Having problems with message search?
W32/Delf.ZFA
(ZulAnick) 25
Juli 2007
Kespo Part II, sekarang MSWord jadi BMP
Pembuat virus kelihatannya meniru JK Rowling, gemar membuat
serial yang lebih seru dari setiap buku yang diterbitkannya. Setelah Kespo yang
sukses menyebar dan merepotkan semua orang marena menginjeksi dan merubah file
DOC / .XLS menjadi .EXE, kini muncul variannya Delf.ZFA atau lebih dikenal
dengan nama ZulAnick. Kalau virus Kespo merubah file data korbannya menjadi
.EXE, maka ZulAnick ini ibarat penjahit celana jeans di Grogol, file-file
MSWord, Excel, MP3 dipermak menjadi .BMP (bitmap). Celakanya, vendor antivirus
hanya mampu mendeteksi dan membersihkan virus yang menginfeksi file dan file
(data) yang telah dibersihkan dari virus tetap tidak mau kembali ke jalan yang
benar (tidak dapat diakses) karena sudah dipermak menjadi .BMP. Tentunya
korbannya akan nangis Bombay (mungkin maksudnya nangis karena matanya kena
bawang Bombay :P). Tetapi jangan khawatir, anda tidak perlu ke India untuk
mengatasi masalah ini. Ada programmer Visual Basic lokal dari Yogyakarta yang
baik hati dan membuatkan tools untuk mengembalikan data yang dipermak oleh
ZulAnick. Dan kabar baiknya, tools ini ampuh dan gratis.
Rasanya baru kemarin kita dilanda
kesengsaraan akibat ulah kespo, dimana semua data baik MS.Word maupun MS.Excel
akan di injeksi/infeksi sehingga terkadang antivirus vendor akan menghapus file
tersebut dan tidak berdaya untuk repair file yang sudah terinfeksi virus Kespo
tersebut. Bak perlombaan, para programer lokal juga berlomba untuk membuat tools
untuk menghajar sang Kespo, seiring dengan berjalannya waktu kini sudah banyak
bermunculan removal tools untuk mengembalikan file
yang diinjeksi Kespo tersebut,
antara lain :
- Husni
dengan DOC/XLS Remover nya (Gratis) http://adilmakmur.wordpress.com/2007/05/25/doc-xls-recover/
- Ahlul
dengan EXE 2 DOC nya (Gratis) http://www.ahlul.web.id/download/kespo/
- PCMAV
dikeluarkan oleh majalah PC Media dan diberikan di dalam DVD jika anda
membeli majalah PC Media.
- Yayat
dengan YAV (Yayat Anti Virus) Gratis. Yayat adalah
seorang programmer VB yang bekerja di internet café Chanal – Yogyakarta www.chanal.biz. Untuk mendownload tools
YAV terbaru, Vaksincom sudah mengupload file tersebut di http://vaksin.com/removal.htm.
PENTING !!!
Sekalipun Vaksincom mempercayai itikad baik dari
para pembuat tools untuk saling membantu para korban Kespo, namun anda
menggunakan tools yang kami informasikan ini dengan resiko anda sendiri.
PT. Vaksincom tidak bertanggungjawab atas
kerugian yang timbul baik langsung maupun tidak langsung atas penggunaan tools
ini. Guna mencegah kerugian karena infeksi virus atau hal lain, PT. Vaksincom
menyarankan para pengguna komputer untuk selalu memback-up data pentingnya
secara teratur dengan baik dan benar.
Jika anda ragu dan belum tahu cara yang benar
dan tepat untuk membersihkan virus yang menginfeksi komputer anda, harap
hubungi vendor antivirus anda untuk mendapatkan bantuan support.
Setelah Kespo A-C yang merubah file DOC /XLS menjadi .EXE,
kini muncul varian lain yang merubah data korbannya menjadi BMP (Bitmap).
Bitmap adalah format gambar Windows yang digunakan oleh Microsoft. Jika virus
lokal lain “hobi” menggunakan Visual Basic, maka virus yang baru ini yang lebih
dikenal dengan nama ZulAnick (terdeteksi oleh Norman Virus Control sebagai
W32/Delf.ZFA) ini menggunakan bahasa pemrograman Delphi. Pada
dasarnya Delf.ZFA tidak
menginfeksi tetapi hanya mengenkrip
dan merubah ekstensi file target tersebut.
