Kampungku

Kampungku
Sungai di kampungku

Jumat, 16 Desember 2011

AWAS VIRUS:WIN32/VIRUT.BIN

Aliases
Top
________________________________________

Symptoms
Ada tidak ada gejala umum yang terkait dengan ancaman ini. Lansiran dari perangkat lunak Antivirus yang diinstal mungkin symptom(s) hanya.

Atas
________________________________________
Informasi teknis (analisis)
Virus:Win32/Virut.BN adalah deteksi untuk infector polimorfik file yang menargetkan.EXE dan.SCR Windows file. Virus ini juga membuka backdoor dengan menghubungkan ke server IRC, yang memungkinkan penyerang jauh untuk men-download dan menjalankan file yang sewenang-wenang pada komputer yang terinfeksi.
Menyebar melalui...
Infeksi File executable
Win32/Virut.BN menonaktifkan Windows Sistem File Perlindungan (SFP) dengan menyuntikkan kode ke dalam proses Windows "winlogon.exe". Kode yang dimasuki patch sistem file "sfc_os.dll" dalam memori yang pada gilirannya memungkinkan virus menginfeksi file yang dilindungi oleh SFP.

Virus menginfeksi.EXE dan.SCR file akses, maka tindakan seperti menyalin atau melihat file dengan Explorer, termasuk pada saham (dengan akses write) akan menghasilkan file yang terinfeksi, dan virus yang menyebar dari satu komputer ke komputer.

Virus menyuntikkan kode sendiri ke dalam proses sistem seperti "explorer.exe" atau "winlogon.exe", dan kait tingkat rendah (NTDLL layer) Windows API panggilan untuk tinggal di memori. Kait fungsi-fungsi berikut di setiap proses berjalan (NTDLL.DLL):

NtCreateFile
NtOpenFile
NtCreateProcess
NtCreateProcessEx

Jadi, setiap kali sebuah proses yang terinfeksi panggilan salah satu fungsi-fungsi ini, pelaksanaan kontrol dilewatkan ke virus.

HTML File infeksi
Menulis kode ke file HTML yang menambahkan IFrame tersembunyi yang menunjuk ke domain "zief.pl". Ketika HTML file dibuka, browser menghubungkan ke server ini tanpa pengguna pengetahuan. HTML halaman yang di-host di lokasi ini berusaha untuk memanfaatkan sejumlah kerentanan yang berbeda (termasuk orang-orang yang mempengaruhi browser pengguna dan aplikasi lainnya) dalam rangka untuk menjalankan salinan virus. File HTML yang diubah ini terdeteksi sebagai Virus:HTML/Virut.BH.

Virus juga memodifikasi berkas hosts mesin lokal, yang mengarahkan domain "zief.pl" ke localhost (127.0.0.1) sehingga sudah terinfeksi mesin tidak akan berjalan jauh-host salinan virus.

Muatan
Fungsi backdoor
Virut.BN menghubungkan ke Internet Relay saluran (IRC) server "irc.zief.pl" melalui port 80 menggunakan saluran yang tertentu. Harus ini gagal, itu bukan mencoba untuk menyambung ke "proxim.ircgalaxy.pl" juga menggunakan port 80.

Ini berisi fungsi untuk men-download dan menjalankan file yang sewenang-wenang pada sistem yang terpengaruh. Ini mungkin termasuk tambahan malware. Backdoor juga dapat digunakan untuk mengubah host yang menghubungkan ke pengendalian.

Analysis by Dan Kurc

Atas
________________________________________

Pencegahan
Mengambil langkah-langkah berikut untuk membantu mencegah infeksi pada komputer Anda:
• Mengaktifkan firewall pada komputer Anda.
• Mendapatkan update terbaru komputer untuk semua Anda menginstal perangkat lunak.
• Menggunakan up-to-date perangkat lunak antivirus.
• Membatasi hak pengguna pada komputer.
• Gunakan hati-hati ketika membuka lampiran dan menerima file transfer.
• Gunakan hati-hati ketika mengklik pada link ke halaman web.
• Menghindari men-download perangkat lunak bajakan.
• Melindungi diri terhadap serangan rekayasa sosial.
• Menggunakan sandi yang kuat.
Mengaktifkan firewall pada komputer Anda
Menggunakan produk firewall pihak ketiga atau Hidupkan Firewall Sambungan Internet Windows Microsoft.
• Cara mengaktifkan Windows Firewall pada Windows 7
• Cara mengaktifkan Windows Firewall pada Windows Vista
• Cara mengaktifkan Windows firewall pada Windows XP
Mendapatkan update terbaru komputer
Pembaruan membantu melindungi komputer Anda dari virus, worm, dan ancaman lainnya seperti mereka ditemukan. Sangat penting untuk menginstal pembaruan untuk semua perangkat lunak yang diinstal di komputer Anda. Ini biasanya tersedia dari vendor website.

Anda dapat menggunakan fitur pembaruan otomatis di Windows untuk men-download secara otomatis masa depan Microsoft security update ketika komputer dan terhubung ke Internet.
• Cara mengaktifkan pembaruan otomatis di Windows 7
• Cara mengaktifkan pembaruan otomatis pada Windows Vista
• Cara mengaktifkan pembaruan otomatis pada Windows XP

Menggunakan up-to-date perangkat lunak antivirus
Kebanyakan perangkat lunak antivirus dapat mendeteksi dan mencegah infeksi dengan perangkat lunak berbahaya yang dikenal. Untuk membantu melindungi Anda dari infeksi, Anda harus selalu menjalankan perangkat lunak antivirus, seperti Microsoft Security Essentials, yang diperbarui dengan berkas tanda tangan terbaru. Untuk informasi lebih lanjut, Lihat http://www.microsoft.com/security/antivirus/av.aspx.


Membatasi hak pengguna di komputer
Dimulai dengan Windows Vista dan Windows 7, Microsoft memperkenalkan User Account Control (UAC), yang, ketika diaktifkan, memungkinkan pengguna untuk menjalankan dengan hak pengguna yang paling. Skenario ini membatasi kemungkinan serangan oleh malware dan ancaman lainnya yang membutuhkan hak administratif untuk menjalankan.

Anda dapat mengkonfigurasi UAC di komputer Anda untuk memenuhi preferensi Anda:
• User Account Control di Windows 7
• User Account Control pada Windows Vista
• Menerapkan prinsip hak istimewa setidaknya pada Windows XP
• Lebih di kontrol Account pengguna
Gunakan hati-hati ketika membuka lampiran dan menerima file transfer
Berhati-hati dengan email dan lampiran diterima dari sumber-sumber yang tidak diketahui, atau menerima tiba-tiba dari sumber-sumber yang dikenal. Gunakan hati-hati ketika menerima file transfer dari sumber-sumber yang dikenal atau tidak dikenal.
Gunakan hati-hati ketika mengklik pada link ke halaman web
Berhati-hati dengan link ke halaman web yang Anda terima dari sumber-sumber yang tidak diketahui, terutama jika link ke halaman web Anda tidak akrab dengan, yakin tujuan atau curiga. Perangkat lunak berbahaya dapat diinstal di komputer Anda hanya dengan mengunjungi laman web dengan konten berbahaya.
Menghindari men-download perangkat lunak bajakan
Ancaman juga dapat dibundel dengan perangkat lunak dan file yang tersedia untuk di-download di berbagai situs torrent. Men-download perangkat lunak "retak" atau "bajakan" dari situs ini membawa tidak hanya risiko terinfeksi dengan malware, tetapi juga ilegal. Untuk informasi lebih lanjut, lihat 'risiko mendapatkan dan menggunakan perangkat lunak bajakan'.
Melindungi diri dari serangan rekayasa sosial
Meskipun penyerang mungkin berusaha untuk mengeksploitasi kerentanan dalam perangkat keras atau perangkat lunak untuk kompromi komputer, mereka juga berusaha untuk mengeksploitasi kerentanan dalam perilaku manusia untuk melakukan hal yang sama. Ketika seorang penyerang yang mencoba untuk mengambil keuntungan dari perilaku manusia untuk membujuk pengguna yang dipakai untuk melakukan tindakan penyerang dari pilihan, itu dikenal sebagai 'rekayasa sosial'. Pada dasarnya, rekayasa sosial adalah serangan terhadap manusia antarmuka komputer target. Untuk informasi lebih lanjut, lihat 'Apakah rekayasa sosial?'.
Menggunakan sandi yang kuat
Penyerang dapat mencoba untuk mendapatkan akses ke Windows account dengan menebak sandi. Oleh karena itu penting bahwa Anda menggunakan sandi yang kuat-salah satu yang tidak dapat mudah ditebak oleh penyerang. Sandi yang kuat adalah salah satu yang memiliki minimal 8 karakter, menggabungkan huruf, angka, dan simbol. Untuk informasi lebih lanjut, lihat http://www.microsoft.com/protect/yourself/password/create.mspx.

Atas
________________________________________

Pemulihan
Untuk mendeteksi dan menghapus ancaman ini dan perangkat lunak berbahaya lainnya yang dapat diinstal di komputer Anda, menjalankan sistem penuh scan dengan produk antivirus terbaru seperti berikut:

• Microsoft Security Essentials
• Pemindai keamanan Microsoft

Untuk informasi lebih lanjut tentang perangkat lunak antivirus, lihat http://www.microsoft.com/windows/antivirus-partners/.

Catatan:Metode infeksi yang digunakan oleh Win32/Virut dapat merusak file-file yang terinfeksi beberapa diperbaiki. Dalam kasus ini, untuk kembali mesin ke keadaan pre-infected, mungkin perlu menginstal cadangan bersih dari sistem operasi dan aplikasi yang terkait.

Sembuh dari infeksi berulang pada jaringan
Langkah-langkah tambahan berikut mungkin perlu diambil untuk benar-benar menghapus ancaman ini dari jaringan yang terinfeksi, dan untuk menghentikan infeksi berulang dari ini dan serupa lainnya jenis malware menyebarkan jaringan:

1. Memastikan bahwa produk antivirus yang diinstal pada semua mesin yang terkoneksi ke jaringan yang dapat mengakses atau host saham (lihat di atas untuk detail lebih lanjut).
2. Memastikan bahwa semua tersedia saham scan dengan produk antivirus terbaru.
3. Membatasi izin yang sesuai untuk jaringan saham pada jaringan Anda. Untuk informasi lebih lanjut tentang kontrol akses sederhana, lihat: [url]http://technet.microsoft.com/en-us/library/bb456977.aspx.
4. Menghapus setiap tidak perlu jaringan saham atau dipetakan drive.

Catatan: Selain itu mungkin diperlukan untuk sementara mengubah izin pada jaringan berbagi untuk read-only sampai proses desinfeksi selesai Atas
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)