Sabtu, 20 November 2010

Analisa Virus Wmplayerc


 ruangberkas.com_imagesWmplayerc merupakan worm lokal yang sudah dikenal sejak PCMAV 2.2a Update Build3 dan dilaporkan menyebar luas di Indonesia. Kali ini akan ditampilkan analisa lebih lengkapnya. Efek merugikan dari virus ini adalah menghapus file-file multimedia yang dikenali dari daftar ekstensi file yang disimpan pada tubuh virus. File-file multimedia yang ditemukan akan digantikan dengan file virus yang siap dijalankan dan menyebar.

Daftar Ekstensi File
Berikut adalah daftar ekstensi file multimedia yang dapat menjadi korban virus ini adalah:
.AVI
.3GP
.MP4
.FLV
.ASF
.M4V
.MPE
.VMV
.M1V
.M2V
.VOB
.MOV
.WVX
.MKV
.MPA
.MPV
.DIV
.M2P
.3G2
.DAT
.MPEG
.DIVX
.REAL

Manipulasi Folder
Dalam upayanya menyembunyikan diri dan kembali aktif (seandainya Anda berhasil mematikan prosesnya di memory), virus ini membuat duplikat folder-folder yang ada pada root drive dalam bentuk shortcut/link, dan menyembunyikan folder asli dengan atribut sistem/superhidden.

Alhasil, sekilas komputer Anda tampak baik-baik saja, hanya saja kalau diperhatikan melalui Windows Explorer, Anda akan melihat folder yang ada pada root drive (misalnya Windows, Program Files) memiliki size 2 KB. Sementara, folder yang sesungguhnya tidak
mencantumkan ukuran pada Windows Explorer. Untuk melihat kondisi sebenarnya, atur konfigurasi Windows Explorer dengan memilih menu Tools – Folder Options, pililh “Show hidden files and folders”, dan hapus tanda centang pada pilihan “Hide extensions for known file types” dan “Hide protected operating system files (Recommended)”.

Apa yang terjadi saat Anda meng-klik folder bohongan tersebut? Yang dijalankan adalah perintah berikut:

%WINDIR%\system32\rundll32.exe Shell32.dll,ShellExec_RunDLL “RÊCYCLÊR\ .com” “NamaFolder”

“NamaFolder” adalah folder sebenarnya. Folder tersebut tetap terbuka, tetapi sebelumnya virus telah dieksekusi, terlihat bahwa induk virus disimpan dengan nama “ .com” (tanpa tanda kutip) pada folder RÊCYCLÊR.



Pembedahan Virus
Virus ini memiliki beberapa “daftar cekal” berupa URL website-website porno lokal, jadi saat komputer yang terinfeksi melakukan browsing ke beberapa website porno tersebut, komputer akan shutdown dengan sendirinya.

Virus juga melakukan pengecekan terhadap program yang berjalan, dengan mendeteksi caption yang terdapat pada program tersebut. Kembali beberapa kata berkonotasi porno dicekal oleh virus. Selain itu, string Norman Malware Cleaner, PROCEXPL, PeiD v0.95, PeiD v0.94, dan OLLYDBG juga termasuk daftar string yang akan membuat sang virus melakukan shutdown pada komputer.

Komputer dapat terinfeksi virus ini melalui flash disk yang telah terinfeksi, yaitu saat pengguna meng-klik folder bohongan pada flash disk atau media storage yang sebenarnya berupa link pemanggil virus. Selain itu, ketidakwaspadaan juga dapat membuat Anda mengklik file virus yang menyamar sebagai file multimedia, lengkap dengan icon media player untuk menjebak pengguna.

Selain menciptakan file induk yang berukuran sekitar 66 KB pada folder RÊCYCLÊR, file induk juga diciptakan pada folder Program Files\Windows Media Player dengan nama Wmplayerc.exe atau Xvidshow.exe (jika komputer Anda terinstal codec XviD). Pengambilan string dengan membedah dan memetakan kembali tubuh virus divisualisasikan pada gambar berikut.



Pada tubuh virus juga terdapat perintah shutdown.exe -r -f -t 00, yang besar kemungkinannya merupakan perintah yang akan dieksekusi saat virus mendeteksi pengaksesan website porno atau caption tertentu. Parameter -r memberikan instruksi shutdown dan restart, parameter -f memaksa aplikasi lain tertutup, dan parameter -t 00 merupakan timeout untuk melakukan proses shutdown, dalam hal ini diset 0 detik.

Saat aktif, virus ini memuat file dropper ke memory dengan nama svchost.exe, yang berfungsi untuk memonitor traffic TCP/IP sehingga dapat mendeteksi saat Anda menjalankan URL yang termasuk dalam daftar web porno yang disimpan oleh dropper. File dropper ini dibuat dengan VisualBasic dan berukuran sekitar 9 KB. Selain itu, string bertuliskan “Tak gendong kemana-mana.. Enak Tau !!! Ha Ha Ha Ha” juga tampak pada tubuh file ini.

Gunakan PCMAV terbaru untuk pembersihan secara tuntas virus Wmplayerc. Perhatikan jika terdapat file yang Anda yakini adalah nama file multimedia milik Anda - tetapi terdeteksi sebagai virus Wmplayerc - maka file tersebut sudah bukan file video yang asli lagi, tetapi file virus yang menyamar (silakan cek ukuran dan ekstensi file tersebut jika Anda masih ragu-ragu), sedangkan file video yang asli telah raib dihapus oleh virus tersebut. Lakukan recovery sebisanya jika Anda terlanjur mengalami hal ini.

Sumber : http://virusindonesia.com/2010/01/22/analisa-virus-wmplayerc/

0 komentar:

Posting Komentar

 
Copyright 2009 Tutorial Yang Bermanfaat. Powered by Blogger Blogger Templates create by Deluxe Templates. WP by Masterplan