Kespo Gang 12 Juni 1007
Virus Zombie .......Apakah Jill Valentine bisa selamat ?
Pernah main game atau nonton film Resident Evil ?? Survival game tentang Jill Valentine ini mengisahkan tentang perjuangan menghindari serangan zombie. Zombie yang menyerang ini sebelumnya adalah manusia biasa yang terinfeksi oleh kuman zombie dan kalau jagoannya terluka dia akan menjadi zombie dan... game over. Hal yang mirip terjadi pada dunia pervirusan Indonesia, sejak dua bulan terakhir ini sedang beredar virus yang men”zombie”kan file-file MS Office.
Sebenarnya cara termudah untuk membersihkan virus adalah jurus pamungkas, tanpa pengetahuan yang mendalam tentang cara kerja virus, bisa dikatakan “Anak Kecil Juga Tahu” dengan memformat dapat dikatakan virus dapat dienyahkan dari komputer anda. Itu kalau virusnya menginfeksi sistem. Pertanyaannya, bagaimana kalau virusnya menghancurkan file data. Untuk kasus ini perlu di lihat case by case, kalau datanya hanya di hidden (disembunyikan) tentunya dengan mudah dapat di kembalikan atau di rubah atributnya, yang lebih susah lagi kalau virusnya memformat komputer, diatasi dengan Data Recovery biasa yang mampu mengembalikan harddisk terformat. TETAPI kalau virusnya menghancurkan struktur file data (menginjeksi dengan string tidak berguna) sehingga data menjadi tidak dapat dipakai .... hmm, masalah ini termasuk sulit dan hanya data recovery dengan jam terbang tingkat tinggi yang dapat mengembalikan datanya. Itupun tergantung banyak faktor seperti berapa ukuran harddisk dan ruang kosong yang tersisa, apakah OS komputer yang ingin di recover langsung dimatikan atau sering dinyalakan yang dapat mengurangi tingkat keberhasilan recovery.
Kali ini Vaksincom ingin membahas lebih mendalam tentang keluarga virus Kespo yang akhir-akhir ini menyebar cukup merata dua bulan terakhir ini dan menurut pantauan Vaksincom korbannya di Indonesia mencapai ribuan kasus. Virus ini bahkan sudah beranak pinak dan sampai artikel ini diturunkan Vaksincom sudah menemukan 3 varian virus ini. Kali ini Vaksincom akan membahas lebih mendalam tentang virus Kespo ini dan memberikan tips untuk menyelamatkan Jill Valentine anda J.
Menyembunyikan atau menghapus file dokumen seperti DOC dan XLS serta membuat file duplikat sesuai dengan file yang dihapus/disembunyikan sudah biasa dilakukan oleh virus lokal, metode ini mempunyai kelemahan karena user akan mudah mengetahui file duplikat tersebut adalah sebuah virus karena biasanya file duplikat yang dibuat oleh virus akan mempunyai ukuran file yang sama apalagi jika type file masih menggunakan “Application”. Aksi yang dilakukan oleh virus lokal yang ini sedikit berbeda dibandingkan sebelumnya walaupun tetap masih menyerang data. Kali ini virus lokal sudah tidak menyembunyikan file tetapi menginjeksi / menginfeksi dokumen seperti file DOC/XLS, mirip Zombie dengan menambahkan kode virus tersebut sehingga file tersebut akan terjadi penambahan beberapa KB dari ukuran semula, inilah yang menyebabkan user mudah tertipu karena file yang terinfeksi akan mempunyai ukuran yang berbeda, tetapi metode ini dapat kembali dengan mudah diketahui user karena file tersebut mempunyai type file sebagai “Application”.
Salah satu virus yang mencoba untuk injeksi ke dalam file Office seperti DOC atau XLS adalah Kespo atau biasa disebut Kspool. Sampai saat ini Kespo sudah menurunkan 3 varian (dan kemungkinan besar akan terus bertambah) walaupun untuk masing-masing varian melakukan aksi yang sama (menginjeksi file DOC/XLS) tetapi file induk yang dibuat akan berbeda-beda dan yang cukup menarik adalah virus ini bukan made ini VB (Visual Basic) lagi melainkan Delphi.
Dengan update terakhir Norman Virus Control sudah dapat mengenali virus ketiga varian ini. (lihat gambar 1)
Gambar 1, Hasil scanning Norman Virus Control terhadap virus-virus Kespo
File yang diusung oleh Kespo “biasanya” akan terdiri dari 2 jenis file yakni file dengan ekstensi EXE dan DLL. Seperti contoh untuk varian awalnya [Kespo.A] akan mempunyai ukuran sebesar 279 KB untuk file dengan ekstensi EXE dan 59 KB untuk file dengan ekstensi DLL. File yang akan dibuat oleh Kespo.A ini adalah:
C:\%Windir%\System32\avmeter32.dll
C:\%Windir%\System32\kspoold.exe
C:\Documents and settings\%user%\Local Settings\Temp\UNINSTALL DRIVER.EXE
Icon yang menyertai file induk Kespo.A ini adalah icon yang menyerupai “gerigi roda” seperti yang terlihat pada gambar 2 dan 3 di bawah ini:
Gambar 2, Icon yang digunakan oleh Kespo.A
Gambar 3, File induk Kespo.A
Menjadikan dirinya sebagai Service “K Print Spooler”
Sebagai pendukung agar dirinya dapat aktif maka ia akan membuat string pada registry berikut dan menjadikan dirinya sebagai Service sehinggga sulit untuk dimatikan. Untuk memastikannya coba Anda lakukan langkah berikut :
Klik kanan My Computer
Pilih “Manage”
Klik Services and Application”
Klik “Services”
Kemudian lihat panel sebelah kanan maka akan terlihat satu service baru dengan nama “K Print Spooler”, perhatikan gambar 4 dibawah ini:
Gambar 4, Kespo.A menyamarkan dirinya sebagai Service
Bagaimana ia melakukannnya? Untuk melakukan hal tersebut Kespo.A akan membuat key pada registry berikut
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon
· ImagePath = C:\%Windir%\System32\Kspoold
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kspooldaemon
· ImagePath = C:\%Windir%\System32\Kspoold
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon
· ImagePath = C:\%Windir%\System32\Kspoold
Berbeda dengan generasi pertama, untuk generasi kedua icon yang digunakan adalah icon yang menyerupai “Folder” tertutup serta mempunyai ukuran sebesar 438 Kb untuk file dengan ekstensi .EXE dan 63 KB untuk file yang mempunyai ekstensi .DLL, berikut file yang akan dibuat oleh Kespo.B (gambar 5 dan 6) :
C:\%Windir%\system32\avwav32.dll
C:\%Windir%\system32\kspool.exe
C:\Documents and settings\%user%\Local Settings\Temp\UNINSTALL DRIVER.EXE
Gambar 5, Icon yang digunakan oleh Kespo.B
Gambar 6, File induk Kespo.B
Jika pada varian pertamanya ia menyamarkan dirinya sebagai service, kini untuk varian kedua tidak melakukan hal tersebut, agar dirinya dapat aktif Kespo.B akan membuat registry berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
· Kernel spooler = C:\WINDOWS\system32\kspool.exe
Terakhir untuk varian ke tiga file yang terinfeksi akan mempunyai icon “Recycle Bin”. File ini akan mempunyai ukuran sebesar 224 KB untuk file yang berekstensi .EXE dan 64 KB untuk file yang mempunyai ekstensi .DLL. Berikut file yang akan dibuat oleh Kespo.C (gambar 7 dan 8) :
· C:\%Windir%\System32\Kspool.exe
· C:\%Windir%\avwav32.dll terdeteksi sebagai W32/Keylog.BSR
· C:\Documents and settings\%user%\Local Settings\Temp\UNINSTALL DRIVER.EXE terdeteksi sebagai W32/Delf.AFRE
· C:\Documents and settings\%user%\Local Settings\Temp\Uninstall log.dat terdetksi sebagai W32/Delf.AFRE
Gambar 7, Icon yang digunakan oleh Kespo.C
Gambar 8, File yang terinfeksi Kespo C.
Agar Kespo.C dapat aktif setiap kali komputer dinyalakan, ia pun akan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Kernel spooler = C:\WINDOWS\system32\kspool.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Kernel spooler = C:\WINDOWS\system32\kspool.exe
HKEY_USERS\S-1-5-21-839522115-706699826-2147125571-500\Software\Microsoft\Windows\CurrentVersion\Run
Kernel spooler = C:\WINDOWS\system32\kspool.exe
Bagaimana membedakan varian-varian Kespo ini??
Cara yang paling mudah adalah dengan melihat icon pada file induk pada masing-masing virus lokal. Untuk mengetahui hal ini anda dapat menelusuri file kspool.exe atau kspoold.exe yang berada didirektori C:\windows\System32 dengan terlebih dahulu menampilkan semua file/folder yang disembunyikan hal ini disebabkan karena file induk ini akan disembunyikan.
Kespo Tidak blok fungsi Windows/tools security dan Antivirus
Berbeda dengan virus lokal terdahulu, kini Kespo tidak akan melakukan blok terhadap fungsi Windows. Walaupun demikian akibat yang ditimbulkan cukup besar dan merepotkan user apalagi bagi mereka yang awam terhadap komputer. Apa itu ?
Dengan tidak dibloknya fungsi Windows tersebut seharusnya akan lebih memudahkan kita untuk mematikan proses virus tersebut, tetapi kenyataannya tidak L.... Tanya kenapa ?? Jawabnya adalah karena proses virus tersebut [Kspool.exe dan Kspoold.exe] tidak dapat dimatikan melalui Task Manager dan akan keluar pesan bahwa file tersebut sedang digunakan, setelah diselidiki ternyata terdapat satu file DLL yang akan memantau proses Kespo [Kspool.exe dan Kspoold.exe] yakni file avmeter32.dll atau avwav32.dll, file inilah yang harus dimatikan pertama kali agar file kspool.exe atau kspoold.exe dapat dimatikan atau dihapus. Selain itu proses virus Kespo tidak akan terlihat di proses Windows [Task Manager] termasuk jika anda menggunakan ProceeXP atau currProcess J.
Injeksi File MS.Office [*.DOC/*.XLS]
Langkah terakhir yang merupakan inti dari virus ini adalah mencoba untuk menginjeksi/menginfeksi file Office seperti DOC/XLS. Sebenarnya Kespo juga akan bersusaha untuk menyerang file Data Base seperti *.MDF, *.DBF atau LDF tetapi hal ini kurang berhasil karena system penginfeksiannya masih terbatas pada Flash Disk. Kita masih berutung (kata orang Jawa J) karena virus ini untuk sementara hanya menginfeksi file yang ada di Flash Disk saja. Tetapi walaupun demikian pembuat virus ini dapat saja membuat varian lain yang lebih ganas dibandingkan varian sebelumnya, jadi tetap waspada dan selalu update antivirus anda dan selalu backup data penting anda dengan teratur.
File yang sudah terinfeksi oleh Kespo akan mempunyai ciri-ciri berikut:
Untuk Kespo.A dan Kespo.B, setiap file yang terinfeksi akan mempunyai icon MS.Word atau XLS. Sedangkan untuk Kespo.C setiap file yang terinfeksi akan mempunyai icon “Recycle bin”, perhatikan gambar 9 dan 10 dibawah ini:
Gambar 9, File yang terinfeksi Kespo.A dan Kespo.B
Gambar 10, File yang terinfeksi Kespo.C
Berbeda dengan varian Kespo sebelumnya, jika file yang sudah terinfeksi Kespo.C di buka [run] maka akan terlihat 2 file di direktori yang sama yakni 1 file merupakan file asli dan 1 file lagi merupakan file hasil injeksi / infeksi Kespo.C, untuk lebih jelasnya silahkan lihat gambar 11 dibawah ini:
Gambar 11, File Kespo C yang terinfeksi bila di jalankan
Ukuran file berbeda-beda , karena virus ini akan menambahkan dirinya kedalam ke file tersebut.
