http://vaksin.com/2007/0807/tukul.htm

W32/VBWorm.NEE           15 Agustus 2007

Tukul lebih top dariBrad Pitt ??

Penyebaran viruslokal semakin hari semakain cepat dengan aksi yang beragam, walaupun mediapenyebarannya masih menggunakan Flash Disk tetapi cukup mampu menyebar denganluas apalagi disertai dengan trik rekayasa sosial  yang semakin beragamdan terkadang menggunakan nama idola dari si pembuat virus itu sendiri sehinggalebih mudah untuk mengelabui user. Sudah banyak contoh virus yang menggunakanrekayasa ini sebut saja virus Coolface dimana sang pembuat virus menggaet nama "Artika Sari Devi" atau virus Runitis yang membawanama "Siti Nurhaliza" dan kini giliran Tukul Arwana yang dijadikan maskot virus VBWorm.NEE, walaupun wajah sang pelawak ini tidakdimunculkan tetapi guyonan khas tukul Arwana yang diambil dan dijaduikan maskotpada virus ini "KEMBALI KE LAPTOP", dan disinyalir kemungkinan virus iniberasal dari kota Pahlawan (red. Surabaya). Mengapa bukan BradPitt yang dijadikan obyek melainkan Tukul ? Kemungkinan karena Tukul lebih topdaripada Brad Pitt di kalangan orang Indonesia :P.

Lagi-lagi VBmenjadi pilihan yang digunakan oleh sang VM, tak terkecuali dengan virusVBWorm.NEE ini dengan ukuran sebesar 56 KB  dan  kali ini bukan iconFolder atau MS.Word yang akan di gunakan oleh VBWorm.NEE melainkan menggunakanicon "Video Media Player" dengan ekstensi ganda yakni .DOC .EXE[ekstensi EXE akan di sembunyikan], perhatikan gambar dibawah 1 ini:

Gambar 1 File induk VBWorm.NEE

Dengan updateterakhir Norman Virus Control sudah dapat mengenali virus ini sebagaiVBWorm.NEE(lihat gambar 2)

Gambar 2Norman Virus Control mendeteksi virus Tukul sebagai W32/VBWorm.NEE

Pada saat virusini pertama kali menginfeksi komputer target, VBWorm.NEE maka akan memunculsebuah program MS.Word dengan sederetan puisi dengan judul "Setia Hingga AkhirMasa", setelah itu VBWorm.NEE juga akan memunculkan beberapa program InternetExplorer yang berisi pesan sang VM, pehatikan gambar 3 dan 4 dibawah ini:

Gambar 3 Puisi yang dibuat sang VM

Gambar 4 Kembali ke Laptop

Sebagaipertahanan dan agar dirinya dapat aktif setiap kali komputer dinyalakan, ia akan membuat beberapa file induk berikut :

• C:\Windows\SPOOL32.exe
• C:\WINDOWS\system32\winword.exe
• C:\Windows\config\system32.exe
• C:\WIndows\system32\ArekSuroboyo.html
• C:\Documents and Settings\%user login%
• [System Process]BabII.doc .exe
• [System Process]Fileku.doc .exe
• [System Process]Jangan di buka .doc.exe
• [System Process]Tolong.doc .exe
• [System Process]Data.doc .exe
• [System Process]Desposisi.doc .exe
• [System Process]Empat Mata.doc .exe
• [System Process]Benci.doc .exe

Pada saatkomputer dinyalakan, VBWorm.NEE akan mecoba untuk menjalankan 2 file indukyakni SPOOL32.exe dan WINWORD.exe dengan terlebih dahulu membuat string dibawahini:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

-       Printer Cpl =C:\WINDOWS\SPOOL32.EXE

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

-      Microsoft Word =C:\WINDOWS\system32\WINWORD.EXE

Sudah menjaditradisi, bahwa setiap virus lokal akan mencoba untuk blok beberapa fungsiWindows dengan tujuan agar dirinya tidak mudah di hentikan, berikut beberapafungsi  Windows yang akan di blok :

-      Disable Registry Editor

-      Disable Task Manager

-      Disable Folder Option

-      Dsiable Run

-      Disable Search

-      Disable klik kananDesktop

-      Disable klik kanan TaskBar

-      Disable Shutdown

-      Disable CMD

Untuk melakukanhal ini ia akan membuat beberapa string registri dibawah ini :

-      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

o  NoClose

o  NoFInd

o  NoFolderOptions

o  NoRun

o  NoTrayContextMenu

o  NoViewContextMenu

o  NoWinLeys

-      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

o  DisableRegistryTools

-      HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System

o  DisableCMD

-      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

o  DisableMSI

o  NoClose

o  NoFolderOptions

o  NoViewContextMenu

o  NoWinKeys

-      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command

o  Default = cmd.exe /c del"%1"

Sebenarnya masihbanyak lagi fungsi Windows yang akan diblok oleh VBWorm.NEE seperti SystemRestore,Disable Windows Installer [MSI] atau Disable Desktop,tetapi hal ini tidak berhasil karena terdapat beberap "bug" pada string yangdibuat .

Selain disablefungsi Windows diatas, VBWorm.NEE juga akan mencoba untuk menyembunyikanekstensi EXE dari suatu file Application dengan membuat string pada registryberikut :(lihat gambar 5)

-      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

o   NeverShowExt[menyembunyikan ext. exe]

-      HKEY_CLASSES_ROOT\exefile

o  NeverShowExt[menyembunyikan ext. exe]

Gambar 5 VBWorm.NEE menyembunyikan ekstensi EXEsupaya virus tidakterdeteksi dengan mata telanjang

Kopi file  virus disetiap folder / subfolder

Sebagai penutupVBWorm.NEE akan mencoba untuk mengkopi dirinya sendirike setiap folder/subfolder yang di akses dengan nama file acak dengan ciri-ciri: (lihatgambar 6)

-      Ukuran 56 KB

-      Ekstensi .DOC .EXE

-      Type file Application

-      Icon Video Media Player

Gambar 6 Contoh file yang akan di kopi oleh VBWorm.NEE

Berikut beberapafile yang akan di kopidisetiap folder/subfolder:

-      Bab11.doc .exe

-      Desposisi.doc .exe

-      Fileku.doc .exe

-      Tolong.doc .exe

-      Siapa.doc .exe

-      Data.doc .exe

-      Jangan di buka.doc .exe

-      Empat mata.doc exe

-      Cerita.doc .exe

-      Benci.doc .exe

Cara mengatasi VBWorm.NEE

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan [jika terhubung ke LAN]
2. Matikan proses virus, silahkan gunakan tools currprocess http://www.nirsoft.net/utils/cprocess.html, kemudian matikan proses yang mepunyai gambar "Video Media Player", contohnya : (lihat gambar 7)

1. Spool32.exe
2. Winword.exe

Gambar 7 Mematikan proses VBWorm.NEE

3. Hapus string registry yang dibuat oleh virus, untuk mempercepat proses penghapusan registry tersebut salin script dibawah ini pada notepad kemudian simpan dengan nama "repair.vbs" setelah itu  jalankan file tersebut  kemudian logoff komputer.

Dim oWSH: Set oWSH = CreateObject("WScript.Shell")

on error resume Next

oWSH.Regwrite"HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1""%*"

oWSH.Regwrite"HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1""%*"

oWSH.Regwrite"HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1""%*"

oWSH.Regwrite"HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1""%*"

oWSH.Regwrite"HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command\","""%1""/S"

oWSH.Regwrite"HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command\","regedit.exe%1"

oWSH.Regwrite"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell","Explorer.exe"

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MicrosoftWord")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\PrinterCpl")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT\SystemRestore\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\DisableMSI")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\LimitSystemRestoreCheckpointing")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoWinLeys")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCLose")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Nofind")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisableMSI")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoWinLeys")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NOLogoff")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoWinKeys")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoWinKeys")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogoff")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispApprearancePage")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCpl")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispSettingsPage")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoScrSavPage")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\NeverShowExt")

oWSH.RegDelete("HKEY_CLASSES_ROOT\exefile\NeverShowExt")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\policies\Microsoft\system\DisableCMD")

4. Jika menggunakan Windows ME/XP, disable "System Restore" untuk sementara selama proses pembersihan berlangsung.
5. Hapus file induk dan file copy VBWorm.NEE yang dibuat oleh virus dengan terlebih dahulu menampilkan file/folder yang disembunyikan (gunakan folder option untuk menampilkan file/folder yang disembunyikan), dengan ciri-ciri:

• Ukuran 56 KB
• Ekstensi .DOC .EXE
• Type file Application

·                    Icon Video Media Player

§ C:\Windows\SPOOL32.exe

§ C:\WINDOWS\system32\winword.exe

§ C:\Documents andSettings\%user login%

·        [SystemProcess]BabII.doc .exe

·        [SystemProcess]Fileku.doc .exe

·        [System Process]Jangandi buka .doc.exe

·        [SystemProcess]Tolong.doc .exe

·        [System Process]data.doc.exe

·        [System Process]Desposisi.doc.exe

·        [System Process]EmpatMata.doc .exe

·        [SystemProcess]benci.doc .exe

·        fileku.doc.exe [acak]

·        SystemData.doc .exe[acak]

·        SystemTolong.doc [acak]

·        sYSTEMbENCI.doc.exe[acak]

·        C:\Windows\config\system32.exe

·        C:\WIndows\system32\ArekSuroboyo.html

Untuk mempercepat proses penghapusan virus tersebut, gunakan tools SearchWindows, dengan setting berikut:

·        All or part of the filename, isi dengan *.EXE

·        Look in, isi denganDrive yang Anda miliki

·        What size it is? Pilih Specifysize (in KB)

o  At Most

o  57 KB

·        More Advanced options,pilih

o  Type of file : (All Fileand Folders)

o  Search System folders

o  Search  hiddenfiles and folders

o  Search sub folders

6. Untuk pembersihan optimal dan mencegah infeksi ulang, lindungi komputer anda dengan Norman Virus Control up-to-date yang dapat mengenali dan membasmi virus ini.

MERDEKA !!!

Aj Tau (Adang Juhar Taufik)

info@...

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 6851