Rabu, 15 Agustus 2012

Virus Bonitoo

Diposting oleh Unknown di 7:37 AM Label: , ,

Virus ini memiliki teknik sosial enginering yg cukup menarik, dimana setiap duplikat virus memiliki nama dan ikon yang selalu berubah-ubah, ikon yang digunakan virus antara lain Ikon File Text, Ikon PDF, Ikon Excel, Ikon winamp, Ikon Setup, dan ikon bendera, teknik berganti ikon ini digunakan virus untuk menyempurnakan penyamaranya agar bisa dengan mudah menginfeksi komputer korban.




Karakteristik Virus
Nama File : Acak
Ikon : TXT, XLS, PDF, SETUP dan WINDOWS FLAG
Ukuran : 104 KB
Compiler : Visual Basic 6
Aksi Virus
Saat pertama kali dijalankan virus akan menyesuaikan aksinya dengan ikon yang digunakan, misalkan jika virus menggunakan ikon excel, maka virus akan membuka Ms Excel, apabila ikon yg digunakan PDF maka virus akan membuka aplikasi PDF yang terinstal dikomputer korban nya, begitu juga dengan ikon lain nya, hal ini untuk mencegah kecurigaan user saat menjalankan file virus, dengan mengira bahwa file yg dijalankan adalah file asli, padahal dibalik itu virus sudah menginfeksi system.
Virus akan membuat file induk di lokasi berikut :
  • %SystemRoot%\svhost.exe
  • %SystemRoot%\servlog.exe
  • %SystemRoot%\bonitoo.m3u
  • %SystemRoot%\bonitoo.mp3
  • %SystemRoot%\bonitoo.pdf
  • %SystemRoot%\bonitoo.txt

File Virus di setiap folder


Saat user membuka folder maka virus akan langsung membuat duplikat virus di lokasi folder yang dibuka saat itu, file virus sendiri menggunakan nama acak dan ikon yang berbeda-beda, berikut nama-nama file yang akan digunakan virus :
artis, hot image, ini aku lho, photo bosku, winamp setup3, vbdecompiler, mssp4 for-xp, keygen xpwindows logo, my brother, artis of the month, photo seru, sepultura-root, nirvana-drain you, samson-naluri lelaki, radja-yakin,ungu-kenangan terindah lagu sunda, lagu barat, daftar top10 indo, best barat arsip bulan juni2006, my data, get data back, my artis pic tutorial hacking, manual guide finger, all about cracking, trojan maker, backupdata, winamp6.0 full, firefox1.6, source baru. iso2000, what the hell, hot animal, apa ya commands, net86, winloggon, star, smartdrvs, telnets My Document, My Picture, Windows, Winnt, System32, System, Program Files, Inetpub,Temp, Tmp, Download Readme, Eula, bonitoo, manual guide, Baca donk, Catatan. Daftar anggota, data karyawan, laporan harian, pivot table data pegawai, backup_database, data keuangan cv, hacking tutorial, proposal, surat perjanjian, adendum

Kill Process
Agar virus dapat bertahan di komputer korban, virus akan membunuh beberapa aplikasi yang di anggap virus berbahaya, akibatnya korban tidak dapat menjalankan aplikasi tersebut, nama-nama aplikasi yang masuk dalam daftar hitam virus antara lain :
regedit.exe
winamp.exe
rtvscan.exe
nav.exe
mmc.exe
VBReFormer 3.9 free.exe
RegistryCleaner.exe
StartUpManager.exe
wintasks.exe
RegCleanr.exe
Terminate Bonitoo Virus
Registry Editor
WinTasks
System Configuration Utility
TuneUp Utilities
TuneUp Registry Editor
TuneUp StartUp Manager
HijackThis
Command Prompt
Infeksi Registry

Virus juga menginfeksi registry agar aksi virus dapat berjalan dengan lancar, seperti setting otomatis folder option agar tidak menampilkan file yang di hidden,  disable SFC, dan beberapa key yang digunakan virus agar dapat otomatis berjalan saat komputer dijalankan (startup).
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\RPCall_%computername%
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SRVState__%computername%
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Run\Userinit
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\System
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Load
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\Autorun
  • HKEY_CURRENT_USER\Software\Microsoft\Command Processo\Autorun

Infeksi Jaringan
Virus juga mencoba menginfkesi jaringan sekitar dengan mencari default share yang terdapat di jaringan sekitar
\ADMIN$, \IPC$, Administrator, IWAM_, IUSR_

Block Website
Tak berhenti sampe disitu, virus juga memonitoring setiap website yang di buka oleh korban nya, apabila korban membuka website yang sudah masuk dalam daftar virus, maka virus akan langsung menutup browser yang digunakan. berikut daftar website yang diblok oleh virus :
xxxx.com

17tahun.com
yahoo.com
google.com
hotmail.com
vaksin.com
avira.com

Pembersihan
Untuk emberishkan virus ini, anda bisa menggunakan Smadav Rev 9.0 atau versi terbaru dari smadav, smadav terbaru bisa anda dapatkan di www.smadav.net.
  1. Jalankan Smadav yang terinstal dikomputer anda, maka smadav akan menampilkan pesan seperti dibawah ini
  2. Klik tombol OK, kemudian tunggu hingga proses scanning pertama selesai.
  3. Selanjutnya smadav akan memulai proses scanning kedua, untuk membersihkan sisa virus yang terdapat setiap drive. Klik tombol Yes. 
  4. Tunggu proses scanning kedua selesai, kemudian tinggal klik tombol Bersihkan.
  5. Restart Komputer 
    Happy Using Local Antivirus

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)