W32/Slugin.A
(Win32.Plugin.1)
"Aktor
intelektual"
dibelakang banjir SPAM dgn tautan
Kalau
anda sering menerima email spam tanpa Subject
yang jelas dan body email hanya berisi link /
tautan saja. Kemungkinan besar anda menjadi
korban pengiriman SPAM dari komputer teman anda.
TETAPI, jika
banyak teman mengeluhkan / bertanya
kepada anda mengapa email anda mengirimkan
banyak email dengan Subject yang kosong atau
unknown dan body email berisi tautan saja. Anda
perlu waspada, kemungkinan besar komputer anda
terinfeksi oleh Virut http://www.vaksin.com/2009/0909/virut/virut.htm
yang mengganas sejak tahun 2009. Di tahun 2011
ini ada satu virus yang bandelnya tidak kalah
dengan Virut dan juga memiliki payload
mengirimkan SPAM (lihat gambar 1) di bawah.
Virus dengan nama Slugin ini memiliki kemampuan
untuk menggunakan akun email dari komputer
korbannya untuk mengirimkan email SPAM ke
alamat-alamat email yang ditemukan dalam address
book komputer korbannya. Kemungkinan besar
motivasi Slugin mengirimkan SPAM adalah untuk
mendapatkan keuntungan finansial karena kerap
kali link tersebut di forwardkan ke situs-situs
penjual obat kuat.
Gambar 1,
Aksi Slugin mengirimkan email dari komputer
korbannya.
Siapa
tidak kenal Brazil ??? Sebagai salah satu negara
kiblat sepakbola dunia, Brazil menjadi salah
satu kekuatan besar sepakbola di dunia. Dengan
memiliki para pemain kelas dunia yang bermain di
Eropa, Brazil merupakan salah satu negara yang
memiliki sumber daya manusia pemain muda yang
menjadi incaran para pemandu bakat dunia.
Jika
anda menyaksikan laga final liga champions
antara Barcelona (Spanyol) melawan Manchester
United (Inggris), terdapat sekumpulan pemain
kelas dunia dari berbagai negara yang
bertanding. Tidak hanya menampilkan dominasi
pemain Spanyol dan Inggris, tetapi juga
pemain-pemain antar benua seperti Messi dan
Mascherano (Argentina), Park
Ji Sung (Korea Selatan), Valencia (Ekuador),
Hernandez (Mexico), serta duo pemain Brazil
yaitu Daniel Alves (Barcelona) dan Fabio
(Manchester United).
Selain
memiliki para pemain berbakat dalam sepakbola,
Brazil ternyata juga tidak kalah berbakat
dibandingkan para pembuat virus lokal dari
Indonesia. Dalam rentang waktu 4 bulan sejak
awal tahun 2011, terdapat salah satu virus yang
berasal dari Brazil dan ternyata memiliki cara
infeksi yang mirip dengan Ramnit.
Bagi
anda para pengguna komputer di Indonesia, harap
berhati-hati karena sejak Januari hingga saat
ini banyak pengguna komputer yang sudah
terinfeksi oleh serangan virus yang mampu
merusak program/aplikasi anda. Dan salah
satu-nya adalah varian virus yang terdeteksi dan
memakan banyak korban yaitu W32/Slugin.A
atau Win32.Plugin.1.
(lihat gambar 2)
Gambar
2,
Norman mendeteksi virus W32/Slugin.A
(Win32.Plugin.1)
Karakteristik
W32/Slugin.A (Win32.Plugin.1)
Slugin.A
(Plugin.1)
bukanlah merupakan kelompok malware baru,
melainkan sudah ada sejak tahun 2008. Dengan
memiliki teknik tambahan yang berbeda, Slugin.A
(Plugin.1) mampu menyebar dan berkembang
setidaknya dari Januari 2011 hingga kini masih
berkeliaran dengan berbagai varian yang lain.
Slugin.A
(Plugin.1) memiliki kemampuan melakukan
infeksi program/aplikasi yang mirip seperti
varian malware lain yaitu Alman, Sality, Virut
dan Ramnit. Hal ini yang bisa membuat para
pengguna komputer khususnya programmer atau
pengkoleksi software menjadi ngeri, karena akan
sulit jika membersihkan virus yang melakukan
infeksi file terutama file executable
(aplikasi).
