W32/Viking

W32/Viking.GU 1 April 2007

Tuntutlah Virus sampai ke Negeri Cina


Global Village, istilah ini mungkin pernah anda dengar yang pada dasarnya menjelaskan bahwa dunia ini makin terhubung satu dengan lainnya. Perumpamaannya, bila ada yang buang angin (maaf.... kentut) di satu bagian dunia ini, baunya bisa terasa sampai ke mana-mana. Tentunya ini merupakan arti kiasan yang ingin menunjukkan betapa dunia ini makin hari menjadi makin tanpa batas (borderless world). Contoh nyatanya adalah krisis Timur Tengah yang meskipun secara jarak terpaut ribuan mil, saat ini mempengaruhi kehidupan kita sehari-hari terbukti dengan naiknya harga bensin pada tanggal 1 April 2007. Kalau dunia nyata saja terpengaruh oleh global village ini, apalagi dunia maya yang notabene terkoneksi secara langsung. Hal ini terbukti dari satu kasus virus yang sebenarnya disebarkan dengan sasaran negara Cina dan Korea dengan tujuan untuk mendapatkan data account game online, namun dampaknya terasa sampai kemana-mana diseluruh dunia, termasuk Indonesia. Virus yang juga dikenal dengan nama Looked.BK (Symantec), HLLP.Philis (Mc Afee) atau PE Looked (Trend Micro) ini termasuk kategori sangat merepotkan, terutama bagi jaringan intranet yang memanfaatkan sharing sebagai sarana pertukaran informasi antar komputer. Aksinya yang membuat puyeng para administrator jaringan besar bukan karena aksi destruktif, tetapi justru karena aksi penyebaran dirinya yang ibarat narkoba menyuntikkan diri pada semua file berekstensi “.exe” sehingga jika terdeteksi oleh antivirus dan di karantina malah akan mengakibatkan semua program di komputer tersebut error karena file eksekusinya di “cekal” oleh antivirus. Karena dampaknya yang sangat serius pada jaringan komputer, maka Vaksincom memberikan perhatian khusus pada virus ini dan melakukan beberapa pengetesan pada laboratorium virus guna mengetahi lebih detail penyebaran virus ini dan cara efektif menghadapinya. Perlu anda ketahui, salah satu kehebatan virus ini adalah kemampuannya bermetamorfosis sehingga varian satu dengan lainnya sangat sulit di deteksi program antivirus dengan kemampuan heuristic sekalipun karena pembuatnya menggunakan trik kompresi yang berbeda-beda. Sekalipun program antivirus mampu mendeteksi virus ini secara proaktif (Norman Virus Control dengan teknologi Sandbox mendeteksi varian baru Viking ini sebagai W32/Viking.gen) tetapi masalahnya adalah deteksi generik hanya mampu mendeteksi virus dan tidak mengetahui secara detail cara kerja virus ini sehingga jika virus sudah menginfeksi file eksekusi (.exe) dan di karantina oleh Norman, akibatnya malah komputer yang terinfeksi akan mengalami banyak error karena file eksekusinya di “cekal”. Namun untuk varian-varian yang sudah terdeteksi oleh Norman, secara otomatis Norman akan membersihkan virus dari mengembalikan file asli yang terinfeksi sehingga komputer akan dapat berjalan dengan baik dan tidak memerlukan instal ulang.


W32/Viking.GU mempunyai ukuran 64 KB tepatnya sekitar 68303 byte dengan ekstensi .Exe serta mempunyai type file sebagai application (lihat gambar 1).




Gambar 1, File induk Viking.GU, perhatikan namanya rundl132 yang secara sekilas mirip dengan nama file Windows rundll32


Ketika file yang terinfeksi W32/Viking tersebut dujalankan ia akan membuat beberapa file induk berikut yang akan dijalankan pertama kali ketika komputer dinyalakan:


C:\%Windir%\Logo_1exe

C:\%Windir%\RichDll.dll

C:\%Windir%\uninstall\rundl132.exe

C:\%windir%\rundl132.exe


File Logo_1.exe dan Rundl132.exe marupakan komponen utama dari Viking sedangkan file Richdll.dll [terdeteksi sebagai W32/Viking.GX] merupakan file yang berisi script untuk melakukan koneksi ke site yang sudah ditentukan untuk mengambil daftar [database] password yang akan digunakan untuk log on ke komputer target, file ini akan selalu aktif setiap kali user menjalankan IExplorer [Internet Explorer] atau Explorer.exe [Windows Explorer] sehingga selama kedua proses tersebut [Iexplorer.exe dan Explorer.exe] masih aktif maka file Richdll.dll tidak akan bisa di hapus.


