Home > Art-Rial > Sality…Apa nama ini berkesan untuk anda?

Sality…Apa nama ini berkesan untuk anda?

Nama SALITY tidak asing bagi kebanyakan orang. Apalagi yang aktif, kebanyakan ambil data dari satu komputer ke komputer lainnya via USB Flash disk atau portable external storage.

Apa sebenarnya SALITY itu ?

Menurut situs VirusLokal.com,  :

Sality merupakan virus berjenis PE Infector (Polymorphic) yang menginfeksi file-file Executabe “exe”. Virus yang memiliki nama asli w32.Hllp.KukuJoker ini banyak dikeluhkan pengguna computer diseluruh dunia, terutama di indonesia banyak sekali pengguna komputer yang melaporkan telah terinfeksi oleh virus ini. Sumber : VirusLokal.Com

Menurut Vaksincom :

Sality merupakan salah satu virus yang paling bandel dan susah dibersihkan dan hanya kalah bandel oleh Virut. Cara kerja virus sality adalah dengan menginjeksi program instalasi dan file yang mempunyai ekstensi exe, com, scr yang ada di drive C, terutama file hasil instalasi (file yang berada di direktori C:\Program Files) dan file-file protable (file yang langsung dapat dijalankan tanpa perlu instal).

Menurut Wikipedia :

Sality is the classification for a family of malicous software (malware), which infects files on Microsoft Windows systems. Sality was first discovered in 2003 and has advanced over the years to become a dynamic, enduring and full-featured form of malicious code. Systems infected with Sality may communicate over a peer-to-peer (P2P) network for the purpose of relaying spam, proxying of communications, exfiltrating sensitive data, compromising web servers and/or coordinating distributed computing tasks for the purpose of processing intensive tasks (e.g. password cracking). Because of its continued development and capabilities, Sality is considered to be one of the more complex and formidable forms of malware to date.

Menurut Wikipedia sendiri, SALITY ini memiliki beberapa nama alias diantaranya :

  • W32/Sality.*
  • W32.HLLP.Sality.*
  • Win32.Sality.*
  • WinNT/Sality*
  • Virus:Win32/Sality.*
  • Worm:Win32/Sality.*
  • TrojanDropper:Win32/Sality.*
  • Trojan:WinNT/Sality*
  • Mal/Sality-*
  • PE_SALITY.*
  • Gen:Win32.Sality.*
  • Troj/SalLoad-*
  • W32/Kookoo-* (Sophos)

Nama alias ini digunakan oleh beberapa vendor ternama pembuat antivirus didunia.

Sality umumnya menyerang Komputer dengan sistem Windows.  Terutama menyerang file executable dengan ekstensi .EXE dan .SCR. Pengguna kadangkala tidak mengetahui ternyata file .EXE pada aplikasinya sudah terinfeksi dengan SALITY. sehingga ketika Pengguna komputer berulang kali mengeksekusi file tsb, justru tidak jalan.

Keluhan utama yang sering menjadi alasan pengguna yang sistem komputernya telah terinfeksi dengan SALITY adalah sebagian program sudah tidak berfungsi. Memang benar, jika SALITY sudah menginfeksi sistem windows anda, maka sebagian besar program yang ada pada C:\Program Files sudah tidak bisa digunakan lagi.

Menurut Vaksincom, sulit melihat perbedaan antara file asli dengan file yang sudah terinfeksi dengan SALITY. Yang membedakan hanyalah ukuran dri file yang sudah terinfeksi bertambah lebih besar dari ukuran sebelum terinfeksi dengan jumlah beda hanya beberapa KB saja.

Berikut ulasan dari VirusLokal.com mengenai karakteristik Sality :

Jika kita lihat memang tidak terlalu banyak perbedaan antara file yang terinfeksi dengan file yang belum terinfeksi, yang membedakan hanyalah ukuran yang bertambah lebih besar dari ukuran sebelum terinfeksi, biasanya ukuran yang bertambah hanya beberapa KB saja. Bisa dilihat perbedaanya dari gambar dibawah ini.

Jika file terinfeksi tersebut dijalankan, maka file tersebut dapat berjalan seperti biasanya, sehingga user tidak mengira bahwa file yang ia jalankan tersebut telah terinfeksi virus, padahal dibalik itu virus sudah menetap di system.

Teknik yang digunakan virus sality adalah dengan membelokan EntryPoint asli file ke EntryPoint-nya virus, maka saat dijalankan virus yang terlebih dahulu aktif, baru kemudian virus meneruskan nya ke EntryPoint asli file yang terinfeksi, sehingga file yang dijalankan akan aktif seperti biasa nya.

