Friday, January 25, 2008

Services.exe(W32.Trafox.), Worms pintar nan merepotkan

Ada satu worms yang ngendon di C:\Windows\System32\2B170239 (tergantung komputer yang dijangkitnya) , nama file wormsnya Services.exe. Malware ini (Trafox) selain menggandakan diri juga meng-infeksi file-file .EXE, juga mampu menjadi parasit dalam tubuh program lainnya.

Malware ini tergolong sudah maju dibanding sebelumnya karena sudah menggunakan beberapa teknik yang tergolong maju seperti Encryption, Polymorphic, Antidebug dan yang tidak kalah pentingnya adalah PE Infector.

informasi string berikut pada tubuh raw via dump menggunakan Ansav Advanced :


W32.TR4F0X.A



- Say War To #VM Community (Jowoboot)

- Kill all AV

- Destroy all fuckin company.



[ IVS * INDONESIAN WORMS SOCIETY ]


String tersebut berada di dalam tubuhnya yang dienkripsi sekaligus dipack dimana packernya menggunakan ASpack, dan tidak terlihat apabila dibuka file rawnya menggunakan hexa editor, dan hanya bisa dibaca dengan cara men-dump memori prosesnya. String tersebut apabila dibuat dan dibuka pada file dengan ekstensi .HTM atau .HTML.

Kata-kata yang tidak mengenakkan ada pada pesan diatas pada baris kedua yaitu “Say War To #VM Community (Jowoboot)”, mengapa hal ini mengkhawatirkan?, karena kata-kata tersebut bisa memancing atau istilahnya memprovokasi para Vxer-vxer lain untuk berlomba-lomba membuat worms baru dan dapat berakibat Cyber War, seperti yang pernah terjadi sebelumnya yaitu pertarungan antara Gang Antibrontok yang diwakili RomanticDevil + NoBron melawan Gang Jowoboot yang diwakili Brontok + Rontokbro


Ciri-cirinya sebagai berikut.

  • Akan menyamar sebagai Services.exe pada proses manager. Task manager tidak dapat menghentikan prosesnya karena mempunyai nama sesuai dengan critical proses.

  • Ukuran file sekitar 17-18kb.

  • menuliskan perintah eksekusi pada startup dikedua Root Key registry, bila kita buka startup pada msconfig kemudian menghapus services.exe maka akan muncul kembali.

  • Akan menghapus antiworms anda, saat worms merasa terancam maka antiworms yang anda jalankan akan dihapus. Saat anda mencoba menginstall maka file master antiworms anda akan ikut dihapus juga.

  • Akan menginfeksi file berekstensi *.exe yang dijalankan. Menempel pada file tersebut dan merubah date modified serta menambah ukuran file sekitar 20kb. Beberapa file yang terinfeksi masih dapat dijalankan tapi beberapa file menjadi error. Bila kita mengeksekusi file tersebut sama saja kita mengeksekusi / mengaktifkan worms kembali.

  • AVG sudah mendeteksi file worms aslinya “Services.exe”, tapi tidak dapat mendeteksi worms yang menginfeksi file *.exe lainnya.

  • AVG mengenalinya sebagai Trojan Horse Generic8.EGR.

  • BitDefender mengenalnya sebagai W32.Trafox.A dan dapat mendeteksi worms yang meninfeksi file *.exe dengan menghapus berikut file inangnya. :(

  • Sampai update akhir desember 2007 AVG belum mampu memisahkan worms dengan file inangnya, ini penting karena beberapa file master driver saya terinfeksi.

  • Autorun pada media yang dijangkitinya(flashdisk). Dengan menuliskan windows host script pada file autorun.ini ia akan mengeksekusi file dekstop.exe yang merupakan file worms awal bencana.





Untuk mengatasi penyebarannya dapat dilakukan dengan cara :

  1. Matikan prosesnya, dengan menggunakan fasiilitas proses manager pada beberapa program utility (TuneUp Utilities2006, Tweak Accelerator XP) kita dapat mematikan seluruh proses meski bernama sama dengan critical proses. Dengan melihat pemilik proses(Author) jika “system” maka services.exe asli windows(“s” kecil). Jika pemiliknya nama user komputer (“S” besar) maka inilah proses sang worms. Segera kill proses tersebut.

