ada laporan soko warnet jare internet lambat, Mbuka Detik.com susahknya minta Ampun… selidik punya selidik penyebab yang di curigai adalah trojan dari china. Sangat sulit membedakan mana yang sudah terkena trojan atau mana yang belum, karena nyaris sama. Nah perbedaan adalah saat kita view source pada PC yang terinfeksi akan muncul tulisan ini :
[quote]
[/quote]
Akhirnya proses penyelidikan dimulai:
Pertama install Firewall untuk apa? untuk mengetahui proses apa saja yang melakukan akses ke luar (internet/Intranet)
Setelah install beberapa saat muncul pesan bahwa file Berikut melakukan Akses ke :
WinLogon.Exe akses ke post.ad9178.com : wah kok ada kata2 post jangan2 ada pencuri (spyware) di Laptopku.
Explorer.exe akses ke [url]http://root.51113.com/root.gif[/url] atau [url]http://hk.www404.cn:53/ads.js[/url] atau [url]http://err.www404.cn:443/014.html[/url]
nah kemudian check file %System%\drivers\etc\HOSTS
Note: %System% ==> drive tempat instalasi windows
buka dengan notepad. hapus semua entri kecuali 127.0.0.1 Localhost
kemudian simpan
Note : biasanya gak bisa di simpan karena oleh trojannya sudah di set read only untuk itu klik kanan dulu pada file HOST pilih properties kemudian hilangkan check pada readOnly tekan OK
Kecurigaan berlanjut saat ada notifikasi bahwa Explorer.exe masih akses ke root.51113.com via WWW (port 80)
Ok untuk itu kita gunakan Process Explorer untuk mengetahui apa yang sudah menempel di explorer.exe sehingga explorer akses ke luar.
ternyata ada file MROFINU1001186.EXE yang mencurigakan.
berikut info dari google tentang file ini :
[*]The most common file size is 48,128 bytes. But the following file sizes have also been seen:
47,104 bytes 51,712 bytes
[*]The filename is associated with the malware group Dropper.Generic.THT.
These files have no vendor, product or version information specified in the file header.
[*]The Process is packed and/or encrypted using a software packing process
[*]Injects code into other processes
[*]Looks at the contents of the autoexec.bat file
[*]Reads email address and phone book details
[*]Uses DNS to retrieve the IP address for web sites
[*]Writes to another Process’s Virtual Memory (Process Hijacking)
[*]This Process Deletes Other Processes From Disk
[*]This Process Creates Other Processes On Disk
[*]Registers a Dynamic Link Library File
[*]The Process is polymorphic and can change its structure
[*]Added as a Registry auto start to load Program on Boot up
[*]Created as a process on disk
[*]Executed as a Process
[*]Has code inserted into its Virtual Memory space by other programs
[*]MROFINU1001186.EXE can also use the following file names:
30487903.SVD DPTRARWAEI-90.PMS.EXE 17PHOLMES1001186.EXE DPTRMPQYRB-770.PMS.EXE 80936131.SVD
wooww keren dalam kategori Dangerous..
langsung aja Kill Proccess dan Hapus File MROFINU1001186.EXE
nah sejak itu tidak pernah muncul2 lagi pesan akses baik dari WInlogon.exe maupun Explorer.exe
gitu dulu laporan dari lokasi..
semoga membantu sorry Nulisnya agak Buru2 hehehe
NB: firewall yang di gunaan SYgate Pro http://rapidshare.com/files/129407103/Sygate.rar dan Proccess Explorer dari sysinternals
sumber : http://rudi.jokam.com/r/?m=200807
Tidak ada komentar:
Posting Komentar