Mempunyai ekstensi EXE
Type File sebagai “Application”
Trik membersihkan virus W32/Kespo aka Kspool (Kspoold)
Putuskan hubungan komputer yang akan dibersihkan dari jaringan
Jjika menggunaan Windows XP disarankan untuk mematikan / disable “System Restore” selama proses pembersihan berlangsung.
Matikan proses virus yang aktif dimemori. Untuk mempermudah dalam mematkan proses virus tersebut, Anda dapat menggunakan tools pengganti Task Manager seperti Pocket Killbox, kenapa Pocket Killbox ? karena selain dapat mematikan proses virus yang aktif dimemori, Pocket Killbox juga dapat langsung menghapus file tersebut.
Silahkan download tools tersebut di alamat berikut:
http://killbox.net/downloads/KillBox.exe
Seperti yang sudah dijelaskan diatas bahwa virus Kespo akan membuat beberapa file induk yang berbeda-beda tergantung dari varian virus tersebut seperti:
Kespo.A
· avmeter32.dll
· kspoold.exe
Kespo.B
· AVWAV32.DLL
· KSPOOL.EXE.
Kespo.C
· KSPOOL.exe
· Avwav32.dll
Agar virus tersebut dapat lebih mudah untuk dihentikan pertama-tama Anda harus menghentikan dan menghapus file induk yang mempunyai ekstensi DLL [avmeter32.dll atau anwav32.dll] karena file ini lah yang selalu memantau keberadaan file induk lain yang mempunyai ekstensi EXE [KSPOOL.exe / KSPOOLD.exe]
Setelah tools Pocket Killbox tersebut berhasil di download, jalankan di komputer yang telah terinfeksi kemudian pada kolom “Full path of file to Delete” isi lokasi file yang akan di matikan / dihapus [biasanya file induk ini akan dibuat diditrektori C:%\Windir%\System32. Setelah menentukan file yang akan di matikan/dihapus kemudian klik tombol “X” untuk menghapus file sesuai jenis Kespo yang menginfeksi komputer anda. Lihat gambar 12 dan 13 sebagai contoh untuk menghapus Kespo.A :
Gambar 12, Menghapus file induk Kespo.A
Gambar 13, Menghapus file induk Kespo.A
Jangan lupa untuk menghapus juga file berikut [sesuaikan dengan varian Kespo yang menyerang komputer Anda].
%Driver akhir%\MSSETUP.T~~
· UninstallDriver.exe
· Folder.htt
%Driver akhir%\Desktop.ini
C:\!Submit
C:\Documents and Settings\%user%\Local Settings\Temp
· Uninstall Driver.exe
C:\Documents and settings\%user%\Local Settings\Temp\Uninstall log.dat
Setelah berhasil menghapus file tersebut, lakukan pembersihan pada registry dengan menyalin script dibawah ini pada program notepad kemudian simpan dengan nama Repair.inf dan jalankan file tersebut dengan cara:
Klik kanan repair.inf
Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Kespo
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Kernel spooler
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Kernel spooler
HKLM, SYSTEM\ControlSet001\Services\kspooldaemon
HKLM, SYSTEM\ControlSet002\Services\kspooldaemon
HKLM, SYSTEM\CurrentControlSet\Services\kspooldaemon
Tips mematikan proses virus, menghapus file virus dan menghapus registry virus
Untuk mempermudah dalam menghentikan virus ini baik untuk menghentikan proses virus/menghapus file virus serta menghapus registry yang dibuat oleh virus, salin script berikut pada program “Notepad” kemudian simpan dengan nama “RepairKespo.bat”, jangan lupa untuk menyimpan file tersebut di Drive C:, setelah itu jalankan file tersebut dengan cara klik 2X file RepairKespo.bat.
echo off
cls
REM — ubah warna
color b
REM — ubah judul
title KESPO-KSPOOL Remover * by Vaksincom
REM — masuk ke direktori sistem
%SYSTEMDRIVE%
cd %SYSTEMROOT%\system32
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo KESPO-Kspool (All Varian) Remover * by Vaksincom *
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo Fungsi KESPO-Kspool Remover 1.0
echo - Mematikan proses W32/Kespo yang aktif di resident memori
echo - Menghapus file induk yang dibuat oleh W32/Kespo
echo - Menghapus registry yang dibuat oleh W32/Kespo
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo.
pause
echo.
REM — hentikan proses virus
taskkill /f /fi "MODULES EQ AVWAV32.DLL"
taskkill /f /fi "MODULES EQ AVMETER32.DLL"
REM — hentikan proses virus
taskkill /IM kspoold.exe /F /T
taskkill /IM kspool.exe /F /T
REM — set atribut file virus menjadi normal
attrib -s -h -r kspoold.exe
attrib -s -h -r kspool.exe
attrib -s -h -r avmeter32.dll
attrib -s -h -r avwav32.dll
REM — hapus file virus
del kspoold.exe
del kspool.exe
del avmeter32.dll
del avwav32.dll
REM — hapus registry virus
reg delete HKLM\SYSTEM\ControlSet001\Services\kspooldaemon /f
reg delete HKLM\SYSTEM\ControlSet002\Services\kspooldaemon /f
reg delete HKLM\SYSTEM\CurrentControlSet\Services\kspooldaemon /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "kernel spooler" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "kernel spooler" /f
cls
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo KESPO-Kspool (All Varian) Remover * by Vaksincom *
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo Fungsi KESPO-Kspool Remover 1.0
echo - Mematikan proses W32/Kespo yang aktif di resident memori
echo - Menghapus file induk yang dibuat oleh W32/Kespo
echo - Menghapus registry yang dibuat oleh W32/Kespo
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo.
echo --- Please click "close" to exit ---
msg %username% /time:30 "Selamat... - Virus "W32/KESPO (KSPOOL)" berhasil dihapus, Silahkan cek ulang dengan antivirus yang up-to-date -"
CALL EXPLORER
exit
Recover DOC dan XLS file
Untuk memulihkan dokumen DOC/XLS yang sudah di injeksi/infeksi oleh virus, Anda dapat menggunakan tools yang banyak dibuat oleh programmer lokal seperti Docxlsrecover.exe, silahkan download tools tersebut dialamat http://adilmakmur.wordpress.com/2007/05/25/doc-xls-recover/ (lihat gambar 14)
Gambar 14, Tools recovery DOC/XLS
Jika Anda menjumpai file DOC atau XLS berubah dengan icon menggunakan icon aplikasi serta mengggunakan ekstensi EXE, untuk mengembalikannya silahkan gunakan tools diatas [lihat gambar 15 dan 16 dibawah]. Dari info yang didapat bahwa untuk saat ini tools tersebut hanya bisa melakukan perbaikan file yang terinfeksi satu persatu, perhatikan gambar di bawah ini.
Gambar 15, File yang sudah dibersihkan dengan ekstensi masih menggunakan icon Application
Gambar 16, File yang masih bervirus
Selain menggunakan tools diatas Anda dapat menggunakan Antivirus PCMAV Gratis yang mengklaim dapat merecover flle DOC/XLS yang sudah terinfeksi ke kondisi semula.
Silahkan download di alamat berikut
http://www.divshare.com/download/841131-001
Atau Anda juga dapat menggunakan tools alternatif lainnya yakni menggunakan Chanal Splitter, dari hasil mengujian Tools ini ampuh untuk memisahkan file virus dan file asli yang menginfeksi file tersebut dan yang hebatnya lagi Tools ini dapat melakukan pencarian terhadap Drive atau Flash Disk tanpa harus memilih file yang akan di pulihkan satu persatu, walaupun demikian masih ada sedikit “bug” karena ada beberapa file yang gagal di pulihkan dan biasanya file ini mempunyai ekstensi “DOC”, jika Anda mengalami hal ini sebaiknya ganti ekstensi file tersebut menjadi DOC.
Silahkan download di alamat berikut (lihat gambar 17)
http://chanal.biz/blog/wp-content/uploads/2007/06/yav.exe
Gambar 17, Aplikasi Chanal Splitter
Gambar 18, Contoh file yang gagal dipulihkan
Catatan bagi pengguna antivirus Norman
Norman sudah berhasil mendeteksi ketiga varian tersebut. Jika Anda pengguna Antivirus Norman, setelah antivirus Norman mendeteksi Kespo maka file yang terinfeksi tersebut dapat di perbaiki / repair tetapi ekstensi dari file tersebut masih perlu dirubah secara manual. Agar file tersebut dapat digunakan kembali Anda harus merubah ekstensi EXE manjadi ekstensi sesuai dengan aplikasi file tersebut secara manual, contohnya jika file tersebut merupakan file MS.Word maka ekstensi EXE tersebut diubah menjadi DOC begitupun dengan file MS.Excel diubah menjadi XLS.
Jika Anda tidak mengetahui mana file DOC dan file XLS, anda dapat menggunakan tools Chanal Splitter seperti yang sudah dijelaskan di atas.
Setelah melakukan langkah diatas sebaiknya scan ulang dengan Norman Virus Control yang sudah mengenali virus ini dengan baik, bersihkan semua file yang terdeteksi sebagai Kespo. Instalasi Norman Virus Control dengan update terbaru juga penting untuk mencegah infeksi ulang.
Aktifkan kembali System Restore.
Read More..
Minggu, 22 Juli 2007
W32/Viking
W32/Viking.GU 1 April 2007
Tuntutlah Virus sampai ke Negeri Cina
Global Village, istilah ini mungkin pernah anda dengar yang pada dasarnya menjelaskan bahwa dunia ini makin terhubung satu dengan lainnya. Perumpamaannya, bila ada yang buang angin (maaf.... kentut) di satu bagian dunia ini, baunya bisa terasa sampai ke mana-mana. Tentunya ini merupakan arti kiasan yang ingin menunjukkan betapa dunia ini makin hari menjadi makin tanpa batas (borderless world). Contoh nyatanya adalah krisis Timur Tengah yang meskipun secara jarak terpaut ribuan mil, saat ini mempengaruhi kehidupan kita sehari-hari terbukti dengan naiknya harga bensin pada tanggal 1 April 2007. Kalau dunia nyata saja terpengaruh oleh global village ini, apalagi dunia maya yang notabene terkoneksi secara langsung. Hal ini terbukti dari satu kasus virus yang sebenarnya disebarkan dengan sasaran negara Cina dan Korea dengan tujuan untuk mendapatkan data account game online, namun dampaknya terasa sampai kemana-mana diseluruh dunia, termasuk Indonesia. Virus yang juga dikenal dengan nama Looked.BK (Symantec), HLLP.Philis (Mc Afee) atau PE Looked (Trend Micro) ini termasuk kategori sangat merepotkan, terutama bagi jaringan intranet yang memanfaatkan sharing sebagai sarana pertukaran informasi antar komputer. Aksinya yang membuat puyeng para administrator jaringan besar bukan karena aksi destruktif, tetapi justru karena aksi penyebaran dirinya yang ibarat narkoba menyuntikkan diri pada semua file berekstensi “.exe” sehingga jika terdeteksi oleh antivirus dan di karantina malah akan mengakibatkan semua program di komputer tersebut error karena file eksekusinya di “cekal” oleh antivirus. Karena dampaknya yang sangat serius pada jaringan komputer, maka Vaksincom memberikan perhatian khusus pada virus ini dan melakukan beberapa pengetesan pada laboratorium virus guna mengetahi lebih detail penyebaran virus ini dan cara efektif menghadapinya. Perlu anda ketahui, salah satu kehebatan virus ini adalah kemampuannya bermetamorfosis sehingga varian satu dengan lainnya sangat sulit di deteksi program antivirus dengan kemampuan heuristic sekalipun karena pembuatnya menggunakan trik kompresi yang berbeda-beda. Sekalipun program antivirus mampu mendeteksi virus ini secara proaktif (Norman Virus Control dengan teknologi Sandbox mendeteksi varian baru Viking ini sebagai W32/Viking.gen) tetapi masalahnya adalah deteksi generik hanya mampu mendeteksi virus dan tidak mengetahui secara detail cara kerja virus ini sehingga jika virus sudah menginfeksi file eksekusi (.exe) dan di karantina oleh Norman, akibatnya malah komputer yang terinfeksi akan mengalami banyak error karena file eksekusinya di “cekal”. Namun untuk varian-varian yang sudah terdeteksi oleh Norman, secara otomatis Norman akan membersihkan virus dari mengembalikan file asli yang terinfeksi sehingga komputer akan dapat berjalan dengan baik dan tidak memerlukan instal ulang.
W32/Viking.GU mempunyai ukuran 64 KB tepatnya sekitar 68303 byte dengan ekstensi .Exe serta mempunyai type file sebagai application (lihat gambar 1).
Gambar 1, File induk Viking.GU, perhatikan namanya rundl132 yang secara sekilas mirip dengan nama file Windows rundll32
Ketika file yang terinfeksi W32/Viking tersebut dujalankan ia akan membuat beberapa file induk berikut yang akan dijalankan pertama kali ketika komputer dinyalakan:
C:\%Windir%\Logo_1exe
C:\%Windir%\RichDll.dll
C:\%Windir%\uninstall\rundl132.exe
C:\%windir%\rundl132.exe
File Logo_1.exe dan Rundl132.exe marupakan komponen utama dari Viking sedangkan file Richdll.dll [terdeteksi sebagai W32/Viking.GX] merupakan file yang berisi script untuk melakukan koneksi ke site yang sudah ditentukan untuk mengambil daftar [database] password yang akan digunakan untuk log on ke komputer target, file ini akan selalu aktif setiap kali user menjalankan IExplorer [Internet Explorer] atau Explorer.exe [Windows Explorer] sehingga selama kedua proses tersebut [Iexplorer.exe dan Explorer.exe] masih aktif maka file Richdll.dll tidak akan bisa di hapus.
Selain itu Viking juga akan membuat file _desktop.ini yang akan di letakan di Drive C:\ dimana file ini berisi mengenai tanggal komputer tersebut terinfeksi.
Agar Viking dapat aktif setiap kali komputer dinyalakan, ia akan membuat beberapa string pada registry berikut:
HKLM\SOFTWARE\Soft\DownloadWWW
Auto = 1
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
load=%WINDIR%\uninstall\rundl132.exe
HKLM\SOFTWARE\Microsoft\DownloadManager
Virus ini tidak akan melakukan blok terhadap fungsi Windows seperti yang dilakukan oleh virus lokal, walaupun demikian ia akan mencoba untuk mematikan program security termasuk firewall, ia juga akan mencoba untuk mematikan proses yang mempunyai nama berikut:
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
MAILMON.EXE
RavMon.exe
RavMonClass
Apa saja yang dilakukan oleh Viking??
Sudah menjadi tradisi, virus “bule” biasanya akan menyebar dengan cepat dengan mengunakan media jaringan atau email dan dari hasil pengetesan di lab Vaksincom diketahui bahwa untuk menyebarkan dirinya, Viking akan menggunakan media jaringan terutama file sharing dengan akses “full control” atau menyerang komputer dengan memanfaatkan default share Windows seperti “IPC$ dan ADMIN$ dengan terlebih dahulu melakukan “ping request” ke subnet lokal dengan mengunakan perintah “Hello, World” dengan memanfaatkan ICMP, jika komputer target ditemukan ia akan mencoba untuk logon dengan menggunakan WNetAddConnection API dengan mencoba kombinasi password yang sudah ditentukan seperti:
Administrator/no password
Administrator/default password
Default user/default password
No user/no pasword
Atau menggunakan user name “Guest”
Jika Viking tidak berhasil melakukan koneksi ke komputer target karena tidak dapat melakukan koneksi ke share ADMIN$ atau jika komputer tersebut menggunakan Windows 9x/ME maka ia mencoba untuk mencari folder yang di share dengan menggunakan Windows Networking dan mencoba melakukan koneksi dengan menggunakan user name dan password berikut:
Default user/default password
Default user/no pasword
Jika Viking berhasil masuk kedalam komputer yang menjadi terget infeksi ia akan mengkopikan dirinya ke komputer target dengan ukuran file sebesar 64 KB atau tepatnya sekitar 68303 byte dan menginfeksi file yang mempunyai ekstensi .EXE serta membuat file _Desktop.ini dimana file ini akan yang memuat tanggal komputer tersebut terinfeksi, sedangkan pada folder yang tidak di share atau di share dengan akses “read only” tidak akan diserang oleh Viking, tetapi jika Viking berhasil menembus Default share Windows IPC$ dan ADMIN$ maka semua file dengan ekstensi EXE di komputer target akan di infeksi tanpa memandang apakah folder tersebut di share dengan akses “full control” atau “read only”.
Untuk melihat folder yang di share di komputer user anda dapat menggunakan tools “Network Scanner” dengan menggunakan tools ini dapat dilihat komputer yang terkoneksi ke jaringan dan melihat folder apa saja yang dishare serta akses yang di gunakan untuk masing-masing folder tersebut.
Dengan menggunakan tools ini dapat dilihat bahwa semua folder yang dishare dengan menggunakan akses full control [folder berwarna merah] maka Viking akan langsung menginfeksi file yang mempunyai ekstensi EXE sedangkan folder yang dishare dengan akses “read only” [folder berwarna kuning] selamat dari serangan Viking, perhatikan gambar 2 dibawah ini:
Gambar 2, “Network scanner” memberikan informasi folder yang dishare dari semua komputer yang terkoneksi jaringan
Keterangan:
Dari gambar diatas dapat dilihat bahwa komputer dengan nama “Support” terdapat beberapa folder yang di share. Untuk folder dengan warna Merah menunjukan bahwa folder tersebut mempunyai akses “Full Control” sedangkan untuk folder berwarna “Kuning” mempunyai akses “Read Only”, dengan tool ini juga kita dapat melihat Default Share yang aktif pada komputer tersebut [IPC$, C$, D$ atau ADMIN$].
Untuk memastikan apakah Viking menyebar dengan menggunakan Share Folder terutama folder yang di share dengan akses “full control” kami menginfeksi salah satu komputer yang ada di lab jaringan lokal dengan nama komputer “LAB”, dan terdapat satu komputer yang bersih dengan nama “support”. (lihat gambar 3 dan 4)
Gambar 3, Nama komputer dan ip number yang sudah terinfeksi Viking\
Gambar 4, Viking sudah aktif pada komputer “lab”
Setelah komputer “LAB” terinfeksi kita akan membuka salah satu folder yang di share pada komputer target dengan nama “Support”. Salah satu folder yang kami buka adalah folder “Tools Virus Lokal” dimana folder ini berisi kumpulan remova tools, setelah di lakukan pengecekan ternyata semua file dengan ekstensi .exe yang ada di folder tersebut sudah terinfeksi Viking dengan ciri-ciri icon dari file tersebut berubah menjadi icon “application” serta terjadi penambahan ukuran file lebih besar 64 KB dari ukuran semula, sedangkan untuk folder yang di share dengan akses “Read Only” tidak terinfeksi Viking. (Gambar 5 dan 6)
Gambar 5, File yang sudah terinfeksi Viking
Gambar 6, Semua file dengan ekstensi EXE yang ada pada Folder dengan akses “Read Only” tidak terinfeksi Viking
Anda dapat melihat apakah Default share IPC$ dan ADMIN$ aktif dikomputer atau tidak dengan melakukan langkah berikut : (Gambar 7)
Buka Windows Explorer
Klik kanan “My Computer”
Klik “manage”
Setelah layar “Computer Management” muncul, klik “share folder” pada menu “System Tools”
Kemudian klik “Share” pada menu “share folder”, maka akan terlihat folder apa saja yang dishare di komputer anda termasuk untuk melihat Default Share Windows yang aktif di komputer anda.
Gambar 7, Melihat Share Folder yang aktif pada komputer
Untuk menginfeksi file yang mempunyai ekstensi EXE, Viking akan mencari Drive/Folder yang di sharing dari A-Z yang mempunyai akses “full control” pada komputer target [begitupun pada komputer lokal itu sendiri] jika ditemukan ia akan membuat kopi file sementara dari file asli tersebut didirektori yang sama dengan format [nama file].exe.exe [contohnya : PROCEXP.exe.exe] dan jika user menjalankan file tersebut maka Viking akan menjalankan file asli yang tidak terinfeksi yang mempunyai format [nama file].exe [contohnya: PROCEXP.exe], setelah itu Viking akan menghapus fie yang tidak terinfeksi tersebut dan merubah copy file temporary yang sudah dibuat tadi sesuai dengan nama file yang sudah dihapus dengan demikian file yang tersisa adalah file yang sudah terinfeksi Viking sehingga jika user menjalankan file tersebut maka secara tidak langsung akan mengaktifkan virus, untuk melakukan hal tersebut diatas tersebut, Viking akan membuat file dengan format $$.bat pada folder Temporary, perhatikan gambar 8, 9 dan 10 dibawah ini:
Gambar 8 [user menjalankan file proceexp.exe]
Dari gambar 8 diatas dapat dilihat ketika user menjalankan file proceexp.exe maka akan muncul proses lain dengan nama cmd.exe dimana jika proses ini dibuka maka akan muncul layar dibawah ini [lihat gambar 9] yang berisi cript lain yang dijalankan secara tersebunyi [C:\DOCUME~1\adang\LOCAL~1\Temp\$$a1E.bat]
Gambar 9
Jika file script tersebut dibuka [$$a1E.bat] pada lokasi yang ditentukan maka akan muncul beberapa baris perintah seperti yang terlihat pada gambar 10 dibawah ini
Gambar 10
Hati-hati jika komputer anda terinfeksi Viking terutama jika komputer tersebut terhubung kejaringan karena akan mengakibatkan traffic jaringan menjadi padat hal ini dikarenakan Viking mencoba untuk melakukan ping request dengan melakukan scan terhadap semua IP yang terdapat dalam subnet lokal yang ada di dalam jaringan tersebut hal ini ditambah lagi dengan aksi lainnya dengan mencoba untuk mengkopikan dirinya ke komputer target serta menginfeksi file yang mempunyai ekstensi EXE. Sudah pasti selain menghambat traffic jaringan Viking juga akan menghambat system komputer lokal itu sendiri sehingga komputer yang terinfeksi Viking akan terasa sangat lambat sekali hal ini dikenakan aktivitas yang dilakukan oleh viking itu sendiri yang mencoba untuk menginfeksi komputer yang terhubung dalam jaringan dan menginfeksi file yang mempunyai ekstensi EXE pada komputer lokal itu sendiri dengan terlebih dahulu melakukan scan pada drive C sampai Z. Setiap file yang sudah terinfeksi viking akan bertambah ukurannya menjadi 64 KB atau tepatnya sebesar 68303 byte dari ukuran semula.
Viking tidak akan menginfeksi file IEXPLORE.EXE atau EXPLORER.EXE, ia juga tidak akan menginfeksi file yang mempunyai ukuran lebih dari 16 MB yang berada di direktori berikut :
System
system32
windows
Documents and Settings
System Volume Information
Recycled
Winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
InstallShield Installation Information
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
Apa yang harus dilakukan untuk menghalau Viking?
Berikut beberapa langkah yang dapat dilakukan jika komputer anda sudah terinfeksi Viking dan bagaimana untuk mencegah agar Viking tidak kembali menginfeksi komputer anda
Putuskan hubungan komputer yang akan dibersihkan dari jaringan dan internet
Jika menggunakan Windows ME/XP, matikan “system restore” selama proses pembersihan, silahkan berkonsultasi dengan reseller Vaksincom jika anda ingin mengetahui lebih jauh tentang system restore.
Start komputer pada mode “Safe Mode”
Lakukan pembersihan dengan menggunakan antivirus yang sudah up-to-date dan dapat mengenali virus ini dengan baik (lihat gambar 11) hal ini dikarenakan W32/Viking.GU akan mencoba untuk menginfeksi file yang mempunyai ekstensi EXE selain itu gunakan antivirus yang dapat memperbaiki [repair] file yang sudah terinfeksi sehingga file tersebut dapat digunakan kembali. PT. Vaksincom memberikan tools removal khusus bagi pelanggan korporat yang membutuhkan.
Gambar 11, Norman Virus Control berhasil mendeteksi dan menghapus Viking
Hapus string registri yang sudah dibuat oleh viking dengan menyalin script berikut pada program “Notepad” kemudian simpan dengan nama repair.inf dan jalankan file tersebut dengan cara :
klik kanan repair.inf
klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, load
HKLM, Software\Soft\DownloadWWW
HKLM, Software\Soft\DownloadWWW, auto
HKLM, Software\Microsoft\Windows NT\CurrentVersion\Windows, load
HKLM, SOFTWARE\Microsoft\DownloadManager
Aktifkan kembali “system restore” setelah komputer benar-benarr bersih dari virus.
Bagi pelanggan Vaksincom yang masih kerepotan menghadapi Viking, silahkan hubungi info@vaksin.com untuk mendapatkan tips advance mencegah Viking kembali menginfeksi komputer anda dan tools khusus removal Viking yang dapat membersihkan Viking dari file eksekusi sehingga aplikasi pada komputer yang terinfeksi tidak perlu di instal ulang.
Read More..
Tuntutlah Virus sampai ke Negeri Cina
Global Village, istilah ini mungkin pernah anda dengar yang pada dasarnya menjelaskan bahwa dunia ini makin terhubung satu dengan lainnya. Perumpamaannya, bila ada yang buang angin (maaf.... kentut) di satu bagian dunia ini, baunya bisa terasa sampai ke mana-mana. Tentunya ini merupakan arti kiasan yang ingin menunjukkan betapa dunia ini makin hari menjadi makin tanpa batas (borderless world). Contoh nyatanya adalah krisis Timur Tengah yang meskipun secara jarak terpaut ribuan mil, saat ini mempengaruhi kehidupan kita sehari-hari terbukti dengan naiknya harga bensin pada tanggal 1 April 2007. Kalau dunia nyata saja terpengaruh oleh global village ini, apalagi dunia maya yang notabene terkoneksi secara langsung. Hal ini terbukti dari satu kasus virus yang sebenarnya disebarkan dengan sasaran negara Cina dan Korea dengan tujuan untuk mendapatkan data account game online, namun dampaknya terasa sampai kemana-mana diseluruh dunia, termasuk Indonesia. Virus yang juga dikenal dengan nama Looked.BK (Symantec), HLLP.Philis (Mc Afee) atau PE Looked (Trend Micro) ini termasuk kategori sangat merepotkan, terutama bagi jaringan intranet yang memanfaatkan sharing sebagai sarana pertukaran informasi antar komputer. Aksinya yang membuat puyeng para administrator jaringan besar bukan karena aksi destruktif, tetapi justru karena aksi penyebaran dirinya yang ibarat narkoba menyuntikkan diri pada semua file berekstensi “.exe” sehingga jika terdeteksi oleh antivirus dan di karantina malah akan mengakibatkan semua program di komputer tersebut error karena file eksekusinya di “cekal” oleh antivirus. Karena dampaknya yang sangat serius pada jaringan komputer, maka Vaksincom memberikan perhatian khusus pada virus ini dan melakukan beberapa pengetesan pada laboratorium virus guna mengetahi lebih detail penyebaran virus ini dan cara efektif menghadapinya. Perlu anda ketahui, salah satu kehebatan virus ini adalah kemampuannya bermetamorfosis sehingga varian satu dengan lainnya sangat sulit di deteksi program antivirus dengan kemampuan heuristic sekalipun karena pembuatnya menggunakan trik kompresi yang berbeda-beda. Sekalipun program antivirus mampu mendeteksi virus ini secara proaktif (Norman Virus Control dengan teknologi Sandbox mendeteksi varian baru Viking ini sebagai W32/Viking.gen) tetapi masalahnya adalah deteksi generik hanya mampu mendeteksi virus dan tidak mengetahui secara detail cara kerja virus ini sehingga jika virus sudah menginfeksi file eksekusi (.exe) dan di karantina oleh Norman, akibatnya malah komputer yang terinfeksi akan mengalami banyak error karena file eksekusinya di “cekal”. Namun untuk varian-varian yang sudah terdeteksi oleh Norman, secara otomatis Norman akan membersihkan virus dari mengembalikan file asli yang terinfeksi sehingga komputer akan dapat berjalan dengan baik dan tidak memerlukan instal ulang.
W32/Viking.GU mempunyai ukuran 64 KB tepatnya sekitar 68303 byte dengan ekstensi .Exe serta mempunyai type file sebagai application (lihat gambar 1).
Gambar 1, File induk Viking.GU, perhatikan namanya rundl132 yang secara sekilas mirip dengan nama file Windows rundll32
Ketika file yang terinfeksi W32/Viking tersebut dujalankan ia akan membuat beberapa file induk berikut yang akan dijalankan pertama kali ketika komputer dinyalakan:
C:\%Windir%\Logo_1exe
C:\%Windir%\RichDll.dll
C:\%Windir%\uninstall\rundl132.exe
C:\%windir%\rundl132.exe
File Logo_1.exe dan Rundl132.exe marupakan komponen utama dari Viking sedangkan file Richdll.dll [terdeteksi sebagai W32/Viking.GX] merupakan file yang berisi script untuk melakukan koneksi ke site yang sudah ditentukan untuk mengambil daftar [database] password yang akan digunakan untuk log on ke komputer target, file ini akan selalu aktif setiap kali user menjalankan IExplorer [Internet Explorer] atau Explorer.exe [Windows Explorer] sehingga selama kedua proses tersebut [Iexplorer.exe dan Explorer.exe] masih aktif maka file Richdll.dll tidak akan bisa di hapus.
Selain itu Viking juga akan membuat file _desktop.ini yang akan di letakan di Drive C:\ dimana file ini berisi mengenai tanggal komputer tersebut terinfeksi.
Agar Viking dapat aktif setiap kali komputer dinyalakan, ia akan membuat beberapa string pada registry berikut:
HKLM\SOFTWARE\Soft\DownloadWWW
Auto = 1
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
load=%WINDIR%\uninstall\rundl132.exe
HKLM\SOFTWARE\Microsoft\DownloadManager
Virus ini tidak akan melakukan blok terhadap fungsi Windows seperti yang dilakukan oleh virus lokal, walaupun demikian ia akan mencoba untuk mematikan program security termasuk firewall, ia juga akan mencoba untuk mematikan proses yang mempunyai nama berikut:
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
MAILMON.EXE
RavMon.exe
RavMonClass
Apa saja yang dilakukan oleh Viking??
Sudah menjadi tradisi, virus “bule” biasanya akan menyebar dengan cepat dengan mengunakan media jaringan atau email dan dari hasil pengetesan di lab Vaksincom diketahui bahwa untuk menyebarkan dirinya, Viking akan menggunakan media jaringan terutama file sharing dengan akses “full control” atau menyerang komputer dengan memanfaatkan default share Windows seperti “IPC$ dan ADMIN$ dengan terlebih dahulu melakukan “ping request” ke subnet lokal dengan mengunakan perintah “Hello, World” dengan memanfaatkan ICMP, jika komputer target ditemukan ia akan mencoba untuk logon dengan menggunakan WNetAddConnection API dengan mencoba kombinasi password yang sudah ditentukan seperti:
Administrator/no password
Administrator/default password
Default user/default password
No user/no pasword
Atau menggunakan user name “Guest”
Jika Viking tidak berhasil melakukan koneksi ke komputer target karena tidak dapat melakukan koneksi ke share ADMIN$ atau jika komputer tersebut menggunakan Windows 9x/ME maka ia mencoba untuk mencari folder yang di share dengan menggunakan Windows Networking dan mencoba melakukan koneksi dengan menggunakan user name dan password berikut:
Default user/default password
Default user/no pasword
Jika Viking berhasil masuk kedalam komputer yang menjadi terget infeksi ia akan mengkopikan dirinya ke komputer target dengan ukuran file sebesar 64 KB atau tepatnya sekitar 68303 byte dan menginfeksi file yang mempunyai ekstensi .EXE serta membuat file _Desktop.ini dimana file ini akan yang memuat tanggal komputer tersebut terinfeksi, sedangkan pada folder yang tidak di share atau di share dengan akses “read only” tidak akan diserang oleh Viking, tetapi jika Viking berhasil menembus Default share Windows IPC$ dan ADMIN$ maka semua file dengan ekstensi EXE di komputer target akan di infeksi tanpa memandang apakah folder tersebut di share dengan akses “full control” atau “read only”.
Untuk melihat folder yang di share di komputer user anda dapat menggunakan tools “Network Scanner” dengan menggunakan tools ini dapat dilihat komputer yang terkoneksi ke jaringan dan melihat folder apa saja yang dishare serta akses yang di gunakan untuk masing-masing folder tersebut.
Dengan menggunakan tools ini dapat dilihat bahwa semua folder yang dishare dengan menggunakan akses full control [folder berwarna merah] maka Viking akan langsung menginfeksi file yang mempunyai ekstensi EXE sedangkan folder yang dishare dengan akses “read only” [folder berwarna kuning] selamat dari serangan Viking, perhatikan gambar 2 dibawah ini:
Gambar 2, “Network scanner” memberikan informasi folder yang dishare dari semua komputer yang terkoneksi jaringan
Keterangan:
Dari gambar diatas dapat dilihat bahwa komputer dengan nama “Support” terdapat beberapa folder yang di share. Untuk folder dengan warna Merah menunjukan bahwa folder tersebut mempunyai akses “Full Control” sedangkan untuk folder berwarna “Kuning” mempunyai akses “Read Only”, dengan tool ini juga kita dapat melihat Default Share yang aktif pada komputer tersebut [IPC$, C$, D$ atau ADMIN$].
Untuk memastikan apakah Viking menyebar dengan menggunakan Share Folder terutama folder yang di share dengan akses “full control” kami menginfeksi salah satu komputer yang ada di lab jaringan lokal dengan nama komputer “LAB”, dan terdapat satu komputer yang bersih dengan nama “support”. (lihat gambar 3 dan 4)
Gambar 3, Nama komputer dan ip number yang sudah terinfeksi Viking\
Gambar 4, Viking sudah aktif pada komputer “lab”
Setelah komputer “LAB” terinfeksi kita akan membuka salah satu folder yang di share pada komputer target dengan nama “Support”. Salah satu folder yang kami buka adalah folder “Tools Virus Lokal” dimana folder ini berisi kumpulan remova tools, setelah di lakukan pengecekan ternyata semua file dengan ekstensi .exe yang ada di folder tersebut sudah terinfeksi Viking dengan ciri-ciri icon dari file tersebut berubah menjadi icon “application” serta terjadi penambahan ukuran file lebih besar 64 KB dari ukuran semula, sedangkan untuk folder yang di share dengan akses “Read Only” tidak terinfeksi Viking. (Gambar 5 dan 6)
Gambar 5, File yang sudah terinfeksi Viking
Gambar 6, Semua file dengan ekstensi EXE yang ada pada Folder dengan akses “Read Only” tidak terinfeksi Viking
Anda dapat melihat apakah Default share IPC$ dan ADMIN$ aktif dikomputer atau tidak dengan melakukan langkah berikut : (Gambar 7)
Buka Windows Explorer
Klik kanan “My Computer”
Klik “manage”
Setelah layar “Computer Management” muncul, klik “share folder” pada menu “System Tools”
Kemudian klik “Share” pada menu “share folder”, maka akan terlihat folder apa saja yang dishare di komputer anda termasuk untuk melihat Default Share Windows yang aktif di komputer anda.
Gambar 7, Melihat Share Folder yang aktif pada komputer
Untuk menginfeksi file yang mempunyai ekstensi EXE, Viking akan mencari Drive/Folder yang di sharing dari A-Z yang mempunyai akses “full control” pada komputer target [begitupun pada komputer lokal itu sendiri] jika ditemukan ia akan membuat kopi file sementara dari file asli tersebut didirektori yang sama dengan format [nama file].exe.exe [contohnya : PROCEXP.exe.exe] dan jika user menjalankan file tersebut maka Viking akan menjalankan file asli yang tidak terinfeksi yang mempunyai format [nama file].exe [contohnya: PROCEXP.exe], setelah itu Viking akan menghapus fie yang tidak terinfeksi tersebut dan merubah copy file temporary yang sudah dibuat tadi sesuai dengan nama file yang sudah dihapus dengan demikian file yang tersisa adalah file yang sudah terinfeksi Viking sehingga jika user menjalankan file tersebut maka secara tidak langsung akan mengaktifkan virus, untuk melakukan hal tersebut diatas tersebut, Viking akan membuat file dengan format $$.bat pada folder Temporary, perhatikan gambar 8, 9 dan 10 dibawah ini:
Gambar 8 [user menjalankan file proceexp.exe]
Dari gambar 8 diatas dapat dilihat ketika user menjalankan file proceexp.exe maka akan muncul proses lain dengan nama cmd.exe dimana jika proses ini dibuka maka akan muncul layar dibawah ini [lihat gambar 9] yang berisi cript lain yang dijalankan secara tersebunyi [C:\DOCUME~1\adang\LOCAL~1\Temp\$$a1E.bat]
Gambar 9
Jika file script tersebut dibuka [$$a1E.bat] pada lokasi yang ditentukan maka akan muncul beberapa baris perintah seperti yang terlihat pada gambar 10 dibawah ini
Gambar 10
Hati-hati jika komputer anda terinfeksi Viking terutama jika komputer tersebut terhubung kejaringan karena akan mengakibatkan traffic jaringan menjadi padat hal ini dikarenakan Viking mencoba untuk melakukan ping request dengan melakukan scan terhadap semua IP yang terdapat dalam subnet lokal yang ada di dalam jaringan tersebut hal ini ditambah lagi dengan aksi lainnya dengan mencoba untuk mengkopikan dirinya ke komputer target serta menginfeksi file yang mempunyai ekstensi EXE. Sudah pasti selain menghambat traffic jaringan Viking juga akan menghambat system komputer lokal itu sendiri sehingga komputer yang terinfeksi Viking akan terasa sangat lambat sekali hal ini dikenakan aktivitas yang dilakukan oleh viking itu sendiri yang mencoba untuk menginfeksi komputer yang terhubung dalam jaringan dan menginfeksi file yang mempunyai ekstensi EXE pada komputer lokal itu sendiri dengan terlebih dahulu melakukan scan pada drive C sampai Z. Setiap file yang sudah terinfeksi viking akan bertambah ukurannya menjadi 64 KB atau tepatnya sebesar 68303 byte dari ukuran semula.
Viking tidak akan menginfeksi file IEXPLORE.EXE atau EXPLORER.EXE, ia juga tidak akan menginfeksi file yang mempunyai ukuran lebih dari 16 MB yang berada di direktori berikut :
System
system32
windows
Documents and Settings
System Volume Information
Recycled
Winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
InstallShield Installation Information
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
Apa yang harus dilakukan untuk menghalau Viking?
Berikut beberapa langkah yang dapat dilakukan jika komputer anda sudah terinfeksi Viking dan bagaimana untuk mencegah agar Viking tidak kembali menginfeksi komputer anda
Putuskan hubungan komputer yang akan dibersihkan dari jaringan dan internet
Jika menggunakan Windows ME/XP, matikan “system restore” selama proses pembersihan, silahkan berkonsultasi dengan reseller Vaksincom jika anda ingin mengetahui lebih jauh tentang system restore.
Start komputer pada mode “Safe Mode”
Lakukan pembersihan dengan menggunakan antivirus yang sudah up-to-date dan dapat mengenali virus ini dengan baik (lihat gambar 11) hal ini dikarenakan W32/Viking.GU akan mencoba untuk menginfeksi file yang mempunyai ekstensi EXE selain itu gunakan antivirus yang dapat memperbaiki [repair] file yang sudah terinfeksi sehingga file tersebut dapat digunakan kembali. PT. Vaksincom memberikan tools removal khusus bagi pelanggan korporat yang membutuhkan.
Gambar 11, Norman Virus Control berhasil mendeteksi dan menghapus Viking
Hapus string registri yang sudah dibuat oleh viking dengan menyalin script berikut pada program “Notepad” kemudian simpan dengan nama repair.inf dan jalankan file tersebut dengan cara :
klik kanan repair.inf
klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, load
HKLM, Software\Soft\DownloadWWW
HKLM, Software\Soft\DownloadWWW, auto
HKLM, Software\Microsoft\Windows NT\CurrentVersion\Windows, load
HKLM, SOFTWARE\Microsoft\DownloadManager
Aktifkan kembali “system restore” setelah komputer benar-benarr bersih dari virus.
Bagi pelanggan Vaksincom yang masih kerepotan menghadapi Viking, silahkan hubungi info@vaksin.com untuk mendapatkan tips advance mencegah Viking kembali menginfeksi komputer anda dan tools khusus removal Viking yang dapat membersihkan Viking dari file eksekusi sehingga aplikasi pada komputer yang terinfeksi tidak perlu di instal ulang.
Read More..
Virus VB mendominasi tangga Virus Lokal awal 2007
Virus VB mendominasi tangga Virus Lokal awal 2007 15 Mei 2007
Perkembangan Virus Lokal di Indonesia
Tidak seperti team sepakbola yang tidak mampu berbicara banyak di level regional dan terkadang atlit sepakbola malah memperlihatkan bakat lain di lapangan sepakbola seperti bakat taekwondo (menendangi wasit) dan bakat boxing (meninju lawan mainnya). Maka virus lokal di Indonesia sudah mampu menjadi tuan di rumah sendiri dan berbicara cukup nyaring di negara-negara lain. Jika sebelum tahun 2005, kiprah virus lokal masih “nyaris tak terdengar” dan tahun 2006 merupakan tahun virus lokal Indonesia merajai penyebaran virus di tanah air. Maka tahun 2007 trend tersebut makin menjadi-jadi. Sampai bulan April 2007, virus yang di”impor” oleh Indonesia adalah Viking / Looked.PE yang berasal dari Cina dan dibuat untuk mencuri data game online dan beberapa virus yang menyebar melalui email. Tetapi secara umum, masalah virus utama yang dihadapi oleh komunitas pengguna komputer di tanah air adalah virus lokal. Kreativitas pembuat virus lokal sangat tinggi, walaupun senjatanya terbatas dan hanya mampu melakukan pemrograman dengan Visual Basic, namun 1001 akal digunakan untuk menutupi kelemahan Visual Basic ini dan beberapa aksi baru dan orisinal dikeluarkan seperti membuat virus otomatis berjalan setiap kali pengguna komputer mencolokkan Flash Disk pada komputernya. Beberapa virus lain melakukan aksi yang sangat merepotkan dengan mengunci komputer selalu pada menu logon (sekalipun username dan password yang benar sudah dimasukkan) sehingga pembersihan hanya dapat dilakukan menggunakan Mini PE atau melepaskan harddisk korban menjadi slave pada komputer lain. Satu hal yang cukup berbahaya dan patus diwaspadai adalah aksi virus mengubah host file pada komputer korbannya yang jika disalahgunakan dan digabungkan dengan pembuatan website palsu akan mampu menembus pengamanan pada internet banking, sekalipun yang menggunakan T-FA (Two Factor Authentication) atau yang di Indonesia dikenal dengan nama pengamanan Token / kalkulator PIN.
MSVBVM60.DLL
Vaksincom banyak sekali mendapatkan permintaan solusi virus lokal dari Asia Tenggara (Malaysia, Filipina), Eropa (Perancis, Inggris) dan Amerika karena penyebaran virus Indonesia ternyata sudah sampai ke mancanegara dan antivirus dan team supportnya tidak mampu mengatasi aksi yang dilakukan oleh virus lokal yang terkadang membingungkan sekalipun untuk pengguna komputer yang cukup mahir. Pada umumnya virus lokal masih dibuat menggunakan bahasa pemrograman “sejuta umat” Visual Basic dengan beberapa ciri khas dan kelemahan sehingga “relatif” lebih mudah dibasmi jika kita mampu mengakses file utama yang diperlukan untuk menjalankan Visual Basic...... MSVBVM60.DLL. Tetapi, keterbatasan ini tidak menjadikan virus lokal yang dibuat kehilangan gregetnya karena beberapa pembuat virus menyadari kelemahan bahasa Visual Basic ini dan ibarat Rambo yang hanya dibekali dengan pisau belati dan panah dapat mengalahkan musuhnya yang menggunakan senjata api dan helikopter tempur. Pembuat virus dengan Visual Basic ini berusaha mengatasi kelemahan yang ada dengan melakukan backup atas file MSVBVM60.DLL pada direktori lain dan akan melakukan otomatis loading jika MSVBVM60.DLL dihapus. Beberapa programmer yang menguasai bahasa pemrograman lain menggunakan kelemahan ini untuk menyerang virus “saingannya” yang dibuat dengan Visual Basic dengan menghapus file MSVBVM60.DLL dalam aksinya dan menulis virusnya dalam bahasa seperti C++. Ibarat orang Jawa yang selalu berpikiran positif, masih “untung” belum ada programmer Java atau assembly yang “turun gunung” ikut membuat virus mengingat Bahasa Java merupakan bahasa universal yang dapat dijalankan multi platform dan Assembly adalah bahasa dewanya komputer namum sangat sulit dikuasai, tidak seperti Visual Basic yang terkadang proses membuat virus hanya membutuhkan copy and paste coding yang sudah ada dan kompilasi (compile) berkali-kali agar sulit di deteksi program antivirus. Karena kelemahannya yang tergantung pada MSVBVM60.DLL ini, cepat atau lambat cara efektif untuk mengatasi virus yang dibuat dalam bahasa Visual Basic ini akan ditemukan sehingga mayoritas virus lokal yang ditulis menggunakan Visual Basic ini akan mampu diatasi dengan sekali sapu tanpa perlu mengandalkan deteksi sekalipun.
Lagu Wajib
Beberapa aksi “wajib” yang dilakukan virus lokal adalah memalsukan icon virus (application) menjadi icon lain, jika di tahun 2006 icon favorit yang dipalsukan adalah icon MS Word, maka di tahun 2007 terjadi pergeseran dimana icon favorit yang paling sering dipalsukan adalah icon folder. Lebih canggih lagi, virus dengan icon folder yang jika diperhatikan dengan teliti file typenya “application” pada generasi berikutnya ikut sempurnakan menjadi “file folder”.
Beberapa virus yang cukup merepotkan seperti dikemukakan diatas, melakukan aksi dengan mengunci komputer pada menu logon sehingga sekalipun pengguna komputer sudah memasukkan Username dan Password yang benar, komputer tetap akan menolak untuk logon dan tetap meminta username dan password. Celakanya, hal ini tetap terjadi sekalipun komputer di start dalam Safemode atau Safemode with Command Prompt. Untuk memperbaiki masalah ini, cukup repot karena harus mengakses harddisk dari luar OS dan alternatifnya hanya melepaskan harddisk dan menjadikan sebagai slave di komputer lain, atau menggunakan aplikasi independen seperti NTFS for Dos, Bart PE atau Mini PE.
Aksi lain yang menjadi “lagu wajib” virus lokal adalah blok aplikasi maintenance windows yang biasa digunakan untuk menganalisa aktivitas virus seperti blok pada aplikasi Task Manager, Regedit, MSConfig, Command Prompt, Folder Options, System Restore, Notepad, Shutdown, Run, Find, MSI Installer dan Klik kanan mouse. Fitur yang paling sering di aktifkan adalah Folder Options, dimana komputer korban virus akan di set untuk “Do not show hidden files and folders” (selalu menyembunyikan file dan folder hidden, biasanya file sistem) dan karena virus ini memberikan atribut sistem pada filenya sehingga akan ikut disembunyikan (tidak tampak pada Windows Explorer), selain itu fitur “Hide extentions for known type” dan “Hide protected operating system files” juga diaktifkan untuk menyempurnakan penyamarannya.
Selain itu aplikasi sekuriti seperti firewall windows, antivirus favorit dan tools utility independen seperti Process Explorer, I Know Process juga ikut menjadi program favorit yang diblok oleh virus.
Beberapa virus lokal yang paling ganas di kuartal pertama tahun 2007 dan ciri-cirinya
v Babon, 49 KB, mengubah properties dan AM/PM pada jam menjadi tulisan Babon.
v Aksika (4k51k4), 45 KB, membuat backup MSVBVM60.DLL. disable System Restore, aktif di normal mode, Safemode dan Safemode with Command Prompt
v Coolface, 78 KB, virus Bangka yang ditulis dalam bahasa C++ dan berusaha membasmi semua virus Visual Basic dengan menghapus file MSVBVM60.DLL
v KillAV, 22 KB, menyembunyikan semua file MS word dan mengganti dengan dirinya.
v Pendekar Blank, 34 KB, menyembunyikan folder C:\Windows\System32 dan membuat file duplikat sesuai dengan nama folder yang disembunyikan [system32.exe], membackup MSVBVM60.dll di C:\WINDOWS\system32\dllChache, manipulasi file .com dan .txt sehingga setiap kali dijalankan akan menjalankan virus
v Pacaran, 59 KB, mengubah icon file “non virus” di komputer korban menjadi folder dan file type application sehingga dikira virus oleh pengguna komputer dan dihapus (MP3, txt, reg file, jpeg, inf dan exe), membackup dirinya dengan selalu menjaga keberadaan MSVBVM60.dll, manipulasi Host file, menyembunyikan drive dan folder, merubah Type file “File Folder”, MP3, JPEG menjadi W32.Pacaran
v Blue Fantasy, 40 KB, otomatis menginfeksi dari Flash Disk, menyembunyikan folder dan menggantikan dengan file virus duplikat dengan icon folder.
Read More..
Perkembangan Virus Lokal di Indonesia
Tidak seperti team sepakbola yang tidak mampu berbicara banyak di level regional dan terkadang atlit sepakbola malah memperlihatkan bakat lain di lapangan sepakbola seperti bakat taekwondo (menendangi wasit) dan bakat boxing (meninju lawan mainnya). Maka virus lokal di Indonesia sudah mampu menjadi tuan di rumah sendiri dan berbicara cukup nyaring di negara-negara lain. Jika sebelum tahun 2005, kiprah virus lokal masih “nyaris tak terdengar” dan tahun 2006 merupakan tahun virus lokal Indonesia merajai penyebaran virus di tanah air. Maka tahun 2007 trend tersebut makin menjadi-jadi. Sampai bulan April 2007, virus yang di”impor” oleh Indonesia adalah Viking / Looked.PE yang berasal dari Cina dan dibuat untuk mencuri data game online dan beberapa virus yang menyebar melalui email. Tetapi secara umum, masalah virus utama yang dihadapi oleh komunitas pengguna komputer di tanah air adalah virus lokal. Kreativitas pembuat virus lokal sangat tinggi, walaupun senjatanya terbatas dan hanya mampu melakukan pemrograman dengan Visual Basic, namun 1001 akal digunakan untuk menutupi kelemahan Visual Basic ini dan beberapa aksi baru dan orisinal dikeluarkan seperti membuat virus otomatis berjalan setiap kali pengguna komputer mencolokkan Flash Disk pada komputernya. Beberapa virus lain melakukan aksi yang sangat merepotkan dengan mengunci komputer selalu pada menu logon (sekalipun username dan password yang benar sudah dimasukkan) sehingga pembersihan hanya dapat dilakukan menggunakan Mini PE atau melepaskan harddisk korban menjadi slave pada komputer lain. Satu hal yang cukup berbahaya dan patus diwaspadai adalah aksi virus mengubah host file pada komputer korbannya yang jika disalahgunakan dan digabungkan dengan pembuatan website palsu akan mampu menembus pengamanan pada internet banking, sekalipun yang menggunakan T-FA (Two Factor Authentication) atau yang di Indonesia dikenal dengan nama pengamanan Token / kalkulator PIN.
MSVBVM60.DLL
Vaksincom banyak sekali mendapatkan permintaan solusi virus lokal dari Asia Tenggara (Malaysia, Filipina), Eropa (Perancis, Inggris) dan Amerika karena penyebaran virus Indonesia ternyata sudah sampai ke mancanegara dan antivirus dan team supportnya tidak mampu mengatasi aksi yang dilakukan oleh virus lokal yang terkadang membingungkan sekalipun untuk pengguna komputer yang cukup mahir. Pada umumnya virus lokal masih dibuat menggunakan bahasa pemrograman “sejuta umat” Visual Basic dengan beberapa ciri khas dan kelemahan sehingga “relatif” lebih mudah dibasmi jika kita mampu mengakses file utama yang diperlukan untuk menjalankan Visual Basic...... MSVBVM60.DLL. Tetapi, keterbatasan ini tidak menjadikan virus lokal yang dibuat kehilangan gregetnya karena beberapa pembuat virus menyadari kelemahan bahasa Visual Basic ini dan ibarat Rambo yang hanya dibekali dengan pisau belati dan panah dapat mengalahkan musuhnya yang menggunakan senjata api dan helikopter tempur. Pembuat virus dengan Visual Basic ini berusaha mengatasi kelemahan yang ada dengan melakukan backup atas file MSVBVM60.DLL pada direktori lain dan akan melakukan otomatis loading jika MSVBVM60.DLL dihapus. Beberapa programmer yang menguasai bahasa pemrograman lain menggunakan kelemahan ini untuk menyerang virus “saingannya” yang dibuat dengan Visual Basic dengan menghapus file MSVBVM60.DLL dalam aksinya dan menulis virusnya dalam bahasa seperti C++. Ibarat orang Jawa yang selalu berpikiran positif, masih “untung” belum ada programmer Java atau assembly yang “turun gunung” ikut membuat virus mengingat Bahasa Java merupakan bahasa universal yang dapat dijalankan multi platform dan Assembly adalah bahasa dewanya komputer namum sangat sulit dikuasai, tidak seperti Visual Basic yang terkadang proses membuat virus hanya membutuhkan copy and paste coding yang sudah ada dan kompilasi (compile) berkali-kali agar sulit di deteksi program antivirus. Karena kelemahannya yang tergantung pada MSVBVM60.DLL ini, cepat atau lambat cara efektif untuk mengatasi virus yang dibuat dalam bahasa Visual Basic ini akan ditemukan sehingga mayoritas virus lokal yang ditulis menggunakan Visual Basic ini akan mampu diatasi dengan sekali sapu tanpa perlu mengandalkan deteksi sekalipun.
Lagu Wajib
Beberapa aksi “wajib” yang dilakukan virus lokal adalah memalsukan icon virus (application) menjadi icon lain, jika di tahun 2006 icon favorit yang dipalsukan adalah icon MS Word, maka di tahun 2007 terjadi pergeseran dimana icon favorit yang paling sering dipalsukan adalah icon folder. Lebih canggih lagi, virus dengan icon folder yang jika diperhatikan dengan teliti file typenya “application” pada generasi berikutnya ikut sempurnakan menjadi “file folder”.
Beberapa virus yang cukup merepotkan seperti dikemukakan diatas, melakukan aksi dengan mengunci komputer pada menu logon sehingga sekalipun pengguna komputer sudah memasukkan Username dan Password yang benar, komputer tetap akan menolak untuk logon dan tetap meminta username dan password. Celakanya, hal ini tetap terjadi sekalipun komputer di start dalam Safemode atau Safemode with Command Prompt. Untuk memperbaiki masalah ini, cukup repot karena harus mengakses harddisk dari luar OS dan alternatifnya hanya melepaskan harddisk dan menjadikan sebagai slave di komputer lain, atau menggunakan aplikasi independen seperti NTFS for Dos, Bart PE atau Mini PE.
Aksi lain yang menjadi “lagu wajib” virus lokal adalah blok aplikasi maintenance windows yang biasa digunakan untuk menganalisa aktivitas virus seperti blok pada aplikasi Task Manager, Regedit, MSConfig, Command Prompt, Folder Options, System Restore, Notepad, Shutdown, Run, Find, MSI Installer dan Klik kanan mouse. Fitur yang paling sering di aktifkan adalah Folder Options, dimana komputer korban virus akan di set untuk “Do not show hidden files and folders” (selalu menyembunyikan file dan folder hidden, biasanya file sistem) dan karena virus ini memberikan atribut sistem pada filenya sehingga akan ikut disembunyikan (tidak tampak pada Windows Explorer), selain itu fitur “Hide extentions for known type” dan “Hide protected operating system files” juga diaktifkan untuk menyempurnakan penyamarannya.
Selain itu aplikasi sekuriti seperti firewall windows, antivirus favorit dan tools utility independen seperti Process Explorer, I Know Process juga ikut menjadi program favorit yang diblok oleh virus.
Beberapa virus lokal yang paling ganas di kuartal pertama tahun 2007 dan ciri-cirinya
v Babon, 49 KB, mengubah properties dan AM/PM pada jam menjadi tulisan Babon.
v Aksika (4k51k4), 45 KB, membuat backup MSVBVM60.DLL. disable System Restore, aktif di normal mode, Safemode dan Safemode with Command Prompt
v Coolface, 78 KB, virus Bangka yang ditulis dalam bahasa C++ dan berusaha membasmi semua virus Visual Basic dengan menghapus file MSVBVM60.DLL
v KillAV, 22 KB, menyembunyikan semua file MS word dan mengganti dengan dirinya.
v Pendekar Blank, 34 KB, menyembunyikan folder C:\Windows\System32 dan membuat file duplikat sesuai dengan nama folder yang disembunyikan [system32.exe], membackup MSVBVM60.dll di C:\WINDOWS\system32\dllChache, manipulasi file .com dan .txt sehingga setiap kali dijalankan akan menjalankan virus
v Pacaran, 59 KB, mengubah icon file “non virus” di komputer korban menjadi folder dan file type application sehingga dikira virus oleh pengguna komputer dan dihapus (MP3, txt, reg file, jpeg, inf dan exe), membackup dirinya dengan selalu menjaga keberadaan MSVBVM60.dll, manipulasi Host file, menyembunyikan drive dan folder, merubah Type file “File Folder”, MP3, JPEG menjadi W32.Pacaran
v Blue Fantasy, 40 KB, otomatis menginfeksi dari Flash Disk, menyembunyikan folder dan menggantikan dengan file virus duplikat dengan icon folder.
Read More..
Mencegah Virus Autoinfect via Flash Disk
Mencegah Virus Autoinfect via Flash Disk 24 Mei 2007
Siapa bilang orang Indonesia kalah kreatif dengan bangsa asing ? Lihat saja peta penyebaran virus lokal di tahun 2006 dan 2007. Pembuat virus lokal tidak kalah produktif dengan virus mancanegara. Salah satu hal yang disayangkan adalah kreativitas ini justru muncul dalam hal pembuatan virus, carding dan hal-hal negatif lainnya. Padahal kalau kemampuan teknis yang dimiliki dipergunakan untuk tujuan yang baik akan memberikan manfaat yang sangat besar bagi perkembangan IT bangsa ini.
Kreativitas merupakan hal yang menonjol dari virus-virus lokal yang muncul. Kalau virus mancanegara ingin menginfeksi file JPEG, mereka harus cape-cape berusaha mengeksploitasi celah keamanan GDI JPEG vulnerability. Kelemahan virus yang mengeksploitasi celah keamanan adalah jika celah keamanan ini sudah ditutup akan membuat virus yang dibuat menjadi tidak mempan lagi. Lain dengan pembuat virus lokal yang tidak mengeksploitasi celah keamanan, tetapi mengeksploitasi manusianya (rekayasa sosial). Saat ini, vendor IT masih belum ditemukan patch untuk menambal celah keamanan pada manusia (iseng mengklik, ingin tahu dst). Sebagai gambaran, trik yang digunakan oleh pembuat virus lokal untuk mengelabui korbannya menjalankan virus adalah dengan mengubah icon file virus menjadi icon yang tidak berbahaya, seperti icon folder, MS word atau icon JPEG. Tentunya pengguna komputer tidak akan ragu untuk mengklik file JPEG karena sampai saat ini belum ditemukan virus yang menyebar melalui file JPEG (apalagi kalau menjanjikan gambar BCL :P), kecuali virus yang mengeksploitasi celah keamanan GDI JPEG vulnerability. Tetapi, dengan trik mengubah icon virus (application) menjadi JPEG tentunya akan sukses mengelabui pengguna komputer, sekalipun komputernya sudah di patch teratur dan tidak memiliki kelemahan.
Salah satu “MKDU (Mata Kuliah Dasar Umum :P)” bagi virus lokal di tahun 2007 adalah infeksi otomatis melalui Flash Disk. Dan disini sekali lagi kreativitas pembuat virus terlihat karena mereka mampu memanfaatkan fitur yang ada (autorun) pada hardware lain (CD / DVD Rom) dan mengimplementasikannya pada virus di Flash Disk.
Seperti yang kita ketahui salah satu syarat agar virus tersebut dapat menyebar luas dan dapat berumur panjang adalah mempunyai ukuran yang kecil serta mempunyai kemampuan untuk dapat menyebar secara otomatis tanpa tergantung manusia itu sendiri, virus juga harus pandai mencari cara agar dirinya tetap aktif. Pada awal kemunculannya, virus lokal sangat tergantung manusia agar dirinya dapat aktif di komputer target, pada waktu itu virus tidak akan aktif jika file virus tersebut tidak dijalankan terlebih dahulu sehingga penyebaranya sangat lambat hal ini di dukung dengan teknik penyebarannya yang masih menggunakan Disket / Flash Disk [UFD]. Jika hal ini masih tetap dipertahankan lambat laun virus lokal akan hilang dari peredaran dunia maya apalagi saat ini user sudah semakin pintar dan sudah dapat membedakan antara file virus dan file bukan virus sehingga dengan mudah user akan menghapus file yang dianggap virus tersebut tanpa sempat menjalankan file virus tersebut. Untuk mengatasi hal tersebut diperlukan metode yang lebih “canggih” dan “efektif” agar virus tersebut dapat aktif secara otomatis tanpa harus menunggu agar user manjalankan file virus tersebut dan metode inilah yang sampai saat ini digunakan oleh kebanyakan virus lokal yang menyebar dan merupakan “MKDU” yang sudah menjadi SOP (Standard Operating Procedure) virus lokal. Metode ini sendiri sebenarnya sudah mulai dilakukan saat kemunculan virus W32/Aksika (4k51k4).
Script Autorun.inf/Desktop.ini/folder.httt
Kemudahan berbanding terbalik dengan keamanan, itulah salah satu hukum yang berlaku di dunia IT. Sadar atau tidak kemudahan yang diusung itu sendiri telah memberikan peluang program jahat untuk menyusup kedalam system komputer. Salah satu kemudahan tersebut adalah script Autorun yang digunakan untuk menjalankan suatu file secara otomatis saat user akses ke suatu Drive atau saat user menghubungkan removable disk atau saat user memasukan CD / DVD ke dalam CD / DVD ROM. Dan para programmer lokal menjadikan celah ini sebagai peluang agar virus mereka dapat menyebar lebih cepat dibandingkan sebelumnya dan sampai saat ini celah tersebut masih digunakan oleh virus agar dapat menyebarkan dirinya secara otomatis tanpa harus menungggu agar user menjalankan file virus tersebut secara manual. Cukup dengan mengakses ke Flash Disk tersebut atau mencolokkan UFD tersebut ke komputer, maka virus akan langsung menginfeksi.
Agar virus ini dapat aktif setiap saat biasanya sang pembuat virus akan membuat script disetiap Drive termasuk di media Disket/Flash Disk. Autorun.inf/desktop.ini atau Folder.htt adalah beberapa script MKDU yang biasanya akan dibuat oleh virus.
Script ini sendiri sebenarnya berisi sederetan perintah yang intinya adalah untuk menjalankan file virus itu sendiri dan biasanya file induk ini akan ditempatkan di folder/direktori yang sama, agar file tersebut tidak dicurigai oleh user maka script dan file induk tersebut akan di sembunyikan. W32/Askis, W32/VBWorm.ZL, VBWorm.MOS, W32/Aksika, W32/FaceCool atau W32/Solow adalah sederetan virus lokal yang akan mengunakan metode ini maka jangan heran jika mereka sukses menyebar dijagat maya tanpa mengandalkan email.
Berikut beberapa contoh script yang akan dibuat oleh virus lokal (lihat gambar 1) :
File Autorun.inf
[Autorun]
Read More..
Siapa bilang orang Indonesia kalah kreatif dengan bangsa asing ? Lihat saja peta penyebaran virus lokal di tahun 2006 dan 2007. Pembuat virus lokal tidak kalah produktif dengan virus mancanegara. Salah satu hal yang disayangkan adalah kreativitas ini justru muncul dalam hal pembuatan virus, carding dan hal-hal negatif lainnya. Padahal kalau kemampuan teknis yang dimiliki dipergunakan untuk tujuan yang baik akan memberikan manfaat yang sangat besar bagi perkembangan IT bangsa ini.
Kreativitas merupakan hal yang menonjol dari virus-virus lokal yang muncul. Kalau virus mancanegara ingin menginfeksi file JPEG, mereka harus cape-cape berusaha mengeksploitasi celah keamanan GDI JPEG vulnerability. Kelemahan virus yang mengeksploitasi celah keamanan adalah jika celah keamanan ini sudah ditutup akan membuat virus yang dibuat menjadi tidak mempan lagi. Lain dengan pembuat virus lokal yang tidak mengeksploitasi celah keamanan, tetapi mengeksploitasi manusianya (rekayasa sosial). Saat ini, vendor IT masih belum ditemukan patch untuk menambal celah keamanan pada manusia (iseng mengklik, ingin tahu dst). Sebagai gambaran, trik yang digunakan oleh pembuat virus lokal untuk mengelabui korbannya menjalankan virus adalah dengan mengubah icon file virus menjadi icon yang tidak berbahaya, seperti icon folder, MS word atau icon JPEG. Tentunya pengguna komputer tidak akan ragu untuk mengklik file JPEG karena sampai saat ini belum ditemukan virus yang menyebar melalui file JPEG (apalagi kalau menjanjikan gambar BCL :P), kecuali virus yang mengeksploitasi celah keamanan GDI JPEG vulnerability. Tetapi, dengan trik mengubah icon virus (application) menjadi JPEG tentunya akan sukses mengelabui pengguna komputer, sekalipun komputernya sudah di patch teratur dan tidak memiliki kelemahan.
Salah satu “MKDU (Mata Kuliah Dasar Umum :P)” bagi virus lokal di tahun 2007 adalah infeksi otomatis melalui Flash Disk. Dan disini sekali lagi kreativitas pembuat virus terlihat karena mereka mampu memanfaatkan fitur yang ada (autorun) pada hardware lain (CD / DVD Rom) dan mengimplementasikannya pada virus di Flash Disk.
Seperti yang kita ketahui salah satu syarat agar virus tersebut dapat menyebar luas dan dapat berumur panjang adalah mempunyai ukuran yang kecil serta mempunyai kemampuan untuk dapat menyebar secara otomatis tanpa tergantung manusia itu sendiri, virus juga harus pandai mencari cara agar dirinya tetap aktif. Pada awal kemunculannya, virus lokal sangat tergantung manusia agar dirinya dapat aktif di komputer target, pada waktu itu virus tidak akan aktif jika file virus tersebut tidak dijalankan terlebih dahulu sehingga penyebaranya sangat lambat hal ini di dukung dengan teknik penyebarannya yang masih menggunakan Disket / Flash Disk [UFD]. Jika hal ini masih tetap dipertahankan lambat laun virus lokal akan hilang dari peredaran dunia maya apalagi saat ini user sudah semakin pintar dan sudah dapat membedakan antara file virus dan file bukan virus sehingga dengan mudah user akan menghapus file yang dianggap virus tersebut tanpa sempat menjalankan file virus tersebut. Untuk mengatasi hal tersebut diperlukan metode yang lebih “canggih” dan “efektif” agar virus tersebut dapat aktif secara otomatis tanpa harus menunggu agar user manjalankan file virus tersebut dan metode inilah yang sampai saat ini digunakan oleh kebanyakan virus lokal yang menyebar dan merupakan “MKDU” yang sudah menjadi SOP (Standard Operating Procedure) virus lokal. Metode ini sendiri sebenarnya sudah mulai dilakukan saat kemunculan virus W32/Aksika (4k51k4).
Script Autorun.inf/Desktop.ini/folder.httt
Kemudahan berbanding terbalik dengan keamanan, itulah salah satu hukum yang berlaku di dunia IT. Sadar atau tidak kemudahan yang diusung itu sendiri telah memberikan peluang program jahat untuk menyusup kedalam system komputer. Salah satu kemudahan tersebut adalah script Autorun yang digunakan untuk menjalankan suatu file secara otomatis saat user akses ke suatu Drive atau saat user menghubungkan removable disk atau saat user memasukan CD / DVD ke dalam CD / DVD ROM. Dan para programmer lokal menjadikan celah ini sebagai peluang agar virus mereka dapat menyebar lebih cepat dibandingkan sebelumnya dan sampai saat ini celah tersebut masih digunakan oleh virus agar dapat menyebarkan dirinya secara otomatis tanpa harus menungggu agar user menjalankan file virus tersebut secara manual. Cukup dengan mengakses ke Flash Disk tersebut atau mencolokkan UFD tersebut ke komputer, maka virus akan langsung menginfeksi.
Agar virus ini dapat aktif setiap saat biasanya sang pembuat virus akan membuat script disetiap Drive termasuk di media Disket/Flash Disk. Autorun.inf/desktop.ini atau Folder.htt adalah beberapa script MKDU yang biasanya akan dibuat oleh virus.
Script ini sendiri sebenarnya berisi sederetan perintah yang intinya adalah untuk menjalankan file virus itu sendiri dan biasanya file induk ini akan ditempatkan di folder/direktori yang sama, agar file tersebut tidak dicurigai oleh user maka script dan file induk tersebut akan di sembunyikan. W32/Askis, W32/VBWorm.ZL, VBWorm.MOS, W32/Aksika, W32/FaceCool atau W32/Solow adalah sederetan virus lokal yang akan mengunakan metode ini maka jangan heran jika mereka sukses menyebar dijagat maya tanpa mengandalkan email.
Berikut beberapa contoh script yang akan dibuat oleh virus lokal (lihat gambar 1) :
File Autorun.inf
[Autorun]
Read More..
virus AVG
Worm:VBWorm.NOI (AVG Virus "Fake") 12 Juli 2007
Pembuat Virus ternyata fans Winnie The Pooh
Diskon adalah hal yang dinanti-nanti penggemar belanja, makin besar diskon yang diberikan maka makin banyak orang yang tertarik. Kalau saja kata diskon dapat menarik perhatian, apalagi kata Gratis !! Rupanya hal ini menjadi perhatian pembuat virus dan memunculkan idenya untuk memanfaatkan kebiasaan pengguna komputer untuk mendapatkan program gratisan. Dan celakanya, program gratisan yang menjadi korban adalah program antivirus yang cukup popular dikalangan pengguna komputer. AVG (Anti Viral Group … bukan singkatan dari Anti Virus Gratis) besutan Grisoft www.grisoft.com.
Seperti kita ketahui, di internet terdapat beberapa vendor antivirus yang memberikan programnya secara gratis kepada penggunanya (biasakan baca EULA – End User License Agreement sebelum menginstal software gratis supaya anda mengetahui ketentuan penggunaan software gratis) seperti Antivir, Avast, AVG dan bitdefender http://www.bitdefender.com.sg/PRODUCT-14-sg--BitDefender-8-Free-Edition.html. Tidak lupa pembuat virus ini memberikan pesan agar virus ciptaannya diberi nama Piglet (dengan gambar kartun yang agak seronok) yang malahan mengingatkan pada Winnie The Pooh.
