W32/Rontokbro.LA

W32/Rontokbro.LA [4k51k4] 9 JAnuari 2007

Menginfeksi komputer dari Flash Disk tanpa perlu di klik



Pengantar :

Apa yang diajarkan Son Goku kepada kita ? Jika anda penggemar Dragon Ball, menghayati dan mengamalkannya tentunya anda tidak akan sombong karena pesannya jelas sekali, di atas langit masih ada langit. Rupanya hal ini terjadi di kancah pervirusan Indonesia.

Jika SOP (Standard Operation Procedur) virus lokal selama ini adalah menyebarkan dirinya melalui Flash Disk atau Disket dan dengan rekayasa sosial yang canggih (memalsukan Icon virus sebagai folder atau aplikasi lain seperti MS Word, JPG). Dengan teknik sederhana ini biasanya pengguna komputer banyak yang secara tidak sadar menjalankan virus tersebut dan terinfeksi.

Tentunya pengguna komputer yang tidak pernah sembarangan mengklik file akan lebih aman dari penularan virus lokal. 100 % aman ?.... Tunggu Dulu !!! Sebelum memberikan Piala Citra pada pengguna yang tidak pernah sembarangan mengklik file sebaiknya anda lihat ancaman yang datang dari varian Ekskul...eh.. Rontokbro yang terakhir ini. W32/Rontokbro.LA, yang satu ini bisa mengaktifkan dirinya setiap kali anda mengakses Flash Disk yang dicolokkan pada komputer. Dan kabar buruknya, sudah ada beberapa varian virus lokal yang memiliki kemampuan menjalankan dirinya secara otomatis setiap kali Flash Disk di colokkan ke komputer.



4K51K4

Apa yang aku lakukan tak dapat kau rasakan

Apa yang kau lakukan tak dapat aku rasakan

Benar-benar jauh, tak kan dapat kugapai

Aku paksa, tetap akan lukai diri..



Senyummu gerakan senyumku

Sedihmu mengiris hatiku



Tangisku bukan milikmu

Tangismu adalah milikku



Tak ada lagi yang ku kejar saat ini

Nanti, ya nanti aku akan mulai mengejar

Lepaskan sebagian letihku saat ini

Nanti, nanti aku mulai berkobar



Seperti yang sudah kita ketahui bahwa virus lokal biasanya akan menyebar menggunakan Disket / Flash Disk dan kita juga tahu bahwa virus tersebut baru akan aktif jika user menjalankan file yang sudah terinfeksi virus. Contohnya jika Flash Disk anda sudah terinfeksi virus dan Flash Disk tersebut di colokkan ke PC yang bersih maka anda perlu menjalankan file yang sudah terinfeksi terlebih dahulu dengan klik ganda pada file untuk mengaktifkan virus tersebut. Kini metode tersebut sudah kuno (anak kecil juga bisa). Lagi-lagi Rontokbro menjadi pionir dalam mencari cara baru menginfeksi komputer dimana variannya dengan nama W32/Rontokbro.LA mampu mengaktifkan dirinya secara otomatis setiap kali UFD (USB Flash Disk) di colokkan pada komputer. Dan ternyata sudah banyak virus lokal yang memiliki kemampuan yang sama. Rahasianya adalah script untuk menjalankan file yang sudah terinfeksi didalam Disket / Flash Disk tersebut sehingga jika user mengakses Disket / Flash Disk maka secara otomatis akan menjalankan script yang sudah dibuat tadi.



Rontokbro.LA dibuat dengan menggunakan bahasa Visual Basic serta mengusung sebuah puisi cinta yang berjudul “4K51K4”, seperti terlihat pada gambar 1 dan 2 dibawah ini:





Gambar 1, File induk W32/Rontokbro.LA



Gambar 2, Penggalan puisi W32/Rontokbro.LA



Dengan update terbaru Norman Virus Control sudah dapat mengenali virus ini sebagai Rontokbro.LA (Gambar 3)



Gambar 3, Hasil Scan Norman Virus Control terhadap virus W32/Rontokbro.LA



Agar Rontokbro.LA dapat berkembang biak ia akan membuat beberapa file induk yang akan disimpan di direktori berikut:

C:\Data%user%.exe [contoh: Data Administrator.exe], file ini akan disimpan di setiap drive termasuk disket dan flash disk

C:\4k51k4.exe, file ini akan disimpan di setiap drive termasuk disket dan flash disk

C:\puisi.txt

C:\desktop.ini, file ini akan disimpan di setiap drive termasuk disket dan flash disk

C:\4K51K4, file ini akan disimpan di setiap drive termasuk disket dan flash disk. Folder ini berisi 2 buah file dengan nama:

- Folder.htt

- New Folder.exe

C:\Documents and Settings\Adang\Start Menu\Programs\Startup\startup.exe

C:\Documents and Settings\Adang\Local Settings\Application Data

- 4k51k4.exe

- csrss.exe

- Empty.Pif

- IExplorer.exe

- lsass.exe

- services.exe

- shell.exe

- winlogon.exe

C:\Documents and Settings\%usr%\Local Settings\Application Data\WINDOWS

- csrss.exe

- lsass.exe

- services.exe

- smss.exe

- winlogon.exe

C:\Documents and Settings\All Users\Start Menu\Programs\Startup

- Empty.pif

- Empty.exe

- Startup.exe

C:\Documents and Settings\Default User\Start Menu\Programs\Startup

- Startup.exe

C:\WINDOWS

- 4k51k4.exe

C:\WINDOWS\system32

- shell.exe

- MrHelloween.scr

- IExplorer.exe



Membuat msvbvm60.dll cadangan

Seperti yang sudah dijelaskan diatas bahwa Rontokbro.LA dibuat dengan menggunakan bahasa Visual Basic sehingga lebih mudah untuk pembersihannya dengan syarat anda merubah file msvbvm60.dll yang ada di direktori C:\Windows\system32, tetapi virus ini juga cerdik ia akan membuat pasukan cadangan dengan nama yang sama sehingga walaupun file msvbvm60.dll yang ada di folder C:\Windows\system32 sudah direname, tetapi virus ini akan tetap aktif, file ini akan disimpan di direktori C:\Windows



Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat beberapa string pada registri berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

§ 4k51k4 = C:\WINDOWS\4k51k4.exe

§ MSMSGS = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\WINLOGON.EXE

§ Service%user% = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\SERVICES.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

§ Logon%user% = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\CSRSS.EXE

§ System Monitoring = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\LSASS.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

§ Shell = Explorer.exe "C:\WINDOWS\system32\IExplorer.exe"

§ userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\IExplorer.exe



Rontokbro.LA juga akan merubah setting pada Screen Saver dengan tujuan untuk menjalankan file MrHelloween.scr [C:\Windows\system32] pada waktu-waktu yang sudah ditentukan, dengan merubah string pada registry berikut:

HKEY_CURRENT_USER\Control Panel\Desktop

§ SCRNSAVE.EXE = C:\WINDOWS\system32\MRHELL~1.SCR



Untuk menjaga eksistensinya, Rontokbro.LA akan mencoba untuk blok beberapa fungsi Windows seperti Task Manager/Regedit/Folder Option/Disable MSI Installer atau Disable System Restore tools security seperti proceexp, security task manager, atau killbox pun dibuat tak berdaya. Untuk blok fungsi Windows tersebut ia akan membuat beberapa string pada regsitry berikut:



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

§ NoFolderOptions

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

§ DisableRegistryTools

§ DisableTaskMgr

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

§ DisableMSI = 1

§ LimitSystemRestoreCheckpointing = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

§ DisableConfig = 1

§ DisableSR



Selain itu Rontokbro.LA juga akan mencoba untuk menyembunyikan semua file yang mempunyai ekst. EXE/BAT/PIF/COM atau LNK jika file tersebut dijalankan dan untuk mengelabui user ia akan membuat file duplikat dengan nama file yang sama. Rontokbro.LA juga mempunyai metode lain agar dirinya tetap aktif setiap waktu yakni dengan memanipulasi setiap file yang mempunyai ekst. EXE/COM/BAT/PIF atau LNK dengan demikian setiap kali user menjalankan file yang mempunyai ekst tersebut maka secara otomatis akan mengaktifkan virus tersebut. Untuk melakukan hal tersebut ia akan mebuat beberapa string pada registy berikut:



HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command

§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command

§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command

§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command

§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command

§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*



Rontokbrol.LA juga akan mencoba untuk merubah type file dari “Application” menjadi “File Folder” sehingga akan semakin sempurna pula penyamaran yang dilakukan oleh Rontokbro karena icon yang akan digunakan oleh Rontokbro.LA adalah icon “Folder” sehingga dengan type file “File Folder” akan mempermudah untuk menjebak user untuk menjalankan file yang sudah terinfeksi virus tersebut. Sebenarnya ada satu cara yang dapat anda gunakan agar tidak terjebak untuk menjalankan file yang sudah terinfeksi yakni dengan menampilkan file secara detail [View -- > Detail] dan biasanya sebuah folder tidak akan mempunyai ukuran, jadi jika anda menjumpai file dengan icon “folder” dan mempunyai ukuran sebaiknya jangan dijalankan karena kemungkinan besar merupakan virus, perhatikan gambar 4 dibawah ini:





Gambar 4, Perbandingan antara folder asli dan file yang terinfeksi virus



Menyebar otomatis melalui Disket / Flash Disk

Rontokbro.LA masih menggunakan Disket/Flash Disk sebagai media penyebarannya dengan membuat beberapa file berikut:

4K51K4, folder ini berisi 2 buah file dengan nama Folder.htt dan New Folder.exe

Data %user%.exe, contoh: Data Admin.exe

Desktop.ini



Agar file yang sudah dibuat di Disket/Flash Disk tersebut aktif secara otomatis tanpa harus dijalankan secara manual oleh user, ia akan membuat script pada Disket/Flash Disk tersebut dengan nama Desktop.ini dimana script ini berisi perintah untuk menjalankan file Folder.htt. File Folder.htt ini berisi perintah lain untuk menjalankan file New Folder.exe. Perhatikan penggalan script yang ada pada file Desktop.ini dan Folder.htt (gambar 5 dan 6)



Gambar 5, Penggalan script Desktop.ini yang menjalankan file folder.htt





Gambar 6, Penggalan script Folder.htt yang secara otomatis akan menjalankan file virus



Jadi, setiap kali user mengakses Disket/Flash Disk yang sudah terinfeksi maka secara otomatis akan mengaktifkan virus tersebut. Rontokbro.LA juga akan membuat file Desktop.ini di setiap Drive [contoh: Drive C:\ atau D:\] sehingga jika user mengakses kedua Drive tersebut maka secara otomatis akan mengaktifkan virus tersebut tanpa harus menjalankan file yang sudah terinfeksi terlebih dahulu, suatu perkembangan yang luar biasa dan saat ini sudah banyak virus lokal yang akan menggunakan metode ini sebut saja virus W32/Askis, W32/VBWorm.ZL, VBWorm.MOS atau W32/Aksika.



Sebagai penutup Rontokbro.LA akan membuat file duplikat disetiap Folder dan sub folder yang diakses sesuai dengan nama folder tersebut dengan ciri-ciri : (lihat gambar 7)

Icon Folder

Ukuran 45 KB

Ext. EXE

Type file “Application”



Gambar 7, File duplikat yang dibuat oleh Rontokbro



Cara membersihkan Rontokbro.LA

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan

2. Matikan proses virus yang aktif dimemori. Sebagai informasi Rontokbro.AL akan aktif di mode “normal”, “safe mode” maupun “safe mode with command prompt”, file induk yang aktif di memori juga sangat sulit untuk dimatikan hal ini diperparah dengan kondisi dimana virus ini akan aktif setiap kali user menjalankan file Executable [EXE] dari suatu program, tools security seperti security task manager/proceeXP atau killbox pun dibuat tak berdaya. Kabar baiknya Rontokbro.AL dibuat dengan menggunakan bahasa Visual Basic sehingga anda hanya perlu merubah file MSVBVM60.dll yang ada didirektori C:\Windows dan C:\Windowws\system32



Untuk merubah file MSVBVM60.dll tersebut, terlebih dahulu anda harus membuat Disket Startup karena file tersebut akan diubah pada mode DOS. Untuk membuat disket startup tersebut anda dapat menggunakan software NTFS For DOS, tools ini dapat di download di alamat http://www.wsdownload.de/download/ntfs4dos/ntfsinst.exe.



Setelah anda berhasil membuat disket Startup boting komputer melalui Disket. Sebagai informasi jika anda menggunakan tools NTFS for Dos ini maka Drive System [C:\] akan menjadi Drive terakhir, jadi jika anda mempunyai 2 partisi maka partisi C:\ akan menjadi D:\ begitupun sebaliknya [partisi D:\ menjadi C:\] oleh karena itu setelah berhasil masuk ke mode DOS kemudian masuk ke Drive System dengan mengetik perintah %drive system%: kemudian tekan tombol “enter” pada keyboard [contoh: D: kemudian tekan tombol “enter”] setelah itu masuk ke direktori ..\Windows dengan mengetik CD WINDOWS kemudian tekan tombol “enter”, setelah itu ketik perintah dibawah ini:



· DIR/AH kemudian tekan tombol “enter” pada keyboard [untuk melihat file yang disembunyikan], jika di direktori ini ditemukan file MSVBVM60.DLL, ubah nama file tersebut dengan mengetik perintah dibawah ini

· REN MSVBVM60.DLL MSVBVM60 kemudian tekan tombol “enter“ pada keyboard



Ubah juga file MSVBVM60.DLL yang ada di direktori ..\Windows\system32, dengan mengunakan perintah yang sama seperti di atas. (lihat gambar 8)





Gambar 8, Merubah file MSVBVM60.dll menjadi msvbvm60



Setelah file tersebut berhasil di ubah, restart komputer dan booting ke mode "Normal". Setelah komputer booting maka akan muncul beberapa pesan error, ini menandakan bahwa virus tersebut gagal untuk dijalankan [aktif] kerena tidak menemukan file MSVBVM60.DLL, jika muncul pesan tersebut klik tombol [OK], perhatikan gambar 9 dibawah ini.





Gambar 9, Pesan error setelah merubah file MSVBVM60.DLL



3. Hapus string registry yang dibuat oleh virus. Salin script dibawah ini pada program Notepad dan simpan dengan nama repair.inf kemudian jalankan dengan cara



klik kanan repair.inf

klik install



[Version]

Signature="$Chicago$"

Provider=Vaksincom



[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del



[UnhookRegKey]

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, Control Panel\International, s1159,0, "AM"

HKCU, Control Panel\International, s2359,0, "PM"

HKLM, SOFTWARE\Classes\exefile,,,"Application"

HKCU, Control Panel\Desktop,SCRNSAVE.EXE ,0,



[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, 4k51k4

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, MSMSGS

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, System Monitoring

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableSR

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, System Monitoring

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, DisableCMD

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption

HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing

HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableSR



4. Hapus file induk yang dibuat oleh virus, sebelum menghapus file tersebut pastikan anda sudah menampilkan file/folder yang disembunyikan dengan memilih option "Show hidden files and folders" dan menghilangkan pilihan "Hide extension for known file types" dan "Hide protected operating system files (recommended)" pada Folder Option, perhatikan gambar 10 dibawah ini:





Gambar 10, Menampilkan file yang disembunyikan



Setelah itu hapus file induk berikut:



C:\Data%user%.exe [contoh: Data Admin.exe]

C:\4k51k4.exe

C:\Puisi.txt

C:\Desktop.ini

C:\4K51K4, folder ini berisi 2 buah file berikut:

- Folder.htt

- New Folder.exe

C:\Documents and Settings\%user%\Start Menu\Programs\Startup\startup.exe

C:\Documents and Settings\%user%\Local Settings\Application Data

- 4k51k4.exe

- csrss.exe

- Empty.Pif

- IExplorer.exe

- lsass.exe

- services.exe

- shell.exe

- winlogon.exe

C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS

- csrss.exe

- lsass.exe

- services.exe

- smss.exe

- winlogon.exe

C:\Documents and Settings\All Users\Start Menu\Programs\Startup

- Empty.pif

- Empty.exe

- Startup.exe

C:\WINDOWS\4k51k4.exe

C:\WINDOWS\system32

- Shell.exe

- MrHelloween.scr

- IExplorer.exe



Hapus juga file yang ada di Disket/Flash Disk:

4K51K4, folder ini berisi 2 buah file dengan nama Folder.htt dan New Folder.exe

Data %user%.exe, contoh: Data Admin.exe

Desktop.ini

5. Hapus file duplikat yang sudah dibuat oleh virus baik di Hard Disk maupun di Disket/Flash Disk dengan ciri-ciri :

Menggunakan icon folder

Ukuran 45 KB

Ext. exe

Type file "application"

6. Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan Norman Virus Control yang sudah dapat mengenali virus ini dengan baik.

7. Jika komputer sudah bersih dari virus, tampilkan kembali file .EXE yang sudah disembunyikan. Gunakan perintah ATTRIB -s -h *.exe /s /d pada Dos Prompt. Sebagai informasi Rontokbro.LA juga akan mencoba untuk menyembunyikan file dengan ekst. Bat/Com/lnk dan Pif jika file tersebut dijalankan oleh karena itu untuk menampilkan kembali file dengan ext tersebut gunakan perintah seperti diatas dengan mengganti ekstensi yang akan ditampilkan, contoh ATTRIB -s -h *.com /s /d (lihat gambar 11)





Gambar 11, Menampilkan ekstensi yang disembunyikan



8. Ubah kembali file msvbvm60 yang ada di direktori C:\Windows\system32 menjadi msvbvm60.dll