Awas Kiriman Trojan dari China « GombaL

Awas Kiriman Trojan dari China

By gombal trendy

Berawal dari Kelelahan maintenance dengan mengandalkan Antivirus.

Dimana, minimal 1 minggu sekali gua harus ghost ulang setiap PC client.

Sekarang Sudah setahun gua coba deepfreeze v 6 standar Ed

Selama ini ga ada masalah, sampai suatu ketika ……

Dari 20 PC dalam sehari pasti ada 4 atau 5 PC yang hang saat loading windows, koneksi ke biling server putus, Internet menjadi lambat.

Benar-benar memusingkan.

Semakin lama kondisi semakin parah.

Coba Instal Panda AV+firewall 2007. Setelah terupdate lgs scan Hdd . . . Nothing Found…

Ono opo iki …..

Ndas ku cekot-cekot

28 Juni 2008

Akhirnya . . .

Terjawab sudah semua …..

Setelah diperhatikan.

Ternyata setiap kali gua coba buka situs apapun, tampak di status bar selalu meload :

h**p://mx.content-type.cn:443/day.js

Dan usut punya usut, ternyata PC yang terinfek trojan ini adalah PC Editing (PC yg biasa digunakan oleh operator warnet untuk mengerjakan tugas editing).

Memang PC Editing ini tidak di Deepfreeze.

Coba tanya sama Mbah Google.

Ternyata pada tanggal 28 Juni Mbah google sendiri baru mempunyai 2 situs referensi yang membahas tentang trojan ini dan itu pun berbahasa china. (sampai saat ini google terus manambah halaman situs yang membahas tentang trojan ini namun sebagian besar masih berbahasa china).

Jurus yang GombaL gunakan untuk menepis trojan ini:

Selama proses pengobatan, putuskan semua jaringan tanpa terkecuali
Ghost ulang / Instal ulang semua PC tanpa terkecuali.
Bagi yang masih menggunakan XP SP2, segera Upgrade ke SP 3 semua pc tanpa terkecuali
Pasang kembali Deepfreeze andalan sampean disemua PC Client tanpa terkecuali
Bila spek komputer untuk client memungkinkan, tambahkan antivirus Internet Securiti. (sampai saat ini GombaL masih setia sama Kaspersky, hanya sekarang beralih ke versi KIS) dan jangan lupa untuk melakukan update setiap hari.

Link Download XP SP3 :

Microsoft

Mirror Local :

Indowebster

Semoga Membantu

This entry was posted on 30 June, 2008 at 4:39 am and is filed under Awas Trojan dari China. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

84 Responses to “Awas Kiriman Trojan dari China”

Tringular Says:
30 June, 2008 at 1:18 pm
Trojan ini menginjeksi javascript pada setiap halaman web yang diunduh oleh browser, kemudian javascript ini akan dieksekusi untuk unduh trojan yang lain.

beberapa link yang dihubungi oleh trojan:
h**p://mx.content-type.cn:443/day.js
dt.tongji.cn.yahoo.com
h**p://js.tongji.cn.yahoo.com/621252/ystat.js

Update firewall Anda…

==================================================
Thanks Tringular atas info tambahannya.
Memang sekarang, orang pinter banyak yg makin keblinger …..
Mungkin ada tips buat clean tanpa instal ulang ?
Untuk saat ini saya lagi coba pakai A-Squared
Bila ada kabar baru akan segera saya posting

==================================================
takien Says:
30 June, 2008 at 3:38 pm
Wah.. tengkyu boss…
warnet ane jg kena nih

ternyata virus sekarang makin tidak bersahabat..
setelah instal ulang semua kom gara2 alman, kemudian microsoft.vbs, masa’ masih kudu berurusan dengan mx.content-type.cn lagi ( tidaaaaaaaaaaaaaaaaaaaakkk…
korban Says:
30 June, 2008 at 6:31 pm
makasih banyak ya bos infonya sangat berguna..

nih saya lg proses download patch sp3….

nanti akan saya kabari klanjutannya….

sekedar info utk semua bahwa yg membahayakan virus ini adlah virus ini menjangkit ke jaringan, jika slah satu pc ter infect, ga menutup kemungkinan utk pc yg lain juga kena…

waspada aja utk semua…

salam
korban Says:
30 June, 2008 at 6:33 pm
wakakak

gak nyadar bahwa yg koment di atas gw si takien dudud

wakakakakk

dodol dah
takien Says:
30 June, 2008 at 7:17 pm
nape sih loe ki kok bisa sampe kemari. pertama sih gak nyadar, lama2 loh kok.. ada loading mx.content-type.cn segala… kuperiksa halaman web gak ada yang mengandung link tersebut tuh… gak taunya virus bangsat.. eh trojan ya.. whatever your nem, ini virus bikin lambat dah..
gombal trendy Says:
1 July, 2008 at 3:24 am
Benar kata Tringular

Update firewall PC kamu !!
Dengan update SP3 otomatis mengupdate firewall.

Tidak perlu takut komputer menjadi lambat setelah instal Sp3, karena justru sebaliknya, komputer akan terasa lebih enteng …. !!!
abror Says:
1 July, 2008 at 2:29 pm
oii aq jg kena nih warnetku….dan yang lebih mengherankan..dy jg menyerang client linux ubuntu
adas Says:
1 July, 2008 at 8:31 pm
bos gw uda download and upadte SP3…
tp masih kena bos…knp ya…

warnet gw kan pake 2 line koneksi internet, kl pake speedy baik2 aja itu virus ga kedetek, tp pas ganti ke koneksi lain yg pakai wireless itu virus kedetek lg…

apa mgkn virusnya uda ada sumbernya yg di pc wireless ?

knp ya bos kok bs gini (
gombal trendy Says:
2 July, 2008 at 3:09 am
Trojan ini sangat cepat menyebar pada jaringan.
Oleh sebab itu pembersihan harus benar-benar tuntas (disarankan untuk instal ulang semua pc, tanpa terkecuali).
Selama masih ada PC yg belum dibersihkan, jangan menghubungkan pc tersebut dengan jaringan.

Bila ada pc yg tidak bisa diinstal ulang (dengan alasan2x tertentu) Coba gunakan anti malware a-squared untuk melakukan pendeteksian dan pembersihan trojan.

Setelah melakukan langkah-langkah di atas, sampai sekarang warnet gua masih aman …..

@ Adas
Besar kemungkinan trojan masih tersimpan di proxy server.
Lakukan pembersihan “TANPA TERKECUALI”

@Abror
Trojan ini menginjeksi javascrip, tanpa pandang bulu pake ubuntu atau mikocok, selama masih menggunakan javascrip, kalo trojan sudah ngendon di pc bakal jadi korban juga.

Sampai saat ini GombaL sendiri belum tau, trojan ini bersumber dari mana. Mungkin bila sudah tau sumbernya kita bisa cegah agar tidak terinfeksi trojan ini.
hendri Says:
2 July, 2008 at 8:00 pm
Bos aku udah update windows xp ku ke sp3 final relaese, dan kebetulan saya sudah pake kaspersky internet security hampir 2 tahun ini (Original versi 6). Tapi hasilnya sami mawon, alias sama aja. Tetep aja tuh mx.content-type.cn menempel di web browser gue. Pusing2x akhirnya saya gunakan peerguardian2, saya block aja semua akses dari situs tsb. Tapi usut2x punya usut tampaknya nih trojan serentak menyerang tanggal 28 Juni 2008, saya udah masuk forum kaspersky banyak yg nanya, dan kejadiannya sama, yaitu 28 Juni 2008. Tapi alhasil, gara2x pake peerguradian koneksi rada sedikit lambat, kalo udah begini minta direstart dulu. baru kenceng lagi koneksi. NIh kepala gue juga pusing, komputer gue masih terinfeksi
gombal trendy Says:
3 July, 2008 at 4:46 am
@Hendry
Memang untuk saat ini belum ada yang memberikan jurus ampuh selain instal ulang (terutama untuk komputer jaringan). Sedangkan penambahan sp3 hanya untuk pencegahan agar tidak terjangkit lagi (update security firewall). Tapi jangan lupa, Trojan/Virus ini selalu mengupdate dirinya.
Maling selalu selangkah lebih maju dari pada polisi.
Silahkan baca artikel berikut ini.

Sumber Vaksin.com :
Bagaimana cara mengatasinya ?

Jika anda terinfeksi oleh virus ini dan pusing karena setiap kali dibersihkan kok virusnya kembali lagi. Percayalah, bukan anda saja yang pusing dan para administrator lain juga pusing. Langkah pertama yang harus anda lakukan setiap kali menghadapi masalah yang memusingkan adalah … NGELAMUN dulu. Mohon maaf, kami tidak bermaksud membuat anda di pecat, tetapi jika anda langsung sibuk membersihkan virus di setiap komputer dan belum mendapatkan gambaran masalah sebenarnya dimana, maka yang akan anda alami adalah virusnya kembali lagi dan memboroskan waktu anda. Dengan melamun anda jadi dapat melakukan analisa dengan tenang dan kepala dingin mengumpulkan data kira-kira apa sih yang terjadi.

Anda dapat menggunakan tools gratisan Colasoft Mac Scanner (http://www.colasoft.com/mac_scanner/mac_scanner.php) dan jalankan di komputer yang terhubung ke jaringan intranet anda. Lalu lihat IP yang memiliki Mac Address yang sama dengan Gateway / proxy

(lihat gambar)

Dalam gambar 4 di atas, Gateway adalah IP 192.168.1.1 dengan MAC Address 00:01:6C:CD:D5:24. Terlihat bahwa IP 192.168.1.106 memiliki MAC Address yang sama dengan Gateway. Jadi langkah pertama yang harus anda lakukan adalah memutuskan hubungan 192.168.1.106 dari jaringan dan membersihkan dari virus ini.

Langkah pamungkas

Sebagai langkah pamungkas, anda dapat mencegah komputer-komputer di jaringan untuk dibodohi oleh ARP Spoofing ini. Gunakan perintah “arp -s [IP Gateway / Proxy] [MAC Address Gateway / Proxy]” untuk menetapkan static IP dan MAC Address Gateway / Proxy di setiap komputer.

Jika anda memiliki banyak komputer dalam jaringan, kami sarankan untuk mempertimbangkan menggunakan switch yang mensupport DHCP Snoop. Jangan langsung beli dulu, cek dulu apakah switch yang anda miliki memiliki fitur ini. Kalau ada, langsung aktifkan dan set paremeter dengan baik guna terhindar dari ARP Spoofing
rotyyu Says:
4 July, 2008 at 2:42 am
Hehehe…. penyakitnya teknologi….
Makin canggih makin buat kita enak dan juga makin susah…

Bravo PENGUIN!!
daniel Says:
4 July, 2008 at 6:49 am
solusinya liat di yahoo answers ttg virus ini,sebab saya yg nulis juga disana.

solusinya: virus ini menyerang salah satu komputer yg berada dalam suatu jaringan(network) biasanya cukup 1 PC saja yg terinfeksi, tetapi PC lain tidak terinfeksi hanya tampaknya saja. caranya cari tau dulu PC mana yg selalu broadcast ke IP lokal jaringan(dalam hal ini saya pake winbox mikrotik, maklum yg saya betulin jaringan kantor yg pake PC server mikrotik).cukup liat icon di pojok kanan bawah,kalo nyala terus walau PC itu tdk browsing,itu tandanya selalu broadcast.langkahnya cabut kabel LAN lalu install ulang aja PC itu. beres deh……

tapi kalo gak mau susah,(egois/masa bodoh/gaptek),pake aja browser mozilla firefox, install noscript utk firefox ini linknya: https://addons.mozilla.org/en-US/firefox/addon/722

dah beres deh………
arief Says:
4 July, 2008 at 8:21 am
Solusi ini mungkin bisa dipertimbangkan, hanya saya belum tahu apakah ini efektif atau tidak (masih menunggu masukan dr rekan yg mencoba teknik ini). Caranya, buat dns spoofing untuk domain2 di bawah ini di mesin router yg juga jadi mesin dns caching untuk LAN:
content-type.cn
tongji.cn.yahoo.com

Di sini untuk server warnet pakai slackware linux dengan djbdns untuk caching dns dan dns lokal:

# cd /var/dns/namedb/root/
# tail data
…
.content-type.cn:127.0.0.1:a:259200
.tongji.cn.yahoo.com:127.0.0.1:a:259200
+content-type.cn:127.0.0.1:86400
+tongji.cn.yahoo.com:127.0.0.1:86400
=52.content-type.cn:127.0.0.1:86400
=52.tongji.cn.yahoo.com:127.0.0.1:86400

# make

# echo 127.0.0.1 > /var/dns/dnscache/root/servers/content-type.cn
# echo 127.0.0.1 > var/dns/dnscache/root/servers/tongji.cn.yahoo.com

Kemudian reload djbdns.

Sesuai comment Tringular , jika ada trojan yg tembus maka dia akan dwnload trojan yg lain, nah akses ke trojan yg lain diblok oleh teknik dns spoofing di atas.
obwellyx Says:
4 July, 2008 at 11:17 am
Dear All,

Saya dapat solusi dari temen yg pegang jaringan kantor, sbb:

1. open file ‘hosts’, yang ada di folder:
c:\windows\system32\drivers\etc
2. tambahkan:
127.0.0.1 mx.content-type.cn

Solusi ini cukup membantu untuk memulihkan kecepatan akses internet.
Broncho Says:
4 July, 2008 at 2:20 pm
Hello! I don’t speak your language, but it seems that you have solution to that problem! I have the same problem at work – network is freezing, every page has:

“”

in it’s code.
So could someone translate that post and comments in English or German cuz work here in office literally stopped!

Thanks in advance,
Sasha.

===================
Hi, Sasha

Try this one : Yahoo Answers

Good Luck
===================
faisal_malmsteen Says:
4 July, 2008 at 6:38 pm
mas kompi dikantor saya juga kena, virus ini kebetulan nyebarinnya salah satu medianya YM.
kebetulan pcnya pake kaspersky, tapi tetep jebol, coba-coba bersihkan pake antivirus avira..hasilnya, lumayan, setelah dah bisa internetnya kavnya saya update…

thanx
day.js ads[2].js Trojan-Downloader.JS.Small.js Sorunun Çözümü | Tr-PortaL.NeT Says:
4 July, 2008 at 11:57 pm
[...] yabancı kaynaklarda ise sorunun Windows XP SP3 ile çözümlenebileceği söyleniyor. Windows XP SP3 indirmek için [...]
QQ Says:
5 July, 2008 at 4:27 am
kalau pcnya udah bersih biar ga kena lagi install “Spywareblaster” soalnya ditempatku pc-pc yg aku install spywareblaster ga kena trojan ini, ada 1 pc yg lupa aku installin sekarang kena terpaksa install ulang lagi

buat yg udah kena kalo males install ulang bisa pake addon mozilla noscript yg dikasih diatas, ampuh juga cuma rada repot browsingnya
masbadar Says:
5 July, 2008 at 6:22 am
ah, akhirnya, nemuin juga rekan2 senasib..
masbadar Says:
5 July, 2008 at 6:30 am
ini pengalaman buruk saya, sejak 5 hari yg lalu, ketika saya membiarkan pc terinfeksi oleh trojan ini, dari sebuah software di 4shared. saya tenang2 saja karena pake deepfreeze 6.0. Dasar terlalu pd, malah buka admin wordpress. Asumsi saya, gak mungkin lah, ia nyerang w-p. Ternyata, setelah pc restart, setiap buka blog sendiri, langsung deh, lelet. rupanya trojan ini menggunakan chace pada firefox, menggunakan ie versi 6.xx, bisa terdeteksi ada script yg gak beres.

blog saya sudah teracak-acak, silahkan download saja blog saya, jika pake avira terakhir pasti terdeteksi.

Akhirnya langkah pengamanan adalah balik pake ie lagi dan pasang avira serta deepfreeze lagi, sorry buat mozilla, saya uninstall dgn mengirim sedikit pesan security.
gombal trendy Says:
5 July, 2008 at 11:30 am
@Masbadar

Saya sudah mencoba download blog anda berulang kali, tapi tidak mendeteksi apapun.
Bila benar WordPress anda terinfeksi trojan ini, kemungkinanya besar sekali semua yg memiliki akun di wordpress juga telah terinfek.

Kesimpulan saya,
Bukan W-P anda yg terinfeksi, tapi komputer/jaringan anda belum steril benar dari trojan ini.

coba anda buka wordpress anda dari tempat lain (bukan dari jaringan anda).
masbadar Says:
5 July, 2008 at 1:52 pm
ok, thank you.. 1000x
saya akan coba test dari jaringan lain..
mudah2-an gak jadi bikin blog baru..
Tringular Says:
7 July, 2008 at 10:33 am
Sekarang alamatnya berubah menjadi:
h**p://ad.5iyy.info/day.js
Hoang Says:
8 July, 2008 at 1:17 am
So anyone know how can I remove this adware? I’m using Windows XP and Vista and both got infected by this adware. I’m connecting to a local network so I think maybe this adware comes from local area network.
Thanks.
gombal trendy Says:
8 July, 2008 at 2:53 am
@ Hoang
Used browser mozilla firefox, instal noscript for firefox, this link : https://addons.mozilla.org/en-US/firefox/addon/722

Or
For the best solution at this time was clean install all pc in your local area network.

Or
Check one by one pc in the local area network with netcut, when you find ip some pc that changed automatically, please clean install this computer. When the cleaning it was suggested interrupted all pc from the local are network.
Hoang Says:
8 July, 2008 at 8:31 am
Thanks for your reply, trendy.

I have tried NoScript add-on but still want to completely remove the annoying script.

As far as I know this is not a “real” trojan or malware something beacause I found no .exe or .dll file. Maybe it just edited some registry keys, or it just comes from somewhere on my LAN (there were times it disappeared from page source).

A system re-installation my PC or even my whole LAN would be a profoundly last solution that no one want to take.

Guess the next couple of days I would try fighting this Chinese trick.
gombal trendy Says:
8 July, 2008 at 8:52 am
For translate comment from Indonesian to English, Copy comment and
Try this one :
http://www.toggletext.com/
Michal Says:
8 July, 2008 at 12:12 pm
Take a look on our solution for this “China Trojan” we found: http://topfueber.de/?p=8#english
anu Says:
9 July, 2008 at 9:36 am
saya juga pernah 2 minggu menghadapi masalah yang sama.
solusi pastinya belum ketemu sih, cuman sekarang saya install firewall tambahan selain firewall dari windows.
namanya sygate personal firewall yang mempunyai fasilitas anti mac spoofing. hasilnya lumayanlah, pc” di warnet sini jadi jarang banget terkena si tongji ini
kalaupun ada y terinfeksi akan ada notification dan log di komputer” lain bahwa ada ip address yang melakukan mac spoofing.
Tongji - Teh apa virus??? | Small Notes Says:
9 July, 2008 at 10:14 am
[...] Huff… selama ini belum ada cara yang ampuh untuk ngilangin selamanya di jaringan. Tapi kalo untuk mencegahnya, aku nemu tips dari blogger lain di blognya jailangkung. [...]
gombal trendy Says:
11 July, 2008 at 10:14 am
Tinggalkan Yahoo Messenger versi 8
Gunakan Yahoo Messenger V 9

Download Yahoo Messenger 9 (beta) For XP :

Link resmi YM (online install)

or

Indowebster (Offline install) >>> Just download N install without internet connection
hanco Says:
13 July, 2008 at 9:19 am
Buat yang udah kena. pake ajah antiarp spoofing di server or computer yang benar2 bersih.
tapi itu hanya cara penanggulangan sementara, sambil menganalisa komputer mana aja yang sedang melakukan proses spoofing. Kliatan kok ip mana aja yang sedang attacking.
menurut saya virus ini bisa njebol deep freeze 6 low.
waktu itu saya pernah semaleman nungguin 2 kompie yang ada deppfreeze nya. awal kompie idup sih ndak ada masalah, koneksinya lancar, tapi setelah beberapa menit, tiba2 koneksinya putus. pusing ndak ketemu solusi, tapi akhirnya dapet anti rootkit GMER, nah ternyata virus ini tidak berbentuk .exe tapi .dll .sys dan juga menginjeksi file explorer.exe. tapi sekarang ndak ada masalah dengan warnet saya,
nih log antiarp spoofing
http://img401.imageshack.us/img401/4382/image002pq4.jpg
masbadar Says:
13 July, 2008 at 10:44 am
sip, ada perkembangan baru..
pantau terus, wan kawan..
ray16 Says:
13 July, 2008 at 3:18 pm
gak perlu sampai install ulang gitu mas,
coba baca disini,

http://yogyafree.net/forum2/viewtopic.php?f=23&t=23782

hope will helps
gombal trendy Says:
14 July, 2008 at 3:23 am
@ Ray …
Ganti mac address berkali-kali ya?
Hmmm …. kalo harus sampe 7 kali, kayaknya mendingan ghost ulang deh. 5 menit selesai.

Tapi ok jg buat yg males instal ulang tapi belum punya image ghost-pc

@ Hanco
Thanks banget, infonya.
gombal trendy Says:
14 July, 2008 at 7:22 am
ANTI ARP + TRIAL RESETER

4shared

setelah Trial 15 hari habis.
uninstall antiarp, then run AppTrial.exe
Install again antiarp.
gombal trendy Says:
15 July, 2008 at 9:24 am
Sygate Personal Firewall 563408
Ary Says:
16 July, 2008 at 8:21 am
wah ngeri bgt yah
ternyata ga disangka ..
saranin dong antivir yang bagus tuk saat ni ap yah ?
hanco Says:
17 July, 2008 at 7:56 am
satu info lagi
salah satu ciri pc yang terinfeksi adalah
file “host” yang ada di c:\Windows\System32\Driver\etc\host
akan berbentuk seperti ini :
127.0.0.1 localhost
202.165.102.205 972.aksjd11.com
202.165.102.205 w3og.cn
203.208.35.100 qazc.fourtw.cn
203.208.35.100 http://www.aujoy.cn
203.208.35.101 http://www.hao601.cn
203.208.35.101 http://www.psp476.cn
72.14.235.99 222.1212l112.net
72.14.235.99 444.1212l112.netn
72.14.235.99 555.1212l112.net
72.14.235.99 111.1212l112.net

masih banyak lagi kebawah. untuk itu sudah saya upload. salahkan sedot.
http://download2.gilaupload.com/filepointer.php?fid=1a97cedb9403869c1ad53f6713d2708d

^^ Buka pakai notepad
gombal trendy Says:
17 July, 2008 at 8:35 am
mungkin situs ini dapat membantu :

Blocking Unwanted Parasites with a Hosts File
Bode Says:
17 July, 2008 at 2:59 pm
assalammualaikum… salam sejahtera.. Makasih atas infonya, saya juga dapet info dari milis dan web yang membahas tentang trojan ini banyak sekali.. semua kompi saya udah saya install ulang, dan sudah pake deep freeze tapi masih kadang2 sering muncul di broser link tersebut. kemungkinan kalau router kena trojan ini bisa ga?. Router Modem saya , bukan PC, jadi merek SMC. apa mungkin saya udah reset manual dan upgrade firmware masih kena juga dan router ini bisa terinfeksi.
Untuk tambahan info saja, Pake deepfreeze versi 6 sepertinya tidak mempengaruhi trojan tetep bisa muncul kembali.
Terus saya agak curiga denga File dengan extensi *.gif biasanya namana angka 1,2,atau 9 dst kalo ini muncul biasanya broser firefox akan memunculkan trojan ini. file ini bercokol di C:\Documents and Settings\Win\Local Settings\Temporary Internet Files. dan C:\Documents and Settings\Win\Local Settings\Temp
terus ada virus yang ngubah Jpeg menjadi .exe.
Niatnya aku mau format semua PC dan intall ulang. dan saya masih ragu apakah virus ini akan juga menginfeksi data backup saya. dan semua yang saya lakukan juga percuma. Saya udah ga tidur beberapa hari oleh kerjaan virus ini. untuk semuanya semoga info saya dan sharingnya saya ucapkan terima kasih.
Semoga solusi terbaik yang bisa ditemukan.
amin…
wass.

Tantobode
Hanco Says:
18 July, 2008 at 6:02 am
Kalau di tempatku. seperti comment saya yang diatas.
- Install Antiarp di komputer yang bener-bener bisa dipastikan tidak terinfeksi. (kalaupun terinfeksi pasti arp mendeteksi adanya OUTGOING ARP SPOOF).
- Liat PC mana saja yang sedang melakukan spoofing.
- Install ulang atau kalu punya Image Ghost di ghost ajah. Lima menit beres.

Kalau modem atau router terinfeksi belum ada indikasi kesana.

NB : antiarp bukan hanya untuk firus sih sebenernya. tapi juga untuk mengatasi para client yang ingin berbuat curang seperti menggunakan cain n abel yang berfungsi untuk mencuri username dan password (friendster/mailyahoo/dll) dari client lain. Tapi karena Anti arp craknya berupa resetter maka di computer client saya ganti dengan software XARP+crack selamanya, soalnya repot nanti kalau ngecrack 19 client, harus bukak deepfreeze dulu. capek dech…

Demikian, semoga dapat menjadi referensi teman2 yangmempunyai problem yang sama…
THX
Hanco
gombal trendy Says:
18 July, 2008 at 6:32 am
@ Bode

Beruntunglah anda, karena yg puyeng bukan anda seorang.
He he he ….

Solusi yg paling jitu, tentunya instal antivirus yg terupdate di semua PC.

GomBaL juga sempet begadang mikirin nih trojan . . .

Akhirnya untuk mastiin, gombal istall ulang satu komputer kemudian pasang AV (GomBaL pake Kaspersky 6)

Setelah terupdate, full scan komputer.

Setelah dipastikan bersih, baru bikin image ghost.
Lalu oper deh … ke semua PC.

And finally … pasang deepfreeze.

Double protection Man …

Eh, jangan lupa pasang password untuk kaspersky, biar user yg jail ga bisa matiin kaspersky.
Anu Says:
18 July, 2008 at 11:08 am
buat y make sygate di client warnet sebaiknya dikunci pake password biar user ga bisa kill firewall nya. selama firewallnya jalan keknya ga ada masalah ma tongji”an
hanco Says:
18 July, 2008 at 2:52 pm
Ada satu ide, sebenernya sih bukan ide waras. tapi keknya ndak ada salahnya klao dicoba.
gimana kalo ip dari hxxp://ads.633f94d3.info/day.js
kita doss server nya biar ndak tambah lagi korbannya.
trus semisal teman2 punya keahlian hack, ndak ada salahnya kalo dibuat untuk kebaikan.
salam
Hanco
Bode Says:
21 July, 2008 at 6:01 am
Wah.. trojannya antik juga ya… selalu update dan alamatnya berubah-ubah tempat updatenya… tutup satu tumbuh seribu nih kayaknya…. Semoga ga menyebar banget kasian anak sekolah… cari data lama banget
[cgi-error] Says:
21 July, 2008 at 1:29 pm
makin canggih aja pirus2 jaman sekarang bukti bahwa tingkat pendidikan dan standar pendidikan maju pesat
Budiman Says:
22 July, 2008 at 10:16 am
Numpang tanya Friend,

Di warnet saya kayaknya mempunyai masalah yang sama nih, dah berulang2 saya format hardisk dan intall ulang secara aman (lepas dari LAN), protek pakai deepreze 6.0 . scan berulang2 pakai Kaspersky 7.0 , tapi sial setelah dimasukkan ke Hub LAN bermasalah lagi. Padahal semua kompi sudah diprotek deepreze.

Ditempat saya masalah ini ditandai dengan IP conflict, padahal dah semua IP dah diseting static plus hub Baru super baru. Billing explorer versi dinamic semaput. Hang dan putus.

Masalah yang lain, setiap client brwosing selalu keluar pop up minta di intall langguage pack.

Ada yang bisa tolong solusinya ndak please?

NB.
Tolong di beritahu step by steps dong, bagaimana cara merubah mac address?

Mac yang mana ya?

Mac modem atau mac ethernet card?

Salam,

Budiman
yummy Says:
23 July, 2008 at 1:59 am
Ini ada tool yang mungkin berguna sebagai senjata buat perang lawan trojan ini…….

1.HijackThis: melihat registry yang cacat/kena sama trojan dllsb…

2.ColasoftMACScannerFree: melihat client yang sama MAC nya dengan router gateway

3.killer.bat,hosts.txt,fix.inf: Script untuk memberantas file file yang terinfeksi di PC.. (run di save mode)

karena scriptnya masih tahap pengembangan mohon teman2 bisa mengupdate file2nya yang terinfeksi yah
————————
English:
I had weapon tool to attack this trojan, may helpfull
Program:
1.Hijakthis: see malfunction registry

2.ColasoftMAC: see client which contaminated by trojan which the MAC address same as the router gateway

3.killer.bat,hosts.txt,fix.inf: script to destroy the infected trojan (run in safe mode please)

please update the script, ’cause this script in development.
———————-
LinkFile:
http://rapidshare.com/files/131747854/Trojan_Downloader_win32.Small.xwr_Remover.zip.001
http://rapidshare.com/files/131747855/Trojan_Downloader_win32.Small.xwr_Remover.zip.002

tambahan lagi biasanya client yang kena kalo di torch pake winbox nya mikrotik kliatan banget pake port 445 (smb) sama 139

maap om momod mungkin bisa dijadiin satu deh tulisan2 gue yang diatas:
ada info lagi nih…. barusan aja dapet:
http://himifda.unsada.ac.id/?p=128
tian Says:
23 July, 2008 at 8:44 am
lab sekolahku juga kena,di c ada file microsoft.bat dan microsoft.vbs, tapi file microsoft.pif dicari ga ada! kira-kira dimana dismpannya?

=========================
“??? Lho emang Tian naronya tadi dimana ???
Hayoo … sapa yang ngumpetin …. ????”
tian Says:
23 July, 2008 at 10:28 am
kata vaksin.com ciri2 kena arp spoofing itu di c ada 3 file tadi, kenapa yang extension pif gak ada, sy udah search tapi tetap ga ada
johan Says:
25 July, 2008 at 4:40 am
Kalau yang model LAN pakai deepfreeze kayaknya gampang deh …

Cari PC awal yang terinfeksi. Biasanya nggak pakai deepfreeze. Cara deteksinya bisa baca di :
http://forum.detikinet.com/showthread.php?t=22000

Putus hubungannya dengan LAN. Install ulang PC itu aja. PAsang pengamanan berlapis : deepfreeze, antiexe, antivirus …. Beres …….
yummy Says:
28 July, 2008 at 9:05 am
Update Script versi 2 (tambahan file trojan yang bisa dideteksi sampai file diupload hari ini) juga tambahan tool baru Security Task Manager (mirip task Manager, tapi bisa melihat process setiap dll yang ada di memory).

———–
English:
UPdate The Script version 2 (more catch trojan file,bonus tool S3cur1ty T4sk M4n4g3r)

Link:
“Buat om momod tolong dong di edit lagi linknya yang terakhir, terhapus nih filenya:”

Trojan_Downloader_win32.Small.xwr_Remover.zip.001

Trojan_Downloader_win32.Small.xwr_Remover.zip.002

Trojan_Downloader_win32.Small.xwr_Remover.zip.003

@ Yummy
Link sudah diperbaiki
Tambahan :
Untuk menggabungkan file gunakan hjsplit.
Download di sini :
Hjslit (297.81 KB)
gombal trendy Says:
28 July, 2008 at 9:49 am
“Thks For Yummy.”

Silahkan para sederek sedoyo, diunduh rame-rame !
cuplixs Says:
29 July, 2008 at 8:12 am
Halo Bos terimaksih info tongji-nya, mudah2an setelah gw coba berhasil yah, eh tapi minta download-an kasperskynya donk + creck-nya yah tengkyuu
gombal trendy Says:
29 July, 2008 at 9:36 am
@ cuplixs

Karena akhir-akhir ini, key Kaspersky banyak sekali yg Ter-blacklist.
GomBaL memang Berencana untuk upload KAV 6 + Key.

(kenapa KAV 6 ??? Ga yg terbaru ???)

Kasihan buat yg punya kompi alakadarnya. KAV 7 dst … terasa semakin berat.

Tapi Gombal Belum bisa upload file-nya untuk saat ini,

Mungkin besok or lusa ….

Harap maklum

““““““““
uPDAtE COmment :
pOSTING dOWNLOAD KAV 6 + KEY
http://jailangkung.wordpress.com/2008/07/30/kav-602614-key/
arif Says:
2 August, 2008 at 3:09 am
udah di download tapi ga bisa di buka hasil download nya pake winrar.. apa harus pakai winzip?
gombal trendy Says:
2 August, 2008 at 3:40 am
@ arif

Mohon Maaf, ternyata file korup saat proses upload.
Bila ingin key-nya , silahkan unduh part 1 saja, then extract keynya (non include instalater).
=========================

Buat Semuanya . . .

Ingatkan GombaL kalo ada eror file… OK !
salwa Says:
3 August, 2008 at 12:00 pm
wew…gw udah update ke xp sp 3…..ga mempan juga.
opo iki…opo…iki………..
ureh Says:
4 August, 2008 at 11:09 pm
filenya corrupt begitu di rar
upload lagi donk
gombal trendy Says:
5 August, 2008 at 3:04 am
@ ureh

File yg mana nih . . . KAV ?
Udah diupload ulang kok …
KAV 6+KEY PART 1
KAV 6+KEY PART 2
KAV 6+KEY PART 3

Mirror :
4shared

Or Here :
Indowebster
ureh Says:
8 August, 2008 at 8:44 pm
http://rapidshare.com/files/133259647/Trojan_Downloader_win32.Small.xwr_Remover.zip.001 sampai 3 file yg ini om… errror setelah di extract
gombal trendy Says:
10 August, 2008 at 3:00 am
@ yummy

Ureh Mohon advice-nya, nih . . .
ureh Says:
10 August, 2008 at 9:46 am
maksudnya.. ketiga file yg ada di rapid kaenya mase error, masalah begitu selesai wa dl n coba mau di extract ke tiga file tsb error,,, makanya wa meminta anda untuk memmperbaiki filenya yang ada di rapidshare tersebut. THX
Fuck off Tongji Says:
10 August, 2008 at 5:13 pm
Memang kenyataanya walaupun pakai Deepfreeze tongji masih bisa masuk, saat ini saya juga belum menemukan cara yg bener ampuh untk basmi tongji ini, ada beberapa pertanyaan setelah membaca comment di blog ini:

1. Klo udah Pake kav6.0.2.614en + Key.rar, bisa menghapus tojan tongji ini? karena banyak juga artikel yang menerangkan bahwa Kaspresky hanya bisa deteck doang…namun saya belum coba (ijin donlot dulu ya)

2. Apakah teman2 semua pada gatewway memakai mikrotik? dan Tongji masih bisa masuk? solanya kemarin saya masih tetap pakai mikrotik komputer clien fine2 aja namun setelah saya lepas mikrotik (sedikit masalah dengan HD-nya) jadi yg jadi gateway saya Pakai openBSD (squid) komputer client langsung terinfeksi trojan ini..padahal..udah pake deepfreeze dah selama 2 tahun baru trojan ini yg bisa bobol…
gombal trendy Says:
11 August, 2008 at 9:12 am
@ ureh

Saya sudah coba download, dan tidak ada yg error.
Barangkali Mas Yummy (yg mengupload file ini) lupa memberitahukan setelah download, join ketiga file tersebut dengan menggunakan program hjsplit.
Silahkan mas ureh download program hjsplit terlebih dahulu, setelah di-join (gabung) baru extract file hasil gabungan tersebut.
Link download hjsplit:
hjsplit (297 KB)

@ Fuck off Tongji

Menurut pengalaman saya sih, setelah semua pc client terinstal kav, kav bisa mencegah masuknya nih trojan (dengan catatan semua pc benar2x clean dari trojan ini).
Kalau pc sudah terinfeksi akan sulit untuk membersihkannya.

Oleh sebab itu, sebaiknya pasang juga antivirus untuk gateway anda.
otothepat Says:
17 August, 2008 at 11:30 am
walah..,ternyata info ini dah lama,tapi baru kena nih.shittt..bener nih virus..hehehe thanks infonya
yummy Says:
22 August, 2008 at 4:29 am
update……

satu lagi
barusan googling sana sini….
dapet satu lagi info walaupun sudah dibersihin pake tool macem macem ada 1 file yang terinfeksi yaitu actxprxy.dll di windows\system32 yang lolos terdeteksi dengan segala antivirus ternama en lokal pcmav,ansav,nod32,avira,avg dll hanya terdeteksi oleh ikarus antivirus…

coba masuk ke http://virusscan.jotti.org/ untuk scanning secara online file diatas. jika terbukti terinfeksi, hapus aja filenya (jika tidak bisa dihapus rename saja) dengan sendirinya nanti akan dikopikan lagi file master yang bersih dari windows\system32\dllcache

====================

sory om admin lupa lagi nambahin referensi removal tipnya:
http://forums.majorgeeks.com/showthread.php?t=166170

====================

waduh seperti biasanya

sampe post berulang2… maap om momod… gue posting dulu baru baca post dr temen2 seblumnya…. jadiin satu aja deh postingan gue diatas

@all
gue compressnya pake tool 7-zip removal toolnya… jadi bisa ada 2 cara extract filenya:
1. kalo error, ganti program winzip yang berbayar itu ke 7-zip yang free/Open Source dan memakai teknologi kompresi lebih bagus dari zip biasa (maap gue pake zip file biar kompatibel sama program temen2 lain soalnya kalo pake 7z malah temen2 lain pada bingung, ternyata malah eror extractnya mungkin algoritma split filenya beda dengan winzip jadinya error karena gue g sempet test extract pake winzip)

2.cara kedua pake hjsplit dulu dimerge jadi satu baru di extract
gombal trendy Says:
23 August, 2008 at 6:08 am
Satu lagi info yang sangat berharga.

2 Jempol buat Yummy

thk’s
hhifas Says:
18 September, 2008 at 1:22 pm
trojan downloader yg ada di rapidshare itu sdh aku join pake hjsplit tp waktu diekstrak kok ya tetep error ya.. padahal kl di open ya klihatan semua isinya, tp giliran diekstrak gak mau…..

gmn ya
thanks
gombal trendy Says:
18 September, 2008 at 3:11 pm
@ hhifas

Kemungkinan error saat proses dowload, coba download kembali.

Soalnya saya sendiri sudah mencoba download, dan extract ga da masalah.

Kalo masih ga bisa coba kasih tau saya lagi, biar saya minta ijin saya mas yummy buat upload di tempat lain.
yummy Says:
25 September, 2008 at 1:14 am
boleh2 aja kok upload tempat lain sebagai mirror.

kalo error donlod aja program 7zip. filenya g gede2 amat kok……
gombal trendy Says:
25 September, 2008 at 10:06 am
@ yummy

Thk’s
yummy Says:
30 October, 2008 at 9:28 am
Update Remover versi terakhir…

mohon rekan2 baca dulu petunjuk2 di script tersebut

http://rapidshare.com/files/158941113/Trojan_Downloader_win32.Small.xwr_Removerv2.2.zip
yummy Says:
3 November, 2008 at 3:02 am
Ini adalah virus trojan yang sudah didapat dari komputer yang terinfeksi:
http://rapidshare.com/files/160134610/virusan-asshole.zip

dibawah ini adalah script yang sudah gue fixed, ada bug sedikit. link yang gue post diatas udah gue hapus, pake link bawah ini:
http://rapidshare.com/files/160134611/Trojan_Downloader_win32.Small.xwr_Removerv2.2fixed.zip
yummy Says:
3 November, 2008 at 5:23 am
gubrak… tolong om admin hapus salah satu postingan guwe diatas…..
david Says:
20 November, 2008 at 8:25 pm
sekarang mulai muncul variant baru dari si tongji ini …
qwertyy.cn
ada yg udah kena…./senasib sepenanggungan ?
gombal trendy Says:
21 November, 2008 at 11:10 am
@ david

Bisa share gejalanya ???
Romy Steven J Says:
6 December, 2008 at 12:54 am
Setelah lama melakukan investigasi, akhirnya saya menemukan biang atau celah tempat virus jaringan bernama tongji dan sebangsanya.

Ternyata virus ini masuk melalui Yahoo Messenger… Atau lebih tepatnya dari iklan yang berada di bagian bawah aplikasi Yahoo Messenger.

Ini terbukti setelah saya memblok aplikasi Yahoo Messenger melalui router (IM/P2P Blocking) selama 3 hari, jaringan bebas dari virus, tetapi ketika saya membuka blok nya kembali, serangan virus masuk lagi.

Cara untuk melihat ada atau tidaknya virus di jaringan adalah dengan melihat Source dari halaman web yang dibuka. Jika dibagian atas ada statement maka kemungkinan besar virus telah aktif di jaringan.

Beberapa alamat tujuan script yang sempat saya data antara lain:

do.qwertyy.cn
u.cruze3.cn
fk.au44.info
s.asde0msd.cn

Semuanya rata-rata dari domain China (.cn). Sama seperti virus tongji, sistem kerjanya adalah dengan menginfeksi salah satu komputer dalam jaringan yang tidak memiliki pertahanan yang kuat.

Jika menggunakan AVG Free 8, harap aktifkan option Scan for tracking cookies, karena virus ini masuk melalui cookies YM. Setelah diaktifkan, maka AVG akan melaporkan tracking cookies ketika kita menjalankan YM.

Setelah virus berhasil menginfeksi salah satu komputer di jaringan, maka dia akan memalsukan MAC Addressnya dan menjadikan dirinya sebagai Gateway, sehingga semua komputer yang membuka situs akan dialihkan ke komputer tersebut sebelum benar-benar ke situs yang dimaksud, tujuannya adalah agar halaman situs disisipi dulu dengan scriptnya.

Hal inilah yang menyebabkan koneksi internet terasa lambat karena semuanya harus melewati komputer bervirus itu. Maka tak terelakkan lagi, SEMUAnya kena, pake Internet Explorer, Mozilla, Opera, atau browser apapun pasti kena, juga walaupun menggunakan Linux juga kena. Tapi tenang saja, komputer lainnya hanya terkena dampak tapi tidak ikut terinfeksi (kecuali komputer tersebut tidak punya pertahanan yang cukup).

Salah satu solusi yang cukup manjur adalah dengan menutup iklan di YM, caranya adalah dengan mengubah registri.

* Tutup aplikasi Yahoo Messenger (Exit bukan Close ya)
* Buka Regedit dan cari: HKEY_CURRENT_USER\Software\Yahoo\Pager\Locale
* Kemudian cari key Enable Messenger Ad
* Ganti nilai 1 menjadi 0

Setelah itu, silahkan gunakan kembali YM dan tidak akan ada lagi iklan di bagian bawah YM dan secara otomatis tidak akan ada lagi jalan untuk virus sebangsa tongji.

Lakukan hal tersebut di semua komputer dalam jaringan (termasuk komputer tamu yang ada YMnya) karena 1 saja komputer dengan YM yang beriklan, dapat menyebabkan terinfeksinya jaringan dan mengganggu aktrifitas Internet.

Jadi, sebagai admin jaringan, lakukan perlindungan pada jaringan anda khususnya Wireless, pasang saja password, sehingga setiap orang yang ingin masuk jaringan harus melapor dan sekalian anda setting YM nya. Atau sekalian blok saja YM

Demikianlah pengalaman saya mengatasi virus sebangsa tongji, semoga bermanfaat.

http://www.romystevenj.com/2008/12/akhirnya-ketemu-biang-virus-jaringan/
gombal trendy Says:
7 December, 2008 at 10:10 am
@ Romy Steven

Salam kenal dan Terima kasih banyak pak Romy untuk infonya,
Semoga bermanfaat bagi banyak orang.
hajar Says:
20 February, 2009 at 12:12 pm
sebeeel banget dengan virus itu. saya sudah instal ulang semua pc tapi masih aja kena, gimana ya caranya?
bananatehpisang Says:
13 March, 2009 at 4:33 am
klo install ulang tar kena lagi.
mending bkin batch script..

isinya IP + mac nya. (arp -s ip mac )
itu di execute di setiap pc (simpen di startup biar tiap restart di execute)
dan disimpen jga di router linux nya..
gajah_gendut Says:
19 June, 2009 at 3:43 am
walah .. virus ini udah muncul lagi yang baru variannya …

kalo diliat di mac list munculnya mac address fake alias palsu.. yg tidak kedaftar di daftar pembuat NIC

di aselalu memalsukan MAC address dengan awalan de:ad:xx:xx:xx:xx

awalan mesti de:ad … belakangnya random spt mac address biasa ..

nyarinya jauh lebih susah

ada solusi ??

GombaL_tRenDy Never Die