Jika sebelumnya Kespo mulai menyebar dengan cepat serta sudah memakan ribuan korban dengan target utama file Office khususnya MS.Word dan MS.Excel dengan cara menginjeksi file tersebut hal ini diperparah dengan banyaknya vendor antivirus luar yang belum mampu untuk mengembalikan/repair file yang sudah terinfeksi tersebut bahkan cenderung untuk menghapus file yang sudah terinfeksi tersebut.
Kini anda harus kembali berhati-hati dengan satu virus yang sudah menyebar saat dengan ciri-ciri utama terdapat file dengan nama AVG 2007 disetiap Drive ternasuk di media Flash Disk. Sepintas file ini mirip dengan file installer antivirus AVG dengan icon yang sama persis dengan icon yang digunakan oleh antivirus AVG dengan ukuran file 101 KB. Rupanya si pembuat virus menggunakan rekayasa ini karena banyaknya para pengguna komputer yang menggunakan antivirus ini. Selain itu ciri lain yang dapat dikenali dari virus ini adalah adanya file dengan nama W32.Piglet II.jpg yang akan disimpan di Flash Disk, perhatikan gambar 1 dibawah ini:
Gambar 1, File induk VBWorm.NOI
Oleh karena itu Anda jika menjumpai file ini di komputer sebaiknya waspada, apalagi jika file ini berada di Flash Disk karena virus ini akan menyebar dengan menggunakan Flash Disk serta menginfeksi komputer otomatis melalui Flash Disk setiap kali Flash Disk tersebut dihubungkan ke komputer. Untuk menghindari infeksi otomatis melalui Flash Diks sebaiknya Anda matikan Autoplay/Autorun pada komputer, silahkan baca link berikut untuk menonaktifkan fiture ini.
http://www.vaksin.com/2007/0507/autoinfect.htm
Dengan update terbaru, Norman Virus Control sudah dapat mengenali virus ini dengan baik, perhatikan gambar 2 dibawah ini :
Gambar 2, Norman Virus Control mendeteksi virus Piglet II sebagai Worm:VBWorm.NOI
Jika file tersebut dijalankan maka akan membuat beberapa file induk yang akan dijalankan setiap kali komputer dinyalakan. Berikut beberapa file yang akan dibuat oleh VBWorm.NOI.
C:\msvbvm60.dll [Disetiap Drive]
C:\Desktop.ini [Disetiap Drive]
C:\AVG_update_2007.exe [Disetiap Drive]
C:\AVG 2007.exe [Disetiap Drive]
C:\Autorun.inf [Disetiap Drive]
C:\update (berisi file Folder.htt)
C:\Windows\msvbvm60.dll
C:\windows\Resources\system.scr
C:\windows\system32
notepad.scr
proposal.scr
Sebagai pendukung agar file tersebut dapat dijalankan, VBWorm.NOI akan membuat registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
EYORE = C:\WINDOWS\System32\Notepad.scr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
EYORE = C:\WINDOWS\System32\Notepad.scr
VBWorm.NOI juga akan aktif pada mode “safe mode” dengan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
EYORE = C:\WINDOWS\System32\Notepad.scr
Selain aktif pada mode “safe mode”, VBWorm.NOI juga akan aktif pada mode “safe mode with comand prompt” dengan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
AlternateShell = C:\WINDOWS\System32\Notepad.scr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
AlternateShell = C:\WINDOWS\System32\Notepad.scr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
AlternateShell = C:\WINDOWS\System32\Notepad.scr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Control\SafeBoot
AlternateShell = C:\WINDOWS\System32\Notepad.scr %1 %*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
AlternateShell = C:\WINDOWS\System32\Notepad.scr
Sebagai pertahanan ia akan mencoba untuk blok beberapa fungsi Windows seperti Task Manager/Regedit/CMD/MSConfig/Folder Options serta beberapa tools security dengan membaca caption text dari tools tersebut seperti ProceeXP atau Security Task Manager. Selain itu VBWorm.NOI ini juga akan menyembunyikan file C:\Windows.
Untuk melakukan hal tersebut ia akan membuat beberapa string pada registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoSetFolders
- NoSetTaskbar
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
MEngalihkan Program Tools Windows
Guna melindungi dirinya dari pembasmian, VBWorm.NOI juga akan mencoba blok tools windows seperti msconfig, regedit dan system restore dengan mengalihkan program tersebut ke program lain seperti gambar –gambar dibawah ini :
Jika menjalankan Regedit maka akan muncul program ClipBoard
Gambar 3, Program yang akan muncul jika menjalankan Regedit
Jika menjalankan MSconfig maka akan muncul program On-Screen Keyboard (lihat gambar 4)
Gambar 4, Program yang akan muncul jika menjalankan MSCOnfig
Jika menjalankan System Restore maka akan muncul program tourstart (lihat gambar 5)
Gambar 5, Program yang akan muncul jika menjalankan System Restore
Untuk melakukan hal tersebut ia akan membuat string berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe
debugger = C:\WINDOWS\System32\osk.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe
debugger = C:\WINDOWS\System32\clipbrd.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstui.exe
debugger = C:\WINDOWS\System32\tourstart.exe
VBWorm.NOI juga akan mencoba untuk menghilangkan beberapa opsi yang terdapat pada Folder Option seperti :
Do Not show hidden file and folder
Show hidden file and folders
Hide exstension for known file types
Hide protected operating system file (recommended)
dengan menghapus string TYPE string pada registry berikut (lihat gambar 6):
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
Gambar
Read More..
Pembuat Virus ternyata fans Winnie The Pooh
Diskon adalah hal yang dinanti-nanti penggemar belanja, makin besar diskon yang diberikan maka makin banyak orang yang tertarik. Kalau saja kata diskon dapat menarik perhatian, apalagi kata Gratis !! Rupanya hal ini menjadi perhatian pembuat virus dan memunculkan idenya untuk memanfaatkan kebiasaan pengguna komputer untuk mendapatkan program gratisan. Dan celakanya, program gratisan yang menjadi korban adalah program antivirus yang cukup popular dikalangan pengguna komputer. AVG (Anti Viral Group … bukan singkatan dari Anti Virus Gratis) besutan Grisoft www.grisoft.com.
Seperti kita ketahui, di internet terdapat beberapa vendor antivirus yang memberikan programnya secara gratis kepada penggunanya (biasakan baca EULA – End User License Agreement sebelum menginstal software gratis supaya anda mengetahui ketentuan penggunaan software gratis) seperti Antivir, Avast, AVG dan bitdefender http://www.bitdefender.com.sg/PRODUCT-14-sg--BitDefender-8-Free-Edition.html. Tidak lupa pembuat virus ini memberikan pesan agar virus ciptaannya diberi nama Piglet (dengan gambar kartun yang agak seronok) yang malahan mengingatkan pada Winnie The Pooh.
Jika sebelumnya Kespo mulai menyebar dengan cepat serta sudah memakan ribuan korban dengan target utama file Office khususnya MS.Word dan MS.Excel dengan cara menginjeksi file tersebut hal ini diperparah dengan banyaknya vendor antivirus luar yang belum mampu untuk mengembalikan/repair file yang sudah terinfeksi tersebut bahkan cenderung untuk menghapus file yang sudah terinfeksi tersebut.
Kini anda harus kembali berhati-hati dengan satu virus yang sudah menyebar saat dengan ciri-ciri utama terdapat file dengan nama AVG 2007 disetiap Drive ternasuk di media Flash Disk. Sepintas file ini mirip dengan file installer antivirus AVG dengan icon yang sama persis dengan icon yang digunakan oleh antivirus AVG dengan ukuran file 101 KB. Rupanya si pembuat virus menggunakan rekayasa ini karena banyaknya para pengguna komputer yang menggunakan antivirus ini. Selain itu ciri lain yang dapat dikenali dari virus ini adalah adanya file dengan nama W32.Piglet II.jpg yang akan disimpan di Flash Disk, perhatikan gambar 1 dibawah ini:
Gambar 1, File induk VBWorm.NOI
Oleh karena itu Anda jika menjumpai file ini di komputer sebaiknya waspada, apalagi jika file ini berada di Flash Disk karena virus ini akan menyebar dengan menggunakan Flash Disk serta menginfeksi komputer otomatis melalui Flash Disk setiap kali Flash Disk tersebut dihubungkan ke komputer. Untuk menghindari infeksi otomatis melalui Flash Diks sebaiknya Anda matikan Autoplay/Autorun pada komputer, silahkan baca link berikut untuk menonaktifkan fiture ini.
http://www.vaksin.com/2007/0507/autoinfect.htm
Dengan update terbaru, Norman Virus Control sudah dapat mengenali virus ini dengan baik, perhatikan gambar 2 dibawah ini :
Gambar 2, Norman Virus Control mendeteksi virus Piglet II sebagai Worm:VBWorm.NOI
Jika file tersebut dijalankan maka akan membuat beberapa file induk yang akan dijalankan setiap kali komputer dinyalakan. Berikut beberapa file yang akan dibuat oleh VBWorm.NOI.
C:\msvbvm60.dll [Disetiap Drive]
C:\Desktop.ini [Disetiap Drive]
C:\AVG_update_2007.exe [Disetiap Drive]
C:\AVG 2007.exe [Disetiap Drive]
C:\Autorun.inf [Disetiap Drive]
C:\update (berisi file Folder.htt)
C:\Windows\msvbvm60.dll
C:\windows\Resources\system.scr
C:\windows\system32
notepad.scr
proposal.scr
Sebagai pendukung agar file tersebut dapat dijalankan, VBWorm.NOI akan membuat registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
EYORE = C:\WINDOWS\System32\Notepad.scr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
EYORE = C:\WINDOWS\System32\Notepad.scr
VBWorm.NOI juga akan aktif pada mode “safe mode” dengan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
EYORE = C:\WINDOWS\System32\Notepad.scr
Selain aktif pada mode “safe mode”, VBWorm.NOI juga akan aktif pada mode “safe mode with comand prompt” dengan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
AlternateShell = C:\WINDOWS\System32\Notepad.scr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
AlternateShell = C:\WINDOWS\System32\Notepad.scr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
AlternateShell = C:\WINDOWS\System32\Notepad.scr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Control\SafeBoot
AlternateShell = C:\WINDOWS\System32\Notepad.scr %1 %*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
AlternateShell = C:\WINDOWS\System32\Notepad.scr
Sebagai pertahanan ia akan mencoba untuk blok beberapa fungsi Windows seperti Task Manager/Regedit/CMD/MSConfig/Folder Options serta beberapa tools security dengan membaca caption text dari tools tersebut seperti ProceeXP atau Security Task Manager. Selain itu VBWorm.NOI ini juga akan menyembunyikan file C:\Windows.
Untuk melakukan hal tersebut ia akan membuat beberapa string pada registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoSetFolders
- NoSetTaskbar
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
MEngalihkan Program Tools Windows
Guna melindungi dirinya dari pembasmian, VBWorm.NOI juga akan mencoba blok tools windows seperti msconfig, regedit dan system restore dengan mengalihkan program tersebut ke program lain seperti gambar –gambar dibawah ini :
Jika menjalankan Regedit maka akan muncul program ClipBoard
Gambar 3, Program yang akan muncul jika menjalankan Regedit
Jika menjalankan MSconfig maka akan muncul program On-Screen Keyboard (lihat gambar 4)
Gambar 4, Program yang akan muncul jika menjalankan MSCOnfig
Jika menjalankan System Restore maka akan muncul program tourstart (lihat gambar 5)
Gambar 5, Program yang akan muncul jika menjalankan System Restore
Untuk melakukan hal tersebut ia akan membuat string berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe
debugger = C:\WINDOWS\System32\osk.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe
debugger = C:\WINDOWS\System32\clipbrd.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstui.exe
debugger = C:\WINDOWS\System32\tourstart.exe
VBWorm.NOI juga akan mencoba untuk menghilangkan beberapa opsi yang terdapat pada Folder Option seperti :
Do Not show hidden file and folder
Show hidden file and folders
Hide exstension for known file types
Hide protected operating system file (recommended)
dengan menghapus string TYPE string pada registry berikut (lihat gambar 6):
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
Gambar
Read More..
Langganan:
Postingan (Atom)
