Bosgentongs Blog

 

Nama lain virus : W32/Sality.AE, W32.Sality.AE, TROJ_AGENT.XOO [Trend], W32/Sality.ae [McAfee], Sality.AG [Panda Software], Win32/Sality.Z [Computer Associates], Win32/Sality.AA [Computer Associates]

Virus ini akan meng infeksi dan merusak file exe / com / scr. Ukuran file yang sudah terinfeksi Sality akan bertambah besar beberapa KB dan masih dapat di jalankan seperti biasa. Biasanya virus ini akan mem blok antivirus atau removal tools selain itu juga akan memblok task manager atau registry editor Windows. Untuk mempermudah dalam proses penyebarannya selain memanfaatkan File Sharing dan Default Share virus ini juga akan memanfaatkan media Flash Disk dengan cara membuat file acak dengan ekstensi exe/com/scr/pif serta menambahkan file autorun.inf

Untuk blok task manager atau Registry tools, Sality akan membuat :

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystem

* DisableRegistryTools
* DisableTaskMgr

File yang terinfeksi akan men dekrip dirinya dan mencoba copy *.dll (acak) dan menginjeksi file lain yang aktif di memori serta file lain yang terdapat di computer dan network (file sharing) serta
menginfeksi file *.exe yang terdapat dalam list registry hingga virus dapat aktif secara otomatis setiap kali komputer dinyalakan.

*  HKLMSoftwareMicrosoftWindowsCurrentVersionRun
*  HKCUSoftwareMicrosoftWindowsCurrentVersionRun
*  HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache

Beberapa file *.dll yang akan di drop oleh Sality.

*  C:Windowssystem32syslib32.dll
*  C:Windowssystem32oledsp32.dll
*  C:Windowssystem32olemdb32.dll
*  C:Windowssystem32wcimgr32.dll
*  C:Windowssystem32wmimgr32.dll

Selain membuat file DLL, sality juga akan membuat file *.sys [acak] di direktori C:Windowssystem32drivers [misal : kmionn.sys]
Blok Antivirus dan software security

program security dan antivirus yang dimatikan prosesnya : ALG, aswUpdSv, avast! Antivirus, avast! Mail Scanner, avast! Web Scanner, AVP, BackWeb Plug-in – 4476822, bdss, BGLiveSvc, BlackICE, CAISafe, ccEvtMgr, ccProxy, ccSetMgr, F-Prot Antivirus Update Monitor, fsbwsys, FSDFWD, F-Secure Gatekeeper Handler Starter, fshttps FSMA,InoRPC, InoRT, InoTask, ISSVC, KPF4, LavasoftFirewall, LIVESRV, McAfeeFramework, McShield, McTaskManager, navapsvc, NOD32krn, NPFMntor, NSCService, Outpost Firewall main module, OutpostFirewall, PAVFIRES, PAVFNSVR, PavProt, PavPrSrv, PAVSRV, PcCtlCom, PersonalFirewal, PREVSRV, ProtoPort Firewall service, PSIMSVC, RapApp, SmcService, SNDSrvc, SPBBCSvc, Symantec Core LC, Tmntsrv, TmPfw, tmproxy, UmxAgent, UmxCfg, UmxLU, UmxPol, vsmon, VSSERV, WebrootDesktopFirewallDataService, WebrootFirewall, XCOMM

Beberapa website juga di blok seperti : Cureit, Drweb, Onlinescan, Spywareinfo, Ewido, Virusscan, Windowsecurity, Spywareguide, Bitdefender, Panda software, Agnmitum, Virustotal, Sophos, Trend Micro, Etrust.com, Symantec, McAfee, F-Secure, Eset.com, Kaspersky

Sality juga merubah registry :

*  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Setting”GlobalUserOffline” = “0″
* HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem”EnableLUA” = “0″
*  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesxxx [xxx adalah acak, contoh : abp470n5]
*  HKEY_CURRENT_USERSoftware[USER NAME]91
* HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_WMI_MFC_TPSHOKER_8
*  HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_IPFILTERDRIVER

Selain itu akan merubah beberapa string registry Windows Firewall berikut dengan menambahkan value dari 0 menjadi 1:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center

*  AntiVirusDisableNotify
*  AntiVirusOverride
*  FirewallDisableNotify
*  FirewallOverride
*  UacDisableNotify
*  UpdatesDisableNotify

dan membuat key “SVC” serta string berikut dengan value 1

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterSvc

*  AntiVirusDisableNotify
*  AntiVirusOverride
*  FirewallDisableNotify
*  FirewallOverride
*  UacDisableNotify
*  UpdatesDisableNotify

Sality menghapus key HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesALG. ALG ( Application Layer Gateway Service ) adalah services yang memberikan support untuk plug-in protokol aplikasi dan meng-enable konektivitas jaringan / protokol. Jika service ini dimatikan, program seperti MSN Messenger dan Windows Messenger tidak akan berfungsi. Service ini bisa dijalankan, hanya jika menggunakan firewall, baik firewall bawaan Windows atau firewall lain. Jika tidak komputer yang terinfeksi virus ini akan mengalami celah keamanan yang serius.

Blok safe mode
User tidak dapat booting pada mode “safe mode” hal imi di sebabkan adannya penghapusan key :

*  HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBoot
*  HKEY_LOCAL_MACHINESYSTEMControlSet002ControlSafeBoot
*  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot

Injeksi file exe / com / scr
File yang ber ekstensi “.exe” yang terdapat dalam list registry menyebabkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.

