Yang lebih istimewa lagi virus ini juga berfungsi sebagai keylogger, anda pasti sudah tahu bahaya keylogger yang mampu mencuri data-data rahasia kita. W32/Sality-AA merupakan varian dari keluarga Win32/Bagle.
METODE PENYEBARAN
Ketika virus mulai masuk dia akan menghapus file DLL di directory %System%. File DLL yang telah dihapus kemudian diganti dengan file virus yang menginfeksi di "running processes", Kemudian menjalankan program virusnya.
Berikut ini file DLL yang dibawa sality
%System%\syslib32.dll
%System%\oledsp32.dll
%System%\olemdb32.dll
%System%\wcimgr32.dll
%System%\wmimgr32.dll
catatan: Semua lokasinya di directory '%System%'. Untuk Windows 2000 dan NT di C:\Winnt\System32; untuk 95,98 dan ME di C:\Windows\System; sedangkan untuk XP di C:\Windows\System32.
Banyak dari variant Sality menginfeksi registry juga:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Penyebaran virus dari file yang terinfeksi
Setelah masuk ke sistem Sality akan mencari drive lokal c:\ sampai ...... dan menginfeksi file executable. Variant sality tidak hanya menginfeksi file executable dengan file menjadi 4k atau 20M tetapi menyisipkan code virus di file executable. Ketika file executable di jalankan maka dia akan mengestrak dan menjalankan code yang disisipkan.
Penyebaran virus lewat media jaringan lokal
Sality juga mencari drive yang disharing selain mencari drive lokal windows.
Data-data yang dicuri dari Sality:
OS version
IP address
Computer name
Recent URLs
Passwords
ISP Dial up Connection dan Password
Downloads dan Executes Arbitrary Files
Alamat domain yang kemungkinan dapat menyebarkan virus sality:
hut2.ru
invis1blearm3333.com
egozdq.com
5558x7.com
wtcvxu.com
fdpgb3.com
bpfq02.com
u7zywp.com
zvco6m.com
qiredremer.biz
sbapodremer.biz
pgpwdremer.biz
gogcojdremer.biz
rus0396kuku.com
vrrnscdremer.biz
connect2me.org
Sality Juga menjalankan update untuk variant-variant yang terbaru.
Cara menghapus virus Sality dari komputer anda
1. Matikan akses jaringan, apabila komputer anda terhubung jaringan
2. Hapus file dengan extention *.vdb dan *.avc
3. Matikan Running Virus: AVXQUAR ICSUPP ICSSUPPNT ESCANH AVLTMAIN VSMAIN TRJSCAN PROTECTX PORTDETECTIVE PINGSCAN PERISCOPE NPFMESSENGER MCAGENT LOCKDOWN DRWTSN32 DRWATSON CLEANER BLACKICE BIPCP BIDSERVER BIDEF AVPROTECT AVGSERV ATGUARD AVSYNMGR AUTOTRACE SAVSCAN RTVSCAN NUPGRADE NPROTECT MGUI MCUPDATE NMAIN ANTI NOD32 ZONEALARM OUTPOST DRWEB KAV AVP NAV Ketika running processes dimatikan maka Sality akan memunculkan pesan error
4. Gunakan tool antivirus untuk Sality yang akan menghapus file executable yang telah terinfeksi http://www.grisoft.cz/filedir/util/avg_rem_sup.dir/rmsality/rmsality.exe
History Sality
Beberapa jenis sality ternyata menyimpan semua jenis kegiatan yang dilakukan komputer, History tersebut disimpan dalam sebuah file yang namanya diacak sehingga berubah-ubah. contohnya: WINFIGBO.BGO
Dari file tersebut kemudian dikirimkan ke amail
Sality selain menginfeksi executable file ternyata dia juga mampu memanipulasi firewall, dengan terbukanya firewall maka kemungkinan besar akan banyak spyware dan virus-virus lain masuk.
Tidak berhenti sampai disitu, pembuat virus juga mempunyai proxy sendiri untuk mengirimkan update terbarunya dan mengirimkan history data yang telah tersimpan. Sality menjalankan Proxy di port 80 kemudia memberikan perintah untuk mengkoneksikan ke alamat connect2me.org
File yang memerintahkan pengiriman e-mail %Windows%\vcremoval.dll, e-mail dikirim ke http://www.invis1blearm3333.com.
Seperti juga virus lokal, Sality juga memberikan pesan. Untuk varian yang terbaru dari Sality memberikan pesan
Yang paling menyedihkan ternyata Sality juga merubah konfigurasi Sistem.
Semoga Entri Kali Ini dapat Bermanfaat menghancurkan virus sality bagi yang sedang terserang.
Tidak ada komentar:
Posting Komentar