Teman hati-hatilah belakangan ini para pembuat malware sedang dominan dan maraknya membuat varian virus penginfeksi file executable (aplikasi). Dalam setahun ini saja sudah banyak varian virus penginfeksi file executable yang bertebaran dan berkembang di Indonesia, sebut saja Sality, TDSS, Chir, Alman, Virut, Ramnit, dan Slugin.
Dan kini bagi teman para pengguna komputer di Indonesia, harap berhati-hati karena sejak Februari hingga saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan virus yang mampu merusak program/aplikasi teman. Dan salah satu-nya adalah varian virus yang terdeteksi dan memakan banyak korban yaitu W32/Tufik.D atau Win32.Tufei.13798.Termasuk teman saya yang ikutan terinfeksi.
Apa sih W32/Tufik.D.. Yuk kita kenalan dulu..
Karakteristik W32/Tufik.D (Win32.Tufei.13798)
Tufik.D (Tufei.13798) bukanlah merupakan kelompok malware baru, melainkan sudah ada sejak tahun 2008. Dengan memiliki teknik tambahan yang berbeda, Tufik.D (Tufei.13798) mampu menyebar dan berkembang setidaknya sejak Februari 2011 hingga kini masih berkeliaran dengan berbagai varian yang lain.
Tufik.D (Tufei.13798) memiliki kemampuan melakukan infeksi program/aplikasi yang mirip seperti varian malware lain yaitu Alman, Sality, Virut dan Ramnit. Hal ini yang bisa membuat para pengguna komputer khususnya programmer atau pengkoleksi software menjadi ngeri, karena akan sulit jika membersihkan virus yang melakukan infeksi file terutama file executable (aplikasi).
Tufik.D (Tufei.13798) merupakan salah satu varian virus yang melakukan infeksi file executable (application).
Selain itu jika teman terhubung ke internet, Tufik.D (Tufei.13798) akan menghubungi remote server (IRC server) dan melakukan koneksi ke beberapa alamat server zombie untuk mendownload sekumpulan malware (virus, trojan, spyware).
File W32/Tufik.D (Win32.Tufei.13798)
Berbeda dengan varian malware pada umum-nya, Tufik.D (Tufei.13798) menggunakan pendekatan yang sama seperti virus Slugin.A (Plugin.1) yaitu hanya memanfaatkan file executable (aplikasi) yang telah terinfeksi untuk melakukan penyebaran.
Karena tidak membuat file utama, Tufik.D (Tufei.13798) menggunakan pendekatan infeksi pada system Windows dengan tujuan menjaga agar file executable (aplikasi) yang sudah terinfeksi virus akan berjalan dengan baik sehingga komputer akan sulit dibersihkan.
Jika teman sudah terinfeksi Tufik.D (Tufei.13798), malware akan mencoba melakukan infeksi pada beberapa file Windows yang berjalan dan berusaha mengganti-nya yaitu pada :
- C:\WINDOWS\explorer.exe (1,029 KB)
Untuk melakukan hal tersebut, Tufik.D (Tufei.13798) akan membuat file duplikasi dari Explorer.exe pada root drive yaitu :
- C:\explorer.exe (1,043 kb)
Selanjutnya file tersebut akan di-infeksi dan menggantikan file explorer.exe yang asli pada folder WINDOWS setelah komputer melakukan restart.
Kemudian malware memindahkan file asli dari explorer.exe ke folder temporary :
- C:\Documents and Settings\[UserName]\Local Settings\Temp\@1.tmp (1,029 KB)
Serta melakukan perubahan pada file berikut :
- C:\WINDOWS\debug\usermode\userenv.log
Sedangkan sasaran infeksi yaitu file yang memiliki ekstension berikut :
- .exe (pada seluruh drive) sebesar 14 kb
Secara umum baik pada file sysetm Windows ataupun file aplikasi /executable, Tufik.D (Tufei.13798) akan menginfeksi dengan menambah ukuran file sebesar 14 kb.
Gejala & Efek W32/Tufik.D (Win32.Tufei.13798)
Beberapa gejala yang terjadi jika teman sudah terinfeksi yaitu :
- Menginfeksi file executable (exe)
Agar dapat dengan mudah melakukan penyebaran serta menjaga agar komputer tetap terinfeksi, maka Tufik.D (Tufei.13798) menginfeksi file executable (exe). Sehingga jika pengguna komputer tidak sengaja menjalankan file program/aplikasi yang menggunakan extension exe, Tufik.D (Tufei.13798) akan kembali menginfeksi komputer. Dengan demikian komputer akan sangat sulit dibersihkan.