Hal lain yang membedakan
antara Kespo dengan ZulAnick adalah,
dimana untuk Kespo hanya akan menyerang data MS.Word/MS.Excel
dan file DataBase [DBF] tetapi hanya terbatas di
media Flash Disk, selain itu Kespo langsung bereaksi dengan menginfeksi
dan merubah ekstensi file tersebut pada saat Kespo menginfeksi komputer
target. Sedangkan ZulAnick
akan menyerang tidak hanya di Flash Disk saja, tetapi juga
di Harddisk. Dan file yang diserang adalah DOC/XLS/MP3. Delf.ZFA
tidak menjalankan dirinya sebagai service Windows, selain itu Delf.ZFA
tidak akan langsung merubah file target ketika dirinya menginfeksi komputer
target, untuk merubah ekstensi file tersebut ia akan menggunakan timer yang
akan di eksekusi pada waktu yang sudah ditentukan.
Seperti pada Kespo
yang menggunakan Bahasa Delphi, Delf.ZFA
memiliki ukuran sekitar
430 KB dan akan menggunakan icon Folder, perhatikan gambar 1
diawah ini:
Gambar 1 Icon
file yang sudah terinfeksi Trojan:W32/Delf.ZFA
Dengan update terakhir Norman Virus Control
sudah dapat mengenali virus ini sebagai Trojan:W32/Delf.ZFA.
(Lihat gambar 2)
Gambar2 Norman mendeteksi virus
ZulAnick sebagai Trojan:W32/Delf.ZFA
Ketika virus ini menginfeksi komputer target
ia akan berupaya untuk mempertahankan dirinya dengan membuat beberapa file
induk [acak] yang akan di jalankan setiap kali komputer dinyalakan. File induk yang
akan dibuat biasanya berada di direktori berikut:
- C:\Windows\%nama
file%.SCR
[Contohnya:
C:\Windows\UVdSdGFXNXBjM1J5WVhSdmNnQT0=.scr]
- C:\Windows\System32\%nama
file%.com
[Contohnya :
C:\Windows\System32\QWRtaW5pc3RyYXRvcgA=.com]
- C:\Documents
and Settings\%user%\Local Settings\Temp\%nama file%.bat
- C:\Documents
and Settings\%user%\Local Settings\Temp\VWxkNE1tRlhOV2hCUVQwOQ==.bat
- C:\Documents
and Settings\%user% \Start Menu\Programs
- Cintaku
kandas ditengah jalan.lnk
- C:\Documents
and Settings\Elvina\My Documents
- My
My Pictures.exe
- My Music.exe
- My Videos.exe
Agar dirinya dapat aktif secara otomatis
setiap kali komputer di nyalakan/restart maka ia akan membuat beberapa string
registry berikut:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Zul_Cinta_Anick
= C:\WINDOWS\system32\QWRtaW5pc3RyYXRvcgA=.com
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Run
- Cintaku
= C:\WINDOWS\UVdSdGFXNXBjM1J5WVhSdmNnQT0=.sc
- C:\DOCUME~1\Elvina\LOCALS~1\Temp\VWxkNE1tRlhOV2hCUVQwOQ==.bat
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
- Explorer.exe
= C:\WINDOWS\Uld4MmFXNWhBQT09.scr
- HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Shell
- Explorer.exe =
C:\DOCUME~1\[user]\LOCALS~1\Temp\[random].bat
Sudah pasti ia juga akan blok fungsi Windows
maupun software lainnya yang sekiranya dapat menghentikan penyebarannya sebut
saja, task manager, date and time properties [tidak dapat merubah tanggal
dan jam pada system komputer], Disk defragment, Folder Option dengan
menghilangkan opsi Show hidden file and folder merubah value “Hide extensions
for known file types dan “ Hide Protected Operating System (recommended) dan
tools HijackThis maupun
Tune Up Registry Editor. (lihat gambar 3)
Gambar3 W32/Delf.ZFA
memanipulasi
Folder Options
Untuk melakukan hal tersebut, ia akan membaca
setiap caption yang mempunyai nama diatas serta membuat beberapa string pada registry
berikut:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableTaskMgr
- HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
- DisableCMD
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
Hidden\SHOWALL - type
= ""
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
SuperHidden - UncheckedValue
= 1
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- ShowSuperHidden
= 1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
- Bitmap
=
hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,
00,65,00,6d,00,33,00,32,00,5c,00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,
2c,00,34,00,00,00 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
- Bitmap
= hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,
00,65,00,6d,00,33,00,32,00,5c,00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,
2c,00,34,00,00,00 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- Hidden
= 2
- HideFileExt
= 1
- ShowSuperHidden
= 0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
HideFileExt\ - UncheckedValue
= 1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
Hidden\SHOWALL\ - CheckedValue =
0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
SuperHidden - UncheckedValue
= 1
Tidak Cuma itu saja, W32/Delf.ZFA juga akan
merubah “Type File” yang mempunyai ekstensi BATdan COM dengan membuat string
berikut : (lihat gambar 4 dan gambar 5)
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile
- Default
= kabatia
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile
- Default
= Demi Allah Zul cinta kamu Anick
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"Default"
= "File Folder"
- Default
= File Folder
Gambar 4 Delf.ZFA merubah type file *.com
dari “MS-DOS Application” menjadi “Demi Allah Zul cinta kamu Anick
Gambar 5 Delf.ZFA merubah type file *.bat
dari “MS-DOS Batch File” menjadi “Kabitia”
Menyembunyikan file/folder dan membuat file
duplikat
Sebagai upaya untuk mengelabui user,
W32/Delf.ZFA akan menyembunyikan file/folder yang dijumpai disetiap Root Drive
dan membuat file duplikat sesuai dengan folder yang disembunyikan dengan
ciri-ciri:
- Mempunyai
ukuran 430 KB
- Menggunakan
icon Folder
- Mempunyai
ekstensi EXE (lihat gambar 6)
Gambar 6 Delf.ZFA membuat file duplikat untuk
mengelabui user
Rahasia jahat yang terselubung dari Delf.ZFA
Sebaiknya anda berhati-hati, jika komputer
terinfeksi virus ini sebaiknya secepatnya bersihkan dan jangan lupa untuk
backup data. Anda tentu masih ingat dengan kasus Kespo yang sampai saat ini
masih bergentayangan, yang cukup merepotkan adalah dimana data DOC/XLS
akan di injeksi dan diubah menjadi EXE, virus ini masih tergolong baik karena
walaupun file tersebut sudah diubah menjadi EXE tetapi masih dapat di jalankan
bahkan di hapus/edit isi dari dokumen tersebut.
Bom Waktu
Pada awal pengetesan, penulis sempat terkecoh
karena Delf.ZFA tidak melakukan perubahan yang berarti pada dokumen, ternyata
anggapan itu salah karena di dalam tubuh Delf.ZFA tersimpan bom waktu yang siap
setiap saat meledak dan menghancurkan file anda dengan cara mengenkrip
semua file [bukan hanya
DOC/XLS saja] yang di jumpai dan merubah
ekstensi file tersebut menjadi BMP. Untungnya, pembuat
virus ini masih tergolong tidak jahat seperti Kamasutra yang menghancurkan file
komputer korbannya. ZulAnick hanya menginjeksi file dan merubah menjadi .BMP,
dengan tools yang tepat, file tersebut masih dapat dikembalikan. Jangan hapus
data anda jika anda terinfeksi ZulAnick karena data tersebut masih dapat
dikembalikan.
Berbeda dengan Kespo, dimana jika komputer
target terinfeksi virus Kespo maka secara otomatis akan menginjeksi file
DOC/XLS yang berada di Flash Disk. Tetapi untuk virus Delf.ZFA tidak akan langsung
melakukan reaksi tersebut, anda tentu masih ingat dengan kasus W32/Rontokbro.EQ
dimana virus ini pada tanggal yang sudah ditentukan maka ia akan menghancurkan
semua file/folder/subfolder
yang dijumpai sehingga begitu komputer anda booting maka akan muncul pesan
bahwa file NTLDR Missing dengan demikian format/install ulang adalah cara
terakhir yang harus dilakukan, begitupun dengan Delf.ZFA ini yang akan
menggunakan TIMER [waktu] untuk merubah dan meng-enkrip semua file yang
dijumpai dan merubah ekstensi dari
file tersebut menjadi BMP sehingga file tersebut tidak dapat dibuka, perhatikan
gambar 7 dan 8 dibawah ini:
Gambar 7 Delf.ZFA merubah file MP3
dan MS Word / Excel menjadi BMP,
tampilan View-Detail
Gambar 8 Delf.ZFA merubah file manjadi BMP
tampilan View-Thumbnai)
Kabar baiknya virus ini hanya aktif pada mode
Normal saja sehinga relatif mudah untuk dibersihkan dan sebagai jembatan penyebarannya
ia masih menggunakan media Flash Disk/Disket dengan menyembunyikan file/folder
yang ada pada Root Flash Disk tersebut seta membuat file duplikat di dalam
Flash Disk tersebut sesuai dengan nama folder yang disembunyikan.
