Rabu, September 26, 2018
Text Size

Search

Update Berita

SSL to secure from hacker attacks

Open-source software developer Kai Engert has proposed an overhaul to the Internet's SSL...

Cara Menghemat Bandwidth Internet, mempercepat browsing

Ada situasi ketika menggunakan internet kita harus benar-benar hemat dengan penggunaan bandwidth ...

Istana Merespons Aksi 313 Berhentikan Ahok

Juru Bicara Presiden Joko Widodo, Johan Budi Sapto Pribowo menegaskan, Presiden Jokowi sangat...

Twitter Bakal Sediakan Layanan Berbayar?

KOMPAS.com - Setelah selama ini hanya meyediakan layanan gratis yang didukung iklan, Twitter...

Megawati: Ahok, Sudahlah Jangan Cerewet

.   Kompas.com - Megawati menasihati Ahok agar tidak terlalu banyak bicara. Mengingat kondi...

Butuh kеrjа? Cоbа cеk di Jооblе

Butuh kеrjа? Cоbа cеk di Jооblе.       Pаdа zаmаn yаng sаngаt k...

  • Tips mengatasi bosen dalam pekerjaan

    Kamis, 01 November 2012 07:48
  • Grunt Mars probe stranded in Earth orbit

    Kamis, 10 November 2011 09:40
  • SSL to secure from hacker attacks

    Senin, 27 Februari 2012 21:09
  • Cara Menghemat Bandwidth Internet, mempercepat browsing

    Minggu, 23 September 2012 18:03
  • Istana Merespons Aksi 313 Berhentikan Ahok

    Kamis, 30 Maret 2017 19:45
  • Twitter Bakal Sediakan Layanan Berbayar?

    Kamis, 30 Maret 2017 19:49
  • Megawati: Ahok, Sudahlah Jangan Cerewet

    Kamis, 30 Maret 2017 19:54
  • Butuh kеrjа? Cоbа cеk di Jооblе

    Kamis, 30 Maret 2017 20:09
Wmplayerc Merupakan Worm Lokal
SocialTwist Tell-a-Friend

Wmplayerc Merupakan Worm Lokal

Penilaian Pengunjung: / 0
KurangTerbaik 

Wmplayerc merupakan worm lokal yang sudah dikenal sejak PCMAV 2.2a Update Build3 dan dilaporkan menyebar luas di Indonesia. Kali ini akan ditampilkan analisa lebih lengkapnya. Efek merugikan dari virus ini adalah menghapus file-file multimedia yang dikenali dari daftar ekstensi file yang disimpan pada tubuh virus. File-file multimedia yang ditemukan akan digantikan dengan file virus yang siap dijalankan dan menyebar.

Daftar Ekstensi File
Berikut adalah daftar ekstensi file multimedia yang dapat menjadi korban virus ini adalah:
.AVI
.3GP
.MP4
.FLV
.ASF
.M4V
.MPE
.VMV
.M1V
.M2V
.VOB
.MOV
.WVX
.MKV
.MPA
.MPV
.DIV
.M2P
.3G2
.DAT
.MPEG
.DIVX
.REAL

Manipulasi Folder
Dalam upayanya menyembunyikan diri dan kembali aktif (seandainya Anda berhasil mematikan prosesnya di memory), virus ini membuat duplikat folder-folder yang ada pada root drive dalam bentuk shortcut/link, dan menyembunyikan folder asli dengan atribut sistem/superhidden.

Alhasil, sekilas komputer Anda tampak baik-baik saja, hanya saja kalau diperhatikan melalui Windows Explorer, Anda akan melihat folder yang ada pada root drive (misalnya Windows, Program Files) memiliki size 2 KB. Sementara, folder yang sesungguhnya tidak
mencantumkan ukuran pada Windows Explorer. Untuk melihat kondisi sebenarnya, atur konfigurasi Windows Explorer dengan memilih menu Tools – Folder Options, pililh “Show hidden files and folders”, dan hapus tanda centang pada pilihan “Hide extensions for known file types” dan “Hide protected operating system files (Recommended)”.

Apa yang terjadi saat Anda meng-klik folder bohongan tersebut? Yang dijalankan adalah perintah berikut:

%WINDIR%\system32\rundll32.exe Shell32.dll,ShellExec_RunDLL “RÊCYCLÊR\  .com” “NamaFolder”

“NamaFolder” adalah folder sebenarnya. Folder tersebut tetap terbuka, tetapi sebelumnya virus telah dieksekusi, terlihat bahwa induk virus disimpan dengan nama “ .com” (tanpa tanda kutip) pada folder RÊCYCLÊR.

