Rupanya virus juga tidak mau kalah, Vaksincom kembali menerima laporan tentang satu virus yang menggiring korbannya mengkases situs porno yang sedang marak menyebar saat ini, laporan yang kami terima virus ini cukup banyak beredar di Sulawesi Utara.
Apa yang membuat virus ini begitu heboh ?
Dilihat secara sepintas sebenarnya virus ini tidak lah terlalu ganas seperti kebanyakan virus lokal yang menyebar, aksi yang dilakukanpun tidak terlalu banyak, lalu apa yang membuat virus ini begitu heboh ? Silahkan lanjutkan pada artikel di bawah ini.
Ciri umum
Virus ini ditulis menggunakan program Visual basic Script (VBS) dengan ukuran file sebesar 4 KB (lihat gambar 1) yang akan menggunakan icon . File induk tersebut akan di enkripsi agar isi script tidak mudah di ketahui oleh user (lihat gambar 2). Komputer yang telah terinfeksi virus ini akan mengakses media flash disk terus menerus, hal ini di tandai dengan lampu indikator flash disk yang selalu menyala walaupun pengguna komputer tidak mengakses flash disk tersebut.
Gambar 1, File induk VBS/Autorun.BM
Gambar 2, File virus yang di enkripsi
Ciri lain yang dapat dilihat adalah munculnya sebuah file di setiap drive dengan nama “Lady Atenean Scandal.vbs” serta akan menampilkan situs porno saat mengakses internet explorer.
Dengan update terbaru Norman Security Suite mengenali virus ini sebagai VBS/Autorun.BM (lihat gambar 3)
Gambar 3, Hasil scan Norman Malware Cleaner
Agar virus ini dapat aktif, ia memerlukan file pendukung yakni “C:\Windows\System32\WSCRIPT.exe” yang yang merupakan file asli Windows. Pada saat user menjalankan file virus tersebut ia akan membuat file induk berikut:
C:\WINDOWS\SysInfo.vbs
“…\Recycled\info.vbs”.
Agar file tersebut dapat aktif secara otomatis pada saat computer tersebut dihidupkan, ia akan membuat string pada registri berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Microsoft System Info = wscript.exe "C:\WINDOWS\SysInfo.vbs"
Untuk mempertahankan dirinya ia akan memblok beberapa fungsi Windows seperti Folder Options, Registry Tools maupun Task Manager (gambar 4, 5 dan 6) dengan membuat string pada registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFolderOptions = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableTaskMgr =
- DisableRegistryTools =1
Gambar 4, Akses Registry Editor yang diblok oleh virus
Gambar 5, Akses ke Task Manager yang diblok oleh virus
Gambar 6, Folder Options yang di blok oleh virus
Menyebarkan situs Perusak moral
VBS/Autorun.BM mempunyai tugas khusus, bukan menyembunyikan file atau menghapus file saja, tetapi ia akan membuat para orang tua jantungan. Bagaimana tidak, jika merokok saja dilarang oleh para orang tua yang sayang anaknya, virus ini malahan menampilkan situs saingan YouTube, tetapi yang ini berkategori “Lampu Merah” (lihat gambar 7) alias porno setiap kali komputer korbannya mengakses internet. PERHATIAN !!! Jika anda dibawah umur dan belum waktunya untuk mengkases situs dewasa, harap hindari situs-situs dewasa.
Untuk melakukan hal tersebut, ia akan merubah string berikut :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Search page = http://www.r**tube.com/
- Start page = http://www.r**tube.com/
- Window Title = Sowar? PagSureOy!!! Guba gyud nang PC nimo!
Untuk memperlancar aksi nya ia akan membuat sebuah file yang cukup “menggoda” agar user tertarik untuk menjalankan file tersebut, file ini akan dibuat di setiap Drive dengan nama “Lady Atenean Scandal.vbs”.