Kabar buruknya, virus ini masih belum terdeteksi oleh
bnayak antivirus dan korbannya sampai saat ini menurut catatan Vaksincom sudah
mencapai ribuan komputer diseluruh Indonesia.
Cara membersihkan Trojan:W32/Delf.ZFA
- Jika
menggunakan Windows ME/XP matikan “System restore” selama proses
pembersihan
- Lakukan
pembersihan virus pada mode “safe mode”
- Hapus
string registry yang sudah dibuat oleh Delf.ZFA, untuk mempercepat proses
pemberihan silahkan salin skrip dibawah
ini pada program “Notepad” kemudian simpan dengan nama “repair.inf”,
jalankan file teresebut dengan cara:
- Klik
kanan repair.inf
- Klik
Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
- ZulAnick
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1""
%*"
HKLM,
Software\CLASSES\comfile\shell\open\command,,,"""%1""
%*"
HKLM,
Software\CLASSES\exefile\shell\open\command,,,"""%1""
%*"
HKLM,
Software\CLASSES\piffile\shell\open\command,,,"""%1""
%*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe
"%1""
HKLM,
Software\CLASSES\scrfile\shell\open\command,,,"""%1""
%*"
HKLM, SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot,
AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot,
AlternateShell,0, "cmd.exe"
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0,
"cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,
UncheckedValue,0x00010001,1
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,
UncheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
Type,0,"radio"
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder, Bitmap,0,
"C:\WINDOWS\SYSTEM32\SHELL32.DLL,4"
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden,
Bitmap,0, "%SystemRoot%\system32\SHELL32.dll,4"
HKLM, SOFTWARE\Classes\comfile,,,
"MS-DOS Application"
HKLM, SOFTWARE\Classes\batfile,,,
"MS-DOS batch file"
HKCU,
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,hidden,0x00010001,1
HKCU,
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,HideFileExt,0x00010001,0
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
CheckedValue,0x00010001,1
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU,
Software\Policies\Microsoft\Windows\System, DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon, explorer.exe
HKCU,
Software\Microsoft\Windows\CurrentVersion\Run, Zul_Cinta_Anick
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Cintaku
HKLM, SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\Msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM, SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Run
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System
- Hapus
file induk dan file duplikat yang dibuta oleh virus, dengan terlebih
dahulu menempilkan semua file/folder yang disembunyikan [gunakan
Folder Options] untuk menampilkan file/folder yang disembunyikan.
(lihat gambar 9)
Gambar 9 Menampilkan
file / folder yang disembunyikan
Untuk mempercepat proses pencarian dan
pembersihan, sebaiknya gunakan fungsi Search Windows.
Jangan lupa untuk menghapus file link
berikut:
- C:\Documents
and Settings\%user% \Start Menu\Programs
- Cintaku
kandas ditengah jalan.lnk
- Tampilkan
kembali file/folder yang sudah disembunyikan oleh Delf.ZFA dengan menggunakan
perintah ATTRIB –s –h /s /d pada DOS PROMPT dengan memastikan
posisi kursor berada di setiap Root Drive yang akan di periksa, perhatikan
contoh dibawah ini : (lihat gambar
10)
Gambar 10 (menampilkan file/folder yang
disembunyikan)
- Untuk
pembersihan optimal dan mencegah infeksi ulang, lindungi
komputer anda dengan Norman Virus Control yang sudah dapat mendeteksi virus
ini.
- Untuk
repair file yang sudah di enkrip dan diubah ekstensi nya menjadi BMP, anda
dapat menggunakan tools yang dibuat oleh Mas Yayat [BMP 2 DOC Recovery],
silahkan download di alamat http://vaksin.com/removal.htm
Tools ini dapat mengembalikan/repair semua
file yang sudah di ubah menjadi BMP ke file semua, untuk versi awalnya BMP 2
DOC Recovery hanya dapat merepair file BMP tersebut per file [masih belum ada
fasilitas untuk search dan repair per Drive/Folder]. Perhatikan gambar 11
dibawah
ini:
Gambar11 Menjalankan
tools BMP 2 DOC
PT. Vaksincom mengucapkan terimakasih dan penghargaan kepada
saudara Yayat atas kerelaannya mengorbankan waktu dan tenaga membuatkan tools
ini.
Salam,
Aj Tau
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 345 6850
Fx : 021 345 6851
Offline 
Send Email