Win32/TrojanDownloader.Delf.AZM

10 Replies

Udah dari satu bulan yang lalu PC gue di kantor dicurigai terjangkit varian baru dari sebuah worm (varian Win32 / TrojanDownloader .Delf. AZM klo si NOD32 bilang). Anehnya si antivirus dikantor yaitu Norton gak mendeteksi sesuatu yang ganjil. Norton udah tua kayaknya ;))

Karena di laptop gue pake NOD32 dan ternyata si worm tadi terdeteksi, jadinya gue tenang-tenang aja walaupun harus sering berinteraksi dengan media-media yang terinfeksi dari kantor.

Hingga tadi, ada waktu luang. Iseng-iseng pengen melucuti si worm itu. Yaa itung-itung bantuin si Norton 😛

Ciri-ciri kalo sudah terinfeksi worm ini dapat dilihat pada root direktori sebuah disk, akan terdapat 2 buah file yaitu autorun.inf dan Setup.pif.

folder yg terinfeksi

Autorun.inf ini berisi:

[autorun]
shellexecute=Setup.pif

Sedangkan Setup.pif adalah executable dari worm itu sendiri yang sudah di rename, sehingga menjadi seolah-olah shortcut program MS-DOS.

Langkah-langkah melucuti: *halah bahasanya 😛

  1. Buka Task Manager dengan ProcessExplorer-nya sysinternals, cari proses dengan nama-nama mencurigakan, selain itu biasanya worm menggunakan memori yang cukup kecil. Untuk kasus Win32/TrojanDownloader.Delf.AZM nama filenya adalah KAVSVC.EXE

    TaskMan

  2. Setelah mengetahui nama image executablenya yaitu "kavsvc.exe". Cari service namenya masih dengan ProcessExplorer. Sekalian di kill (biar ga macem-macem ;)) )
    ServiceName
  3. Nah, udah deh klo udah ketahuan nama servicenya mah. Tinggal di delete servicenya dengan menggunakan utility sc.exe. Caranya masuk ke command prompt, lalu ketik: "sc delete KSD2Service". Jangan lupa delete juga fisik filenya 😀

Setelah dilucuti, gue jadi pengen tau si worm ini. Kalo gue liat sekilas file executablenya dipack dengan menggunakan sebuah tools bernama Upack. Kok tau? iya keliatan kalo pake hex editor, ada sebuah tanda: mungkin juga sebuah anagram.

00000000 4D 5A 4B 45 52 4E 45 4C 33 32 2E 44 4C 4C 00 00 MZKERNEL32.DLL
00000016 4C 6F 61 64 4C 69 62 72 61 72 79 41 00 00 00 00 LoadLibraryA
00000032 47 65 74 50 72 6F 63 41 64 64 72 65 73 73 00 00 GetProcAddress
00000048 55 70 61 63 6B 42 79 44 77 69 6E 67 40 00 00 00 UpackByDwing@
00000064 50 45 00 00 4C 01 02 00 00 00 00 00 00 00 00 00 PE L
00000080 00 00 00 00 E0 00 8E 81 0B 01 00 36 00 32 00 00 à Ž 6 2
00000096 00 12 00 00 00 00 00 00 6B ED 00 00 00 10 00 00 kí

Setalah googling akhirnya diketahui memang ada tools PE/EXE compressor dengan nama Upack. Blom sempet nyari apa ada tools buat balikin code asli setelah di pack (rajin bener nyari ginian 😛 ).

Yaudahlah yang penting PC kantor udah bersih sekarang, mungkin lain kali dicoba membedah worm ini lebih dalam. Mudah-mudahan berguna.