Melawan Serangan Virus sshnas.dll alias Flash Updater

Melawan Serangan Virus sshnas.dll alias Flash Updater

oleh salsabel pada Apr.13, 2010, dalam kategori Antivirus, Hiren's Boot CD, Sistem Operasi, Software, Windows

Apakah Anda pernah mendapatkan pesan untuk mendownload Adobe Flash Player Update ketika Anda melihat video streaming? Namun setelah itu bukannya video bisa diputar tapi justru muncul pesan error bertubi-tubi dari Antivirus kesayangan Anda?
Jika ya, Anda mungkin sedang berhadapan langsung dengan Virus trojan terkenal bernama flash-HQ-plugin. Ketika file yang menyaru sebagai updater Adobe ini sudah bersarang di PC, maka dia akan mendownload dan menginstall komponen utamanya yakni: c.exe, msa.exe dan sshnas.dll (sshnas21.dll). Jika semua file ini sudah lengkap maka virus ini akan mampu memasukkan dirinya ke dalam urutan booting sehingga ia akan otomatis berjalan layaknya program lain sejak saat Windows berjalan.

Trojan yang juga disebut sebagai Trojan Fake Alert ini datang dari website berbahaya yang meminta pengaksesnya melakukan update software. Selain itu terkadang trojan ini disisipkan ke dalam Program Antivirus dan antispyware gratis yang banyak tersedia online. Setelah menyerang, Virus ini kemudian mampu mengambilalih berbagai fungsi Windows seperti:

·         memunculkan windows popup

·         peringatan keamanan

·         membajak Internet Eksplorer

·         menonaktifkan Windows Task Manager

·         bahkan, menonaktifkan Registry Editor.

TITIK SERANGAN
Trojan yang kita bahas di sini secara otomoatis akan membuat file dan folder berikut. File ini yang seringkali kemudian dideteksi oleh Antivirus tiap kali trojan menjalankan aksinya.

C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
C:\WINDOWS\msa.exe
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
%UserProfile%\Local Settings\temp\a.exe
%UserProfile%\Local Settings\temp\b.exe
%UserProfile%\Local Settings\temp\c.exe
C:\WINDOWS\system32\sshnas.dll

Trojan ini juga membuat perubahan dalam registry sebagai berikut:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS
HKEY_CURRENT_USER\SOFTWARE\XML
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sshnas
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sshnas
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\videohost
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sshnas

Jika Anda mencoba melacak dengan Hijackthis, salah satu program detektor spyware yang ada di Hiren’s Boot CD, Anda akan menemukan laporan yang kurang lebih seperti ini:

O4 – HKCU\..\Run: [Videohost] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c.exe
O4 – HKCU\..\Run: [SSHNAS] rundll32.exe C:\Windows\system32\sshnas.dll,DllWork
O4 – HKCU\..\Run: [LosAlamos] rundll32.exe C:\Windows\system32\sshnas.dll,AddConsoleAliasAW
O4 – HKCU\..\Run: [LosAlamos] rundll32.exe C:\Windows\system32\sshnas21.dll,AllocConsoleA

PEMBERSIHAN
Jika komputer Anda terinfeksi, untuk membersihkan secara tuntas trojan ini Anda perlu mengikuti tiap tahap di bawah ini. Yakni menghapus trojan sshnas.dll (sshnas21.dll), kemudian menghapus tuntas program dan berbagai komponen FakeAlert lainnya sebagai berikut:
Langkah Pertama:
1. Download OTM by Oldtimer dan ekstrak di folder manapun di PC Anda. Selanjutnya ekstrak sehingga Anda mendapatkan suatu file OTM.exe.
2. Jalankan OTM.exe, Jika muncul Security Warning, abaikan saja dan klik tombol Run.
Copy dan paste baris perintah berikut ini ke dalam jendela “Paste Instructions for Items to be Moved” (di bawah panel kuning):

:services
SSHNAS
:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“Videohost”=-
“SSHNAS”=-
“LosAlamos”=-
:files
%windir%\msa.exe
%windir%\system32\sshnas.dll
%windir%\system32\sshnas21.dll
%windir%\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
%windir%\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
:Commands
[emptytemp]
[Reboot]
Keterangan:
Karena keterbatasan Tema WordPress, Anda mungkin perlu mengubah tanda (“) kutip dalam baris perintah di atas. Gunakan tanda kutip biasa, di samping tombol [Enter].

3. Klik tombol Moveit! Tunggu beberapa saat hingga program ini selesai bekerja. Setelah itu OTM akan menampilkan sebuah laporan dan akan meminta Anda untuk melakukan Reboot, Pilih Yes.
Langkah Kedua

1.   Download MalwareBytes Anti-malware di sini. Ekstrak ke folder yang Anda inginkan sehingga Anda dapatkan sebuah file Installer.exe. Jangan lupa tutup semua program yang sedang berjalan di PC Anda.

2.   Dobel klik file mbam-setup.exe untuk memulai langkah instalasi program MalwareBytes Anti-malware ke PC Anda. Anda tidak perlu melakukan perubahan apapun selama proses Instalasi. Anda tinggal klik Next hingga langkah terakhir. Sebelum meng-klik Finish, pastikan Anda memilih checkboks  “Update Malwarebytes’ Anti-Malware” dan “Launch Malwarebytes’ Anti-Malware”. Akhiri instalasi dengan meng-klik Finish.

3.   Sekarang program MalwareBytes Anti-malware akan berjalan secara otomatis. Anda mungkin akan mendapatkan pesan untuk segera mengupdate database anti-malware. Tapi tenang saja, begitu update di internet tersedia dan Anda terkoneksi langsung dengan internet, program ini secara otomatis akan melakukan download update database.

4.   Setelah proses update selesai, Anda bisa memilih OK dan menuju ke Menu utama yang tampak seperti berikut. 

5.   Pilih “Perform quick scan” dan klik tombol Scan untuk memulai proses scanning. Tunggu beberapa saat hingga proses selesai.

6.   Anda akan melihat pesan ketik Anti-Malware selesai menjalankan tugasnya. Klik tombolOK, dan tombol Show Results. Anda akan melihat tampilan laporan scanning seperti ini.

7.   Pilih semua checkbox yang ada dalam daftar dan klik tombol “Remove Selected”. Anti-Malware akan menghapus semua registry dan file yang terkait dengan Trojan FakeAlert dan menambahkannya kedalam folder karantina. Setelah selesai, Anda bisa melihat daftar file yang dieksekusi dalam sebuah file log.

8.   Setelah semua selesai, Anda akan diminta untuk melakukan Restart.

Selain cara yang sudah diulas di sini, sebagai alternatif, Anda juga bisa mencoba menggunakan cara lain menghalau Spyware Dengan SuperAntiSpyware Hiren’s 10 yang sudah saya tulis sebelumnya. Jangan lupa simak juga Ulah Serangan Spyware.
LINK DOWNLOAD
Berikut ini link download software yang diperlukan dalam artikel ini:
[OTM by Oldtimer] password: guntingbatukertas.com
[Download MalwareBytes Anti-malware]

Baca selengkapnya di: http://guntingbatukertas.com/sistem-operasi/windows/melawan-serangan-virus-sshnas-dll-alias-flash-updater/#ixzz25aiJv9vw 
Under Creative Commons License: Attribution No Derivatives

-->

Yuk main flash game dengan sedikit bermain curang yuk, bagi yang hobby nya suka bermain game pasti ngga asing lagi dengan program yang bernama Cheat engine, dimana program ini emang dirancang khusus untuk menipulasi program2 seperti game2 misalnya. ngga usah kita bahas gimana cara kerjanya lebih detil, langsung ajah yuk prakteknya.

Teman2 tentunya suka atau pernah bermain game flash seperti di www.games.co.id, game2 flash ini emang dibuat agar mudah untuk dimainkan, tapi ada beberapa yang agak sulit untuk dimainkan, misalnya game Misi Meerkat (http://www.games.co.id/permainan_/misi-meerkat.html), kita harus punya duit banyak untuk membeli meerkat yang banyak, sedangkan pas mulai game hanya dikasih 140 saja (ngga cukup donk!), baru beli 2 ekor meerkat ama 1 jalur berduri duit udah habis, gimana mau menang nih?. Gimana kalo duitnya kita isi (ganti) yang banyak? misalnya 60000 ???, berikut langkah2nya.

1. Download dan install dahulu Cheat Engine di komputer kalian masing2 yah.
2. Terus bukalah browser firefox dan buka web game www.games.co.id dan buka game meerkat mission.

3. Kemudian buka program Cheat engine nya.

4. Klik pada tombol “Slect a process to open” (tombol dibawah tulisan “file” yang ada gambar komputer ama kaca pembesar), lalu pilih proses yang ada tulisan xxxxxx-plugin-container.exe.

5. Sekarang kembali ke jendela firefox nya dan coba buka dan mainkan gamenya misalnya pilih misi “Mode tanpa akhir”. perhatikan duit yang ada hanya 140 saja bukan?.

6. Kembali ke jendela program Cheat engine tadi dan masukkan angka 140 ke kotak “Value”, lalu klik tombol “Fist Scan“

7. Kemudian akan nongol angka2 di barisan sebelah kiri ada tulisan angka2 140 (alamat dan nilai).

8. Kembali lagi ke gamenya dan coba beli seekor meerkat dengan bazooka seharga 80, sekarang duit kita tinggal 60 bukan?.

9. Kembali ke jendela Cheat engine nya, masukkan angka 60 tadi ke kotak “Value” dan klik tombol “Next Scan”.

10. Pada tab sebelah kiri akan muncul satu baris “addresses” dan “Value” dengan nilai 60″ klik padanya kemudian klik pada tombol panah merah kanan bawahnya, kemudian klik 2x pada nilai “value” 60. (ikuti langkah2 spt pd gambar)

11. Kemudian Ganti ajah nilainya sesuka hati kalian, misalnya saya kasih nilai 60000, kemudian klik Ok.

12. Sekarang coba kembali mainkan game nya, lihatlah duit nya udah banyak bukan?

Selamat mencoba, dan bersenang-senang yah.