  2. Kemudian cari dan hapus file Services.exe yang ada pada

    • C:\Windows\System32\2B170239(2B170239 bs berbeda tiap PC)

    • C:\Windows\

    • directory

    • Jangan lupa untuk mengeset folder options agar hidden files dan system files ditampilkan pada windows explorer.

  3. Hapus item Services.exe pada startup program, kemudian restart komputer anda.

  4. Ada baiknya anda menginstall ulang antiworms anda dan melakukan upadate terbaru, jangan lupa aktifkan selalu resident shield karena dapat memblokir worms jika terjadi pengaktifan secara tidak sengaja atau autorun pada flasdisk. Gunakan master yang steril, dari CD misalnya untuk menghidari jika master pada hardisk telah terinfeksi.

  5. Kemungkinan besar file-file ekstensi *.exe pada hard disk anda telah terinfeksi. Maka patut dicurigai bila terjadi modified pada date time files tersebut sesuai tanggal mulai terinfeksi padahal files tersebut usianya cukup lama. Hapus saja jika anda merasa file tersebut tidak penting. Bila file tersebut penting maka anda harus bersabar mencari program atau anti worms yang dapat memisahkan worms dengan file inangnya.

Wish U Luck..

10 comments:

  1. iya nih sampai sekarang belum ada AV yang mampu normalin file master yang terinfeksi, terpaksa deh manyun aja ga bisa kerja gara gara software benchmark corrupt semua

    ReplyDelete
  2. benar bos, meskipun ada travox remover tapi masih gagal juga mengheal file exe nya. karena adanya kesalahan pendeteksian entry point file pada engine removernya. virus ini aliasnya banyak, cekar, trafox, trojan 8. bit defender juga bisamegheal namun file yang heal banyak yang hilang datanya hingga tidak bisa digunakan juga. saya belum mencobanya dengan norton atau mcaffe, kalo ada infonya bagi2 ya bos (^_^)

    ReplyDelete
  3. gw baru kena kemaren.... tapi dah ke detect ma avg 8.0, tapi sayangnya ga bisa nge heal itu virus trus dimasukin ke vault...
    dari yang gw liat di vault, ada 2 virus yang kena & ga bisa ke heal, 1. si service.exe, 2. W32/Cekar.. gw liat malah worms yang no.2 yang infected file .exe.

    Mohon bantuannya, coz wormsnya infect aplikasi yang penting euy...!

    Thanx, jule

    ReplyDelete
  4. gw baru kena kemaren.... tapi dah ke detect ma avg 8.0, tapi sayangnya ga bisa nge heal itu virus trus dimasukin ke vault...
    dari yang gw liat di vault, ada 2 virus yang kena & ga bisa ke heal, 1. si service.exe, 2. W32/Cekar.. gw liat malah worms yang no.2 yang infected file .exe.

    Mohon bantuannya, coz wormsnya infect aplikasi yang penting euy...!

    Thanx, jule

    ReplyDelete
  5. untuk yang terdeteksi sebagai services.exe adalah file induknya yang sembunyi di folder windows/system. kalo cekar itu yang telah menempel difile inangnya dan yang ini sulit dibersihkan. beberapa antiviru bisa membersihkan, namun setelah itu file aplikasinya juga rusak karena sebagian datanya ikut kehapus. cobain pake karpersky bro, mungkin sudah bisa memperbaiki infected filenya

    ReplyDelete
  6. comp client di warnet saya juga kena?? dah saya hapus file services.exe nya tapi masih keluar dengan tulisan2 yg beda wah ribet deh.......... sakittttttttttttt

    ReplyDelete
  7. wah services.exe emang berbahaya kompi gw jadi lambat ragu-ragu nyobain nie tips takut tambah parah..... :)

    ReplyDelete
  8. kalo instal ulang ilang ga nih?

    ReplyDelete

Komentar yuk....


Got My Cursor @ 123Cursors.com