Sabtu, 08 Februari 2014

Mendeteksi Virus atau Malware di Memory secara Manual

Pernahkah anda mengalami ketika anda membuka Task Manager kemudian muncul process bernama "mspaint.exe" aktif dengan sendirinya? padahal anda tidak menjalankan Aplikasi mspaint tersebut?lalu benarkah itu Virus?benarkah komputer anda sedang terinfeksi virus?

Berikut saya berikan tips cara Mendeteksi Virus atau Malware di Memory secara Manual dengan Process Hacker (bisa juga dari tools lain seperti sysinternal suite,) . Jika anda sudah memasang AntiVirus namun tidak mendeteksi apa-apa, ada kemungkinan virus ini tidak terdeteksi oleh antivirus anda karena memang varian baru atau vendor AntiVirus tersebut belum mendapatkan sample =))

Cek Network

Malware ketika aktif, biasanya akan melakukan koneksi ke remote address tertentu atau web tertentu secara continue, anda bisa langsung mencurigai process yang terus-menerus melakukan koneksi ke "antah-berantah :D " seperti di bawah ini.



Untuk virus atau malware yang melakukan injeksi process saat aktif di memory. Berikut screenshot Malware yang sudah menginjeksi process mspaint.exe.



Pada process mspaint.exe tersebut terlihat remote address yang digunakan oleh sang virus atau malware.Untuk lebih meyakinkan, anda bisa melakukan scanning dengan cara menyalin remote address tersebut lalu paste di https://www.virustotal.com/en/ pada bagian URL .

Cek Nama Process

Malware ketika aktif di memory biasanya menggunakan nama-nama yang unik dan aneh, dan menggunakan nama palsu atau Fake Processes yang menyerupai nama process suatu program atau system seperti svchst.exe, winlogon32.exe, expl0rer.exe dan sebagainya.

Namun ada juga yang menginjeksi process biasa agar user tidak curiga. Untuk lebih jelasnya, berikut gambar "Tree Processes" nya sesaat setelah Sang Malware aktif di memory


Terlihat nama process acak menjalankan process svchost.exe dan mspaint.exe juga menjalankan process lain. Mungkin jika terus tampak seperti ini mudah bagi seorang user untuk mencurigainya sebagai virus atau malware, namun "penampakan" ini hanya berlangsung sekitar 1 detik, sehingga nanti yang terlihat hanyalah process svchost.exe dan mspaint.exe.

Mungkin dari anda ada yang langsung men-terminate secara manual process svchost.exe dan mspaint.exe ini, namun itu tidak menghentikan virus untuk tetap aktif di memory, karena virus bisa saja menginjeksi process system (pada NgrBot, dia menginjeksi process winlogon.exe) dan explorer.exe (biasanya Zeus Bot atau Trojan lainnya) agar tetap aktif dan melakukan injeksi ulang terhadap process sebelumnya.

Cek Mutex

Cara lainnya bisa dilakukan cek Mutex yang biasa digunakan oleh Malware yang hanya menginjeksi single process tertentu  seperti explorer.exe, wuauclt.exe dan lainnya sehingga hampir tidak diketahui oleh user ada Malware yang aktif di memory, pada Process Hacker bisa anda lihat pada bagian Properties di process tersebut,lihat gambar berikut :



Berikut sedikit list mutex dari virus atau malware, (anda bisa mencari nama mutex yang mencurigakan yang mungkin mirip seperti ini) :

GAMARUE
281174102

NGRBOT
SVCHOST_MUTEX_OBJECT_RELEASED_maynadoz
SVCHOST_MUTEX_OBJECT_RELEASED_thisittotalyfuckingshit
SVCHOST_MUTEX_OBJECT_RELEASED_thisittotalyfuckingshitblackk
FvLQ49IlŸ¯yLjj6m
-1760f7dfMutex
-6b00a497Mutex
-312a36d2Mutex

TROJAN VB
***MUTEX***
***MUTEX***_PERSIST

RECYCLER-IRC
asd-6+094997__

Tips di atas tidak menjamin anda bisa mendeteksi semua Malware yang aktif di memory 100%, ada banyak tehnik dan cara lain yang mungkin akan terus ada karena perkembangan Malware yang semakin canggih =))


Semoga Bermanfaat

Artikel ini dibuat oleh Yudha Tri Putra sebagai penulis artikel, diperbolehkan menyalin artikel ini secara utuh tanpa mengubah atau menambah isi artikel.

0 komentar:

Posting Komentar

(C) 2018. Diberdayakan oleh Blogger.

Categories

Followers