Wednesday, October 14, 2009

W32/Alman (W32/Almanahe) "I Love you sharing FULL tanpa password"


Kalau Mbah Surip bilang I Love You Full, maka virus Alman juga akan bilang I Love You Full, khususnya bagi Anda yang melakukan sharing folder di jaringan secara Full Access (alias tanpa password). Virus jawara di Indonesia ini (nomor 2 paling banyak menyebar menurut statistik malware Vaksincom Agustus 2009) mengincar semua folder di jaringan yang dishare secara full tanpa password.

Jika sebelumnya kita disibukkan dengan penyebaran virus lokal sehingga terlena dengan virus racikan mancanegara, kini tengah santer menyebar virus yang dapat menginjeksi semua file yang mempunyai ekstensi exe. Virus ini dapat menyebar dengan cepat melalui jaringan dengan memanfaatkan folder yang mempunyai share 'Full' dan memanfaatkan 'Default Share'.



Selain itu virus ini juga akan menyebar dengan memanfaatkan Flash Disk dengan menginjeksi semua file exe yang ada dan membuat file [boot.exe] dan [autorun.inf] yang berfungsi agar dirinya dapat aktif secara otomatis setiap kali user mengakses Flash Disk. Agar tidak diketahui user kedua file ini akan disembunyikan.

Walaupun ia berusaha untuk menginfeksi file yang mempunyai ekstensi exe tetapi ada beberapa lokasi folder yang tidak akan diinfeksi yakni file yang berada di direktori dibawah ini serta bebarapa file tertentu.

Agar virus ini susah dihapus ia akan menyamarkan dirinya sebagai sebuah service yang akan menginfeksi sebuah file library [.dll] dari file [explorer.exe] serta memantau koneksi internet yang kemudian akan mengunduh malware lainnya dari alamat yang telah ditentukan dan secara otomatis akan menjalankan file tersebut. Virus ini dibuat dengan menggunakan program bahasa 'Microsoft Visual C ++ 6.0'.

Pada saat virus ini aktif, ia akan membuat beberapa file induk yang akan dijalankan pertama kali setiap kali komputer aktif, salah satu dari file yang dibuat ini akan aktif sebagai service windows sehingga mempersulit pada saat pembersihan.

Media Penyebaran


Virus ini menyebar cukup cepat dengan memanfaatkan media Flash Disk atau Disket serta menyebar melalui jaringan. Untuk menyebar memalui Flash Disk/Disket, ia akan membuat 2 buah file yakni boot.exe dan autorun.inf. Selanjutnya virus ini akan aktif secara otomatis setiap kali Flash Disk tersebut dihubungkan ke komputer atau pada saat user akses ke Flash Disk tersebut.

File autorun.inf ini berisi script untuk menjalankan file boot.exe. Selain meembuat 2 file tersebut, ia juga akan menginfeksi semua file yang mempunyai ekstensi EXE.

Sedangkan untuk menyebar melalui jaringan, ia akan menginfeksi semua file EXE yang ada di folder yang di sharing yang mempunyai akses 'Full'. Selain itu ia juga akan mencoba untuk mengakses drive lokal pada komputer target (C:\) dengan menggunakan username administrator serta mencoba beberapa password.
Jika berhasil di tembus, ia akan drop dan menjalankan satu file dengan nama setup.exe pada drive C:\.

W32/Alman juga akan mencoba untuk mengirimkan beberapa informasi dari komputer yang telah terinfeksi serta mengirimkan informasi tentang keberadaan driver dari software security ke pembuat virus.

Rakus Menginfeksi

Target selanjutnya yang dilakukan adalah mencoba untuk menginfeksi semua file yang mempunyai ekstensi EXE yang tidak diproteksi oleh 'System File Checker (SFC)'.

Walau demikian tidak semua file EXE akan diinfeksi oleh Alman termasuk file yang merupakan file System Windows dan file yang di proteksi oleh 'System File Checker Windows (SFC)', biasanya W32/Alman akan menginfeksi file program atau file installer serta file portable.

Berikut beberapa lokasi yang tidak akan diincar oleh W32/Alman:

-. \LOCAL SETTINGS\TEMP
-. \QQ
-. \Windows
-. \Winnt
Sumber:Detik & Vaksin