hotbizbook.ning.com .quickedit{ display:none; }

Blogger

Posts Subscribe to CommentsComments

Jumat, 18 September 2009

BIANG SPAM 3

Disable Windows File Protection
Saat pertama kali dijalankan, W32/Virut.DG akan berusaha menginjeksi file Winlogon.exe pada proses system. Dengan menginjeksi file tersebut, virus telah mendisable Windows File Protection (System File Checker). Hal ini dilakukan dengan mengubah/patch file sfc.dll dan sfc_os.dll. Hal ini dilakukan agar mampu menginfeksi seluruh file system Windows dan mempermudah infeksi seluruh file executable (exe dan scr) pada komputer tersebut. (lihat gambar 2)

Gambar 2, Fitur Windows File Protection yang didisable oleh Virut
Infeksi File Executable

Sama seperti halnya Sality dan Alman, Virut mampu menginfeksi file dalam hal ini file executable yang di infeksi adalah :

-.EXE dengan type file "Application"

-.SCR dengan type file "Screen Saver"

File executable yang telah terinfeksi virus akan bertambah sebesar 22 kb

Infeksi File Web
Selain menginfeksi file executable, virus juga menginfeksi beberapa file web atau HTML yaitu yang memiliki extention berikut :

-.HTM.ASP.PHP
Dengan menyisipkan string link alamat server download virus sebelum tag penutup body. (lihat gambar 3)
Gambar 3, Menyisipkan script link download virus sebelum tag penutup body.
Infeksi File Hosts…

Untuk mempermudah aksinya mendownload sekumpulan malware dan tetap terkoneksi pada remote server, virus menambahkan script pada header host file. Hal yang sama dilakukan seperti saat menginfeksi file HTML (dengan menambahkan script pada file HTML). (lihat gambar 4)
Gambar 4, Hosts yang telah diubah dan ditambahkan link remote server virus.
Remote Server (IRC Server)
Saat terkoneksi internet, virus melakukan kontak ke remote server/IRC (Internet Relay Chat) menggunakan port 65520. Beberapa IP yang digunakan yaitu :
- 91.212.220.156: 65520
- 91.121.221.157: 65520
Beberapa IP tersebut memiliki domain sebagai berikut : (lihat gambar 5)
- dns2.zief.p
- nss2.ircgalaxy. pl
- proxim.ircgalaxy. pl
- proxima.ircgalaxy. pl
- sys.zief.pl
- gidromash.cn
- core.ircgalaxy. pl
- jl.chura.pl
Gambar 5, Virus melakukan koneksi dengan remote server melalui port 65520
Zombie Server (Download Server)
Setelah melakukan kontak, akan dilanjutkan dengan melakukan koneksi pada beberapa server zombie dengan berbagai port untuk mendownload sekumpulan malware. Beberapa IP tersebut diantaranya yaitu :
- 211.95.79.170: 80 (HTTP)
- 65.54.82.160
- 218.61.7.9
- 64.4.20.174
Diposting oleh Djati Murti di 22.18

Tidak ada komentar:

Posting Komentar

Maturnuwun

Langganan: Posting Komentar (Atom)

Liberty Reserve

.......

 

Copyright © 2009 by MAHA GURU