- Menginfeksi file system Windows (Explorer)
Salah satu efek yang terbilang cukup sukses adalah kemampuan Tufik.D (Tufei.13798) untuk menginfeksi file system Windows seperti Windows Explorer. Dengan menginfeksi file system yang sudah otomatis berjalan saat komputer aktif, maka proses Tufik.D (Tufei.13798) bisa dengan leluasa melakukan aksi-nya.
- Disable Windows File ProtectionAgar dengan mudah menginfeksi Windows Explorer, Tufik.D (Tufei.13798) akan mematikan fungsi dari Windows File Protection. Dengan cara ini maka jika ada perubahan pada system Windows seperti Explorer, tidak akan muncul notifikasi bahwa file Windows telah terinfeksi. (lihat gambar 2)
Gambar 2, Notifikasi ini tidak akan muncul jika Tufik.D (Tufei.13798) telah beraksi - Melakukan koneksi ke Remote ServerUntuk memudahkan dalam melakukan aksi-nya, Tufik.D (Tufei.13798) melakukan koneksi ke remote server dengan membuka port-port tertentu seperti 80, 81, 8080 dan 8081.
- Mendownload file malwareTufik.D (Tufei.13798) mencoba memanfaatkan beberapa port Windows yang terbuka agar dapat melakukan salah satu aksi-nya yaitu mendownload file malware lain agar komputer tetap terinfeksi dan melakukan penyebaran dengan mudah.
- Mematikan services-services tertentu
Akibat dari infeksi terhadap file executable (exe) termasuk file Windows Explorer dan mematikan beberapa services tertentu, maka terkadang beberapa file Windows akan menjadi error sehingga komputer menjadi tidak berjalan dengan normal. (lihat gambar 3)
Gambar 3, Windows Explorer dibuat error karena telah di-infeksi oleh Tufik.D (Tufei.13798)
Metode Penyebaran W32/Tufik.D (Win32.Tufei.13798)
Beberapa cara dari Tufik.D (Tufei.13798) melakukan penyebaran yaitu sebagai berikut :
- Removable drive
Dengan memanfaatkan file executable (exe) yang sudah terinfeksi oleh Tufik.D (Tufei.13798), hal ini yang secara umum sering digunakan oleh para pembuat virus infeksi seperti Sality, Virut, Alman, Ramnit, dll. Perhatikanlah bagi teman yang suka menyimpan file program/aplikasi untuk dipastikan tidak terinfeksi oleh Tufik.D (Tufei.13798).
- Jaringan
Dengan memanfaatkan file sharing terutama sharing full akses, Tufik.D (Tufei.13798) dapat menginfeksi file executable (exe). Sehingga jika file tersebut juga di akses orang lain, maka akan dengan mudah terinfeksi dengan cepat.
Pembersihan W32/Tufik.D (Win32.Tufei.13798)
- Putuskan koneksi jaringan/internet.
- Matikan “System Restore” (Windows XP/ME)
- Klik kanan My Computer, pilih Properties.
- Pilih tab System Restore, beri ceklist pilihan Turn off System restore
- Klik Apply, Klik OK. (lihat gambar 4)
- Matikan dan hapus Tufik.D (Tufei.13798)
Gambar 4, Matikan System Restore
Lakukan langkah-langkah berikut :
- Download tools untuk membersihkan Tufik.D (Tufei.13798) pada komputer yang belum terinfeksi pada link berikut :
- Setelah selesai, kompress file tersebut hingga menjadi file zip.
- Copy file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
- Klik kanan file zip tersebut, kemudian klik explore.
- Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.
- Jika sudah muncul jendela Dr.Web CureIt, klik OK untuk menjalankan dalam mode EPM (Enhanced Protection Mode).
- Klik Start untuk memulai Scan, dan klik Yes untuk memulai.
- Biarkan hingga proses scan selesai.
- Bersihkan temporary file dari jejak Tufik.D (Tufei.13798)
Lakukan langkah-langkah berikut :
- Klik Menu Start -> Run
- Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
- Pada drive system (C) klik OK, biarkan proses scan drive.
- Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
- Tunggu hingga selesai.
- Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali malware ini dengan baik.
- Aktifkan kembali System Restore.
0 komentar:
Posting Komentar