Selain itu Viking juga akan membuat file _desktop.ini yang akan di letakan di Drive C:\ dimana file ini berisi mengenai tanggal komputer tersebut terinfeksi.


Agar Viking dapat aktif setiap kali komputer dinyalakan, ia akan membuat beberapa string pada registry berikut:


HKLM\SOFTWARE\Soft\DownloadWWW

Auto = 1

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

load=%WINDIR%\uninstall\rundl132.exe

HKLM\SOFTWARE\Microsoft\DownloadManager


Virus ini tidak akan melakukan blok terhadap fungsi Windows seperti yang dilakukan oleh virus lokal, walaupun demikian ia akan mencoba untuk mematikan program security termasuk firewall, ia juga akan mencoba untuk mematikan proses yang mempunyai nama berikut:

EGHOST.EXE

IPARMOR.EXE

KAVPFW.EXE

MAILMON.EXE

RavMon.exe

RavMonClass

Apa saja yang dilakukan oleh Viking??

Sudah menjadi tradisi, virus “bule” biasanya akan menyebar dengan cepat dengan mengunakan media jaringan atau email dan dari hasil pengetesan di lab Vaksincom diketahui bahwa untuk menyebarkan dirinya, Viking akan menggunakan media jaringan terutama file sharing dengan akses “full control” atau menyerang komputer dengan memanfaatkan default share Windows seperti “IPC$ dan ADMIN$ dengan terlebih dahulu melakukan “ping request” ke subnet lokal dengan mengunakan perintah “Hello, World” dengan memanfaatkan ICMP, jika komputer target ditemukan ia akan mencoba untuk logon dengan menggunakan WNetAddConnection API dengan mencoba kombinasi password yang sudah ditentukan seperti:


Administrator/no password

Administrator/default password

Default user/default password

No user/no pasword

Atau menggunakan user name “Guest”


Jika Viking tidak berhasil melakukan koneksi ke komputer target karena tidak dapat melakukan koneksi ke share ADMIN$ atau jika komputer tersebut menggunakan Windows 9x/ME maka ia mencoba untuk mencari folder yang di share dengan menggunakan Windows Networking dan mencoba melakukan koneksi dengan menggunakan user name dan password berikut:


Default user/default password

Default user/no pasword


Jika Viking berhasil masuk kedalam komputer yang menjadi terget infeksi ia akan mengkopikan dirinya ke komputer target dengan ukuran file sebesar 64 KB atau tepatnya sekitar 68303 byte dan menginfeksi file yang mempunyai ekstensi .EXE serta membuat file _Desktop.ini dimana file ini akan yang memuat tanggal komputer tersebut terinfeksi, sedangkan pada folder yang tidak di share atau di share dengan akses “read only” tidak akan diserang oleh Viking, tetapi jika Viking berhasil menembus Default share Windows IPC$ dan ADMIN$ maka semua file dengan ekstensi EXE di komputer target akan di infeksi tanpa memandang apakah folder tersebut di share dengan akses “full control” atau “read only”.


Untuk melihat folder yang di share di komputer user anda dapat menggunakan tools “Network Scanner” dengan menggunakan tools ini dapat dilihat komputer yang terkoneksi ke jaringan dan melihat folder apa saja yang dishare serta akses yang di gunakan untuk masing-masing folder tersebut.


Dengan menggunakan tools ini dapat dilihat bahwa semua folder yang dishare dengan menggunakan akses full control [folder berwarna merah] maka Viking akan langsung menginfeksi file yang mempunyai ekstensi EXE sedangkan folder yang dishare dengan akses “read only” [folder berwarna kuning] selamat dari serangan Viking, perhatikan gambar 2 dibawah ini:




Gambar 2, “Network scanner” memberikan informasi folder yang dishare dari semua komputer yang terkoneksi jaringan


Keterangan:

Dari gambar diatas dapat dilihat bahwa komputer dengan nama “Support” terdapat beberapa folder yang di share. Untuk folder dengan warna Merah menunjukan bahwa folder tersebut mempunyai akses “Full Control” sedangkan untuk folder berwarna “Kuning” mempunyai akses “Read Only”, dengan tool ini juga kita dapat melihat Default Share yang aktif pada komputer tersebut [IPC$, C$, D$ atau ADMIN$].


Untuk memastikan apakah Viking menyebar dengan menggunakan Share Folder terutama folder yang di share dengan akses “full control” kami menginfeksi salah satu komputer yang ada di lab jaringan lokal dengan nama komputer “LAB”, dan terdapat satu komputer yang bersih dengan nama “support”. (lihat gambar 3 dan 4)




Gambar 3, Nama komputer dan ip number yang sudah terinfeksi Viking\




Gambar 4, Viking sudah aktif pada komputer “lab”


Setelah komputer “LAB” terinfeksi kita akan membuka salah satu folder yang di share pada komputer target dengan nama “Support”. Salah satu folder yang kami buka adalah folder “Tools Virus Lokal” dimana folder ini berisi kumpulan remova tools, setelah di lakukan pengecekan ternyata semua file dengan ekstensi .exe yang ada di folder tersebut sudah terinfeksi Viking dengan ciri-ciri icon dari file tersebut berubah menjadi icon “application” serta terjadi penambahan ukuran file lebih besar 64 KB dari ukuran semula, sedangkan untuk folder yang di share dengan akses “Read Only” tidak terinfeksi Viking. (Gambar 5 dan 6)




Gambar 5, File yang sudah terinfeksi Viking




Gambar 6, Semua file dengan ekstensi EXE yang ada pada Folder dengan akses “Read Only” tidak terinfeksi Viking


Anda dapat melihat apakah Default share IPC$ dan ADMIN$ aktif dikomputer atau tidak dengan melakukan langkah berikut : (Gambar 7)

Buka Windows Explorer

Klik kanan “My Computer”

Klik “manage”

Setelah layar “Computer Management” muncul, klik “share folder” pada menu “System Tools”

Kemudian klik “Share” pada menu “share folder”, maka akan terlihat folder apa saja yang dishare di komputer anda termasuk untuk melihat Default Share Windows yang aktif di komputer anda.




Gambar 7, Melihat Share Folder yang aktif pada komputer

Untuk menginfeksi file yang mempunyai ekstensi EXE, Viking akan mencari Drive/Folder yang di sharing dari A-Z yang mempunyai akses “full control” pada komputer target [begitupun pada komputer lokal itu sendiri] jika ditemukan ia akan membuat kopi file sementara dari file asli tersebut didirektori yang sama dengan format [nama file].exe.exe [contohnya : PROCEXP.exe.exe] dan jika user menjalankan file tersebut maka Viking akan menjalankan file asli yang tidak terinfeksi yang mempunyai format [nama file].exe [contohnya: PROCEXP.exe], setelah itu Viking akan menghapus fie yang tidak terinfeksi tersebut dan merubah copy file temporary yang sudah dibuat tadi sesuai dengan nama file yang sudah dihapus dengan demikian file yang tersisa adalah file yang sudah terinfeksi Viking sehingga jika user menjalankan file tersebut maka secara tidak langsung akan mengaktifkan virus, untuk melakukan hal tersebut diatas tersebut, Viking akan membuat file dengan format $$.bat pada folder Temporary, perhatikan gambar 8, 9 dan 10 dibawah ini:



Gambar 8 [user menjalankan file proceexp.exe]


Dari gambar 8 diatas dapat dilihat ketika user menjalankan file proceexp.exe maka akan muncul proses lain dengan nama cmd.exe dimana jika proses ini dibuka maka akan muncul layar dibawah ini [lihat gambar 9] yang berisi cript lain yang dijalankan secara tersebunyi [C:\DOCUME~1\adang\LOCAL~1\Temp\$$a1E.bat]




Gambar 9


Jika file script tersebut dibuka [$$a1E.bat] pada lokasi yang ditentukan maka akan muncul beberapa baris perintah seperti yang terlihat pada gambar 10 dibawah ini




Gambar 10


Hati-hati jika komputer anda terinfeksi Viking terutama jika komputer tersebut terhubung kejaringan karena akan mengakibatkan traffic jaringan menjadi padat hal ini dikarenakan Viking mencoba untuk melakukan ping request dengan melakukan scan terhadap semua IP yang terdapat dalam subnet lokal yang ada di dalam jaringan tersebut hal ini ditambah lagi dengan aksi lainnya dengan mencoba untuk mengkopikan dirinya ke komputer target serta menginfeksi file yang mempunyai ekstensi EXE. Sudah pasti selain menghambat traffic jaringan Viking juga akan menghambat system komputer lokal itu sendiri sehingga komputer yang terinfeksi Viking akan terasa sangat lambat sekali hal ini dikenakan aktivitas yang dilakukan oleh viking itu sendiri yang mencoba untuk menginfeksi komputer yang terhubung dalam jaringan dan menginfeksi file yang mempunyai ekstensi EXE pada komputer lokal itu sendiri dengan terlebih dahulu melakukan scan pada drive C sampai Z. Setiap file yang sudah terinfeksi viking akan bertambah ukurannya menjadi 64 KB atau tepatnya sebesar 68303 byte dari ukuran semula.


Viking tidak akan menginfeksi file IEXPLORE.EXE atau EXPLORER.EXE, ia juga tidak akan menginfeksi file yang mempunyai ukuran lebih dari 16 MB yang berada di direktori berikut :

System

system32

windows

Documents and Settings

System Volume Information

Recycled

Winnt

Program Files

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

ComPlus Applications

NetMeeting

Common Files

Messenger

InstallShield Installation Information

Microsoft Frontpage

Movie Maker

MSN Gaming Zone

Apa yang harus dilakukan untuk menghalau Viking?

Berikut beberapa langkah yang dapat dilakukan jika komputer anda sudah terinfeksi Viking dan bagaimana untuk mencegah agar Viking tidak kembali menginfeksi komputer anda

Putuskan hubungan komputer yang akan dibersihkan dari jaringan dan internet

Jika menggunakan Windows ME/XP, matikan “system restore” selama proses pembersihan, silahkan berkonsultasi dengan reseller Vaksincom jika anda ingin mengetahui lebih jauh tentang system restore.

Start komputer pada mode “Safe Mode”

Lakukan pembersihan dengan menggunakan antivirus yang sudah up-to-date dan dapat mengenali virus ini dengan baik (lihat gambar 11) hal ini dikarenakan W32/Viking.GU akan mencoba untuk menginfeksi file yang mempunyai ekstensi EXE selain itu gunakan antivirus yang dapat memperbaiki [repair] file yang sudah terinfeksi sehingga file tersebut dapat digunakan kembali. PT. Vaksincom memberikan tools removal khusus bagi pelanggan korporat yang membutuhkan.

Gambar 11, Norman Virus Control berhasil mendeteksi dan menghapus Viking

Hapus string registri yang sudah dibuat oleh viking dengan menyalin script berikut pada program “Notepad” kemudian simpan dengan nama repair.inf dan jalankan file tersebut dengan cara :


klik kanan repair.inf

klik Install


[Version]

Signature="$Chicago$"

Provider=Vaksincom


[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del


[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1



[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, load

HKLM, Software\Soft\DownloadWWW

HKLM, Software\Soft\DownloadWWW, auto

HKLM, Software\Microsoft\Windows NT\CurrentVersion\Windows, load

HKLM, SOFTWARE\Microsoft\DownloadManager

Aktifkan kembali “system restore” setelah komputer benar-benarr bersih dari virus.

Bagi pelanggan Vaksincom yang masih kerepotan menghadapi Viking, silahkan hubungi info@vaksin.com untuk mendapatkan tips advance mencegah Viking kembali menginfeksi komputer anda dan tools khusus removal Viking yang dapat membersihkan Viking dari file eksekusi sehingga aplikasi pada komputer yang terinfeksi tidak perlu di instal ulang.