Worm W32.Imaut.N « Blognya Erlangga

Worm W32.Imaut.N

Beberapa waktu yang lalu, komputer dirumahku kena worm dengan identitas W32.Imaut.N. Sempat merepotkan, tapi tidak bersifat merusak kok, cuma ngerepotin aja. Kalo menurut Symantec, tingkat kerusakan yang ditimbulkan sangat rendah (very low).

Worm ini juga dikenali sebagai W32.Yautoit.N sebelum 7 Juni 2007. Oleh Kaspersky Anti-Virus, worm ini dikenali sebagai IM-Worm.Win32.Sohanad.t. Sedangkan oleh Sophos dikenali sebagai W32/Sohana-R.

Worm ini menyebar di internet melalui Yahoo!Mesenger. Setelah ngendon di komputer korban, dia menyebar dengan menggunakan media penyimpanan data apapun.

Ciri-ciri removable disk yang terinfeksi adalah terdapat sebuah folder dengan ekstensi *.exe. Jika folder tersebut di double click, maka worm akan secara otomatis menginfeksi sistem anda. Dalam setiap folder akan tercipta satu folder.exe. Misal, dalam folder Photo akan tercipta Photo.exe.

Setelah worm aktif dan sukses menginfeksi komputer victim (ghuaya, pake bahasa Inggris!), worm akan mengunduh (download, bahasanya aneh bener!) sebuah file dari [http://]www.freewebs.com/nhattru[REMOVED].

Kemudian worm akan menyimpan file hasil download sebagai %System%\RVHOST.exe. Worm selanjutnya menciptakan file %System%\new folder.exe pada shared drive.

Worm ini akan membuat entry registry sebagai berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Shell” = “Explorer.exe ” RVHOST.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”Yahoo Messengger” = “%System%\RVHOST.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\”shared” = “[SHARED DRIVE]\New Folder.exe”
yang akan executed saat Windows mulai.

Worm juga akan menghapus registry2 berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\”Run” = “BkavFw”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\”Run” = “IEProtection”

Worm mengubah registry default menjadi:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\”DisableTaskMgr” = “1″ (registry ini mengakibatkan task manager tidak dapat dipanggil saat kita menekan tombol Ctrl+Alt+Del. Kemudian akan muncul kotak pesan “Task Manager has been disabled by your sistem administrator.”)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\”DisableRegistryTools” = “1″ (anda tidak dapat menjalankan regedit untuk segera memperbaiki gangguan yang timbul)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\”NofolderOptions” = “1″ (Folder Option pada menu tools dan Control Panel tidak muncul.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\”AtTaskMaxHours” = “0″(Untuk registry yang satu ini aku belum tahu secara detail efeknya.)

Setelah men-Disabled Task Manager dan Regedit, serta menghilangkan Folder Option, worm akan mengirimkan pesan berikut melalui Yahoo!Mesengger.

“E may, vao day coi co con nho nay ngon lam [http://]nhattruongquang.0catch.com

“Vao day nghe bai nay di ban [http://]nhattruongquang.0catch.com”

“Biet tin gi chua, vao day coi di [http://]nhattruongquang.0catch.com”

“Trang Web nay coi cung hay, vao coi thu di [http://]nhattruongquang.0catch.com”

“Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan… Ve dau toi biet di ve dau? [http://]nhattruongquang.0catch.com”

“Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa… [http://]nhattruongquang.0catch.com”

“Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi… [http://]nhattruongquang.0catch.com”

“Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo… [http://]nhattruongquang.0catch.com”

“Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon…[http://]nhattruongquang.0catch.com”

Kalo nggak ada YM, paling mudah worm akan mem-paste pesan tersebut ke dalam dokumen Ms. Word yang sedang aktif.

Waspada apabila saat ngetik tiba2 muncul pesan seperti diatas. Atau Task Manager has been disabled by your system administrator. Atau Folder Option anda hilang dari peradaban. W32.Imaut.N telah menginfeksi komputer anda.

Penyembuhan

Matikan System Restore
Scan dengan Symantec Anti-Virus atau Norton Anti-Virus (Penulis bukannya fanatik dengan kedua antivirus ini, tapi karena dapet infonya dari Symantec. Pembaca bisa juga menggunakan Sophos, Kaspersky atau AVG yang sudah di-update tentunya).
Ubah nilai-nilai registry Windows yang telah diubah oleh worm. Tentunya hal itu tidak serta merta dapat dilakukan karena worm telah men-disabled regedit. Untuk mengembalikan fungsi regedit, klik UnHookExec.inf. Download file, kemudian setelah berhasil klik kanan pada file berekstension *.inf itu, pilih Install.
1. Hapus:
  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Shell” = “Explorer.exe ” RVHOST.exe”
  2. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”Yahoo Messengger” = “%System%\RVHOST.exe”
  3. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\”shared” = “[SHARED DRIVE]\New Folder.exe”
2. Ubah ke nilai semula:
  1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\”DisableTaskMgr” = “1″
  2. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\”DisableRegistryTools” = “1″
  3. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\”NofolderOptions” = “1″
  4. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\”AtTaskMaxHours” = “0″
  5. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\”Run” = “BkavFw”
  6. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\”Run” = “IEProtection”

Setelah selesai, keluar dari regedit.

Untuk keterangan lebih lengkap dan removal kit nya, silahkan kunjungi : W32.Imaut.N - Symantec.com

~ by erlanggapramayuda on 15 August 2007.

2 Responses to “Worm W32.Imaut.N”

Please translate it into english and please send in my email.plzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz

I’d like to, but I’m affraid my English is bad. I’m sorry. So, try to follow the link at the end of the post. Or this,
http://www.symantec.com/security_response/writeup.jsp?docid=2006-121310-2059-99&tabid=1

Deepak said this on 1 November 2007 at 11:50 pm
[...] http://erlangga23.wordpress.com/2007/08/15/worm-w32imautn/ [...]

Jo Point Of View » Blog Archive » Virus / Worm Di Yahoo Messenger said this on 10 May 2008 at 6:18 pm

	Jo Point Of View … on Worm W32.Imaut.N
	bintdbonz on Cerpen 1
	nova on Cerpen 1
	Deepak on Worm W32.Imaut.N
	benbego on Cerpen 1

Blognya Erlangga

Worm W32.Imaut.N

Penyembuhan

2 Responses to “Worm W32.Imaut.N”

Leave a Reply

Kaca

GoogleAds

Karung Goni

ArSheep

Postingan Anyar, Je!!

Komen Anyaran

Postingan APik Tenan

Kotak Kotak

adek ku

arek2 pikmi yes

Top Refrence