Rabu, 30 November 2011


Merasa komputer Anda berjalan seperti siput alias lambat? Jangan anggap remeh karena bisa jadi komputer Anda terjangkit virus/ trojan berbahaya dan worm jaringan yang satu ini.
Oleh Norman Antivirus, virus yang merupakan varian virus LNK (shortcut) ini terdeteksi sebagai W32/Agent.VARB. Worm ini sendiri merupakan salah satu kelompok worm yang mampu mengganggu sistem komputer dalam jaringan dan mencoba memanipulasi sistem yang ada dalam jaringan. Kemampuan utama dari worm ini adalah dengan melakukan broadcast internet dan membuat komputer menjadi lambat.
Worm yang juga dikenal sebagai Rorpian (Microsoft) atau SillyFDC (Symantec, Eset/NOD), dan TDSS (TrendMicro, Sophos) ini banyak ditemukan pada komputer-komputer server (atau yang dijadikan sebagai server) di mana ia sering dipakai untuk pertukaran data atau sharing file khususnya pengguna Windows Server 2003.
Kelebihan worm ini, selain mampu melakukan penyebaran menggunakan celah shortcut (LNK) atau MS10-046, juga dapat melakukan penyebaran melalui celah lain yaitu Windows Print Spooler atau MS10-061 dan Microsoft OpenType Font Driver atau MS10-091.
Berikut gejala yang terjadi pada komputer yang sudah dihinggapi:
1. Aktif dengan menginfeksi file Windows Explorer dan Print Spooler
File worm aktif pada memory komputer dengan menginjeksi atau menumpang file Windows Explorer dan Print Spooler. Dengan melakukan hal seperti itu, maka akan menghindari antisipasi dari antivirus sehingga sangat sulit dibersihkan. Serangan akan terjadi pada komputer server yang menggunakan Windows Server 2003.
2. Membuat komputer menjadi hang (explorer error)
Saat komputer dinyalakan pertama kali dan login, Windows Explorer akan terasa lambat (hang) akibat aktifitas dari worm yang mencoba menginjeksi Windows Explorer. Dengan melakukan hal tersebut, pengguna komputer akan merasa terganggu dan tidak nyaman menggunakan komputer. Terkadang hal ini membuat akibat fatal pada Windows Explorer yang menjadi error.
3. Melakukan koneksi ke Remote Server
Worm W32/Agent.VARB juga berusaha melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Koneksi ke beberapa remote server dilakukan dengan menggunakan port acak.
4. Mendownload file agar tetap terupdate
Tidak mau kalah dengan program antivirus, trojan W32/Agent.VARB juga melakukan download beberapa file tertentu dari Remote Server yang bertujuan agar worm tetap terupdate dan tidak mudah dikenali oleh antivirus. Lantas bagaimana cara mengenali file trojan W32/Agent.VARB tersebut? Ini dia ciri-cirinya:
- Berukuran 63 kb (tergantung varian yg ditemukan)
- Type file “Font File”
- Icon file “Font
- Berekstensi “fon”
File trojan W32/Agent.VARB sendiri melakukan penyebaran dengan sejumlah cara seperti lewat  media removable drive/disk. Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. Worm (memanfaatkan celah autoplay) akan membuat beberapa file agar menginfeksi komputer. Selain itu, dengan memanfaatkan celah keamanan MS10-046 (Windows Icon handler) maka file shortcut/LNK akan langsung dieksekusi pada saat drive tersebut diakses.
Cara penyebaran lainnya adalah lewat jaringan LAN. Dengan memanfaatkan file sharing yang terbuka (full), worm melakukan penyebaran file. Sehingga komputer yang akan mengkases file sharing akan terinfeksi dengan mudah (juga ikut memanfaatkan celah MS10-046). Selain itu, dengan memanfaatkan celah keamanan MS10-061 (Windows Print Spooler) pada komputer yang mengakses komputer Print Server yang telah terinfeksi worm jenis ini.
Sumber: Vaksincom

0 komentar:

Posting Komentar

Subscribe to RSS Feed Follow me on Twitter!