Ternyata tidak hanya manusia yang ingin menjadi seorang anggota polisi. Trojan BAT/Troj.Polsesi --begitu nama yang menurut kami cocok untuk diberikan pada malware satu ini-- juga sangat terobsesi menjadi polisi. Sayangnya, jika misi kepolisian menjaga keamanan dan ketentraman, BAT/Troj.Polsesi justru menghancurkan dan menebar ketakutan. Seperti inikah dampak negatif dari sebuah obsesi?
Oke, kita sedang tidak membahas tentang masalah kejiwaan. Yang kita bahas adalah sebuah program jahat yang kali ini berbeda. Sebuah trojan yang dibuat menggunakan batch scripting sederhana dengan efek mengganggu luar biasa.
Karakteristik
Trojan ini dibuat menggunakan batch scripting yang biasanya digunakan oleh admin Windows untuk mempermudah pekerjaan dengan cara menuliskan sebuah berkas batch siap eksekusi. Berkas batch sendiri biasanya memiliki akhiran .bat, contoh 'autoexec.bat'. Kelemahan program jahat yang dibuat menggunakan batch scripting adalah kode jahatnya bisa mudah dibaca oleh siapapun. Nah, untuk mengakali hal ini sang pembuat trojan secara cerdik mencoba menyembunyikannya dengan cara mengubah berkas batch menjadi sebuah file executable (.exe) menggunakan program bernama Quick Batch File Compiler buatan http://www.abyssmedia.com. Nah, tool satu inilah yang menjadi trojan baginya.
Secara fisik trojan Polsesi memiliki ukuran tubuh 15,345 bytes berisi kode sebanyak 226 baris. Sedangkan ukuran tubuh setelah menjadi exe adalah 209,174 bytes, atau lebih besar 13 kali dari aslinya. Biasanya, file ini dinamakan data_Polri.exe.
Aksi yang dilakukan
Tidak seperti virus atau worm, kemampuan trojan sangat terbatas dan tidak dapat menginfeksi aplikasi lainnya. Tugas trojan hanya deployment atau pemasok yang digunakan oleh program jahat untuk dapat masuk ke sebuah sistem. Kalau virus disebut menginfeksi, trojan lebih cocok disebut menginjeksi. Walaupun tidak seperti worm dan virus, trojan Polsesi ini tidak bisa dianggap sepele, karena dia akan menjalankan perintah-perintah jahat yang bisa membuat komputer crash!
Ketika pertama kali trojan Polsesi aktif, secara berturut-turut dia akan menampilkan pesan-pesan obsesinya untuk menjadi seorang polisi. Pesan-pesan ini muncul berturut-turut di sela-sela proses injeksinya. Berikut pesan-pesan yang coba dia sampaikan, dan mari sama-sama kita ukur seberapa tinggi obsesi pembuat trojan ini melalui pesan-pesan yang disampaikannya:
Pesan pertama: pak presiden...jadikan saya polisi
Pesan kedua: maafkan aku ya,masuk ke komputermu
Pesan ketiga: kalo kenal presiden bilang ya aku pengen jadi polisi
Pesan keempat: makasi ya sobat
Pesan kelima: untuk sementara file saya sita
Pesan keenam: Drive penjara telah penuh
Pesan ketujuh: laporan selesai
Pesan-pesan tersebut muncul di sela-sela proses injeksi dan manipulasi (payload). Berikut proses yang dijalankannya:
Ketika muncul pesan pertama, trojan Polsesi mencoba menggandakan dirinya ke:
d:-data_Polri.exe
c:-jadikan_aku_polisi.exe
c:-WINDOWS-sys.exe
c:-WINDOWS-SYSTEM-sys.exe
Kemudian menjalankan service messenger dengan perintah:
net start messenger
Mencoba menonaktifkan task manager dengan cara memanipulasi nilai pada entri registry:
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-system-DisableTaskMgr
Mencoba membuat dirinya selalu aktif ketika komputer dijalankan dengan cara menambahkan info startup pada alamat registry:
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-sys c:-WINDOWS-sys.exe /f
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-date c:-WINDOWS-sys.exe /f
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-var c:-jadikan_aku_polisi.exe /f
Ketika muncul pesan kedua, trojan Polsesi mencoba melumpuhkan beberapa servis antivirus dengan perintah:
net stop mcshield
net stop norton antivirus auto protect service
Tidak hanya sampai di situ. Polsesi juga mencoba menghapus komponen-komponen antivirus McAfee dan Norton serta mencoba menghentikan beberapa proses antivirus, security updater, dan aplikasi keamanan lainnya.
Ketika muncul pesan ketiga, Polsesi mencoba menonaktifkan beberapa fungsi-fungsi adminsitrasi Windows, mengubah nama pemilik komputer, dan menjalankan manipulasi-manipulasi lainnya. Berikut adalah entri registry yang diubah:
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoFind
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoRun
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoRecentDocsMenu
HKCU-SOFTWARE-Microsoft-Windows-CurrentVersion-Policies-System-DisableRegistryTools
HKCU-Software-Microsoft-Windows Scripting Host-Settings-Timeout
HKCU-Software-Microsoft-Windows Scripting Host-Settings-Timeout
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoSMHelp
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoSetTaskbar
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoFolderOptions
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoControlPanel
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoViewContextMenu
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoTrayContextMenu
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoPrinters
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoNetSetup
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoClose
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoPropertiesMyComputer
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoDesktop
HKEY_CLASSES_ROOT-CLSID-{645FF040-5081-101B-9F08-00AA002F954E}-InProcServer32-(Default)
HKEY_CLASSES_ROOT-CLSID-{21EC2020-3AEA-1069-A2DD-08002B30309D}-InProcServer32-(Default)
HKCU-Software-Microsoft-Windows-CurrentVersion-explorer-SmallIcons-SmallIcons
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-System-NoSecCPL
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoDrives
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoDrives
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoNetHood
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-WinOldApp-Disabled
HKCU-SOFTWARE-Microsoft-Windows NT-CurrentVersion -v RegisteredOwner
HKCU-SOFTWARE-Microsoft-Windows NT-CurrentVersion-RegisteredOrganization
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-System-NoDispCPL
HKEY_CLASSES_ROOT-Directory-Shell-Send-ndut
HKEY_CLASSES_ROOT-Directory-Shell-Send-Command
HKEY_CLASSES_ROOT-Drive-Shell-Copi-end
HKEY_CLASSES_ROOT-Drive-Shell-Copi-Command
HKEY_CLASSES_ROOT-Folder-Shell-Send-rendut
HKEY_CLASSES_ROOT-Folder-Shell-Send-Command
HKEY_CLASSES_ROOT-Directory-Shell-Sent-bendut
HKEY_CLASSES_ROOT-Directory-Shell-Sent-Command
HKEY_CLASSES_ROOT-Drive-Shell-Coopy-endutz
HKEY_CLASSES_ROOT-Drive-Shell-Coopy-Command
HKEY_CLASSES_ROOT-Folder-Shell-Sent-ndutss
HKEY_CLASSES_ROOT-Folder-Shell-Sent-Command
HKEY_CLASSES_ROOT-Directory-Shell-jadi_polisi-endutsz
HKEY_CLASSES_ROOT-Directory-Shell-jadi_polisi-Command
HKEY_CLASSES_ROOT-Drive-Shell-polisi-enddut
HKEY_CLASSES_ROOT-Drive-Shell-polisi-Command
HKEY_CLASSES_ROOT-Folder-Shell-perwira-endud
HKEY_CLASSES_ROOT-Folder-Shell-perwira-Command
Membuat direktori dengan nama “baru” dan menggandakan dirinya di setiap drive.
Memindahkan fungsi tombol mouse yang kanan menjadi fungsi kiri dan sebaliknya.
Dan ketika muncul pesan kelima yang berbunyi "untuk sementara file saya sita", kemungkinan besar komputer yang terinfeksi telah kehilangan beberapa file dengan tipe berikut:
doc, txt, excel, pdf, rtf, jpg, html, zip, rar, ppt, mp3, 3gp, avi, wmv, flv, odt, gif, cdr, png, ico, mp4, bmp, mpg, mpeg, wma, dat.
File tersebut bukan dihapus, tetapi disembunyikan dengan cara mengubah set atributnya.
Terakhir, trojan Polsesi akan menonaktifkan beberapa fungsi-fungsi pada kontrol panel, menonaktifkan fitur safe mode, dan menampilkan pesan terakhirnya berisi teks “laporan selesai”.
Tetapi sebenarnya semuanya tidak selesai, karena trojan Polsesi akan memulai aktifitas jahatnya dari awal lagi, dan berjalan begitu seterusnya.
Pembersihan dan Pencegahan
Untuk pembersihan trojan ini sangatlah mudah, cukup jalankan AVI update terakhir yang bisa Anda dapatkan di situs ini. Untuk mencegah agar trojan tidak kembali lagi, pasanglah AVI sebagai real-time protector, maka komputer Anda tak akan pernah tersentuh lagi oleh trojan ini.
Oke, kita sedang tidak membahas tentang masalah kejiwaan. Yang kita bahas adalah sebuah program jahat yang kali ini berbeda. Sebuah trojan yang dibuat menggunakan batch scripting sederhana dengan efek mengganggu luar biasa.
Karakteristik
Trojan ini dibuat menggunakan batch scripting yang biasanya digunakan oleh admin Windows untuk mempermudah pekerjaan dengan cara menuliskan sebuah berkas batch siap eksekusi. Berkas batch sendiri biasanya memiliki akhiran .bat, contoh 'autoexec.bat'. Kelemahan program jahat yang dibuat menggunakan batch scripting adalah kode jahatnya bisa mudah dibaca oleh siapapun. Nah, untuk mengakali hal ini sang pembuat trojan secara cerdik mencoba menyembunyikannya dengan cara mengubah berkas batch menjadi sebuah file executable (.exe) menggunakan program bernama Quick Batch File Compiler buatan http://www.abyssmedia.com. Nah, tool satu inilah yang menjadi trojan baginya.
Secara fisik trojan Polsesi memiliki ukuran tubuh 15,345 bytes berisi kode sebanyak 226 baris. Sedangkan ukuran tubuh setelah menjadi exe adalah 209,174 bytes, atau lebih besar 13 kali dari aslinya. Biasanya, file ini dinamakan data_Polri.exe.
Aksi yang dilakukan
Tidak seperti virus atau worm, kemampuan trojan sangat terbatas dan tidak dapat menginfeksi aplikasi lainnya. Tugas trojan hanya deployment atau pemasok yang digunakan oleh program jahat untuk dapat masuk ke sebuah sistem. Kalau virus disebut menginfeksi, trojan lebih cocok disebut menginjeksi. Walaupun tidak seperti worm dan virus, trojan Polsesi ini tidak bisa dianggap sepele, karena dia akan menjalankan perintah-perintah jahat yang bisa membuat komputer crash!
Ketika pertama kali trojan Polsesi aktif, secara berturut-turut dia akan menampilkan pesan-pesan obsesinya untuk menjadi seorang polisi. Pesan-pesan ini muncul berturut-turut di sela-sela proses injeksinya. Berikut pesan-pesan yang coba dia sampaikan, dan mari sama-sama kita ukur seberapa tinggi obsesi pembuat trojan ini melalui pesan-pesan yang disampaikannya:
Pesan pertama: pak presiden...jadikan saya polisi
Pesan kedua: maafkan aku ya,masuk ke komputermu
Pesan ketiga: kalo kenal presiden bilang ya aku pengen jadi polisi
Pesan keempat: makasi ya sobat
Pesan kelima: untuk sementara file saya sita
Pesan keenam: Drive penjara telah penuh
Pesan ketujuh: laporan selesai
Pesan-pesan tersebut muncul di sela-sela proses injeksi dan manipulasi (payload). Berikut proses yang dijalankannya:
Ketika muncul pesan pertama, trojan Polsesi mencoba menggandakan dirinya ke:
d:-data_Polri.exe
c:-jadikan_aku_polisi.exe
c:-WINDOWS-sys.exe
c:-WINDOWS-SYSTEM-sys.exe
Kemudian menjalankan service messenger dengan perintah:
net start messenger
Mencoba menonaktifkan task manager dengan cara memanipulasi nilai pada entri registry:
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-system-DisableTaskMgr
Mencoba membuat dirinya selalu aktif ketika komputer dijalankan dengan cara menambahkan info startup pada alamat registry:
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-sys c:-WINDOWS-sys.exe /f
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-date c:-WINDOWS-sys.exe /f
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-var c:-jadikan_aku_polisi.exe /f
Ketika muncul pesan kedua, trojan Polsesi mencoba melumpuhkan beberapa servis antivirus dengan perintah:
net stop mcshield
net stop norton antivirus auto protect service
Tidak hanya sampai di situ. Polsesi juga mencoba menghapus komponen-komponen antivirus McAfee dan Norton serta mencoba menghentikan beberapa proses antivirus, security updater, dan aplikasi keamanan lainnya.
Ketika muncul pesan ketiga, Polsesi mencoba menonaktifkan beberapa fungsi-fungsi adminsitrasi Windows, mengubah nama pemilik komputer, dan menjalankan manipulasi-manipulasi lainnya. Berikut adalah entri registry yang diubah:
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoFind
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoRun
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoRecentDocsMenu
HKCU-SOFTWARE-Microsoft-Windows-CurrentVersion-Policies-System-DisableRegistryTools
HKCU-Software-Microsoft-Windows Scripting Host-Settings-Timeout
HKCU-Software-Microsoft-Windows Scripting Host-Settings-Timeout
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoSMHelp
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoSetTaskbar
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoFolderOptions
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoControlPanel
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoViewContextMenu
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoTrayContextMenu
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoPrinters
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoNetSetup
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoClose
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoPropertiesMyComputer
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoDesktop
HKEY_CLASSES_ROOT-CLSID-{645FF040-5081-101B-9F08-00AA002F954E}-InProcServer32-(Default)
HKEY_CLASSES_ROOT-CLSID-{21EC2020-3AEA-1069-A2DD-08002B30309D}-InProcServer32-(Default)
HKCU-Software-Microsoft-Windows-CurrentVersion-explorer-SmallIcons-SmallIcons
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-System-NoSecCPL
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoDrives
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoDrives
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer-NoNetHood
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-WinOldApp-Disabled
HKCU-SOFTWARE-Microsoft-Windows NT-CurrentVersion -v RegisteredOwner
HKCU-SOFTWARE-Microsoft-Windows NT-CurrentVersion-RegisteredOrganization
HKCU-Software-Microsoft-Windows-CurrentVersion-Policies-System-NoDispCPL
HKEY_CLASSES_ROOT-Directory-Shell-Send-ndut
HKEY_CLASSES_ROOT-Directory-Shell-Send-Command
HKEY_CLASSES_ROOT-Drive-Shell-Copi-end
HKEY_CLASSES_ROOT-Drive-Shell-Copi-Command
HKEY_CLASSES_ROOT-Folder-Shell-Send-rendut
HKEY_CLASSES_ROOT-Folder-Shell-Send-Command
HKEY_CLASSES_ROOT-Directory-Shell-Sent-bendut
HKEY_CLASSES_ROOT-Directory-Shell-Sent-Command
HKEY_CLASSES_ROOT-Drive-Shell-Coopy-endutz
HKEY_CLASSES_ROOT-Drive-Shell-Coopy-Command
HKEY_CLASSES_ROOT-Folder-Shell-Sent-ndutss
HKEY_CLASSES_ROOT-Folder-Shell-Sent-Command
HKEY_CLASSES_ROOT-Directory-Shell-jadi_polisi-endutsz
HKEY_CLASSES_ROOT-Directory-Shell-jadi_polisi-Command
HKEY_CLASSES_ROOT-Drive-Shell-polisi-enddut
HKEY_CLASSES_ROOT-Drive-Shell-polisi-Command
HKEY_CLASSES_ROOT-Folder-Shell-perwira-endud
HKEY_CLASSES_ROOT-Folder-Shell-perwira-Command
Membuat direktori dengan nama “baru” dan menggandakan dirinya di setiap drive.
Memindahkan fungsi tombol mouse yang kanan menjadi fungsi kiri dan sebaliknya.
Dan ketika muncul pesan kelima yang berbunyi "untuk sementara file saya sita", kemungkinan besar komputer yang terinfeksi telah kehilangan beberapa file dengan tipe berikut:
doc, txt, excel, pdf, rtf, jpg, html, zip, rar, ppt, mp3, 3gp, avi, wmv, flv, odt, gif, cdr, png, ico, mp4, bmp, mpg, mpeg, wma, dat.
File tersebut bukan dihapus, tetapi disembunyikan dengan cara mengubah set atributnya.
Terakhir, trojan Polsesi akan menonaktifkan beberapa fungsi-fungsi pada kontrol panel, menonaktifkan fitur safe mode, dan menampilkan pesan terakhirnya berisi teks “laporan selesai”.
Tetapi sebenarnya semuanya tidak selesai, karena trojan Polsesi akan memulai aktifitas jahatnya dari awal lagi, dan berjalan begitu seterusnya.
Pembersihan dan Pencegahan
Untuk pembersihan trojan ini sangatlah mudah, cukup jalankan AVI update terakhir yang bisa Anda dapatkan di situs ini. Untuk mencegah agar trojan tidak kembali lagi, pasanglah AVI sebagai real-time protector, maka komputer Anda tak akan pernah tersentuh lagi oleh trojan ini.
0 comments:
Post a Comment