 

Saat aktif virus akan membuat beberapa file induknya di system :

  • %Windir%\system32\drivers\<acak>.sys

Virus akan mengektrak file driver dari dalam tubuhnya dan menaruhnya disystem dengan nama acak, driver ini digunakan untuk bersembunyi di system. Contoh : amsint32.sys dan  iirktn.sys

 

  • %Windir%\System.ini

[MCIDRV_VER]

DEVICEMB=<random number>

 

  • HKCU\Software\<Acak>

Virus akan menambahkan key baru diregistry dengan nama acak contoh “HKCU\Software\Avcgr”, key yang dibuat ini juga mempunyai rutin-rutin tertentu.

 

  • Mutext

Virus akan membuat mutext pada setiap proses yang berjalan ini digunakan untuk menandakan bahwa thread virus sudah aktif pada setiap proses yang berjalan, mutext yang akan dibuatnya menyerupai nama proses yang di tumpangi nya :

<Nama Proses>M_<PID Proses>_

contoh nya : svchost.exeM_2168_

 

  • Firewall

Pada komputer terinfeksi virus menambahkan rule baru dalam daftar port yang di ijinkan, ini digunakan virus agar firewall windows tidak memblok koneksi yang akan dibuat oleh virus

 

  • Download Komponent virus lainya

Jika komputer korban terhubung dengan koenksi internet, virus akan berusaha mendownload komponen-komponen virus lainya, di beberapa situs yang sudah ditentukan oleh pembuatnya

 

Infeksi file Executable & Screen Saver

Virus akan mencari semua file berektensi ”.exe” & ”.scr” yang ada di seluruh drive computer korban  nya, jika virus menemukanya virus akan menginfeksinya dengan membelokan EntryPoint asli ke EntryPoint nya virus.

Sality mempunyai kemampuan untuk mengecek apakah file yang akan diinfeksi dilindungi oleh system atau tidak, jika file tersebut dilindungi oleh system maka sality tidak akan menginfeksinya,  seperti file-file yang dilindungi oleh Windows File Protection (WFP) atau System File Checker (SFC).

 

Infeksi Removeable Drive & Jaringan

Berbeda dengan teknik infeksi variant sebelumnya, variant sality kali ini memanfaatkan fitur Autorun untuk mempercepat penyebaranya. File Autorun yang digunakan virus memiliki nama dan ektensi acak (exe dan pif) . Seperti : xvftea.exe atau xvftea.pif, dan ukuranya sekitar 100 – 101 KB

Di jaringan virus juga akan menginfeksi setiap folder yang memiliki FULL ACCESS Read & Write, dengan membuat sebuah shortcut exploit yang akan langsung aktif apabila user memasuki folder yang sudah terdapat shortcut exploit tersebut.

 

Menghapus File

Sality akan mencari file berektensi “.VDB” dan “.AVC” jika ditemukan akan langsung dihapus. Ektensi file ini biasanya digunakan oleh beberapa antivirus untuk menyimpan database virus.

 

Block Website

Sality akan memblock website atau domain yang mengandung kata seperti :

upload_virus , sality-remov, virusinfo.  cureit. drweb. onlinescan. spywareinfo. ewido. virusscan. windowsecurity.  spywareguide. bitdefender. pandasoftware. agnmitum.  virustotal.sophos.  trendmicro.  etrust.com symantec.  mcafee. f-secure. eset.com, kaspersky. dll

 

Menghapus Registry Key

Untuk mempertahankan dirinya virus menghapus beberapa key di registry yang dianggap mebahayakan kehidupan virus.

  • HKCU\System\CurrentControlSet\Control\SafeBoot
  • HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
  • HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Effek dari beberapa key yang dihapus diatas membuat user tidak dapat memasuki modus SAFE MODE

Blue Screen saat mengakses SAFE MODE

Mensetting registry agar tidak menampilkan file yang dihidden

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2

Selain itu sality mengunci akses ke Task Manager & Registry Tools

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr =dword:00000001

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools =dword:00000001

 

Menurut vaksincom, komputer yang rentan terinfeksi sality adalah komputer yang beraktifitas pada jaringan (sharing data, resources).  Satu saja komputer yang terinfeksi akan menyebabkan komputer lainnya dalam jaringan ikut terinfeksi secara berulang-ulang meskipun sudah dicoba dibersihkan secara berulang-ulang.

Bisa saja sality menginfeksi file-file penting dalam media penyimpanan kita. Tapi jangan takut karena sudah banyak tulisan yang dimuat di banyak blog mengenai cara membersihkan file yang terinfeksi dengan sality ini.

tips, sebelum sistem kita terkena sality, sebaiknya pagari sistem kita dengan antivirus yang ‘up to date’. waspada dengan file-file dengan ekstensi .pif .exe dan .cmd yang tiba-tiba hadir dalam media penyimpanan portable kita (USB Flashdisk, HDD Portable), agar sistem komputer kita aman dari Sality

 

 

Categories: Art-Rial Tags: ,
  1. No comments yet.
  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: