W32/VBWorm.MQE

W32/VBWorm.MQE 10 Februari 2007

Virus Pacaran yang paling kejam


Fitnah Lebih Kejam dari Pembunuhan, demikianlah ungkapan sering diberikan pada orang-orang yang senang memfitnah. Rupanya tidak hanya manusia yang suka memfitnah, tetapi ada juga virus melakukan fitnah. Yang ini tentunya tidak memfitnah manusia, tetapi memfitnah file baik-baik agar dikira virus dan dihapus oleh pengguna komputer.


Ibarat banjir yang melanda Jakarta, virus lokal yang menyebar saat ini semakin banyak serta membawa dampak sosial yang cukup besar sudah banyak user yang menjadi korban dan mengalami kerugian besar baik dari sisi materiil maupun non materil. Ibarat pintu air yang tak kuasa menahan datangnya limpahan air dalam jumlah besar, program antivirus yang terinstal terkadang tak mampu menahan serangan virus. Terkadang FORMAT menjadi senjata andalan yang digunakan, tapi masalahnya virus tersebut terkadang datang kembali dan menginfeksi kembali komputer dan ibarat banjir bandang, beberapa varian virus bahkan menghancurkan data komputer korbannya. Data, baik MS.Office maupun data-data penting lainnya sering kali menjadi terget utama dari virus lokal mulai dari sekedar disembunyikan sampai dengan di hapus. Masalah menjadi besar jika data tersebut adalah data penting, alhasil software recovery yang diharapkan sebagai malaikat penolong, tetapi pada kasus tertentu pepatah tua menunjukkan kebenarannya Nasi Sudah Menjadi Bubur atau sesal Dahulu Pendapatan, Sesal Kudian Tak Berguna. Supaya tidak menyesal selalu bask up data anda dan gunakan antivirus yang memberikan deteksi virus lokal dan dukungan support lokal di Indonesia.


Jika suatu saat Drive di komputer anda tiba-tiba hilang atau muncul beberapa dialog box dengan pesan “khas” met PacaraN yach ... :), sebaiknya anda waspada karena kemungkinan besar anda sudah menjadi korban salah satu virus lokal yang saat ini sedang menyebar dan “celakanya” jika user klik tombol “OK” maka dialog box lain akan muncul dengan isi “hitungan mundur 60 detik” setelah itu virus ini akan mematikan komputer dan jangan senang dulu karena pesan ini akan muncul jika user menjalankan komputer dibawah jam 8.00 pagi. Mungkin virus ini bermaksud mendisiplinkan karyawan agar tidak bekerja sebelum jam 8 pagi :P. (perhatikan gambar 1 dan 2 dibawah ini)




Gambar 1 Pesan yang disampaikan VBWOrm.MQE




Gambar 2 VBWorm.MQE berusaha untuk mematikan komputer korban


Maraknya penyebaran virus lokal selama ini rasanya sudah cukup bagi user untuk dapat membedakan dan mengatasi virus lokal itu sendiri karena terkadang program antivirus yang “selalu” dibanggakan pun dibuat tak berdaya melawan virus lokal alhasil terkadang cara manual merupakan cara yang harus ditempuh dan DOS merupakan salah satu alternatif yang dapat digunakan untuk melumatkan serangan virus lokal tersebut, tetapi virus juga tak kalah cerdik ia akan mencoba untuk memanfaatkan setiap inci kelemahan dari user yang dimungkinkan akan dijadikan peluang oleh virus untuk menyebarkan dirinya sehingga tidak salah jika ada yang pendapat bahwa virus selalu berada 1 langkah di depan antivirus.


Dilihat dari karakteristik, “biasanya” virus lokal mempunyai ciri-ciri yang sama walaupun terdapat beberapa perbedaan. Salah satu yang menjadi ciri yang digunakan adalah sering mengggunakan icon “Folder” yang mempunyai ukuran tertentu disetiap file yang terinfeksi. Seperti yang anda ketahui bahwa setiap “Folder” ASLI yang tidak terinfeksi tidak akan mempunyai ukuran sedangkan file yang menggunakan icon Folder dan sudah terinfeksi virus akan mempunyai ukuran tertentu dengan type file “Application” atau ”Screen Saver”, sehingga jika anda menjumpai sebuah Folder yang mempunyai ukuran sebaiknya dihapus dan jangan di jalankan karena akan mengaktifkan virus ini.


Hati-Hati File Anda di Fitnah, Semua .exe atau .txt dirubah menjadi icon folder ang memiliki ukuran

Tetapi untuk saat ini sebaiknya anda lebih waspada karena telah muncul virus lokal baru yang menggunakan rekayasa sosial baru dengan memanfaatkan icon folder dan type file tersebut, sehingga akan terlihat seolah-olah file tersebut adalah file virus atau file yang sudah terinfeksi virus tujuannya sudah jelas agar user menghapus file tersebut sehingga tanpa disadari mereka telah menghapus file yang sebenarnya bukan virus, contohnya jika virus menjumpai file executable [exe], atau text documents [txt] maka ia akan merubah icon dari file tersebut dengan icon “Folder” dan merubah type file tersebut menjadi “Application”, karena file tersebut mempunyai ukuran maka akan terlihat file tersebut seolah-olah file duplikat atau file yang sudah terinfeksi virus sehingga dengan “pede” user yang mengira berhasil mendeteksi virus akan menghapus file tersebut tetapi sebenarnya user tersebut sedang “harakiri” terhadap sistem komputernya karena yang di hapus bukanlah file yang bervirus melainkan file asli yang sebenarnya tidak terinfeksi virus. (lihat gambar 3)



Gambar 3 VBWorm.MQE merubah icon dari file exe dan txt dengan icon “Folder”


Dengan update terbaru Norman Virus Control mendeteksi virus tersebut sebagai VBWorm.MQE (lihat gambar 4)




Gambar 4 Norman berhasil mendetesi VBWorm.MQE


Ciri utama yang dapat dikenali dari virus ini adalah setiap kali komputer login maka akan muncul sebuah pesan dari sang “mpunya” virus dengan caption text “W32.PACARAN – jigsaw” dengan isi “AKu kembali untuk menuntuk balas ha..ha...ha.. :D”, ciri lainnya adalah akan menampillkan sebuah dialog box “met PacaraN yach ... :)” pada waktu-waktu yang telah ditentukan (lihat gambar 1).


Visual Basic menjadi bahasa pilihan yang akan digunakan oleh VBWorm.MQE, dengan ukuran 59 KB dengan icon “Folder” yang tentunya akan mempunyai type file sebagai “Application”. Sebagai upaya untuk mempertahankan dirinya ia akan membuat beberapa file induk dan beberapa script untuk menjalankan dirinya secara otomatis, VBWorm.MQE juga akan membuat file msvbvm60.dll di direktori C:\, C:\Windows dan C:\Winodws\backup sebagai file backup jika user merubah atau menghapus file MSVBVM60.dll yang berada didirektori C:\Windows\system32 sehingga ia akan tetap aktif.


Berikut beberapa file induk yang akan dibuat oleh VBWorm.MQE:


Autorun.inf

Berisi script untuk menjalankan file Folder.exe secara otomatis setiap kali user akses ke sebuah Drive [file ini akan dibuat disetiap Drive termasuk ke dalam Disket/Flash Disk]

C:\MVSBVM60.dll

Sebagai file backup jika file MSVBVM60.dll di system32 dirubah/dihapus oleh user, sehinga ia akan tetap aktif melakukan aksinya.

C:\W32.Pacaran II.html

Berisi sebuah pesan dari “sang mpunya” virus, file ini juga akan diset sebagai Wallpaper.

Desktop.ini

Berisi script untuk menjalankan file folder.htt yang berada di direktori ....\\Documents\folder.htt, file folder.htt ini berisi script lain untuk menjalankan file folder.exe [file Desktop.ini akan dibuat disetiap Drive]

C:\Folder.exe [file ini akan dibuat disetiap drive]

C:\Documents [folder ini akan dibuat disetiap drive], berisi 2 buah file diantaranya:

§ Folder.htt

§ Folder.exe

C:\Windows\MSVBVM60.dll, sebagai file backup

C:\Windows\system32\explorer.exe

C:\Windows\system32\eyore.exe

C:\Program Files\Windows Media Player\explorer.exe

C:\Windows\system32\readme.txt

C:\Windows\system32\New Folder.exe

C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp\msvbvm60.dll

C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp\system.exe

C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp\Documents\folder.exe

C:\WINDOWS\BackUp\MSVBVM60.dll

C:\Documents and Settings\%user%\My Documents

§ Untuk Titta.txt, berisi pesan kepada “sang kekasih” [hal yang paling membahagiakan bagi gw adalah... mencinataimu]


Agar file tersebut dapat aktif secara otomatis, ia akan membuat beberapa string pada registri berikut:


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

- eyore = C:\WINDOWS\System32\explorer.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- Eyore = C:\WINDOWS\System32\explorer.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

- Default = C:\WINDOWS\System32\explorer.exe %1 %*

HKEY_USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

- Eyore = C:\WINDOWS\System32\explorer.exe


Sebagai upaya agar aktif pada mode “safe mode with command prompt” ia akan membuat string pada registri berikut, tetapi sebenarnya VBWorm.MQE tidak akan aktif pada mode ini karena terdapat “bug” atau “karena kesengajaan” pada string yang dibuat dan sebagai informasi VBWorm.MQE ini hanya aktif pada mode “Normal” saja sehingga pembersihan dapat anda lakukan baik pada mode “safe mode” atau “safe mode with command prompt”


HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Control\SafeBoot

- AlternateShell = C:\WINDOWS\System32\explorer.exe %1 %*


Blok Segambreng Fungsi Windows

VBWorm.MQE ini cukup merepotkan karena banyak fungsi windows yang akan di blok seperti:


Disable Shutdown

Disable Run

Disable Find

Disable Folder options

Disable Klik kanan

Disable Cmd

Disable Registri tools

Disable Control panel

Disable System Restore

Disable Icon Desktop

Disable klik kanan Desktop


Dengan membuat beberapa string pada registri berikut:


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- NoClose

- NoDrives

- NoFind

- NoFolderOptions

- NoRun

- NoSetFolders

- NoSetTaskbar

- NoTrayContextMenu

- NoViewContextMenu

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableCMD

- DisableRegistriTools

- NoAdminPage

- NoPwdPage

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp

- Disabled =1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

- NoFolderOptions

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

- Hidden =2

- HideFileExt = 1

- ShowSuperHidden = 1

- SuperHidden = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\SystemRestore

- Default = 1


VBWorm.MQE juga akan berusaha memblok program security termasuk firewall dan program antivirus dengan membuat string berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile

- EnableFirewall =0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

- AntiVirusDisableNotify = 1

- FirewallDisableNotify = 1

- UpdatesDisableNotify =1

HKEY_CURRENT_USER\Software\Microsoft\Security Center

- AntiVirusDisableNotify = 1

- FirewallDisableNotify = 1

- UpdatesDisableNotify =1


Menghapus program Antivirus

Seperti biasa virus akan mencoba untuk blok antivirus begitupun yang dilakukan oleh VBWorm.MQE yang akan menghapus semua file dari program antivirus dengan sasaran semua program antivirus yang di install di direktori C:\Program files\.., dengan terlebih dahulu merubah file C:\Autoexec.bat dengan menambahkan sederetan perintah untuk menghapus file dari program antivirus tersebut, hal ini juga pernah dilakukan oleh virus lokal lainnya sebut saja VBWorm.NA atau Trojan.KillAV.TY, perhatikan gambar 5 dibawah ini:




Gambar 5 VBWorm.MQE mencoba untuk menghapus program antivirus


Berikut beberapa program antivirus dan firewall yang akan menjadi target oleh VBWorm.MQE:


- Norman Virus Control

- MCAfee

- Symantec [Norton]

- AVG

- Trend Micro

- F-Prot

- AVP

- BitDefender

- F-Secure

- Inoculate-IT

- RAV serta ZONE Alarm


Seperti yang dilakukan oleh Rontokbro, VBWorm.MQE juga akan mencoba blok akses ke beberapa website antivirus dan website yang sudah ditentukan dengan merubah file yang berada di didirektori C:\Windows\System32\drivers\Etc\HOST , dengan mencantuman beberapa alamat website yang akan di blok.


www.kaspersky.com

www.sec

www.jasakom.com

www.dell.com

www.ibm.com

www.pandasoftware.com

avgnt.exe

www.sophos.com

www.geocities.com

www.securityfocus.com

login.yahoo.com

www.zeropaid.com

www.agsatellite.com

www.bearshare.com

www.edonkey200.com

www.imesh.com

morpheus.com

update.microsoft.com

www.lavasoft.com

www.zonelabs.com

www.grisoft.com

www.mp3.com

www.msn.com

www.ebay.com

www.vet.com

www.winguides.com

www.limewire.com

www.winmx.com

www.emule.com

www.kazaa.com

www.google.co.id


VBWorm.MQE juga akan mencoba untuk memanipulasi file yang mempunyai ekstensi tertentu sehingga jika user menjalankan file dengan ekstensi tersebut maka secara otomatis akan menjalankan file induk yang sudah dibuat oleh VB.Worm.MQE di direktori [C:\WINDOWS\System32\explorer.exe] atau [C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe], berikut beberapa ekstensi yang menjadi target serangan VBWorm.MQE:


Phpfile

Flash.move

Movfile

Mp3file

Mpegfile

Datfile

Cdafile

Htmlfile

Txtfile


Untuk melakukan hal tersebut VBWorm.MQE juga akan merubah sting pada registri berikut:


HKEY_CLASSES_ROOT\Unknown\shell\openas\command

- Default = C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe %1 %*

HKEY_CLASSES_ROOT\Flash.Movie\shell\open\command

- Default = C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe %1 %*

HKEY_CLASSES_ROOT\phpfile\shell\open\command

- Default = C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe %1 %*

HKEY_CLASSES_ROOT\movfile\shell\open\command

- Default = C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe %1 %*

HKEY_CLASSES_ROOT\mp3file\shell\open\command

- Default = C:\WINDOWS\System32\explorer.exe %1 %*

HKEY_CLASSES_ROOT\mpegfile\shell\open\command

- Default = C:\WINDOWS\System32\explorer.exe %1 %*

HKEY_CLASSES_ROOT\datfile\shell\open\command

- Default = C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe %1 %*

HKEY_CLASSES_ROOT\cdafile\shell\open\command

- Default = C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe %1 %*

HKEY_CLASSES_ROOT\htmlfile\shell\open\command

- Default = C:\WINDOWS\System32\explorer.exe %1 %*

HKEY_CLASSES_ROOT\txtfile\shell\open\command

- Default = C:\WINDOWS\System32\explorer.exe %1 %*

HKEY_CLASSES_ROOT\Folder\shell\open\command

- Default = C:\WINDOWS\System32\explorer.exe %1 %*


Menyembunyikan Drive dan Folder

Satu hal yang membedakan VBWorm.MQE dengan virus lokal lainnya adalah kemampuannya untuk menyembunyikan semua Drive yang ditemui di komputer yang terinfeksi dan menyembunyikan Folder / Subfolder. Untuk mengelabui user ia juga akan membuat duplikat disetiap Drive sesuai dengan nama folder yang disembunyikan, VBWorm.MQE juga akan merubah Drive C:\ menjadi PACARAN (lihat gambar 6) dengan terlebih dahulu membuat string pada registri berikut:


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- NoDrives

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{80f340fd-9cf6-11db-aca7-806d6172696f}

- _LabelFromReg = PACARAN

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{80f340fb-9cf6-11db-aca7-806d6172696f}\Shell\Auto\command

- Default = Folder.exe e

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{80f340fb-9cf6-11db-aca7-806d6172696f}\Shell\AutoRun\command

- Default = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Folder.exe e




Gambar 6, VBWorm.MQE merubah Drive C:\ menjadi PACARAN dan membuat file duplikat


Merubah type file

VBWorm.MQE juga akan merubah type file dari sebuah Folder dari “File Folder” menjadi “W32.PACARAN” dengan membuat string pada registri berikut : (lihat gambar 7)


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory

- Default = W32.PACARAN

HKEY_CLASSES_ROOT\Directory

- Default = W32.PACARAN



Gambar 7-VBWorm.MQE merubah type file Folder dari “file folder” manjadi “W32.PACARAN”


VBWorm juga akan melakukan hal seperti diatas terhadap beberapa file lain seperti file MP3 dan file JPEG dengan terlebih dahulu membuat string pada registri berikut:


HKEY_CLASSES_ROOT\mp3file

- Default = W32.PACARAN

HKEY_CLASSES_ROOT\jpegfile

- Default = W23.PACARAN


Shutdown Komputer

VBWorm.MQE juga akan mencoba untuk mematikan komputer pada waktu-waktu yang telah ditentukan dengan terlebih dahulu akan menampilkan beberapa dialog box dengan pesan “met PacaraN yach ... :)” (lihat gambar 1)


Jika user menekan tombol “OK” maka VBWorm.MQE akan mengusai komputer dan komputer tidak akan dapat anda gunakan dengan mengunci mouse atau keyboard. Dengan kemunculan pesan tersebut sebagai pertanda dari VBWorm.MQE agar anda segera mematikan komputer atau ia akan mematikan secara paksa dengan menampilkan sebuah dialog box dengan itungan mundur 60 detik sebelum komputer mati, hal ini juga pernah dilakukan oleh virus Blaster/Sasser bedanya jika virus Sasser/Blaster akan restart komputer karena proses penggantian file LSASS dengan paksa sedangkan VBWorm.MQE akan mematikan komputer dengan tidak menggunakan celah keamanan Microsoft [LSASS / RPC DCOM] sehingga walaupun komputer anda telah dilakukan patch [penutupan celah keamanan tersebut] VBWorm.MQE akan tetap mematikan komputer anda, agar komputer tidak shutdown [mati] ketik perintah SHUTDOWN –A pada dos prompt.


VBWorm.MQE juga akan berusaha mematikan komputer pada jam-jam yang telah ditentukan [biasanya pesan ini muncul jika user menjalankan komputer dibawah jam 8.00 AM] dan jika user klik tombol “OK” maka akan muncul dialog box konfirmasi shutdown dengan tetap nanampilkan hitungan mundur 60 detik sebelum komputer mati [shutdown]


Aksi lain yang akan dilakukan oleh VBWorm.MQE adalah kemampuannya untuk merubah fungsi mouse dari klik kiri menjadi klik kanan atau sebaliknya dengan merubah string pada registri berikut:


HKEY_CURRENT_USER\Control Panel\Mouse

- SwapMouseButtons = 1


“AKU kembali untuk menuntut balas ...ha...ha... ;D itulah pesan lain yang akan di sampaikan oleh sang “mpunya” virus, pesan ini akan muncul setiap kali user menyalakan komputer [login] hal ini juga pernah dilakukan oleh virus lokal lainnya seperti VBWorm.NA dengan terlebih dahulu membuat string pada registri berikut:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

- LegalNoticeCaption = W32.PACARAN -jigsaw-

- LegalNoticeText = Aku kembali untuk menuntut balas...ha...ha.. :D


Jangan Langsung Menghapus File yang dicurigai bervirus

Sebaiknya anda berhati-hati jika komputer anda terinfeksi VBWorm.MQE, jangan sembarangan menghapus file yang mempunyai icon “Folder” dan mempunyai ukuran tertentu karena VBWorm.MQE akan mencoba untuk mengelabui user dengan merubah sejumlah file dengan ekstensi tertentu dengan mengganti icon dari file tersebut dengan icon “Folder” dan “celakanya” ia juga akan merubah type file tersebut menjadi “Application” sehingga file tersebut akan terlihat seperti file duplikat yang dibuat oleh virus atau file yang telah terinfeksi virus dan inilah yang akan membuat user mudah terjebak dan dengan “senang hati” akan menghapus file tersebut yang sebenarnya bukan merupakan file yang terinfeksi virus sehingga dapat dipastikan semua data penting anda akan terhapus, kenapa hal ini bisa terjadi? karena saat ini user hanya mengetahui jika terdapat file yang mempunyai icon “folder” dengan ukuran tertentu apalagi mempunyai type file sebagai “Application” atau “Screen saver” adalah VIRUS dan sang mpunya virus memanfaatkan celah ini untuk mengelabui user, suatu rekayasa sosial yang pantas mendapat acungan jempol, sederhana tapi sangat merepotkan, oleh karena itu sebaiknya hapus file icon “folder” yang mempunyai ukuran 59 KB saja atau untuk amannya, gunakan Norman Virus Control dengan update terakhir untuk mendeteksi dan membasmi file yang terdeteksi sebagai W32/VBWorm.MQE


Beberapa file yang akan dijadikan target adalah file music [MP3], txt, reg file, jpeg, inf dan exe, untuk memanipulasi file tersebut VBWorm.MQE akan melakukan sedikit perubahan pada registri berikut : (lihat gambar 8)

HKEY_CLASSES_ROOT\mp3file\DefaultIcon

- Default = shell32.dll,3

HKEY_CLASSES_ROOT\txtfile\DefaultIcon

- Default = shell32.dll,3

HKEY_CLASSES_ROOT\txtfile

- Default = Application

HKEY_CLASSES_ROOT\regfile

- Default = Application

HKEY_CLASSES_ROOT\regfile\DefaultIcon

- Default = shell32.dll,3

HKEY_CLASSES_ROOT\jpegfile\DefaultIcon

- Default = shell32.dll,3

HKEY_CLASSES_ROOT\Drive\DefaultIcon

- Default = shell32.dll,10

HKEY_CLASSES_ROOT\exefile\DefaultIcon

- Default = shell32.dll,3

HKEY_CLASSES_ROOT\inffile\DefaultIcon

- Default = shell32.dll,-152

HKEY_CLASSES_ROOT\exefile

- Default = File Folder

HKEY_CLASSES_ROOT\inifile\DefaultIcon\

- Default = shell32.dll,152




Gambar 8 VBWorm.MQE memanipulasi file yg tidak terinfeksi dengan merubah icon file


Merubah Wallpaper Windows

Masih banyak aksi lain yang dilakukan oleh VBWorm.MQE salah satunya adalah mencoba untuk merubah settings wallpaper komputer (lihat gambar 9) dengan file yang telah dibuat sebelumnya dengan merubah string pada registy berikut

HKEY_CURRENT_USER\Control Panel\Desktop

- Wallpaper = C:\W32.PACARAN II.html

- Tilewalpaper = 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Themes\LastTheme

- Wallpaper = %SystemDrive%\W32.PACARAN II.html



Gambar 9, Wallpaper yang ditampilkan oleh VBWorm.MQE


Selain pada Desktop Windows, ia juga akan mencoba untuk merubah wallpaper pada Internet Explorer dengan merubah string berikut:


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General

- BackupWallpaper = %SystemDrive%\W32.PACARAN II.html

- Wallpaper = %SystemDrive%\W32.PACARAN II.html


Sama seperti yang dilakukan oleh kebanyakan virus lokal, VBWorm.MQE juga akan merubah nama organisasi dan nama pemilik Windows tersebut dengan merubah string registri berikut:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

- RegisteredOrganization = Microsoft Windows Bajakan

- RegisteredOwner = EYORE COMPUTER


Menyebar secara otomatis melalui Flash Disk

Sebagai media penyebaran VBWorm.MQE masih menggunakan Disket / Flash Disk dengan membuat beberapa file diataranya:


Autorun.inf.

Desktop.ini

C:\Folder.exe

C:\Documents [folder ini akan dibuat disetiap drive], berisi 2 buah file diantaranya:

§ Folder.htt

§ Folder.exe


Agar VBWorm.MQE dapat aktif secara otomatis tanpa harus menjalankan file yang sudah terinfeksi, ia akan membuat 2 buah script yaitu Dekstop.ini dan Autorun.inf. File Autorun.inf ini berisi script untuk menjalankan file Folder.exe yang berada di Dikset / Flash Disk begitupun dengan file Desktop.ini yang berisi script untuk menjalankan file Folder.htt untuk kemudian file folder.htt ini berisi script lain untuk menjalankan file Folder.exe.


Script ini juga akan dibuat di setiap Drive sehingga setiap kali user akses ke Drive tersebut maka secara tidak langsung akan mengaktifkan VBWorm.MQE (lihat gambar 10)



Gambar 10 Script yang di tulis untuk mengaktifkan VBWorm.MQE secara otomatis


Cara pembersihan VBWorm.MQE


Putuskan hubungan komputer yang akan dibersihkan dari jaringan

Lakukan pembersihan pada mode” Safe Mode with Command Prompt”

Matikan proses virus yang aktif dimemori. VBWorm.MQE ini dibuat dengan mengggunakan bahasa Visual Basic jadi anda cukup merubah file msvbvm60.dll. Oleh karena itu agar VBWorm.MQE tidak aktif dimemori hapus file msvbvm60.dll yang ada di direktori :

- C:\

- C:\Windows

- C:\Windows\backup

- C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp

dan ubah file msvbvm60.dll yang ada di direktori “C:\Windows\System32” :


Untuk menghapus file msvbvm60.dll pastikan kursor berada di masing-masing direktori yang telah ditentukan diatas kemudian rubah terlebih dahulu attribut dari file tersebut dengan mengetik perintah ATTRIB –s –h MSVBVM60.dll kemudian tekan tombol “enter” pada keyboard.


Setelah atribut file tersebut berhasil di ubah, kemudian hapus file tersebut dengan mengetik perintah DEL MSVBVM60.DLL kemudian tekan tombol “enter” pada keyboard.


Setelah berhasil menghapus file msvbvm60.dll sesuai lokasi yang sudah ditentukan diatas, kemudian ubah nama file msvbvm60.dll yang berada didirektori C:\Windows\system32 dengan terlebih dahulu merubah attribut dari file tersebut dengan mengetik perintah ATTRIB –s –h MSVBVM60.dll setelah berhasil merubah atribut dari file tersebut kemudian ubah file tersebut dengan mengetik perintah REN MSVBVM60.DLL MSVBVM60OLD.DLL [sebelum merubah file tersebut pastikan kursor berada didirektori C:\Windows\system32]. Setelah file tesrebut berhasil di ubah kemudian restart komputer. Jika setelah komputer restart muncul pesan error sebaiknya abaikan saja dan ikuti langkah pembersihan selanjutnya. (lihat gambar 11)



Gambar11 Menghapus dan merename nama file msvbvm60.dll


Hapus string registri yang dibuat oleh virus. Untuk mempercepat proses penghapusan string tersebut salin script berikut pada notepad dan simpan dengan nama repair.vbs, kemudian jalankan file tersebut dengan menekan tombol enter pada file tersebut atau klik 2 x pada file tersebut.


Dim oWSH: Set oWSH = CreateObject("WScript.Shell")

on error resume Next

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_CLASSES_ROOT\exefile\DefaultIcon\","%1"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization","Your Organization"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","YourOwner"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\","Application"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\Debugger",""

oWSH.Regwrite "HKEY_CLASSES_ROOT\Directory\","File Folder"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\","File Folder"

oWSH.Regwrite "HKEY_CLASSES_ROOT\Unknown\shell\openas\command\","C:\Windows\system32\rundll32.exe C:\Windows%\system32\shell32.dll,OpenAs_RunDLL %1"

oWSH.Regwrite "HKEY_CLASSES_ROOT\Folder\shell\open\command\","%SystemRoot%\Explorer.exe /e,/idlist,%I,%L"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\","C:\Windows\notepad.exe %1"

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\eyore")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\eyore")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\SystemRestore\")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetTaskbar")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCLose")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Nofind")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoAdminPage")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoPwdPage")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText")

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\",""

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\")

oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Mouse\SwapMouseButtons",""

oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper ",""

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\TaskbarSizeMove")

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\BackupWallpaper",""

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\Wallpaper",""

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Themes\LastTheme\Wallpaper",""

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Security Center\AntiVirusDisableNotify")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Security Center\FirewallDisableNotify")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Security Center\UpdatesDisableNotify")

oWSH.Regwrite "HKEY_CLASSES_ROOT\Flash.Movie\shell\open\command\",""

oWSH.Regwrite "HKEY_CLASSES_ROOT\phpfile\shell\open\command\",""

oWSH.Regwrite "HKEY_CLASSES_ROOT\txtfile\shell\open\command\","C:\WINDOWS\notepad.exe %1"

oWSH.Regwrite "HKEY_CLASSES_ROOT\txtfile\","Text Documents"

oWSH.Regwrite "HKEY_CLASSES_ROOT\txtfile\DefaultIcon\","shell32.dll,-152"

oWSH.Regwrite "HKEY_CLASSES_ROOT\regfile\","Registration Entries"

oWSH.Regwrite "HKEY_CLASSES_ROOT\regfile\DefaultIcon\","%SystemRoot%\regedit.exe,1"

oWSH.Regwrite "HKEY_CLASSES_ROOT\jpegfile\","JPEG Image"

oWSH.Regwrite "HKEY_CLASSES_ROOT\jpegfile\DefaultIcon\","shimgvw.dll,3"

oWSH.Regwrite "HKEY_CLASSES_ROOT\htmlfile\shell\open\command\","C:\Program Files\Internet Explorer\IEXPLORE.EXE -nohome"

oWSH.Regwrite "HKEY_CLASSES_ROOT\mp3file\shell\open\command\","C:\Program Files\Windows Media Player\wmplayer.exe"

oWSH.Regwrite "HKEY_CLASSES_ROOT\mp3file\","MP3 Format Sound"

oWSH.Regwrite "HKEY_CLASSES_ROOT\mp3file\DefaultIcon\","C:\Program Files\Windows Media Player\wmplayer.exe,-120"

oWSH.Regwrite "HKEY_CLASSES_ROOT\inffile\DefaultIcon\","shell32.dll,-151"

oWSH.Regwrite "HKEY_CLASSES_ROOT\inifile\DefaultIcon\","shell32.dll,-151"

oWSH.Regwrite "HKEY_CLASSES_ROOT\mpegfile\shell\open\command\","C:\Program Files\Windows Media Player\wmplayer.exe"

oWSH.Regwrite "HKEY_CLASSES_ROOT\cdafile\shell\open\command\","C:\Program Files\Windows Media Player\wmplayer.exe"

oWSH.Regwrite "HKEY_CLASSES_ROOT\movfile\shell\open\command\","C:\Program Files\Windows Media Player\wmplayer.exe"

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{80f340fb-9cf6-11db-aca7-806d6172696f}\shell\")


Setelah menjalankan repair.vbs, cek ulang untuk registri berikut dengan terlebih dahulu menjalankan file regedit.exe dengan cara:


· Klik [Start]

· Klik [Run]

· Pada dialog box ketik regedit.exe dan tekan tombol “OK”

· Setelah “registri Editor” terbuka telusuri key berikut:


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{80f340fd-9cf6-11db-aca7-806d6172696f}


Kemudian hapus secara manual key {80f340fd-9cf6-11db-aca7-806d6172696f}, jika ditemukan setelah itu restart komputer.


Matikan “system restore” selama proses pembersihan [jika menggunakan Windows XP / ME]

Hapus file induk yang dibuat oleh virus, sebelum menghapus file tersebut pastikan anda sudah menampilkan semua file yang disembunyikan oleh virus, untuk lebih jelasnya lihat gambar dibawah ini kemudian hapus file di direktori berikut : (lihat gambar 12)



Gambar 12 Menampilkan file yang disembunyikan


§ Autorun.inf

§ C:\MVSBVM60.dll

§ C:\W32.Pacaran II.html

§ Desktop.ini

§ C:\Folder.exe [file ini akan dibuat disetiap drive]

§ C:\Documents [folder ini akan dibuat disetiap drive], berisi 2 buah file diantaranya:

Folder.htt

Folder.exe

§ C:\Windows\MSVBVM60.dll

§ C:\Windows\system32\explorer.exe

§ C:\Windows\system32\eyore.exe

§ C:\Program Files\Windows Media Player\explorer.exe

§ C:\Windows\system32\readme.txt

§ C:\Windows\system32\New Folder.exe

§ C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp\msvbvm60.dll

§ C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp\system.exe

§ C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp\Documents\folder.exe

§ C:\WINDOWS\BackUp\MSVBVM60.dll

§ C:\Documents and Settings\%user%\My Documents\Untuk Titta.txt

Hapus file duplikat yang sudah dibuat oleh virus dengan ciri-ciri

- Menggunakan icon "Folder"

- Mempunyai ekstensi EXE

- Ukuran 59 KB

- Type file "Application"

Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan menggunakan antivirus yang sudah mengenali virus ini dengan baik

Ubah kembali file msvbvm60old.dll di direktori C:\Windows\System32 menjadi msvbvm60.dll

Untuk memunculkan kembali icon desktop yang disembunyikan lakukan secara manual dengan cara:

- Klik kanan area Desktop

- Klik “Show Desktop Icon”

Ubah kembali nama drive C:\ yang sudah diubah oleh virus dengan cara:

- Klik kanan Drive C:\

- Klik “rename”

- Isi Volume Drive sesuai dengan yang anda inginkan [contoh: System]

Tampilkan kembali folder/subfolder yang disembunyikan dengan mengetik perintah ATTRIB -h /s /d pada masing-masing Drive. (lihat gambar 13)



Gambar 13 – Menampilkan folder / subfolder yang disembunyikan


Aktifkan kembali “system restore” setelah virus benar-benar bersih dari system komputer.