W32/Webmoner.BNH: Pencuri Data yang Memanfaatkan Celah Keamanan Keluarga Windows

Trojan Webmoner, yang pertama kali muncul di tahun 2004, selama ini dikenal sebagai trojan pencuri data dari komputer korbannya. Sejak kemunculannya, ratusan varian trojan tersebut telah lahir dan beberapa waktu yang lalu, sebuah varian baru trojan tersebut, W32/Webmoner.BNH ditemukan!

Seperti kebanyakan trojan dari keluarga Webmoner, W32/Webmoner.BNH juga memanfaatkan celah keamanan pada keluarga sistem operasi Windows. Dengan memanfaatkan celah keamanan tersebut, W32/Webmoner.BNH mampu menyusupkan dirinya ke dalam rundll32, salah satu proses standar dalam sistem operasi Windows. Trojan tersebut menggunakan rundll32 untuk menutupi berbagai tindakannya, seperti membaca aktivitas pengguna dan melakukan penyebaran diri. Penggunaan rundll32 oleh trojan terkadang juga menimbulkan masalah pada sistem operasi, salah satunya adalah crash di Windows Explorer.

Selain memanfaatkan rundll32, trojan W32/Webmoner.BNH juga secara aktif memanfaatkan resource jaringan dan koneksi Internet untuk mengirim data yang didapat dari pemantauan aktivitas pengguna komputer ke suatu server tertentu. Trojan tersebut juga mampu mengirimkan file dokumen milik pengguna ke server tersebut. Satu hal yang menarik, selain mengirimkan data, trojan tersebut juga mendownload “update” dari server!

Di samping memanfaatkan jaringan untuk hal di atas, W32/Webmoner.BNH ternyata juga mampu menyebarkan diri melalui jaringan. Hal tersebut dilakukan dengan memanfaatkan fitur file sharing di jaringan. Bila ada pengguna komputer lain yang mengakses shared file/folder di komputer yang terserang trojan, maka trojan akan langsung menyerang komputer lain tersebut. Selain cara tersebut, trojan W32/Webmoner.BNH juga dapat menyebarkan diri melalui media penyimpanan eksternal, sama seperti kebanyakan malware yang beredar.

Lalu, bagaimana cara mengatasi trojan tersebut? Berikut ini adalah cara mengatasi trojan W32/Webmoner.BNH dengan menggunakan Dr.Web CureIt! seperti yang disarankan oleh vaksin.com:

1. Putuskan koneksi komputer dari jaringan/internet.
2. Matikan dan hapus trojan W32/Webmoner.BNH dengan cara:
   • Download tools untuk membersihkan trojan W32/Webmoner.BNH melalui komputer yang belum terinfeksi
   • Setelah selesai, kompress file tersebut ke dalam file zip.
   • Kopi file tersebut ke komputer yang terinfeksi.
   • Klik kanan file zip tersebut, kemudian klik explore.
   • Jalankan tools langsung dari dalam file .zip.
   • Jika jendela Dr.Web CureIt muncul, klik OK untuk menjalankan dalam mode EPM (Enhanced Protection Mode).
   • Klik Start kemudian klik Yes untuk memulai pencarian.
   • Biarkan hingga proses scan selesai.
3. Perbaiki registry yang telah diubah oleh trojan, ikuti langkah-langkah berikut ini:
   • Salin script dibawah ini ke dalam notepad:
     [spoiler show=”Tampilkan” hide=”Sembunyikan”][Version]
     Signature=”$Chicago$”
     Provider=Vaksincom Oyee 2011

     [DefaultInstall]
     AddReg=UnhookRegKey
     DelReg=del

     [UnhookRegKey]
     HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
     HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
     HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
     HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
     HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
     HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
     HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
     HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
     HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe

     [del]
     HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, RECYCLER

     [/spoiler]

   • Simpan file dengan nama “repair.inf”. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan.
   • Klik kanan file “repair.inf”, kemudian pilih “install”.
   • Restart komputer.
4. Bersihkan temporary file dari jejak trojan. Lakukan langkah-langkah berikut ini:
   • Buka “Run”
   • Ketik perintah pada kotak open: cleanmgr, kemudian klik OK
   • Pada drive system (C) klik OK, biarkan proses scan drive.
   • Setelah muncul jendela Disk Cleanup, beri tanda centang di depan “Temporary Files” kemudian klik OK.
   • Tunggu hingga proses selesai.
5. Install security patch MS10-046 sesuai dengan versi Windows yang Anda gunakan. Silahkan download pada link berikut: http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx
6. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update sehingga dapat mengenali trojan ini dengan baik.

Sumber: vaksin.com