Memalsukan Icon Folder dan menyebarkan diri via email
Penyebaran virus lokal kini mulai menyebarkan sayapnya, jika sebelumnya hanya menyebar melalui media Disket/UFD atatu file sharing kini mereka [virus] mulai menyebar menggunakan media lain yang dinilai lebih cepat diantaranya dengan menggunakan email dimana ia akan menyertakan sebuah attachment bervirus pada setiap email yang dikirimkannya, Rontokbro/mybro adalah salah satu contoh virus yang dapat menyebar memalui email selain rontokbro/mybro kini telah muncul virus lain yang juga akan menyebar melalui email, dengan update terbaru Norman mendetaksi sebagai W32/Amor.A@mm (lihat gambar 1).
Gambar 1, Norman Virus Control dapat mendeteksi Amor.A dengan baik
Sudah menjadi hobi dimana virus lokal akan menggunakan beberapa icon tertentu untuk mengecoh user menjalankan file tersebut guna menyebarkan virus tersebut, icon-icon favorit yang biasa digunakan oleh virus untuk mengelabui user diantaranya adalah icon MS Word, jpg, folder , winamp atau windows media player dan jika di teliti lebih jauh file tersebut akan mempunyai type file sebagai application hal ini bisa dilihat jika file/folder ditampilkan dalam mode “Detail”, begitupun dengan virus Amor.A dimana ia akan menggunakan icon Folder dengan ukuran sebesar 208 KB dan virus ini masih dibuat dengan menggunakan Visual Basic (lihat gambar 2).
Gambar 2, File yang sudah terinfeksi Amor.A
Dengan icon yang disamarkan sudah pasti akan mengecoh user sehingga dengan tidak sengaja menjalankan file tersebut (ketika mencoba mengakses folder yang dipalsukan tersebut) apalagi didukung dengan ekstensi dari file tersebut yang disembunyikan sehingga user menduga bahwa file tersebut merupakan “folder” bukan sebuah “file” , jika file tersebut dijalankan ia akan membuat file induk yang akan dijalankan pertama kali setiap kali komputer dijalankan, yakni:
- C:\Winnt\csrss.exe
Sebagai pendukung agar file tersebut dapat dijalankan, Amor.A akan membuat string pada registry editor, diantaranya adalah:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o Winlogon = C:\winnt\csrss.exe
Selain itu Amor.A juga akan membuat string lain pada registry editor:
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
o [Default] = File Folder
Media penyebaran
Untuk menyebarkan dirinya Amor.A akan menyebar melalui Disket/USB atau file sharing yakni dengan membuat file duplikat pada media tersebut, selain itu Amor.A juga akan menyebar melalui email dengan menyertakan lampiran berupa file yang sudah terinfeksi dengan terlebih dahulu akan mengambil semua alamat email yang ada di komputer yang terinfeksi, hal ini juga pernah dilakukan oleh rontokbro/mybro untuk menyebarkan dirinya. Tidak seperti team Olimpiade Fisika Indonesia yang mampu mengalahkan pesaingnya dari seluruh dunia, dibandingkan dengan virus mancanegara virus-virus lokal masih termasuk anak bawang dan belum mampu menandingi prestasi virus mancanegara yang merajai penyebaran melalui email seperti Mytob, Kamasutra dan Netsky.
Disable fungsi windows
Amor.A juga akan mencoba untuk mematikan beberapa fungsi windows diantaranya:
- Registry editor
- Run
- Control Panel
- System properties
- Search
- cmd [jika menjalankan perintah “taskkill” atau “tasklist”]
Tetapi Amor.A tidak akan mematikan fungsi Task Manager, msconfig maupun Folder Option.
Untuk mematikan beberapa fungsi Windows di atas, Amor.A akan membuat beberapa string pada registry editor:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
o NoRun
o NoFind
o NoControlPanel
o NoSetFolders
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
o Disabled = 1
Selain itu jika anda mencoba untuk membuka program Internet Explorer, maka komputer akan mengeluarkan “suara” setiap kali kursor digerakan pada layar Internet Explorer.
Duplikat File
Sebagai penutup Amor.A akan membuat file duplikat di setiap folder dan sub folder sesuai dengan nama folder dan sub folder tersebut dengan ciri-ciri:
- Menggunakan icoon “Folder”
- Ukuran 208 KB
- Type file “applicatioan” (lihat gambar 3)
Gambar 3, Amor.A akan membuat file duplikat disetiap Folder dan Subfolder
Cara membersihkan Amor.A
Putuskan hubungan komputer yang akan dibersihkan dari jaringan
Jika menggunakan Windows ME/XP, matikan [system restore] untuk sementara selama proses pembersihan
Matikan proses Amor.A yang sedang aktif di memori, untuk mematikan proses tersebut anda dapat mengggunakan tools pengganti task manager seperti “proceexp”, kemudian matikan proses “csrss”, jangan sampai terjadi kesalahan pada waktu mematikan proses virus tersebut, matikan proses yang menggunakan icon “Folder” (lihat gambar 4)
Gambar 4, Gunakan program bantu Process Explorer untuk mematikan proses Amor.
Hapus string yang dibuat pada registry editor, untuk mempermudah proses pengapusan copy script berikut pada program notepad kemudian simpan menjadi repair.inf setelah itu jalankan file tersebut dengan cara:
Klik kanan “repair.inf”
Klik “install”
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, winlogon
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoControlPanel
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoSetFolders
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
Hapus file induk virus Amor.A pada direktori
- C:\Winnt\Csrss.exe
Hapus file duplikat yang dibuat oleh Amor.A, dengan ciri-ciri:
- Menggunakan icon Folder
- Ukuran file 208 KB
- Type file “application”
Untuk proses pembersihan optimal dan mencegah infeksi ulang, gunakan antivirus yang dapat mengenali virus ini.
Tidak ada komentar:
Posting Komentar