sudah prepare," kata Alfons.

Celah yang dimanfaatkan oleh virus ini adalah Microsoft Windows Shell shortcut handling remote code execution vulnerability-MS10-046. Microsoft telah menyediakan patch untuk menambal celah ini.

Norman Security Suite mendeteksi virus ini sebagai W32/VBWorm.BEUA. Untuk file shortcut-nya dikenali sebagai Trojan: LNK/CplLnk.A dan file .DLL dideteksi sebagai W32/Suspicious_Gen2.BTDDL.

Dr.Web Anti-virus mendeteksi virus ini sebagai  W32/HLLW.Autoruner.25850. File shortcut-nya dikenali sebagai Exploit.Cpllnk dan file .DLL dideteksi sebagai Win32.HLLW.VBNA.3.

Adang mengatakan, virus ini dibuat dengan mengunakan program bahasa Visual Basic. Virus dengan ukuran 128 KB itu menurutnya akan memiliki ekstensi EXE atau SCR, serta icon Microsoft Visual Basic Project.

sumber : detikInet