Folder Bohongan Wmplayerc

Pembedahan Virus
Virus ini memiliki beberapa “daftar cekal” berupa URL website-website porno lokal, jadi saat komputer yang terinfeksi melakukan browsing ke beberapa website porno tersebut, komputer akan shutdown dengan sendirinya.

Virus juga melakukan pengecekan terhadap program yang berjalan, dengan mendeteksi caption yang terdapat pada program tersebut. Kembali beberapa kata berkonotasi porno dicekal oleh virus. Selain itu, string Norman Malware Cleaner, PROCEXPL, PeiD v0.95, PeiD v0.94, dan OLLYDBG juga termasuk daftar string yang akan membuat sang virus melakukan shutdown pada komputer.

Komputer dapat terinfeksi virus ini melalui flash disk yang telah terinfeksi, yaitu saat pengguna meng-klik folder bohongan pada flash disk atau media storage yang sebenarnya berupa link pemanggil virus. Selain itu, ketidakwaspadaan juga dapat membuat Anda mengklik file virus yang menyamar sebagai file multimedia, lengkap dengan icon media player untuk menjebak pengguna.

Selain menciptakan file induk yang berukuran sekitar 66 KB pada folder  RÊCYCLÊR, file induk juga diciptakan pada folder Program Files\Windows Media Player dengan nama Wmplayerc.exe atau Xvidshow.exe (jika komputer Anda terinstal codec XviD). Pengambilan  string dengan membedah dan memetakan kembali tubuh virus divisualisasikan pada gambar berikut.

Bedah virus

Pada tubuh virus juga terdapat perintah shutdown.exe -r -f -t 00, yang besar kemungkinannya merupakan perintah yang akan dieksekusi saat virus mendeteksi pengaksesan website porno atau caption tertentu. Parameter -r memberikan instruksi shutdown dan restart, parameter -f memaksa aplikasi lain tertutup, dan parameter -t 00 merupakan timeout untuk melakukan proses shutdown, dalam hal ini diset 0 detik.

Saat aktif, virus ini memuat file dropper ke memory dengan nama svchost.exe, yang berfungsi untuk memonitor traffic TCP/IP sehingga dapat mendeteksi saat Anda menjalankan URL yang termasuk dalam daftar web porno yang disimpan oleh dropper. File dropper ini dibuat dengan VisualBasic dan berukuran sekitar 9 KB. Selain itu, string bertuliskan “Tak gendong kemana-mana.. Enak Tau !!! Ha Ha Ha Ha” juga tampak pada tubuh file ini.

Gunakan PCMAV terbaru untuk pembersihan secara tuntas virus Wmplayerc. Perhatikan jika terdapat file yang Anda yakini adalah  nama file multimedia milik Anda -  tetapi terdeteksi sebagai virus Wmplayerc -  maka file tersebut sudah bukan file video yang asli lagi, tetapi file virus yang menyamar (silakan cek ukuran dan ekstensi file tersebut jika Anda masih ragu-ragu), sedangkan file video yang asli telah raib dihapus oleh virus tersebut. Lakukan recovery sebisanya jika Anda terlanjur mengalami hal ini.

Comments
Add New Search
Write comment
Name:
Email:
 
Website:
Title:
 
:angry::0:confused::cheer:B):evil::silly::dry::lol::kiss::D:pinch:
:(:shock::X:side::):P:unsure::woohoo::huh::whistle:;):s
:!::?::idea::arrow:
 
Please input the anti-spam code that you can read in the image.

3.25 Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved."

Advertisement Site




Ads - World Friend

Ads - World Friend

Berita lain-lainnya

Kisah Dramatis dalam Badai Sandy di AS
01/11/2012 | Indra Febria Widy
article thumbnail

MARGARET Chu (36) dari Manhattan melahirkan seorang bayi laki-laki, Cole, menjelang tengah hari Senin (29/10) di Pusat Medis Langone, Universitas New York, yang terletak tak jauh dari East River, N [ ... ]


Bioskop Indonesia | Film Indonesia
21/01/2010 | Indra Febria Widy
article thumbnail

Bioskop World Friend Bioskop World Friend merupakan informasi tentang Film Bioskop yang akan di tanyangkan maupun sedang di tanyangkan. Melalui info ini kamu bisa mengetahui info tentang bioskop in [ ... ]