W32/Moonlight.L: Cahaya Bulan Berbahaya

“Moonlight”, begitu program jahat berjenis worm ini menamai dirinya. Worm lokal ini sebenarnya sudah ada sejak jamannya W32/Brontok atau W32/Rontokbro, tetapi masih tetap eksis sampai sekarang. Ini karena variannya yang terus bermunculan. Bahkan, masih banyak laporan dari pengguna AVI yang komputernya terinfeksi oleh worm ini. Karena itu, kami pun tertarik untuk membahas Moonlight pada edisi kali ini.

Karakteristik
W32/Moonlight dibuat menggunakan compiler andalan vxer (sebutan bagi pembuat program jahat) lokal yakni VB6 (Visual Basic 6) dan dimampatkan menggunakan program PE packer FSG. Ukuran aslinya sebesar 324 KB, lalu setelah dimampatkan menjadi 144 KB. Identitasnya sendiri menggunakan icon folder Windows XP standar.

Aksi (Payload)
Ketika pertama kali berjalan, W32/Moonlight.L akan membuat file “systear.dll” pada direktori system, contoh: “C:-WINDOWS-system32-systear.dll”. File ini merupakan file inisialisasi agar worm dapat mengenali dirinya dan sebagai penanda posisi di mana worm telah disebarkan. Setelah itu, Moonlight membuat file penunjang berbentuk dynamic link library (DLL) “moonlight.dll” pada direktori Windows (contoh: “C:-WINDOWS-moonlight.dll”) dan mengekstraksi file musik berformat MIDI “onceinabluemoon.mid” ke direktori Windows. Setelah itu, worm ini membuat direktori dengan nama acak pada subdirektori Windows dan System dengan format “C:-WINDOWS-[acak]”. Maksud “[acak]” disini berisi nama acak misalnya:
“C:-WINDOWS-FLR1S4G”
“C:-WINDOWS-system32-LDF6I7R”

Penggunaan nama acak tersebut kemungkinan dimaksudkan untuk mempersulit proses investigasi dan pembersihan.
Kemudian worm akan menggandakan dirinya pada tempat-tempat berikut:
* C:-WINDOWS-[acak]-service.exe
* C:-WINDOWS-[acak]-smss.exe
* C:-WINDOWS-[acak]-system.exe
* C:-WINDOWS-[acak]-winlogon.exe
* C:-WINDOWS-lsass.exe
* C:-WINDOWS-system32-[acak]-[acak].cmd
* C:-WINDOWS-[acak].exe
* C:-WINDOWS-system32-[acak].exe
* C:-WINDOWS-[acak]-[acak].com

W32/Moonlight.L sengaja menggandakan dirinya dengan nama-nama mirip servis bawaan Windows seperti “smss.exe”, “service.exe” dengan maksud agar prosesnya tidak mudah dihentikan menggunakan Task manager bawaan Windows. Perlu diketahui, Task manager akan menolak menghentikan proses dengan nama meliputi: “service.exe”, “smss.exe”,”system.exe”,”winlogon.exe”, dan “lsass.exe”.

Karena worm dibuat menggunakan VB6, dan karena setiap aplikasi VB6 membutuhkan runtime yang bernama “msvbvm60.dll”, worm ini melakukan strategi cerdik agar file runtime tersebut tidak dihapus atau terhapus (yang membuat worm tidak bisa berjalan). Caranya, dengan membuat  backup file runtime tersebut ke “C:-WINDOWS-system-msvbvm60.dll”.
Hal lain yang dilakukan Moontime adalah membuat file bernama “MooNlight.txt” pada direktori Windows (contoh: “C:-Windows-MooNlight.txt”). File ini berisi pesan dari pembuatnya yang mengaku bernama nick “Lunalight” alias “Moonlight”:

Penyebaran
Cara penyebaran W32/Moonlight.L sangat mirip dengan worm legendaris W32/Brontok alias W32/Rontokbro, yaitu dengan menggandakan dirinya ke setiap direktori dengan nama sama dengan direktori induknya.

Pembersihan dan pencegahan
Untuk membersihkannya cukup mudah, yang perlu Anda lakukan hanyalah menjalankan AVI (Antivirus Info Komputer) yang telah dibundel menjadi satu pada DVD bawaan majalah ini. Jalankan, dan lakukan pemeriksaan ke setiap lokasi dan media penyimpanan yang terhubung pada komputer Anda. Perlu diingat, jangan lakukan aktifitas apapun selama proses pemeriksaan. Sebagai upaya pencegahan kami sarankan Anda untuk memasang AVI sebagai guard untuk menghindari komputer Anda terinfeksi kembali oleh worm ini.

Changelog AVI 2.0.4.9:

  • Perbaikan bug buffer overflow yang menyebabkan AVI crash ketika melakukan update online.
  • Perbaikan bug compatibility dengan Windows Vista/7.
  • Perbaikan bug access violation yang menyebabkan AVI crash ketika sedang melakukan scanning.
  • Perbaikan salah deteksi pada beberapa file sistem Windows 7.

sumber : http://www.infokomputer.com

One response to this post.

  1. jo, tambahin link blog lw dnk….
    ni alamat blog w…
    http://piqay.blogspot.com/
    ok…

    Reply

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: