//
you're reading...
Komputer

Kenali Virus BUNDPIL.Shortcut

Posted in Virus Asing, Virus Lokal on Nov 25, 2015

Pernah terinfeksi virus shortcut seperti ini ? bisa jadi Flash disk dan komputer yang anda gunakan sudah terinfeksi oleh virus bundpil, virus ini lah yang paling banyak menyebar di indonesia, bahkan sampai di luar negeri juga banyak yang terinfeksi oleh virus ini.

Karateristik Virus

Ektensi : Acak

Ukuran : Acak (Sekitaran 20MB)

Tipe : Worm

Compiler : C++

Virus ini memiliki ukuran yang berbeda-beda, untuk file induk yang digunakan untuk menyebar di Flashdisk ukuran filenya sekitaran 20-30MB dengan tipe file Dinamic Link Library (Dll),  dan untuk file induknya yang ada disistem berukuran acak dari puluhan MB hingga Ratusan MB dengan tipe file EXE.  Virus mengacak ukuran filenya untuk mengecoh scanning antivirus yang membatasi scaaning dari file-file berukuran besar, dengan begitu virus bisa lolos dari scanning antivirus.

File Induk

Saat menginfeksi sistem virus akan membuat file induknya di lokasi :

  • C:\ProgramData\msoamjlps.exe

Lokasi tersebut bisa berbeda-beda tergantung dari jenis variant virus

File induk ini akan dijadikan proses utama virus dalam menginfeksi sistem, virus juga membuat startupnya di  registry, tujuannya agar virus induk dapat berjalan secara otomatis :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run “1114256606” “C:\ProgramData\msoamjlps.exe”

 

Proses Siluman

Virus ini mempunyai kemampuan untuk menyamarkan prosesnya agar tidak mudah dilihat oleh korbannya, virus memanfaatkan teknik RunPE, yakni sebuah teknik yang menggunakan proses lain sebagai proses virus, virus memanfaatkan proses “msiexec.exe” sebagai proses induknya untuk melakukan penyebaran, dengan begitu korban tidak akan mencurigai klo proses itu adalah proses virus

Jika kita lihat pada gambar diatas dimana proses “msiexec.exe” terlihat seperti proses sistem biasa, padahal jika diteliti lebih jauh sebenarnya proses itu sudah di injek dengan kode-kode virus (Teknik RunPE) sehingga proses “msiexec.exe” berubah menjadi proses virus, hal ini dapat dengan mudah diketahui dengan program seperti “Process Explorer” dari File Handle yang ada pada proses msiexec,exe, disitu terlihat salah satu file handle nya tertuju pada lokasi file induk virus.

Teknik seperti ini tidak sembarang virus bisa menggunakannya, hanya virus-virus canggih yang biasa menggunakan teknik penyamaran seperti itu.

Target Penyebaran

Target penyebaran virus ini tertuju pada Removable Drive, seperti flash disk, memory card dan lain-lain, apabila virus menemukan Flash disk yang terpasang dikomputer, virus akan membuat sebuah folder baru dengan nama kosong/blank, dan kemudian virus akan memindahkan semua data file/folder yang ada diflash disk, ke lokasi folder baru yang dibuat oleh virus, dan terakhir virus akan membuat sebuah shortcut virus, yang berisi perintah-petintah untuk menjalankan file induk virus yang ada di dalam flash disk

Berikut ini contoh isi flash disk sebelum terinfeksi oleh virus bundpil

dan gambar dibawah ini adalah tampilah isi dari flash disk yang sudah terinfeksi

bisa kita lihat pada gambar diatas semua file dan folder sudah dipindahkan oleh virus ke dalam folder dengan nama kosong/blank. virus juga menyertakan sebuah shortcut yang digunakan untuk membuka isi folder tersebut, dimana semua file/folder yang disembunyikan ada didalam folder tersebut.

contoh saat korban mengklik/membuka shortcut tersebut, semua data file yang sudah disembunyikan akan ditampilkan, sehingga korban mengira bahwa semua normal-normal saja, padahal dibalik itu, proses virus lah yang akan aktif lebih dulu, baru kemudian virus menampilkan isi folder yang berisi data file asli yang telah disembunyikan.

Pembersihan

Untuk membersihkan virus ini gunakan Smadav Revisi Terbaru, anda bisa mendownloadnya di www.smadav.net. Pada Smadav Revisi terbaru virus ini sudah dapat terdeteksi dengan baik. harap ikuti cara-cara dibawah ini untuk pembersihan total virus dari sistem., apabila anda memiliki USB Flashdisk jangan lupa untuk menscan isi Flash Disk tersebut untuk mencegah virus kembali menginfeksi sistem.

  • Download / Update Smadav Revisi terbaru
  • Kemudian jalankan
  • Pada tab Scanner > Pilih Scan Semua Komputer
  • Beri centang pada Deep (Over 1500 Registry Values) jika perlu
  • Kemudian klik tombol Scan, dan tunggu hinga proses scanning selesai

  • Setelah selesai scanning dan clean virus, selanjutnnya cabut flash disk dan colok kembali flash disknya, Smadav otomatis akan mengembalikan semua data yang telah disembunyikan oleh virus.

Iklan

Diskusi

Belum ada komentar.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: