2009 evaluasi malware 2009
TRANSCRIPT
EVALUASI MALWARE 2009, TREND 2010
DAN ANTISIPASINYA
PT. Vaksincom
http://www.vaksin.com
Antonius Alfons Tanujaya (Aa Tan)
CONFICKER 0109
Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi. Dictionary Brute force
Komputer mendapatkan pesan error Generic Host Process.
Komputer tidak bisa mengakses domain tertentu seperti IPnya bisa.
250 Site update.
Patch komputer korbannya.
Membuat http server port 1024 s/d 10.000
http://vaksin.com/2008/1208/conficker/conficker.htm
http://vaksin.com/2009/0109/conficker2/conficker2.htm
CONFICKER IMAGE
SHORTCUT 0209
http://www.vaksin.com/2009/0209/shortcut/virus%20shortcut.htm
File induknya Di database.mdb
File Autorun.inf, Thumb.db, Microsoft.lnk di setiap driver, folder dan flash disk sampai pada SUB Folder yang ke-2.
Membuat File Duplikat setiap folder dengan extensi .lnk
Menonaktifkan Regedit
SHORTCUT
SALITY 0309
http://vaksin.com/2009/0309/Sality/sality.html
Made in Taiwan / China
Blok Antivirus dan software security
Blok akses “safe mode”
Membuat file .dll dan .sys
Menginjeksi file exe, com, scr
Sangat sulit dibersihkan, salah2 malah file jadi tidak bisa jalan
Mampu mengupdate dirinya, mendownload virus / trojan lain
Eksploitasi full sharing dan default share
SANDRA DEWI 0609
http://www.vaksin.com/2009/0609/sandradewi/SandraDewi.html
Cinta Ditolak VIRUS bertindak
Sangat sakit rasanya apabila cinta kita ditolak oleh seseorang,
pada zaman dahulu orang menggunakan fasilitas dukun sebagai media untuk mendapatkan cintanya
Seiring dengan berkembangnya Teknologi informasi,
media yang digunakannya untuk mendapatkan cintanya adalah VIRUS
C:\Documents and Settings\%user%\Start Menu\Programs\Startup\Sandra Dewi Bugil.exe
AKSI SANDRA DEWI
VIRUT BIANG SPAM
Mendisable Windows File Protection yang tujuannya sangat “mulia” (untuk Virut) karena ia
ingin menginfeksi seluruh file sistem OS Windows.
Menyebarkan dirinya melalui halaman web. HTML, ASP, PHP.
Menginfeksi Host file Windows, sehingga ia memiliki kontrol penuh terhadap koneksi internet
komputer yang di infeksinya.
Melakukan kontak remote ke IRC server, mematikan firewall.
Menjadikan komputer korbannya server zombie untuk mendownload update virus dan perintah
lain seperti mendownload master email spam dan menyebarkan ke alamat-alamat yang telah
ditentukan.
Mendownload virus dan spyware lain untuk di infeksikan ke komputer.
Menjadikan komputer korbannya sebagai server spam dengan memanfaatkan IP publik yang
dimiliki router komputer sehingga mengakibatkan IP tersebut di ban dan di blacklist.
Disable share folder supaya sulit dibersihkan secara remote.
Inject network driver sehingga jika hostnya dibersihkan akan menyebabkan kelumpuhan akses
komputer ke jaringan.
Setelah menginfeksi file, dia mengenkripsi file supaya sulit dibersihkan.
http://vaksin.com/2009/0909/virut/virut.htm
VIRUT BIANG SPAM
VIRUS KIAMAT 0909
http://www.vaksin.com/2009/0909/kiamat/vi
rus-kiamat.htm
ALMAN
http://www.vaksin.com/2008/0708/alman/A
lman.html
NVidia Compatible Windows Miniport Driver
Aktif di memori sebagai services
Mengjeksi file .dll
Mencoba bruteforce simple pada share folder
Mendownload malware lain
FULLHOUSE
Tipe file “File Folder” yang sebenarnya adalah
“Application” dengan teknik memanipulasi registri.
Berekstensi file “.exe” yang tidak terlihat karena
virus ini menambahkan string “NeverShowExt”
Membuat drive tambahan dengan nama
“FullHouse Drive” pada Desktop, My Computer
dan Contol panel
http://www.vaksin.com/2009/0809/fullhouse/fullhouse.htm
ONLINEGAMES
http://vaksin.com/2009/1009/onlinegames/onlinegames.html
Mencuri informasi account game online World
of Warcraft, Perfect World, Cabal Online, Yahoo,
Keylogger
VIRUS POLITIK
Deadlock http://www.vaksin.com/2009/0809/DeadLock/DeadLock.htm
Smallworm http://vaksin.com/2009/1109/smallworm/smallworm.html
Vbworm.ydt http://vaksin.com/2009/1109/istn/istn.html
VIRUS EKSPLOITASI FACEBOOK (BREDOLAB)
VIRUS EKSPLOITASI FACEBOOK (ZBOT)
ANTISIPASI
Selalu backup data penting anda secara teratur.
Jangan percaya dengan link apapun yang anda terima. What you see is always not what you get.
Buat password yang sulit di tebak. Gunakan Password Manager (untuk menghadapi bruteforce dan keylogger)
Biasakan untuk update patch secara otomatis
Gunakan browser yang aman, Firefox relatif lebih cepat mendeteksi website phishing dari browser lain. Tetapi ingat, ini tidak menjadi jaminan.
Gunakan aplikasi sekuriti.