*  HKLMSoftwareMicrosoftWindowsCurrentVersionRun
*  HKCUSoftwareMicrosoftWindowsCurrentVersionRun
*  HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache

File yang di injeksi ukurannya bertambah sekitar 68 – 80 KB dari ukuran semula. Salah satu kecanggihan Sality adalah kemampuannya menginjeksi file induk sehingga ukuran file bervirus tidak seragam, jelas lebih sulit diidentifikasi dibandingkan virus lain yang menggantikan file yang ada sehingga ukuran filenya akan sama besar.

Tidak semua program antivirus dapat membersihkan file yang sudah terinfeksi Sality, file tersebut bisa rusak setelah di scan dan di bersihkan oleh antivirus tersebut.

Untuk memperlancar aksinya, virus ini akan akan melakukan koneksi ke sejumlah alamat web yang sudah ditentukan, dan mendownload trojan / virus lainnya yang di sinyalir merupakan varian dari versi sebelumnya ( update ).

Eksploitasi Default Share dan Full Sharing
Sality akan menyebar dengan cepat melalui jaringan dengan memanfaatkkan default share windows atau share folder yang mempunyai akses full dengan cara menginfeksi file yang mempunyai ekstensi exe/com/scr. Maka sebaiknya nonaktifkan Default Share (C$, D$ .. dst) dan hindari Full Sharing folder di jaringan.Sality juga akan menambahkan string [MCIDRV_VER] dan DEVICEMB=xxx, dimana xxx menunjukan karakter acak ke dalam file C:Windowssystem.ini.

Membuat File Induk
Sality akan membuat dua buah file induk di directory c:\windows\system32 dengan nama wmdrtc32.dll dan wmdrtc32.dl_, File
wmdrtc32.dll dibuat dengan ukuran sekitar 40 KB, diset beratribut normal sedangkan file yang kedua yaitu wmdrtc32.dl_ dengan ukuran 26 KB diset beratribut hidden, file ini dibuat virus untuk mengelabui seolah-olah file tersebut file windows yang di rename dan disembunyikan oleh virus, padahal file tersebut adalah masih virus. dua file ini tidak bisa di delete langsung.


CARA PEMBERSIHAN?????

===Cara1. Menggunakan Norman===

# Putuskan hubungan komputer dari jaringan LAN dan internet
# Matikan System Restore selama proses pembersihan virus Sality berlangsung.
# Matikan program aplikasi yang aktif di memori terutama dalam daftar startup.
# Download Sality Repair disini <via Ziddu>
# Extract file SalityRepair dan klik kanan file repair.inf kemudian klik kanan dan klik Install
# Download Norman Malware Cleaner disini atau download secara langsung disini
# Ubah ekstensi Norman Malware Cleaner dari .exe menjadi .cmd agar aplikasi Norman Malware Cleaner tersebut tidak diinfeksi oleh virus sality
# Lakukan scanning menggunakan Norman Malware Cleaner.cmd (ekstensi .exe sudah anda rubah menjadi .cmd)
# Restart komputer anda setelah proses cleaning selesai
# Download FixReg disini <via ziddu> agar komputer dapat booting safe mode.
# Extrack FixReg.rar dan jalankan registri yang ada di folder FixReg sesuai dengan windows yang anda gunakan.
# Restart komputer anda.
# Periksa task manager, regedit dsb untuk memastikan komputer anda sudah sembuh. Anda juga bisa melakukan scanning pada safe mode untuk memastikan komputer anda sudah benar – benar bersih dari virus sality.
# INGAT JANGAN SEKALI-KALI MENGUNAKAN ANTIVIRUS HASIL BACKUP-AN DARI KOMPUTER YANG TELAH TERJANGKIT OLEH VIRUS SALITY KARENA DIMUNGKINKAN ANTIVIRUS ANDA SUDAH TERINFEKSI SALITY. APABILA FLASHDISK ANDA TERKENA SALITY SEGERA BERSIHKAN ATAU DIFORMAT. Download-lah atau instal antivirus yang updetannya terbaru dengan media removable yang bersih tentunya.

===Cara 2. Menggunakan AVG for Sality===

# Download rmsality (virus removal untuk virus sality dari Grisoft), berisi tiga file yang harus anda download ke dlm satu folder rmsality.exe ; rmsality.dos ; rmsality.nt berguna untuk mencabut header virus dari file terinfeksi
# Download fileASSASSIN Download Disini <Via Ziddu> berguna untuk mendelete file yang tidak bisa dihapus
dengan cara biasa
# Instal dan jalankan file ASSASSIN dan arahkan atau ketik di menu browsenya ke c:\windows\system32\wmdrtc32.dll delete file-nya di cheklist kemudian klik execute. ulangi untuk file yang kedua c:\windows\system32\wmdrtc32.dl_
# Jalankan program rmsality.exe yang sudah di download dan biarkan melakukan proses scanning secara keseluruhan.
# Setelah selesai anda akan mendapatkan beberapa file yang tidak bisa di clean (failed to clean) dan antivirus meminta anda untuk mereboot system.
# Reboot system anda. Biarkan rmsality melakukan proses scanning pada proses booting.
(anda juga bisa melakukan scanning per-drive dengan cara masuk ke menu run, kemudian ketik cmd, kemudian masuk ke direktori rmsality dimana anda menyimpannya, kemudian ketik contoh: rmsality c:)
# Untuk meyakinkan silahkan scan lagi dengan antivirus yang lain, seperti ANSAV, AVG, Avira, Smadav dll.

Klo aku sich pernah ngebersihin virus ini dengan cara 2 kemudian dilanjutkan ke cara 1 Wuuh Bersih abizz... kan Klo pakek Semua cara lebih Mantab. Semoga berhasil yaw.... :)
Klo ada pertanyaan tentang sality silahkan bertanya di kolom komentar, Ntar saya usahain jawab dech. Insya Allah....

Dikutip dari yahoo answer dan diubah seperlunya.