View: 3434|Reply: 1
|
ZeroAccess (ZAccess) Rootkit - Mimpi ngeri pengguna komputer (Bahagian 2)
[Copy link]
|
|
Salam...
Hi semua. Thread ni merupakan sambungan dari thread bahagian 1. Dalam thread ni, saya akan menerangkan lebih lanjut lagi mengenai ZAccess rootkit ini. Bagaimana agaknya pengguna boleh terkena jangkitan rootkit ini? 1 benda penting yang korang kena fikir masak2 dan ingat sampai bila2. Sudah semestinya korang selalu / suka menggunakan software CRACK kan? Kenapa pakai software CRACK? Sebab software terlampau mahal, misal kata Adobe Photoshop dimana harganya boleh mencecah RM500. Tidak semua orang mampu untuk membeli software tersebut. Akan tetapi, terdapat banyak KEYGEN dan PATCH yang sudah menembusi dunia teknologi (I.T) kita, dimana kita boleh mendownload melalui file-file sharing, torrent dan sebagainya. Mesti korang xpernah terpikir sejauh mana impaknya benda yang korang download tuh kerana setiap CRACKERS (orang yang mahir dalam crack software), mereka akan selitkan kod2 yang jahat dan adakalanya hanya sekadar kod2 yang bersih. Agak susah untuk menilai kan bagaimana nak tahu sama ada kod tersebut adalah virus @ bukan. Untuk mengetahui lebih lanjut, korang boleh pergi ke thread Kejuruteraan Terbalik (Reverse Engineering) yang saya share kan.
Tapi, apa pula kaitannya ZAccess ni dengan software crack? ZAccess biasanya akan dipasang (install) oleh komponen dropper yang datang dari komputer lain. Komponen dropper berfungsi sebagai meletakkan / menyimpan virus atau malware secara senyap dan tanpa diketahui. Cara yang sering kali menyebabkan pengguna kena jangkitan adalah memuat turun software crack contohnya keygen atau patch yang digunakan untuk crack software yang asli. Software crack ini boleh didapati dimana2 laman sesawang, dan sehingga kini, terdapat masih banyak lagi ZAccess yang wujud didunia siber ini. List-list dibawah adalah fail-fail crack yang berpotensi digunakan untuk menjadi dropper, tapi anda kena ingat, bukan ini sahaja, malah terdapat banyak lagi yang kita tidak perasan dan mungkin ada tersimpan didalam PC kita.
- Redtube.grabber.keygen.exe
- madden_crack.exe
- 1309803008.Microsoft.Office.Professional.crack.exe
- Windows7_loader.exe
ZAccess merupakan rootkit yang berjaya kerana ia mampu untuk menerima "update" dan mempunyai kebolehan untuk PATCH (menampal lubang2 / loophole yang sering kali dijumpa oleh penganalisa virus) untuk memuat naik kod2 yang jahat yang baru supaya boleh mengelakkan daripada dikesan oleh AV. Sehingga kini, masih belum dikenal pasti lagi dari mana datangnya / asalnya ZAccess ini. Tetapi, melalui statistik URL dan IP address mengatakan domain dari negara CHINA (.CN) adalah merupakan top rated. Antara vendor2 AV yang memberi nama spesifik untuk mengesan rootkit ini adalah:
Microsoft: TrojanDropper:Win32/Sirefef.B
Kaspersky: TrojanDropper:Win32.ZAccess, Backdoor.Win32.ZAccess
Norman: W32/ZAccess.F, W32/Zbot.WTG
Symantec: Trojan.Zeroaccess
Sophos: Troj/ZAccess-F
F-Secure: Rootkit.ZAccess.A, Trojan.Sirefef.K, Trojan:W64/ZAccess
Kebanyakan AV masih tidak mampu untuk membuang rootkit ini kerana ia mempunyai teknik2 yang agak sukar untuk dibuang. Antara karekteristik dan simptom2 yang menyebabkan jangkitan:
- Ia akan cuba untuk membuat fail secara rambang (random name) didalam folder %SYSTEMROOT%\system32\config\<random> atau C:\windows\prefetch\<random>. Kawasan fail ini akan digunakan untuk menyimpan Virtual Encrypted File System, tetapi akan digunakan oleh ZAccess ini untuk menyimpan fail konfigurasi dan fail2 lain yang boleh menyokong rootkit ini.
- Kelebihan ZAccess ini adalah, ianya mampu untuk PATCH fail sistem pemandu (system driver) seperti vgs.sys dan sebagainya. PATCH ini berfungsi sebagai mekanisme untuk ia aktif ketika Windows sedang reboot.
- Fail sistem pemandu yang asli itu sebenarnya dialihkan ke Virtual Encrypted File System. Rootkit tersebut akan memanipulasi setiap keaslian sistem pemandu tersebut.
- Rootkit ini mampu untuk menghasilkan peranti TripWire. Peranti ini akan nampak seperti asli, tetapi apabila pengguna cuba mengakses kedalam peranti tersebut, ia akan memberitahu bahawa peranti tersebut mempunyai pertahanan (Protection).
- Peranti TripWire tersebut akan menggunakan nama seperti ini: \\??\Global\systemroot\system32\svchost.exe
- Antara teknik baru yang digunakan ZAccess ini adalah peranti TripWire ADS. Untuk lebih lanjut mengeneai ADS ---> http://msdn.microsoft.com/en-us/library/aa364404.aspx.
- Dengan teknik baru ni, ia akan cuba untuk memasang / drop ke %SYSTEMROOT%\<randomnumbers>:<randomnumbers>.exe sebagai contoh: \systemroot\12345678:87654321.exe
- Rootkit ini akan membuat service dan akan cuba untuk dipointkan ke ImagePath iaitu peranti TripWire dimana ianya berpotensi menjadi salah 1 daripada Windows services yang tampak seperti asli.
Itu adalah simptom2 yang sering kali terjadi kepada pengguna yang terkena jangkitan rootkit ini. Ia merupakan jangkitan yang paling teruk setakat ini kerana ianya terlalu susah untuk setiap AV membuang rootkit tersebut. List2 dibawah adalah bagaimana cara2 dan software2 yang berhasil dan mampu untuk remove rootkit ini:
- http://www.combofix.org/download.php
- http://www.combofix.org/malwarebytes.php
- http://malwaretips.com/Thread-Ho ... otkit-Removal-Guide
- http://www.symantec.com/security ... 2011-121607-4952-99
- http://www.malwarecity.com/commu ... p=downloads&showfile=34
- http://www.malwarecity.com/blog/ ... -as-1-2-3-1160.html
- http://www.f-secure.com/v-descs/rootkit_w32_zaccess.shtml
Baiklah, sampai disini sahaja saya kongsikan ilmu yang xseberapa ni. So kepada pengguna2 PC diluar sana, sila berhati2 ketika memuat turun software2 crack, kerana kita tidak tahu sekiranya PC kita telah terkena jangkitan atau tidak kerana ianya mampu untuk menyembunyikan diri. Sekiranya korang ada masalah berkaitan dengan rootkit ni, jangan segan silu untuk bertanya.
Salam 1 Malaysia (Yuri) |
|
|
|
|
|
|
|
terima kasih sekali lagi untuk info |
|
|
|
|
|
|
| |
|