Sality merupakan virus berjenis PE Infector (Polymorphic) yang menginfeksi file-file Executabe “exe”. Virus yang memiliki nama asli w32.Hllp.KukuJoker ini banyak dikeluhkan pengguna computer diseluruh dunia, terutama di indonesia banyak sekali pengguna komputer yang melaporkan telah terinfeksi oleh virus ini
Virus ini masih belum jelas asal usulnya, dugaan sementara virus ini
berasal dari cina, selain mempunyai kemampuan untuk menginfeksi
file-file executable virus ini juga memilki kemampuan rootkit, sehingga
selain sulit untuk dibersihkan dari system, file-file yang terinfeksi
juga cukup sulit untuk diperbaiki, menggunakan beberapa tools remover
dan antivirus juga terkadang malah bisa menimbulkan kerusakan pada
file yang terinfeksi bahkan bisa menghapusnya.
Beberapa Antivirus Luar mendeteksi Virus ini sebagai :
Malware.Sality [PCTools] W32.Sality!dr [Symantec] Virus.Win32.Sality.bh [Kaspersky Lab] W32/Sality.dr [McAfee] Troj/SalLoad-C [Sophos] Virus:Win32/Sality.AT [Microsoft] Win32.SuspectCrc [Ikarus] Win32/Kashu.E [AhnLab]
Karakteristik Virus
Jika kita lihat memang tidak terlalu banyak perbedaan antara file yang
terinfeksi dengan file yang belum terinfeksi, yang membedakan hanyalah
ukuran yang bertambah lebih besar dari ukuran sebelum terinfeksi,
biasanya ukuran yang bertambah hanya beberapa KB saja.
Jika file terinfeksi tersebut dijalankan, maka file tersebut dapat
berjalan seperti biasanya, sehingga user tidak mengira bahwa file yang
ia jalankan tersebut telah terinfeksi virus, padahal dibalik itu virus
sudah menetap di system.
Teknik yang digunakan virus sality adalah dengan membelokan EntryPoint
asli file ke EntryPoint-nya virus, maka saat dijalankan virus yang
terlebih dahulu aktif, baru kemudian virus meneruskan nya ke EntryPoint
asli file yang terinfeksi, sehingga file yang dijalankan akan aktif
seperti biasa nya.
Saat aktif virus akan membuat beberapa file induknya di system :
%Windir%\system32\drivers\<acak>.sys
Virus akan mengektrak file driver dari dalam tubuhnya dan menaruhnya
disystem dengan nama acak, driver ini digunakan untuk bersembunyi di
system. Contoh : amsint32.sys dan iirktn.sys
Infeksi file Executable & Screen Saver
Infeksi file executable dan Screen saver
Virus akan mencari semua file berektensi ”.exe” & ”.scr” yang ada di
seluruh drive computer korban nya, jika virus menemukanya virus akan
menginfeksinya dengan membelokan EntryPoint asli ke EntryPoint nya
virus. Sality mempunyai kemampuan untuk mengecek apakah file yang akan
diinfeksi dilindungi oleh system atau tidak, jika file tersebut
dilindungi oleh system maka sality tidak akan menginfeksinya, seperti
file-file yang dilindungi oleh Windows File Protection (WFP) atau System
File Checker (SFC).
Infeksi Removable Disk dan Jaringan
Berbeda dengan teknik infeksi variant sebelumnya, variant sality kali
ini memanfaatkan fitur Autorun untuk mempercepat penyebaranya. File
Autorun yang digunakan virus memiliki nama dan ektensi acak (exe dan
pif) . Seperti : xvftea.exe atau xvftea.pif, dan ukuranya sekitar 100 –
101 KB
Di jaringan virus juga akan menginfeksi setiap folder yang memiliki FULL
ACCESS Read & Write, dengan membuat sebuah shortcut exploit yang
akan langsung aktif apabila user memasuki folder yang sudah terdapat
shortcut exploit tersebut.
Menghapus File
Sality akan mencari file berektensi “.VDB” dan “.AVC” jika ditemukan
akan langsung dihapus. Ektensi file ini biasanya digunakan oleh beberapa
antivirus untuk menyimpan database virus.
Block Website
Sality akan memblock website atau domain yang mengandung kata seperti
upload_virus , sality-remov, virusinfo. cureit. drweb. onlinescan. spywareinfo. ewido. virusscan. windowsecurity. spywareguide. bitdefender. pandasoftware. agnmitum. virustotal.sophos. trendmicro. etrust.com symantec. mcafee. f-secure. eset.com, kaspersky. dll
Menghapus Registry Key
Untuk mempertahankan dirinya virus menghapus beberapa key di registry yang dianggap mebahayakan kehidupan virus.
HKCU\System\CurrentControlSet\Control\SafeBoot
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\P rofileList
HKLM\Software\Microsoft\Windows\CurrentVersion\Ext \Stats
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects
Effek dari beberapa key yang dihapus diatas membuat user tidak dapat memasuki modus SAFE MODE
Cara Pembersihan
1. Untuk membersihkan virus ini secara tuntas, download tool removal sality dari kaspersky dibawah ini :
Download
0 komentar:
Posting Komentar