Media penyebaran
Untuk memperluas penyebarannya, ia akan memanfaatkan media flash disk dengan membuat file “autorun.inf” dan file “Lady Atenean Scandal.vbs”. Agar dirinya dapat aktif secara otomatis pada saat user akses Drive atau flash disk, ia akan memanfaatkan fitur Autorun windows dengan membuat file autorun.inf di setiap drive termasuk di flash disk, file autorun.inf ini mempunyai tugas utama untuk menjalankan file “…\Recycled\info.vbs” saat user mengakses Drive / flash disk, seperti terlihat pada gambar 8 dibawah ini
Gambar 8, Script Autorun.inf memungkinkan virus dapat aktif saat user akses drive/flash disk
Cara mengatasi VBS/Autorun.BM
- Nonaktifkan “System Restore” selama proses pembersihan
- Matikan proses virus dengan nama WSCRIPT.EXE dengan menggunakan tools pengganti registry editor seperti “process explorer”, silahkan download di alamat berikut (lihat gambar 9)
Gambar 9, Mematikan proses virus dengan tools Process Explorer
- Untuk antisipasi agar virus tersebut tidak aktif kembali selama proses pembersihan, silahkan ubah nama file WSCRIPT.exe menjadi WSCRIPT_OLD.exe yang berada di direktori “C:\Windows\System32”
- Benarkan registri yang sudah di ubah oleh virus. Untuk membantu proses perbaikan, silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama REPAIR.INF. Install file tersebut dengan cara :
- Klik kanan REPAIR.INF
- Klik INSTALL
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Software\Microsoft\Internet Explorer\Main, start page,0, "about:blank"
HKCU, Software\Microsoft\Internet Explorer\Main, Search Page,0, "about:blank"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Microsoft System Info
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
- Hapus file virus yang dibuat oleh VBS/Autorun.BM dibawah ini, sebelum menghapus file tersebut tampilkan semua file yang tersembunyi dengan merubah pada setting Folder Options seperti terlihat pada gambar dibawah ini, jika menu Folder Options tidak muncul sebaiknya Anda Log Off komputer terlebih dahulu (lihat gambar 10)
Gambar 10, Menampilkan file yang tersembunyi
Kemudian hapus file berikut:
- Autorun.inf (semua drive)
- Lady Atenean Scandal.vbs (semua drive)
- C:\WINDOWS\SysInfo.vbs
- …\Recycled\info.vbs
- Empty file yang ada di Recycle Bin [Klik kanan Recycle Bin | klik Empty Recycle Bin]
- Untuk pembersihan secara optimal, silahkan scan dengan antivirus yang up-to-date atau dengan menggunakan removal tools. Silahkan download Norman Malware Cleaner di alamat berikut (lihat gambar 3 di atas)
- Setelah komputer bersih dari virus, ubah kembali file :
“C:\Windows\System32\WSCRIPT_OLD.exe”
menjadi
“C:\Windows\System32\WSCRIPT.exe”
TIPS:
Untuk menghindari agar virus ini tidak kembali menginfeksi komputer, Anda dapat mencoba cara di bawah ini:
1) Install antivirus yang dapat mendeteksi virus ini.
2) Blok akses Flash Disk (agar user tidak dapat menjalankan file aplikasi yang ada di flash disk) dan blok akses file yang sudah terinfeksi virus VBS/Autorun.BM dengan menggunakan fitur “Security Policy”. Fitur ini hanya tersedia pada Windows XP Proffesional, Windows Server 2003, Windows Vista dan Windows 7, berikut cara-caranya :
a. Blok akses file aplikasi pada Dive / Flash Disk, langkah ini dilakukan agar user tidak dapat menjalankan file aplikasi (file yang mempunyai ekstensi exe, com, scr, bat, lnk, vbs, inf) (lihat gambar 11)
ü Klik menu [Start]
ü Klik [Run]
ü Ketik [secpol.msc]
ü Pada layar “Local Security Policy”, klik “Software restriction policies”
ü Klik kanan pada “software restriction policies” dan pilih “Create new policies”
ü Kemudian klik kanan di “Additional Rule”, dan pilih “New Path Rule.”
Gambar 11, Membuat rule untuk blok ekseksi aplikasi pada Drive
ü Pada Kolom “Path”, isi dengan lokasi drive yang di inginkan. Karena kebanyakan malware menular dari flash disk, sebaiknya ketik drive di mana flash disk berada. Misalnya, jika flash disk ada di drive G maka ketik G:\ (lihat gambar 12)
Gambar 12, Lokasi drive yang akan di monitoring
ü Pada kolom “Security Level” pilih “Disallowed”
ü Klik tombol “Apply”
ü Klik tombol “Ok”
b. Blok akses file virus VBS/Autorun.BM
ü Klik kanan pada menu “Additional Rule”, dan pilih “New Hash Rule.” (lihat gambar 13)
Gambar 13, Membuat rule untuk blok file virus
ü Pada kolom “File hash”, klik tombol “Browse” dan pilih file yang akan diblok. Pada kolom “file information” akan terisi informasi dari file tersebut secara otomatis. (lihat gambar 14)
Gambar 14, Menentukan file yang akan di blok
ü Pada kolom Security Level pilih “Disallowed”
ü Pada kolom “description” isi deskripsu dari nama file tersebut (bebas),
ü Pilih “OK”
ü Restart komputer.
Catatan:
Pada saat user menjalankan file yang sudah di add tersebut maka akan mucul pesan peringatan berikut : (lihat gambar 15)
sumber : www.vaksin.com
Tidak ada komentar:
Posting Komentar