Pada post ini saya mau share cara mendeteksi Rootkit dengan GMER (http://www.gmer.net/) dan Rootkit Revealer (http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx)
Oia bagi anda yang belum tahu apa itu Rootkit bisa membaca artikel saya sebelumnya disini -> Pengertian Rootkit. Sample Rootkit yang saya test disini adalah salah satu varian NgrBot atau nama lainnya Ngr-Rootkit dan DorkBot.
Sekilas tentang NgrBot
NgrBot adalah malware dengan tehnik Rootkit (user-mode Rootkit) yang mencuri identitas dan password anda.Perhatikan file NgrBot berikut, NgrBot biasanya berupa file executable dengan Icon yang unik (pada varian tertentu icon berupa gambar porno)
Menjalankan NgrBot
catatan: pastikan antivirus anda telah non-aktif dan jangan terhubung ke internet selama menjalankan ngrbot atau sebaiknya jalankan di lingkup virtual seperti VmWare.
Ketika dijalankan NgrBot akan membuat copy file dirinya ke direktori C:\Documents and Settings\%namauser%\Application Data\ dan menghapus file sebelumnya, Untuk melihatnya, jalankan GMER kemudian perhatikan gambar berikut::
Pada GMER (sebelah kiri) terdapat file baru bernama sumqmi.exe sedangkan pada Windows Explorer (sebelah kanan) tidak terlihat file bernama sumqmi.exe tersebut. Untuk membuktikan, pilih file sumqmi.exe tersebut lalu pilih Copy dan beri nama misal ngrbot.exe lalu Save.
Kemudian coba lihat file ngrbot.exe itu
Sekarang kita lihat Value Registry yang dibuat oleh NgrBot agar dia bisa otomatis berjalan ketika Startup.
Pada Registry Editor (regedit) pun tidak terlihat Value Registry dari NgrBot tersebut.
Oke jika kita tahu lokasi tempat NgrBot mengcopy-kan dirinya dan letak Registry-nya sehingga mudah mencarinya,tapi bagaimana jika kita tidak mengetahuinya? Sekarang kita gunakan Rootkit-Revealer dari sysinternal untuk mencarinya.
Caranya mudah, cukup klil tombol Scan maka Rootkit-Revealer akan mencari Rootkit secara otomatis yang ada di Komputer anda.
Hasil kedua software ini kadang berbeda,sehingga anda harus memastikannya ya.
Catatan: untuk cara mendeteksi dan menghentikan proses NgrBot ini di memory, anda bisa menggunakan PCMAV Terbaru atau PCMAV Express for NgrBot atau AntiVirus yang anda pakai.Untuk mendeteksi secara manual akan saya buat artikelnya,tunggu saja ya =)
referensi:
http://en.wikipedia.org/wiki/RootkitRevealer
http://www.pcworld.com/article/2023718/detect-and-remove-rootkits-with-gmer.html
http://virusindonesia.com/2011/08/09/pcmav-express-for-ngrbot/
Semoga Bermanfaat
Artikel ini dibuat oleh Yudha Tri Putra sebagai penulis artikel, diperbolehkan menyalin artikel ini secara utuh tanpa mengubah atau menambah isi artikel.
Oia bagi anda yang belum tahu apa itu Rootkit bisa membaca artikel saya sebelumnya disini -> Pengertian Rootkit. Sample Rootkit yang saya test disini adalah salah satu varian NgrBot atau nama lainnya Ngr-Rootkit dan DorkBot.
Sekilas tentang NgrBot
NgrBot adalah malware dengan tehnik Rootkit (user-mode Rootkit) yang mencuri identitas dan password anda.Perhatikan file NgrBot berikut, NgrBot biasanya berupa file executable dengan Icon yang unik (pada varian tertentu icon berupa gambar porno)
Menjalankan NgrBot
catatan: pastikan antivirus anda telah non-aktif dan jangan terhubung ke internet selama menjalankan ngrbot atau sebaiknya jalankan di lingkup virtual seperti VmWare.
Ketika dijalankan NgrBot akan membuat copy file dirinya ke direktori C:\Documents and Settings\%namauser%\Application Data\ dan menghapus file sebelumnya, Untuk melihatnya, jalankan GMER kemudian perhatikan gambar berikut::
Pada GMER (sebelah kiri) terdapat file baru bernama sumqmi.exe sedangkan pada Windows Explorer (sebelah kanan) tidak terlihat file bernama sumqmi.exe tersebut. Untuk membuktikan, pilih file sumqmi.exe tersebut lalu pilih Copy dan beri nama misal ngrbot.exe lalu Save.
Kemudian coba lihat file ngrbot.exe itu
Sekarang kita lihat Value Registry yang dibuat oleh NgrBot agar dia bisa otomatis berjalan ketika Startup.
Pada Registry Editor (regedit) pun tidak terlihat Value Registry dari NgrBot tersebut.
Oke jika kita tahu lokasi tempat NgrBot mengcopy-kan dirinya dan letak Registry-nya sehingga mudah mencarinya,tapi bagaimana jika kita tidak mengetahuinya? Sekarang kita gunakan Rootkit-Revealer dari sysinternal untuk mencarinya.
Caranya mudah, cukup klil tombol Scan maka Rootkit-Revealer akan mencari Rootkit secara otomatis yang ada di Komputer anda.
Hasil kedua software ini kadang berbeda,sehingga anda harus memastikannya ya.
Catatan: untuk cara mendeteksi dan menghentikan proses NgrBot ini di memory, anda bisa menggunakan PCMAV Terbaru atau PCMAV Express for NgrBot atau AntiVirus yang anda pakai.Untuk mendeteksi secara manual akan saya buat artikelnya,tunggu saja ya =)
referensi:
http://en.wikipedia.org/wiki/RootkitRevealer
http://www.pcworld.com/article/2023718/detect-and-remove-rootkits-with-gmer.html
http://virusindonesia.com/2011/08/09/pcmav-express-for-ngrbot/
Semoga Bermanfaat
Artikel ini dibuat oleh Yudha Tri Putra sebagai penulis artikel, diperbolehkan menyalin artikel ini secara utuh tanpa mengubah atau menambah isi artikel.
.jpg)
hoo keren.
BalasHapusudah bkin scanner sndri tapi ini harusnya lebih mudah dari pada scanner core aslinya pcmav :v