Slugin.A
(Plugin.1)
merupakan salah satu varian virus yang melakukan
infeksi file executable (application). Dan tidak
hanya file executable, tetapi juga melakukan
infeksi terhadap file DLL (dynamic load
library).
Selain
itu jika anda terhubung ke internet, Slugin.A
(Plugin.1) akan menghubungi remote server
(IRC server)
dan melakukan koneksi ke beberapa alamat server
zombie
untuk mendownload sekumpulan malware (virus,
trojan, spyware). Pada beberapa waktu tertentu,
Slugin.A (Plugin.1) akan mematikan
beberapa service tertentu dan mengirimkan spam
secara acak.
File W32/Slugin.A
(Win32.Plugin.1)
Berbeda
dengan varian malware pada umum-nya, Slugin.A (Plugin.1)
hanya
memanfaatkan file executable (aplikasi) yang
telah terinfeksi untuk melakukan penyebaran.
Sedangkan file utama yang dibuat bertujuan untuk
melindungi diri.
File
utama Slugin.A (Plugin.1) dibuat
menggunakan bahasa pemrograman C. File utama
yang dibuat akan menjaga agar file executable
(aplikasi) yang sudah terinfeksi virus akan
berjalan dengan baik sehingga komputer akan
sulit dibersihkan.
Jika
anda sudah terinfeksi Slugin.A
(Plugin.1),
malware akan membuat file utama yaitu :
- C:\Documents and Settings\[User]\Application Data\Wplugin.dll (111 kb)
- C:\WINDOWS\wplugin.dll (111 kb)
Kemudian
untuk melakukan penyebaran dengan melakukan
infeksi maka malware akan membuat file lain
yaitu :
- C:\Program Files\Messenger\ws2help.dll (21 kb)
- C:\WINDOWS\ws2help.dll (21 kb)
Selain
itu Slugin.A
(Plugin.1)
akan mencoba melakukan infeksi pada beberapa
file Windows yang berjalan dan berusaha
mengganti-nya seperti pada file :
- C:\Program Files\Messenger\msmsgs.exe.local (1 kb)
- C:\WINDOWS\explorer.exe.local (1 kb)
Kemudian
malware juga membuat file log berikut pada :
- C:\Windows\System32\smcinst.log (0 kb)
Sedangkan
sasaran infeksi yaitu file yang memiliki
ekstensi berikut :
- .exe (pada seluruh drive)
- .dll (pada seluruh drive)
Gejala
& Efek W32/Slugin.A (Win32.Plugin.1)
Beberapa
gejala yang terjadi jika anda sudah terinfeksi
yaitu :
ü Menginfeksi
file executable (exe)
Agar
dapat dengan mudah melakukan penyebaran serta
menjaga agar komputer tetap terinfeksi, maka Slugin.A
(Plugin.1)
menginfeksi file executable (exe). Sehingga jika
pengguna komputer tidak sengaja menjalankan file
program/aplikasi yang menggunakan extension exe,
Slugin.A
(Plugin.1)
akan kembali menginfeksi komputer. Dengan
demikian komputer akan sangat sulit dibersihkan.
ü Menginfeksi
file dll (dynamic load library)
Selain
menginfeksi file executable (exe), Slugin.A
(Plugin.1)
juga melakukan infeksi terhadap file dll
(dynamic load library) yang bertujuan untuk
melindungi file terinfeksi yang sedang aktif dan
melakukan penyebaran dengan menginfeksi file
executable lain-nya..
ü Menginfeksi
file system Windows (Explorer & Messenger)
Salah
satu efek yang terbilang cukup sukses adalah
kemampuan Slugin.A
(Plugin.1)
untuk menginfeksi file system Windows seperti
Windows Explorer dan Windows Messenger. Dengan
menginfeksi file system yang sudah otomatis
berjalan saat komputer aktif, maka proses Slugin.A (Plugin.1)
bisa
dengan leluasa melakukan aksi-nya. (lihat gambar
3)
Gambar
3,
Windows Explorer telah terinfeksi oleh Slugin.A
(Plugin.1)
ü Melakukan
koneksi ke Remote Server
Untuk
memudahkan dalam melakukan aksi-nya, Slugin.A
(Plugin.1) melakukan
koneksi ke remote server dengan membuka
port-port tertentu seperti 80, 81, 82. Remote
Server ini yang dituju oleh pembuat virus Slugin.A
(Plugin.1) yang berasal dari Brazil.
