Rabu, 06 Oktober 2010

0 BAT/Troj.Polsesi: Saking Terobsesinya jadi Polisi

Ternyata tidak hanya manusia yang ingin menjadi seorang anggota polisi. Trojan BAT/Troj.Polsesi --begitu nama yang menurut kami cocok untuk diberikan pada malware satu ini-- juga sangat terobsesi menjadi polisi. Sayangnya, jika misi kepolisian menjaga keamanan dan ketentraman, BAT/Troj.Polsesi justru menghancurkan dan menebar ketakutan. Seperti inikah dampak negatif dari sebuah obsesi?

Oke, kita sedang tidak membahas tentang masalah kejiwaan. Yang kita bahas adalah sebuah program jahat yang kali ini berbeda. Sebuah trojan yang dibuat menggunakan batch scripting sederhana dengan efek mengganggu luar biasa.

Karakteristik

Trojan ini dibuat menggunakan batch scripting yang biasanya digunakan oleh admin Windows untuk mempermudah pekerjaan dengan cara menuliskan sebuah berkas batch siap eksekusi. Berkas batch sendiri biasanya memiliki akhiran .bat, contoh 'autoexec.bat'. Kelemahan program jahat yang dibuat menggunakan batch scripting adalah kode jahatnya bisa mudah dibaca oleh siapapun. Nah, untuk mengakali hal ini sang pembuat trojan secara cerdik mencoba menyembunyikannya dengan cara mengubah berkas batch menjadi sebuah file executable (.exe) menggunakan program bernama Quick Batch File Compiler buatan http://www.abyssmedia.com. Nah, tool satu inilah yang menjadi trojan baginya.

Secara fisik trojan Polsesi memiliki ukuran tubuh 15,345 bytes berisi kode sebanyak 226 baris. Sedangkan ukuran tubuh setelah menjadi exe adalah 209,174 bytes, atau lebih besar 13 kali dari aslinya. Biasanya, file ini dinamakan data_Polri.exe.

Aksi yang dilakukan

Tidak seperti virus atau worm, kemampuan trojan sangat terbatas dan tidak dapat menginfeksi aplikasi lainnya. Tugas trojan hanya deployment atau pemasok yang digunakan oleh program jahat untuk dapat masuk ke sebuah sistem. Kalau virus disebut menginfeksi, trojan lebih cocok disebut menginjeksi. Walaupun tidak seperti worm dan virus, trojan Polsesi ini tidak bisa dianggap sepele, karena dia akan menjalankan perintah-perintah jahat yang bisa membuat komputer crash!

Ketika pertama kali trojan Polsesi aktif, secara berturut-turut dia akan menampilkan pesan-pesan obsesinya untuk menjadi seorang polisi. Pesan-pesan ini muncul berturut-turut di sela-sela proses injeksinya. Berikut pesan-pesan yang coba dia sampaikan, dan mari sama-sama kita ukur seberapa tinggi obsesi pembuat trojan ini melalui pesan-pesan yang disampaikannya:

Pesan pertama: pak presiden...jadikan saya polisi
Pesan kedua: maafkan aku ya,masuk ke komputermu
Pesan ketiga: kalo kenal presiden bilang ya aku pengen jadi polisi
Pesan keempat: makasi ya sobat
Pesan kelima: untuk sementara file saya sita
Pesan keenam: Drive penjara telah penuh
Pesan ketujuh: laporan selesai

Pesan-pesan tersebut muncul di sela-sela proses injeksi dan manipulasi (payload). Berikut proses yang dijalankannya:

Ketika muncul pesan pertama, trojan Polsesi mencoba menggandakan dirinya ke:

d:-data_Polri.exe
c:-jadikan_aku_polisi.exe
c:-WINDOWS-sys.exe
c:-WINDOWS-SYSTEM-sys.exe

Kemudian menjalankan service messenger dengan perintah:

net start messenger

Mencoba menonaktifkan task manager dengan cara memanipulasi nilai pada entri registry:

HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-system-DisableTaskMgr

Mencoba membuat dirinya selalu aktif ketika komputer dijalankan dengan cara menambahkan info startup pada alamat registry:

HKCU-Software-Microsoft-Windows-CurrentVersion-Run-sys c:-WINDOWS-sys.exe /f
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-date c:-WINDOWS-sys.exe /f
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-var c:-jadikan_aku_polisi.exe /f

Ketika muncul pesan kedua, trojan Polsesi mencoba melumpuhkan beberapa servis antivirus dengan perintah:

net stop mcshield
net stop norton antivirus auto protect service

Tidak hanya sampai di situ. Polsesi juga mencoba menghapus komponen-komponen antivirus McAfee dan Norton serta mencoba menghentikan beberapa proses antivirus, security updater, dan aplikasi keamanan lainnya.

Ketika muncul pesan ketiga, Polsesi mencoba menonaktifkan beberapa fungsi-fungsi adminsitrasi Windows, mengubah nama pemilik komputer, dan menjalankan manipulasi-manipulasi lainnya. Berikut adalah entri registry yang diubah:

HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoFind
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoRun
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoRecentDocsMenu
HKCU-SOFTWARE-Microsoft-Windows-CurrentVersion-Policies-System-DisableRegistryTools
HKCU-Software-Microsoft-Windows Scripting Host-Settings-Timeout
HKCU-Software-Microsoft-Windows Scripting Host-Settings-Timeout
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoSMHelp
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoSetTaskbar
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoFolderOptions
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoControlPanel
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoViewContextMenu
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoTrayContextMenu
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoPrinters
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoNetSetup
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoClose
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoPropertiesMyComputer
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoDesktop
HKEY_CLASSES_ROOT-CLSID-{645FF040-5081-101B-9F08-00AA002F954E}-InProcServer32-(Default)
HKEY_CLASSES_ROOT-CLSID-{21EC2020-3AEA-1069-A2DD-08002B30309D}-InProcServer32-(Default)
HKCU-Software-Microsoft-Windows-CurrentVersion-explorer-SmallIcons-SmallIcons
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-System-NoSecCPL
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoDrives
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoDrives
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoNetHood
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-WinOldApp-Disabled
HKCU-SOFTWARE-Microsoft-Windows NT-CurrentVersion -v RegisteredOwner
HKCU-SOFTWARE-Microsoft-Windows NT-CurrentVersion-RegisteredOrganization
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-System-NoDispCPL
HKEY_CLASSES_ROOT-Directory-Shell-Send-ndut
HKEY_CLASSES_ROOT-Directory-Shell-Send-Command
HKEY_CLASSES_ROOT-Drive-Shell-Copi-end
HKEY_CLASSES_ROOT-Drive-Shell-Copi-Command
HKEY_CLASSES_ROOT-Folder-Shell-Send-rendut
HKEY_CLASSES_ROOT-Folder-Shell-Send-Command
HKEY_CLASSES_ROOT-Directory-Shell-Sent-bendut
HKEY_CLASSES_ROOT-Directory-Shell-Sent-Command
HKEY_CLASSES_ROOT-Drive-Shell-Coopy-endutz
HKEY_CLASSES_ROOT-Drive-Shell-Coopy-Command
HKEY_CLASSES_ROOT-Folder-Shell-Sent-ndutss
HKEY_CLASSES_ROOT-Folder-Shell-Sent-Command
HKEY_CLASSES_ROOT-Directory-Shell-jadi_polisi-endutsz
HKEY_CLASSES_ROOT-Directory-Shell-jadi_polisi-Command
HKEY_CLASSES_ROOT-Drive-Shell-polisi-enddut
HKEY_CLASSES_ROOT-Drive-Shell-polisi-Command
HKEY_CLASSES_ROOT-Folder-Shell-perwira-endud
HKEY_CLASSES_ROOT-Folder-Shell-perwira-Command

Membuat direktori dengan nama “baru” dan menggandakan dirinya di setiap drive.
Memindahkan fungsi tombol mouse yang kanan menjadi fungsi kiri dan sebaliknya.

Dan ketika muncul pesan kelima yang berbunyi "untuk sementara file saya sita", kemungkinan besar komputer yang terinfeksi telah kehilangan beberapa file dengan tipe berikut:

doc, txt, excel, pdf, rtf, jpg, html, zip, rar, ppt, mp3, 3gp, avi, wmv, flv, odt, gif, cdr, png, ico, mp4, bmp, mpg, mpeg, wma, dat.

File tersebut bukan dihapus, tetapi disembunyikan dengan cara mengubah set atributnya.

Terakhir, trojan Polsesi akan menonaktifkan beberapa fungsi-fungsi pada kontrol panel, menonaktifkan fitur safe mode, dan menampilkan pesan terakhirnya berisi teks “laporan selesai”.

Tetapi sebenarnya semuanya tidak selesai, karena trojan Polsesi akan memulai aktifitas jahatnya dari awal lagi, dan berjalan begitu seterusnya.

Pembersihan dan Pencegahan

Untuk pembersihan trojan ini sangatlah mudah, cukup jalankan AVI update terakhir yang bisa Anda dapatkan di situs ini. Untuk mencegah agar trojan tidak kembali lagi, pasanglah AVI sebagai real-time protector, maka komputer Anda tak akan pernah tersentuh lagi oleh trojan ini.

0 komentar:

Poskan Komentar

Kalau Comment Jangan Junk Ya

Free Blog Promotion

Untuk mengatur bagaimana tampilan tooltip tersebut nantinya, maka disini memerlukan kode style. Kode yang diperlukan seperti berikut ini.