Darkside of Oktavianus

Making virus and all of them as our friends

ALMAN, Virus Yang Doyan Makan File EXE

Posted by oktavianus pada Januari 3, 2008

Teknik pertahanan virus dengan membuat file induk berekstensi exe, com, ataupun scr di drive system saat ini sudah mulai kehilangan popularitas alias sudah ketinggalan zaman. Pasalnya, trik yang banyak digunakan oleh virus-virus lokal ini sudah sedemikian lumrah, mudah dikenali dan dijinakkan. Cukup dengan memakai windows task manager saja atau pake tools lain semisal ProcessExplorer, System Task Manager, ProcLister, IceSwords dan semacamnya kita dapat dengan mudah mengenali file induk yang dibuat oleh virus lalu mematikan proses atau bahkan menghapus filenya sekalian. Sebutlah sederetan virus lokal seperti brontok, kangen, decoil, Mr. CoolFace, Wayang, Blue Fantasy, dan Moon Light ternyata masih mengusung teknik seperti itu.

Selangkah lebih maju, kspoold bersaudara muncul mengusung teknik yang lebih cerdas dengan cara membuat file avmeter32.dll atau avwav32.dll di direktori system yang akan menginjeksi file explorer.exe. Namun demikian, kehadiran kspoold di komputer kita dengan segera dapat disadari selain karena aksinya merubah file doc dan xls menjadi exe di flash disk (varian barunya katanya merubah seluruh file doc di komputer menjadi bmp) juga karena virus ini masih menulis sebuah file bernama kspoold.exe di direktori system yang dapat dilihat melalui task manager.

Sekitar 1 bulan kemarin saya menemukan sebuah virus baru (mungkin juga ini virus lama, tetapi saya baru menemukannya) yang saya juga tidak tahu apakah virus tersebut made in Indonesia atau bukan, tetapi yang jelasnya virus ini hadir dengan teknik penyamaran yang lebih baik lagi.

Virus yang dikenali dengan nama ALMAN oleh AVG dan Kaspersky ini terbilang cukup unik karena selain kemampuannya menginfeksi file exe, file induk yang dibuatnya cukup sulit dilacak karena bukan berupa file executable tetapi file berekstensi dll sehingga aktivitasnya tidak akan tampak jika dilihat melalui jendela task manager.

Aksi sang virus
Jika menginfeksi system, virus alman akan membuat 2 file di direktori system yakni wmdrtc32.dll dan wmdrtc32.dl_. File wmdrtc32.dll dibuat dengan ukuran sekitar 40 KB, diset beratribut normal. File ini ditugaskan untuk menginjeksi file explorer.exe miliknya windows setiap kali dijalankan. Ini saya ketahui setelah mengintipnya dengan tools gratisan a-squared HijackFree yang sebenarnya juga sedang terinfeksi. Ternyata file wmdrtc32.dll terdaftar sebagai salah satu module yang sedang digunakan oleh file explorer.exe. Demikian halnya file-file executable lain yang telah terinfeksi ketika dieksekusi akan menggunakan file tersebut sebagai salah satu modulnya. Ini mirip dengan aksi yang dilakukan oleh file avmeter32.dll atau avwav32.dll milik virus kspoold. Selanjutnya file wmdrtc32.dl_ berukuran sekitar 26,5 KB dan diset beratribut system dan hidden. Disinilah terlihat kelihaian teknik social engineeringnya karena jika dilihat sepintas lalu, file wmdrtc32.dl_ seolah-olah merupakan file milik windows yang telah direname oleh virus dan digantikan dengan file lain dengan ukuran berbeda. Dengan demikian, kita dapat terkecoh hanya menghapus file wmdrtc32.dll (40 KB) kemudian mengembalikan ekstensi dll pada file wmdrtc32.dl_ (26,5 KB) karena mengira itu filenya windows.
Mengenali file yang terinfeksi

Sebenarnya cukup sulit untuk mengenali file exe yang telah diinfeksi oleh virus ini hanya dengan melihatnya saja. Hal ini disebabkan karena sebagian besar file yang diinfeksinya tetap dapat berjalan dengan normal kecuali beberapa file seperti PCMAV-CLN.exe dan PCMAV-RTP (keduanya antivirus buatan PC Media) yang pernah saya temui.

Namun demikian, sebenarnya jika kita dapat menghafal ukuran file-file executable kita, maka file yang terinfeksi dapat segera dikenali dengan melihat pada perubahan ukuran filenya. Setiap file exe dapat diinfeksi sampai dua kali oleh virus ini, masing-masing dengan penambahan ukuran file sebesar 28 KB dan 40 KB. Maksudnya, jika sebuah file telah terinfeksi dan bertambah ukurannya sebesar 28 KB, maka infeksi selanjutnya akan menambah ukuran file sebesar 40 KB, demikian pula sebaliknya. Jadi, setiap file yang terinfeksi dapat bertambah ukurannnya sebesar 68 KB.

Mematikan Proses Virus
Sebenarnya saya tidak tahu dunia program sama sekali. Jadi saya tidak punya jurus jitu melawan virus ini karena file wmdrtc32.dll tidak dapat di delete begitu saja. Hanya saja karena file dll yang dibuat juga menginfeksi file explorer.exe seperti yang dilakukan oleh kspoold, saya jadi teringat dengan artikel yang pernah saya download dari vaksin.com. Diartikel tersebut ada source code remover sederhana untuk mematikan proses virus sekaligus menghapus file virusnya yang bias dibuat dengan notepad. Source code ini dapat dimodifikasi untuk mematikan proses serta menghapus file wmdrtc32.dll dan wmdrtc32.dl_ yang terdapat di direktori system. Saya tidak menyertakan source codenya disini karena artikelnya akan semakin membengkak ukurannya. Selain itu saya malas dicap suka menjiplak tulisan orang. Jadi kalau mau download sendiri aja di situsnya vaksin.com!
Membersihkan file terinfeksi

Lantas bagaimana nasib file-file exe yang telah terinfeksi? Sampai saat ini, liris terakhir PCMedia yakni PCMedia RC22 belum mengenal virus Alman sama sekali, sedangkan Ansav mengenalnya dengan nama Sality tetapi tidak dapat membersihkannya, file terinfeksi akan dihapus. Hal tersebut tidak berbeda jauh dengan Anti Virus AVG yang hanya main delete saja ketika bertemu virus ini. Berhubung karena saya bukan seorang programmer dan tidak tahu-menahu sama sekali seputar dunia pemrograman, saya hanya mengandalkan kaspersky (bisa juga pake McAfee) update baru yang telah dapat mengenal virus ini dengan baik serta dapat membersihkan file-file yang terinfeksi meskipun tidak semua file dapat dibersihkan dengan sempurna.

Thanks to :

1. Dosen dan Ketua jurusanku yang telah membantuku melepaskan diri dari jurang DO 31 Agustus lalu

2. Vee yang telah memberiku pelajaran sangat berharga meskipun menyakitkan

3. Mua-muanya dech

eL!t!zT

12 Tanggapan to “ALMAN, Virus Yang Doyan Makan File EXE”

  1. dhani said

    Virus Alman hampir sama dengan virus Sality, yaitu mennginfeksi aplikasi windows dengan menyusupinya. Sebenarnya semua Anti Virus yang telah di update dengan yang terbaru bisa menghilangkannya, namun banyak anti virus yang updetannya tersebut membabat habis semua aplikasi windows dan aplikasi pendukungnya yang disusupi virus tsb, sehingga semua aplikasi tersebut tidak bisa berjalan. Sedangkan yang kita harapkan adalah memisahkan antara virus dengan aplikasinya. Aku pernah mencoba dengan Anti virus Nod32 versi 2.7 yang bisa di download di “http://c1p1.wordpress.com/2007/10/20/nod32-version-27-crack” kalau updatenya di http://www.ziddu.com/download.php?uid=aK2alpWoYqugl5mtr6yZlJyiYauWlZqt1. Anti virus nod32 ver 2.7 bisa membersihkan virusnya dengan menscan dan pilih opsi clean untuk memisahkan antara virusnya dan aplikasi windows. Setelah kita install Nod32 v2.7 beserta crack-nya dan kita update dengan cara meng-ekstrack semua file yang berada di file update ke direktori “ c:\Program Files\Eset\”, kemudian restart dan jalankan Anti Virus Nod32 jangan lupa pilih opsi clean dan pilih scan & clean. Selamat mencoba semoga berhasilllll.

  2. budisetya said

    tanya mas kalau tool removalaja yang bisa ngilangin apa ya ?

  3. Me said

    Wah, info bagus nih..tengkyu Bro…aku coba dulu deh coz udah takut2 nih. Aku lg nyusun Skripsi skrg jd mo scan jg takut program2nya pada eror krn .exe nya ikut ke hapus.

    Bro, tolongin aku dong..gmn cara hilangin virus2 itu secara manual tanpa harus merusak program2 yang udah terinstall…

    anyway???

    (Eh, Bos…kalo bisa balas ke email aja ya?)

    = cil_x2003@yahoo.com =

  4. arsy said

    nih klu mau bunuh virus alman download aja update avg di ziddu
    nih link nya
    http://www.ziddu.com/download.php?uid=Z6ybl5unbrGenZqts6yZlJyiZa%2BWlZWt5

  5. xsoboy said

    wkwkwkw….

    saya baru dapat nieh virus….

    es we te dech….

    ga tau file2 apa aja yg dah kejangkit ma nieh virus…. yg jelas dengan update nod32… nieh virus bisa di delete (yg saya liat di statusnya) dan yg di delete itu yg extensinya…

    C:windows/system32/wmdrtc32.dl_

    sedangkan yg

    C:windows/system32/wmdrtc32.dll

    saya ga tau rimbanya di mana….

    yg jelas ke 2 file tersebut sudah ga ada lagi di direktori

    C:windows/system32

  6. virus alman pake norman aja. avg kurang bersih. ambil disini:
    http://benbego.com/free-host/?uploadmbID=1218208226&srv=www&filename=Norman_Virus_Alman_Cleaner.zip

    Admin, linknya di edit ya. kepanjangan.

  7. Kelvie said

    From :MAGGOT
    To :ALMAN
    Waiting for satan to blessed fuck’n your SIN!!!

  8. ali fahmi said

    kalo file exe keinfeksi, coba pake mcafee. udah kucoba, mampu membersihkan hampir 100% file yg keinfeksi.
    instal+update terbaru. kalo dah bersih, uninstal aja. soalnya tujuan qt kan nyelametin file doang😀

  9. ariz.nd said

    kalo aku sih pake kaspersky 7, si alman langsung di sapu bersih dari sistem, n Kav ngembaliin file .exe yg ke inject virus lain, misal sality atau varian-nya, tapi saya pernah ngalami kasus dimana file .doc (word 03) ma .docx (word 07) terinfeksi virus (entah saya lupa virus apa…) kav gak bisa disinfect, tspi lsng di delete, saya pake update 20-07-08,
    cuma kav saya belum ada serial numbernya, jadi gak bisa download update,
    .nd

  10. some one said

    kalo aku pake smadav… belum tau sih hasilnya kaya gimana, coz aku sekarang lagi proses cleaning… mudah2an aja antivirus buatan wong indonesia ini bisa ampuh tuk menghapus yang namanya alman or salty itu….

  11. saya udah pake smadav update 1 des 2009 kedetek sih cuma g bisa di apus , cuma bisa di karantina ngselin ene

  12. opik said

    saya udah scan pake smadav tapi ga bisa di clean tapi bisa di delete dan udah kehapus sih sih virusnya,,,,pa masih bisa kena virus alamn lagi…?

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: