X-Remote merupakan sebuah program PC
Remote Buatan Indonesia yang paling saya sukai selain tampilannya yang menarik,
kata JK Gunakanlah product buatan Negara sendiri “Hehehe”. X-Remote memiliki 2
buah program yang nanti kita akan jalankan yaitu XRemote.exe (PENYURUH) dan
IEXPLORER.exe (TROJAN) kok mirip ya dengan IEXPLORER (Internet Explorer) yang
dimiliki oleh windows?? ya memang mirip jika diperhatikan secara kasat mata,
namun jika diteliti keduanya memiliki perbedaan yang sangat mencolok bagaikan
kertas hitam dan putih, IEXPLORER.exe ini adalah sebuah Trojan yang memang
sengaja diberi nama yang mirip dengan IEXPLORER (Aplikasi Browsing) milik
windows supaya tidak mudah diketahui. Setelah bermain2 dengan Trojan yang satu
ini saya menemukan beberapa hal tentang program ini :
1. Trojan Ini menggunakan port 1001 “WebEx”
Saya menggunakan perintah netsat –an dalam percobaan untuk mengetahui port berapa yang dibuka setelah saya menjalankan Trojan (IEXPLORER.exe)
C:\Documents and Settings\SlackXdi>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1001 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1002 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1031 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1066 127.0.0.1:1067 ESTABLISH
TCP 127.0.0.1:1067 127.0.0.1:1066 ESTABLISH
TCP 127.0.0.1:1068 127.0.0.1:1069 ESTABLISH
…
Namun jika anda belum yakin juga, anda bisa menggunakan SuperScan untuk melakukan scaning port yang biasa digunakan oleh Trojan.
2. Trojan Ini tidak dikenali oleh AntiVirus
Saya sudah mecobanya di beberapa antivitus dan tidak ada satupun yang mengenali Trojan ini.
3. Trojan IEXPLORER akan Berubah nama Menjadi lsass
Trojan yang tadinya namanya
IEXPLORER.exe ketika dijalankan akan berubah nama menjadi lsass.exe yang juga
mirip seperti nama salah satu system yang dimiliki windows karena ketika
dijalankan Trojan ini akan membuat satu buah file yang sama (IEXPLORER.exe)
dengan nama lsass.exe ke C:/WINDOWS/System.
Ketika saya mengetikkan perintah
netstat –b untuk melihat program apa yang digunakan pada port yang terbuka
tersebut, cmd memunculkan hasil seperti dibawah ini dan itu berarti Trojan yang
menggunakan port 1001 adalah lsass.exe dan setelah saya tinggal mencari tahu di
mana file tersebut berada dengan melihat Properties (klik kanan) Program
tersebut menggunakan Process Explorer.
C:\Documents and Settings\SlackXdi>netstat -b
Active Connections
Proto Local Address Foreign Address State PID
TCP xxdiazz:1001 localhost:1336 ESTABLISHED 3456
[lsass.exe]
TCP xxdiazz:1002 localhost:1337 ESTABLISHED 3456
[lsass.exe]
TCP xxdiazz:1066 localhost:1067 ESTABLISHED 900
[firefox.exe]
TCP xxdiazz:1067 localhost:1066 ESTABLISHED 900
[firefox.exe]
TCP xxdiazz:1068 localhost:1069 ESTABLISHED 900
[firefox.exe]
TCP xxdiazz:1069 localhost:1068 ESTABLISHED 900
[firefox.exe]
TCP xxdiazz:1336 localhost:1001 ESTABLISHED 2108
[Xremote.exe]
TCP xxdiazz:1337 localhost:1002 ESTABLISHED 2108
[Xremote.exe]
Active Connections
Proto Local Address Foreign Address State PID
TCP xxdiazz:1001 localhost:1336 ESTABLISHED 3456
[lsass.exe]
TCP xxdiazz:1002 localhost:1337 ESTABLISHED 3456
[lsass.exe]
TCP xxdiazz:1066 localhost:1067 ESTABLISHED 900
[firefox.exe]
TCP xxdiazz:1067 localhost:1066 ESTABLISHED 900
[firefox.exe]
TCP xxdiazz:1068 localhost:1069 ESTABLISHED 900
[firefox.exe]
TCP xxdiazz:1069 localhost:1068 ESTABLISHED 900
[firefox.exe]
TCP xxdiazz:1336 localhost:1001 ESTABLISHED 2108
[Xremote.exe]
TCP xxdiazz:1337 localhost:1002 ESTABLISHED 2108
[Xremote.exe]
Untuk mengatasi Trojan ini gampang
aja pertama-tama anda harus matikan dulu programnya yang sedang berjalan
menggunakan Process Explorer setelah itu hapus filenya di C:/WINDOWS/System,
Atau anda bisa langsung menghapusnya menggunakan Unlocker.
0 Comment's:
Posting Komentar