Sabtu, 28 Mei 2011


  • W32/Webmoner.BNH (PWS.Kann.12)
    Gerombolan Siberat” yang menginfeksi Rundll32.exe

    Beberapa waktu lalu, sering diberitakan pada beberapa media bahwa telah terjadi pencurian data/dokumen militer Indonesia saat berada di Korea Selatan. Insiden pencurian data/dokumen apalagi menyangkut data militer Indonesia dianggap menjadi skandal memalukan bagi Indonesia, terutama dari segi pengamanan yang lengah dan tidak ketat. Diduga, pencurian data terjadi pada hotel tempat delegasi menginap, dan pencuri berhasil menyalin beberapa dokumen dari laptop salah satu delegasi Indonesia. Sebenarnya banyak pengamanan yang dapat diterapkan komputer dan dokumen penting, salah satunya adalah menerapkan NDC Norman Device Control http://www.norman.com/products/device_control/en yang secara otomatis akan mengenkripsi data di komputer, membatasi / memblok pengkopian data melalui USB dan memberikan pengamanan tambahan untuk data di USB dimana semua data yang di kopi ke USB akan di enkripsi sehingga jika jatuh ke tangan yang tidak berhak data secara teoritis sangat sulit untuk di dekripsi tanpa mengetahui kode dekripsi yang tepat.

    Kejahatan komputer memang kerap terjadi dan cenderung meningkat. Apalagi didukung dengan perkembangan teknologi informasi yang semakin pesat, yang justru semakin beragam cara yang digunakan bagi para penjahat komputer. Berbagai cara yang dilakukan diantaranya : hacking atau cracking, melakukan deface website, mengirim trojan/keylogger untuk mendapatkan user dan password, mengakses komputer tanpa ijin dan mengirim atau mengcopy data, serta membocorkan data rahasia ke luar/internet

    Salah satu metode yang sering digunakan bagi para penjahat komputer yaitu dengan mengirim sebuah trojan yang memiliki kemampuan mencatat data aktif seperti username dan password, yang kemudian data tersebut akan dikirim kembali ke pengirim tersebut. Salah satu trojan yang dapat melakukan aksi tersebut yaitu Trojan Webmoner. Dan hingga saat ini, tercatat sudah ratusan varian Webmoner yang menyerang pengguna komputer.

    Bagi anda yang para pengguna komputer di Indonesia, harap berhati-hati karena sejak Januari 2011 hingga saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan trojan ini, dan salah satu varian baru yang terdeteksi oleh Vaksincom adalah W32/Webmoner.BNH. (lihat gambar 1)
    Gambar 1, Norman mendeteksi varian baru dari W32/Webmoner

    Keluarga Webmoner : Pencuri data pribadi
    Keluarga Webmoner merupakan salah satu kelompok trojan yang dirancang untuk mencuri informasi/data dari pengguna komputer terutama hal-hal yang berhubungan dengan data pribadi keuangan.

    W32/Webmoner ditemukan sejak tahun 2004, dan hingga kini sudah ratusan varian W32/Webmoner yang beredar. Salah satu varian terbaru dari W32/Webmoner yang terdeteksi yaitu W32/Webmoner.BNH.

    Lagi, manfaatkan Celah Keamanan (vulnerability) dari Windows
    Tampaknya, trend shortcut sudah menjadi kiblat baru bagi para pembuat virus untuk melancarkan aksinya menginfeksi pengguna komputer dengan mudah. Dengan memanfaatkan celah keamanan pada Windows yaitu Windows Shell Icon Handler / LNK (MS10-046), maka trojan W32/Webmoner.BNH dapat dengan mudah masuk dan menginfeksi komputer serta melakukan penyebaran dengan cepat.







    Aktif menggunakan file Windows (rundll32)
Agar tidak mudah diketahui oleh pengguna komputer, trojan W32/Webmoner.BNH berusaha menyamarkan identitas saat aktif dengan memanfaatkan file system Windows yaitu RUNDLL32.exe. Dengan file tersebut, trojan W32/Webmoner.BNH dapat dengan mudah melakukan infeksi, membaca aktivitas pengguna serta melakukan koneksi pada Remote Server. (lihat gambar 2)
Gambar 2, Proses trojan yang aktif menggunakan file system RUNDLL32.exe

  • Membuat komputer menjadi hang (explorer hang)
Saat komputer dinyalakan pertama kali dan login, Windows Explorer akan terasa lambat (hang) akibat aktifitas dari trojan yang menjalankan beberapa file RUNDLL32.EXE. Dengan begitu, pengguna komputer akan merasa terganggu dan tidak nyaman menggunakan komputer.

  • Melakukan koneksi ke Remote Server
Trojan W32/Webmoner.BNH berusaha melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Koneksi ke remote server dilakukan dengan menggunakan berbagai macam port acak seperti :
  • 127.0.0.1 : 45316, 2820, 5339, 47347, 28787, 30738, dll
  • xx.195.47.170 : 57381
  • Mengupdate dirinya seperti antivirus
Agar mempermudah aksi-nya, trojan W32/Webmoner.BNH juga melakukan download beberapa file tertentu dari Remote Server serta agar tetap terupdate dan tidak mudah dikenali oleh antivirus.
  • Melakukan transfer data/dokumen yang telah didapatkan ke Remote Server
Tujuan utama dari trojan W32/Webmoner.BNH adalah mendapatkan informasi dari pengguna komputer yang sudah terinfeksi. Untuk melakukan hal tersebut, trojan W32/Webmoner.BNH menggunakan perintah command sebagai berikut :

C:\WINDOWS\system32\ftp.exe ftp-s : C:\WINDOWS\system32\ftp.sys-A

Diposting oleh di
Label:

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)