ü Mengirim
informasi
Sebagai
tanda bahwa komputer telah terinfeksi, Slugin.A
(Plugin.1)
melakukan koneksi ke remote server dan mengirim
informasi bahwa komputer telah terinfeksi serta
mengirimkan beberapa informasi lain yang
diperlukan. Alamat email yang akan dituju yaitu
:
ü Mendownload
file malware
Slugin.A
(Plugin.1)
membuka beberapa port agar dapat melakukan salah
satu aksi-nya yaitu mendownload file malware
lain agar komputer tetap terinfeksi dan
melakukan penyebaran. Port yang dibuka untuk
mendownload yaitu 10100.
ü Mengirim
SPAM
Selain
mengirim
pesan dan mendownload malware, Slugin.A
(Plugin.1)
juga melakukan salah satu aksi-nya yaitu
mengirim SPAM kepada alamat-alamat yang berada
pada address book pemilik komputer. SPAM
tersebut biasanya hanya berisi link-link yang
tidak jelas dan tidak bisa dibuka. (lihat gambar
1 di atas)
ü Mematikan
service Windows tertentu
Akibat
dari infeksi terhadap file executable (exe)
termasuk file Windows Explorer dan mematikan
beberapa service tertentu, maka terkadang
beberapa file Windows akan menjadi error
sehingga komputer menjadi tidak berjalan dengan
normal. (lihat gambar 4)
Gambar 4,
Windows Explorer error karena telah di-infeksi
oleh Slugin.A (Plugin.1)
Metode
Penyebaran W32/Slugin.A
(Win32.Plugin.1)
Beberapa
cara dari Slugin melakukan penyebaran adalah
sebagai berikut :
- Removable drive
Dengan
memanfaatkan file executable (exe) dan file dll
(dynamic load library) yang sudah terinfeksi
oleh Slugin.A
(Plugin.1),
hal ini yang secara umum sering digunakan oleh
para pembuat virus infeksi seperti Sality,
Virut, Alman, Ramnit, dll. Perhatikanlah bagi
anda yang suka menyimpan file program/aplikasi
atau dll untuk dipastikan tidak terinfeksi oleh
Slugin.A
(Plugin.1).
- Jaringan
Dengan
memanfaatkan file sharing terutama sharing full
akses, Slugin.A (Plugin.1) dapat menginfeksi file executable (exe)
dan file dll. Sehingga jika file tersebut juga
di akses orang lain, maka akan dengan mudah
terinfeksi dengan cepat.
Pembersihan
W32/Slugin.A
(Win32.Plugin.1)
1. Putuskan
koneksi jaringan/internet.
2. Matikan
"System Restore" (Windows XP/ME)
ñ Klik kanan
My Computer, pilih Properties.
ñ Pilih tab
System Restore, beri ceklist pilihan Turn off
System restore
ñ Klik Apply,
Klik OK. (lihat gambar 5)
Gambar
5, Matikan System Restore
3. Matikan dan
hapus Slugin.A
(Plugin.1)
Lakukan
langkah-langkah berikut :
Download
tools untuk membersihkan Slugin.A
(Plugin.1)
pada komputer yang belum terinfeksi pada link
berikut :
Norman
Malware Cleaner
4. Bersihkan
temporary file dari jejak Slugin.A
(Plugin.1)
Lakukan
langkah-langkah berikut :
a) Klik Menu
Start -> Run
b) Ketik
perintah pada kotak open : cleanmgr , kemudian
klik OK.
c) Pada drive
system (C) klik OK, biarkan proses scan drive.
d) Setelah
muncul jendela Disk Cleanup, beri tanda file
yang akan di hapus (terutama Temporary Files),
kemudian klik OK.
e) Tunggu
hingga selesai.
5. Untuk
pembersihan yang optimal dan mencegah infeksi
ulang, sebaiknya menggunakan antivirus yang
ter-update dan mengenali malware ini dengan
baik.
6. Aktifkan
kembali System Restore.
Ad
Sap
PT.
Vaksincom
Jl.
R.P. Soeroso 7AA
Cikini
Jakarta
10330
Ph
: 021 3190 3800
Fx
: 021 3190 3500Sumbar : http://vaksin.com/2011/1111/slugin/slugin.htm
Tidak ada komentar:
Posting Komentar