Peringatan Virus : "Dumaru" virus Trojan dengan keylogger

Dumaru dapat masuk ke dalam komputer kita seperti biasa melalui email yang kita terima dan mengandung sebuah attach yang berextention *.ZIP. Seakan-akan virus ini memberitahukan kepada kita, bahwa attach yang dikirimkan adalah sebuah foto yang telah diminta oleh kita kemarin.

Ciri-ciri lengkapnya adalah sebagai berikut :

Terlihat bahwa ada sebuah attach yang bernama ‘myphoto.zip’, besarnya kurang lebih 15 Kb. Attach ini berisi sebuah file ‘myphoto.jpg.exe’. File ini mempunyai keunikan, karena jarak antara extention JPG dengan EXE dipisahkan 56 karakter space bar. File ini dikompres dengan menggunakan metode FSG.

Setelah file ZIP tersebut di download maka dengan secara otomatis akan dijalankan, dan akan meletakkan beberapa buah file utamanya pada folder-folder seperti di bawah ini :

%System%l32x.exe
%System%vxd32v.exe

File-file ini diletakkan sesuai dengan system operasi yang anda gunakan secara default seperti contoh di bawah ini :

Kalau anda menggunakan Windows 95,98 dan ME folder tersebut adalah :

C:WindowsSystem

Kalau anda menggunakan Windows 2000 dan NT folder tersebut adalah :

C:WinntSystem32

Dan untuk Windows XP folder tersebut adalah :

C:WindowsSystem32.

Untuk file l32x.exe tersebut di atas virus ini merubah file registry dan menambahkannya beberapa value :

HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRunload32 = "%system%l32x.exe"


Untuk menjamin dan memastikan bahwa file tersebut di jalankan maka ia menambahkan pada file WIN.INI dan SYSTEM.INI sebuah command line (biasanya ini berlaku pada Windows 9.x) :


pada file WIN.INI :

[windows]
"run" = %WinDir%RUNDLLX.SYS


pada file SYSTEM.INI :

[boot]
shell=explorer.exe %System%vxd32v.exe


dan pada system Windows NT file registrynya ada penambahan value :

HKEY_LOCAL_MACHINESoftware
MicrosoftWindows NT CurrentVersionWinlogon
Shell = explorer.exe %System%vxd32v.exe


Selain itu, virus ini juga meletakkan sebuah file lainnya, DLLXW.EXE pada Windows Stratup folder dan mengubah value pada file registry windows agar setiap kali windows digunakan selalu dijalankan :


HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionExplorerShell Folders Startup


Virus ini akan mengumpulkan semua alamat email yang dicari pada setiap file-file yang berextensi :

.HTM
.WAB
.HTML
.DBX
.TBB
.ABD

dan mengirimkannya dengan menggunakan Simple Mail Transfer Protocol (SMTP) engine, setiap kali alamat email didapat akan dikumpulkan di dalam sebuah file pada folder :

%windows%winload.log

Dan untuk berjaga-jaga, virus ini juga menyimpan dirinya (*.ZIP) sebagai sebuah file *.TMP di dalam folder :

%windows%TEMPzip.tmp

Seperti yang sudah dijelaskan di atas, virus ini mempunyai kemampuan sebagai virus trojan. Untuk melakukan aksinya ia akan membuka port :

2283 : Port ini sebagai sebuah TCP proxy yang dapat digunakan oleh user lain (jahat) untuk menghubungkannya ke komputer yang

terinfeksi 10000, Port ini digunakan untuk menyetup sebuah remote File Transfer Protocol (FTP) server yang mengizinkan seseorang dapat mengontrol secara full access ke semua file pada komputer yang terinfeksi

Virus ini juga mengumpulkan semua data yang kita ketik, jadi setiap kali hentakan tuts keybord akan terekam. Apa lagi yang berhubungan dengan rekening bank, No.PIN, USER ID, PASSWORD seperti E-Gold., WebMoney, Far Manager, PayPal dan eBay.