Karakteristik
W32/Moonlight dibuat menggunakan compiler andalan vxer (sebutan bagi pembuat program jahat) lokal yakni VB6 (Visual Basic 6) dan dimampatkan menggunakan program PE packer FSG. Ukuran aslinya sebesar 324 KB, lalu setelah dimampatkan menjadi 144 KB. Identitasnya sendiri menggunakan icon folder Windows XP standar.
Aksi (Payload)
Ketika pertama kali berjalan, W32/Moonlight.L akan membuat file “systear.dll” pada direktori system, contoh: “C:-WINDOWS-system32-systear.dll”. File ini merupakan file inisialisasi agar worm dapat mengenali dirinya dan sebagai penanda posisi di mana worm telah disebarkan. Setelah itu, Moonlight membuat file penunjang berbentuk dynamic link library (DLL) “moonlight.dll” pada direktori Windows (contoh: “C:-WINDOWS-moonlight.dll”) dan mengekstraksi file musik berformat MIDI “onceinabluemoon.mid” ke direktori Windows. Setelah itu, worm ini membuat direktori dengan nama acak pada subdirektori Windows dan System dengan format “C:-WINDOWS-[acak]”. Maksud “[acak]” disini berisi nama acak misalnya:
“C:-WINDOWS-FLR1S4G”
“C:-WINDOWS-system32-LDF6I7R”
Penggunaan nama acak tersebut kemungkinan dimaksudkan untuk mempersulit proses investigasi dan pembersihan.
Kemudian worm akan menggandakan dirinya pada tempat-tempat berikut:
* C:-WINDOWS-[acak]-service.exe
* C:-WINDOWS-[acak]-smss.exe
* C:-WINDOWS-[acak]-system.exe
* C:-WINDOWS-[acak]-winlogon.exe
* C:-WINDOWS-lsass.exe
* C:-WINDOWS-system32-[acak]-[acak].cmd
* C:-WINDOWS-[acak].exe
* C:-WINDOWS-system32-[acak].exe
* C:-WINDOWS-[acak]-[acak].com
Penyebaran
Cara penyebaran W32/Moonlight.L sangat mirip dengan worm legendaris W32/Brontok alias W32/Rontokbro, yaitu dengan menggandakan dirinya ke setiap direktori dengan nama sama dengan direktori induknya.
Pembersihan dan pencegahan
Untuk membersihkannya cukup mudah, yang perlu Anda lakukan hanyalah menjalankan AVI (Antivirus Info Komputer) yang telah dibundel menjadi satu pada DVD bawaan majalah ini. Jalankan, dan lakukan pemeriksaan ke setiap lokasi dan media penyimpanan yang terhubung pada komputer Anda. Perlu diingat, jangan lakukan aktifitas apapun selama proses pemeriksaan. Sebagai upaya pencegahan kami sarankan Anda untuk memasang AVI sebagai guard untuk menghindari komputer Anda terinfeksi kembali oleh worm ini.
W32/Moonlight dibuat menggunakan compiler andalan vxer (sebutan bagi pembuat program jahat) lokal yakni VB6 (Visual Basic 6) dan dimampatkan menggunakan program PE packer FSG. Ukuran aslinya sebesar 324 KB, lalu setelah dimampatkan menjadi 144 KB. Identitasnya sendiri menggunakan icon folder Windows XP standar.
Aksi (Payload)
Ketika pertama kali berjalan, W32/Moonlight.L akan membuat file “systear.dll” pada direktori system, contoh: “C:-WINDOWS-system32-systear.dll”. File ini merupakan file inisialisasi agar worm dapat mengenali dirinya dan sebagai penanda posisi di mana worm telah disebarkan. Setelah itu, Moonlight membuat file penunjang berbentuk dynamic link library (DLL) “moonlight.dll” pada direktori Windows (contoh: “C:-WINDOWS-moonlight.dll”) dan mengekstraksi file musik berformat MIDI “onceinabluemoon.mid” ke direktori Windows. Setelah itu, worm ini membuat direktori dengan nama acak pada subdirektori Windows dan System dengan format “C:-WINDOWS-[acak]”. Maksud “[acak]” disini berisi nama acak misalnya:
“C:-WINDOWS-FLR1S4G”
“C:-WINDOWS-system32-LDF6I7R”
Penggunaan nama acak tersebut kemungkinan dimaksudkan untuk mempersulit proses investigasi dan pembersihan.
Kemudian worm akan menggandakan dirinya pada tempat-tempat berikut:
* C:-WINDOWS-[acak]-service.exe
* C:-WINDOWS-[acak]-smss.exe
* C:-WINDOWS-[acak]-system.exe
* C:-WINDOWS-[acak]-winlogon.exe
* C:-WINDOWS-lsass.exe
* C:-WINDOWS-system32-[acak]-[acak].cmd
* C:-WINDOWS-[acak].exe
* C:-WINDOWS-system32-[acak].exe
* C:-WINDOWS-[acak]-[acak].com
Penyebaran
Cara penyebaran W32/Moonlight.L sangat mirip dengan worm legendaris W32/Brontok alias W32/Rontokbro, yaitu dengan menggandakan dirinya ke setiap direktori dengan nama sama dengan direktori induknya.
Pembersihan dan pencegahan
Untuk membersihkannya cukup mudah, yang perlu Anda lakukan hanyalah menjalankan AVI (Antivirus Info Komputer) yang telah dibundel menjadi satu pada DVD bawaan majalah ini. Jalankan, dan lakukan pemeriksaan ke setiap lokasi dan media penyimpanan yang terhubung pada komputer Anda. Perlu diingat, jangan lakukan aktifitas apapun selama proses pemeriksaan. Sebagai upaya pencegahan kami sarankan Anda untuk memasang AVI sebagai guard untuk menghindari komputer Anda terinfeksi kembali oleh worm ini.
Worm ini ADMIN sampaikan dengan menyadur dari INFOkomputer OKTOBER2009
Pembersihan Dan Pencegahan, akan kami berikan download-an nya, klik disini
Tidak ada komentar:
Posting Komentar