Having problems with message search?
W32/Smallworm.BZH 6 Agustus 2008
Coolface the MP3 Slayer
Kalau Amerika punya Buffy the Vampire Slayer, maka Indonesia punya Coolface the MP3 Slayer. Kalau Buffy membasmi vampir, maka varian Coolface membasmi file MP3. Kalau Buffy di musuhi oleh kaum vampir maka Coolface dimusuhi oleh manusia. Uniknya walaupun Coolface dimusuhi oleh manusia, kaum vampirpun (kalau ada) juga akan napsu sama Coolface (memusuhi), khususnya vampir yang punya banyak koleksi MP3 di komputernya dan baru terinfeksi virus Coolface.
Bagi
anda yang senang dengan musik khususnya untuk file dengan format MP3,
sebaiknya mulai berhati-hati karena saat ini sedang muncul program
pelacak MP3 yang akan menyita file MP3 anda tanpa pandang bulu dalam
arti ia tidak akan memperdulikan apakah MP3 anda original ataupun
bajakan, yang pasti semua MP3 akan di hapus dan digantikan dengan
duplikat dirinya, agar user tidak curiga ia akan tetap menggunakan
icon Windows Media Player.
File ini dibuat dengan bahasa C++ dan merupakan turunan dari Mr.Coolface dengan ukuran file sebesar 64 KB. File tersebut mempunyai ekstensi Exe (application) dengan menggunakan icon Windows Media Player.
Secara sepintas kita tidak akan tahu bahwa komputer telah terinfeksi virus ini karena ia tidak akan banyak melakukan blok terhadap fungsi Windows / tools security akan tetapi akan mebawa dampak yang cukup merepotkan karena semua file dengan format MP3, .INF dan VBS akan dihapus.
Dengan update terbaru (01/07/2008), Norman Virus Control telah mendeteksi virus ini sebagai W32/Smallworm.BZH. (lihat gambar 1)
Gambar 1, Norman Security Suite mendeteksi MP3 Eater sebagai W32/Smallworm.BZH
MP3 slayer juga akan memalsukan iconnya sebagai file Windows Media Player (lihat gambar 2)
Gambar 2, File duplikat Smallworm.BZH
Pada saat virus tersebut menginfeksi komputer, ia akan membuat beebrapa file induk yang akan dijalankan pertama kali pada saat komputer dinyalakan dan kali ini ia akan membuat dirinya sebagai sebuah service
-
C:\Windows\svchost.exe
Agar file tersebut dapat aktif setiap kali komputer dhidupkan, ia akan membuat dirinya sebagai sebuah service dengan nama "Shell Software Detection" dimana service ini akan secara otomatis menjalankan file C:\Windows\svchost.exe.
Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:
-
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Mr_CoolFace
-
DisplayName = Shell Software Detection
-
ImagePath = C:\Windows\svchost.exe
-
ErrorControl = 0 (Reg_Dword)
-
ObjectName = Localsystem
-
Start = 2 (Reg_Dword)
-
Type = 0x00000110 (110) ïƒ Reg_Dword
-
-
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mr_CoolFace
-
DisplayName = Shell Software Detection
-
ImagePath = C:\Windows\svchost.exe
-
ErrorControl = 0 (Reg_Dword)
-
ObjectName = Localsystem
-
Start = 2 (Reg_Dword)
-
Type = 0x00000110 (110) ïƒ Reg_Dword
-
Walaupun virus ini tidak melakukan blok terhadap fungsi Windows seperti task manager / regedit / folder options dll, tetapi ia akan mencoba untuk blok akses "services.msc". (lihat gambar 3) Tentunya aksi yang agak berbeda ini bertujuan untuk mengelabui korbannya agar sulit menemukan dan membersihkan komputer yang terinfeksi oleh virus ini.
Gambar
3, Smallworm menyaru sebegai service windows.
Hapus file .MP3/.INF/.VBS
Sasaran utama dari vrius ini adalah file yang mempunyai format MP3 / .INF / .VBS dimana ia akan mencoba untuk menghapus file tersebut dan sebagai gantinya ia akan membuat file duplikat sesuai dengan file yang dihapus dengan ciri-ciri:
-
Menggunakan icon "Windows Media Player"
-
Ukuran 64 KB
-
Ekstensi EXE
-
Type File "Application"
Media penyebaran
Untuk menyebarkan dirinya ia akan menggunakan Media Flash Disk dengan menghapus file yang mempunyai ekstensi MP3 / INF dan VBS serta membuat file duplikat sesuai dengan nama file yang disembunyikan. File duplikat tersebut mempunyai ciri-ciri seperti yang telah disebutkan di atas.
Cara mengatasi Smallrorm.BZH
-
Putuskan hubungan komputer yang akan dibersihkan dari jaringan
-
Matikan "System Restore" selama proses pembersihan
-
Matikan proses virus yang aktif dimemori. Untuk mematikan proses virus tersebut Anda dapat menggunakan tools "Process Explorer" (lihat gambar 4). Silahkan download di www.sysinternals.com
Gambar 4, Mematikan proses virus
-
Hapus string registry yang dibuat oleh virus. Untuk mempermudah proses penghapusan, silahkan salin script dibawah ini pada rogram notepad, kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:
-
Klik kanan repair.inf
-
Klik install
-
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0,
"cmd.exe"
[del]
HKLM, SYSTEM\ControlSet001\Services\Mr_CoolFace
HKLM, SYSTEM\ControlSet002\Services\Mr_CoolFace
HKLM, SYSTEM\CurrentControlSet\Services\Mr_CoolFace
-
Hapus file induk dan file virus yang dibuat oleh virus. Untuk mempermudah proses penghapusan, silahkan gunakan "Search Windows".
-
Untuk pembersihan optimal dan mencegah infeksi ulang, lindungi komputer dan jaringan anda dengan antivirus yang mampu mendeteksi dan membasmi virus ini dengan baik.
Salam,
Aj Tau
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 3456850
Fx : 021 3456851
Offline 
Send Email