virus AVG

Worm:VBWorm.NOI (AVG Virus "Fake") 12 Juli 2007

Pembuat Virus ternyata fans Winnie The Pooh


Diskon adalah hal yang dinanti-nanti penggemar belanja, makin besar diskon yang diberikan maka makin banyak orang yang tertarik. Kalau saja kata diskon dapat menarik perhatian, apalagi kata Gratis !! Rupanya hal ini menjadi perhatian pembuat virus dan memunculkan idenya untuk memanfaatkan kebiasaan pengguna komputer untuk mendapatkan program gratisan. Dan celakanya, program gratisan yang menjadi korban adalah program antivirus yang cukup popular dikalangan pengguna komputer. AVG (Anti Viral Group … bukan singkatan dari Anti Virus Gratis) besutan Grisoft www.grisoft.com.

Seperti kita ketahui, di internet terdapat beberapa vendor antivirus yang memberikan programnya secara gratis kepada penggunanya (biasakan baca EULA – End User License Agreement sebelum menginstal software gratis supaya anda mengetahui ketentuan penggunaan software gratis) seperti Antivir, Avast, AVG dan bitdefender http://www.bitdefender.com.sg/PRODUCT-14-sg--BitDefender-8-Free-Edition.html. Tidak lupa pembuat virus ini memberikan pesan agar virus ciptaannya diberi nama Piglet (dengan gambar kartun yang agak seronok) yang malahan mengingatkan pada Winnie The Pooh.


Jika sebelumnya Kespo mulai menyebar dengan cepat serta sudah memakan ribuan korban dengan target utama file Office khususnya MS.Word dan MS.Excel dengan cara menginjeksi file tersebut hal ini diperparah dengan banyaknya vendor antivirus luar yang belum mampu untuk mengembalikan/repair file yang sudah terinfeksi tersebut bahkan cenderung untuk menghapus file yang sudah terinfeksi tersebut.


Kini anda harus kembali berhati-hati dengan satu virus yang sudah menyebar saat dengan ciri-ciri utama terdapat file dengan nama AVG 2007 disetiap Drive ternasuk di media Flash Disk. Sepintas file ini mirip dengan file installer antivirus AVG dengan icon yang sama persis dengan icon yang digunakan oleh antivirus AVG dengan ukuran file 101 KB. Rupanya si pembuat virus menggunakan rekayasa ini karena banyaknya para pengguna komputer yang menggunakan antivirus ini. Selain itu ciri lain yang dapat dikenali dari virus ini adalah adanya file dengan nama W32.Piglet II.jpg yang akan disimpan di Flash Disk, perhatikan gambar 1 dibawah ini:




Gambar 1, File induk VBWorm.NOI


Oleh karena itu Anda jika menjumpai file ini di komputer sebaiknya waspada, apalagi jika file ini berada di Flash Disk karena virus ini akan menyebar dengan menggunakan Flash Disk serta menginfeksi komputer otomatis melalui Flash Disk setiap kali Flash Disk tersebut dihubungkan ke komputer. Untuk menghindari infeksi otomatis melalui Flash Diks sebaiknya Anda matikan Autoplay/Autorun pada komputer, silahkan baca link berikut untuk menonaktifkan fiture ini.


http://www.vaksin.com/2007/0507/autoinfect.htm


Dengan update terbaru, Norman Virus Control sudah dapat mengenali virus ini dengan baik, perhatikan gambar 2 dibawah ini :



Gambar 2, Norman Virus Control mendeteksi virus Piglet II sebagai Worm:VBWorm.NOI


Jika file tersebut dijalankan maka akan membuat beberapa file induk yang akan dijalankan setiap kali komputer dinyalakan. Berikut beberapa file yang akan dibuat oleh VBWorm.NOI.

C:\msvbvm60.dll [Disetiap Drive]
C:\Desktop.ini [Disetiap Drive]
C:\AVG_update_2007.exe [Disetiap Drive]
C:\AVG 2007.exe [Disetiap Drive]
C:\Autorun.inf [Disetiap Drive]
C:\update (berisi file Folder.htt)
C:\Windows\msvbvm60.dll
C:\windows\Resources\system.scr
C:\windows\system32
notepad.scr
proposal.scr


Sebagai pendukung agar file tersebut dapat dijalankan, VBWorm.NOI akan membuat registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
EYORE = C:\WINDOWS\System32\Notepad.scr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
EYORE = C:\WINDOWS\System32\Notepad.scr


VBWorm.NOI juga akan aktif pada mode “safe mode” dengan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
EYORE = C:\WINDOWS\System32\Notepad.scr


Selain aktif pada mode “safe mode”, VBWorm.NOI juga akan aktif pada mode “safe mode with comand prompt” dengan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
AlternateShell = C:\WINDOWS\System32\Notepad.scr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
AlternateShell = C:\WINDOWS\System32\Notepad.scr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
AlternateShell = C:\WINDOWS\System32\Notepad.scr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Control\SafeBoot
AlternateShell = C:\WINDOWS\System32\Notepad.scr %1 %*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
AlternateShell = C:\WINDOWS\System32\Notepad.scr


Sebagai pertahanan ia akan mencoba untuk blok beberapa fungsi Windows seperti Task Manager/Regedit/CMD/MSConfig/Folder Options serta beberapa tools security dengan membaca caption text dari tools tersebut seperti ProceeXP atau Security Task Manager. Selain itu VBWorm.NOI ini juga akan menyembunyikan file C:\Windows.


Untuk melakukan hal tersebut ia akan membuat beberapa string pada registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- NoSetFolders

- NoSetTaskbar

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableCMD

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp


MEngalihkan Program Tools Windows

Guna melindungi dirinya dari pembasmian, VBWorm.NOI juga akan mencoba blok tools windows seperti msconfig, regedit dan system restore dengan mengalihkan program tersebut ke program lain seperti gambar –gambar dibawah ini :
Jika menjalankan Regedit maka akan muncul program ClipBoard



Gambar 3, Program yang akan muncul jika menjalankan Regedit

Jika menjalankan MSconfig maka akan muncul program On-Screen Keyboard (lihat gambar 4)




Gambar 4, Program yang akan muncul jika menjalankan MSCOnfig

Jika menjalankan System Restore maka akan muncul program tourstart (lihat gambar 5)




Gambar 5, Program yang akan muncul jika menjalankan System Restore


Untuk melakukan hal tersebut ia akan membuat string berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe
debugger = C:\WINDOWS\System32\osk.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe
debugger = C:\WINDOWS\System32\clipbrd.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstui.exe
debugger = C:\WINDOWS\System32\tourstart.exe


VBWorm.NOI juga akan mencoba untuk menghilangkan beberapa opsi yang terdapat pada Folder Option seperti :
Do Not show hidden file and folder
Show hidden file and folders
Hide exstension for known file types
Hide protected operating system file (recommended)


dengan menghapus string TYPE string pada registry berikut (lihat gambar 6):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden




Gambar