Search the web
Sign In
New User? Sign Up
vaksin · Mailing List Vaksin.com
  • Members Only
  • Post
  • Promote
  • Groups Labs (Beta)
? Already a member? Sign in to Yahoo!

Yahoo! Groups Tips

Did you know...
Hear how Yahoo! Groups has changed the lives of others. Take me there.

Best of Y! Groups

   Check them out and nominate your group.
Having problems with message search? Fill out this form to ensure your group is one of the first to be migrated to the new message search system.

Messages

   Messages Help
Message #
Search:
Advanced
Nadia Saphira reinkarnasi Donal Bebek ? W32/VBTroj.AOQB   Message List  
Reply | Forward Message #680 of 711 |

Share on Facebook

W32/VBTroj.AOQB              25 Mei 2009

Nadia Saphira reinkarnasi Donal Bebek ?

 

http://www.vaksin.com/2009/0509/nadia%20saphira/clip_image001.jpgSiapa yang tidak kenal Nadia Saphira??? Artis Indonesia yang memulai karier awal-nya sebagai model sebuah majalah remaja, dan kini  sudah termasuk artis muda yang sukses membintangi berbagai film layar lebar, sinetron dan serial TV, seperti Jomblo, Coklat Stroberi, Ada Apa dengan Cinta, Dunia Tanpa Koma, dsb.

 

Jika anda penggemar Nadia, maka anda perlu berhati-hati karena telah menyebar varian baru virus Bulu Bebek dengan nama “Nadia Saphira”. Jika anda pernah baca artikel vaksin tentang virus Bulu Bebek pada http://www.vaksin.com/2008/1008/bulubebek/bulubebek.html , varian ini merupakan kelanjutan-nya. Pembuat virus sepertinya tidak hanya terinspirasi oleh Donal Bebek tetapi juga merupakan penggemar dari Nadia Saphira. Berdasarkan script yang dibuat oleh si pembuat virus, virus ini diduga berasal dari Sultra (Sulawesi Tenggara). Hebatnya lagi, virus yang penyebarannya cukup tinggi di bulan Mei 2009 ini menurut pantauan Vaksincom masih belum dapat terdeteksi oleh program antivirus, baik yang mengaku sebagai antivirus terbaik di dunia ataupun tidak. Saat artikel ini diluncurkan, antivirus lokal yang mampu mendeteksi virus Nadia Saphira ini hanya Smadav.

 

Norman Security Suite mendeteksi varian virus Nadia Saphira sebagai W32/VBTroj.AOQB. (lihat gambar 1)

http://www.vaksin.com/2009/0509/nadia%20saphira/clip_image003.jpg

Gambar 1. Norman mendeteksi virus Nadia Saphira sebagai W32/VBTroj.AOQB

 

File virus

 

Ciri-ciri dari file virus ini, diantaranya sebagai berikut :

ü  Memiliki ukuran file sebesar “17 kb & 69 kb”.

ü  Mempunyai type file “Application”.

ü  Berekstensi file “exe & ini”.

ü  Memiliki icon folder.

ü  Membuat duplikat folder seduai dengan nama folder yang ada dan menyembunyikan folder aslinya.

ü  Menghilangkan pilihan “Folder Options”.

ü  CD Rom tidak bisa digunakan

ü  Command Prompt tidak bisa diakses.

 

Virus Nadia Saphira dibuat dengan menggunakan bahasa pemrograman visual basic. Jika virus berhasil menginfeksi, maka ia akan membuat beberapa file virus diantaranya :

ü  C:\autorun.inf (pada semua root drive)

ü  C:\NadiaSaphira.ini (pada semua root drive)

ü  C:\Documents and Settings\All User\Start Menu\Programs\Startup\lan.exe

ü  C:\Documents and Settings\%User%\NadiaSaphira.ini

ü  C:\WINDOWS\taskmgr.exe

ü  C:\WINDOWS\system32\.exe

ü  C:\WINDOWS\system32\allsys.exe

ü  C:\WINDOWS\system32\misconfig.exe

ü  C:\WINDOWS\system32\MS586.sys

ü  C:\WINDOWS\system32\System

ü  C:\WINDOWS\system32\wtoolsb.exe

ü  C:\WINDOWS\system32\dllcache\.exe

ü  C:\WINDOWS\system32\ dllcache\System

ü  Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb. (lihat gambar 2)

 

http://www.vaksin.com/2009/0509/nadia%20saphira/clip_image005.jpg

Gambar 2. Contoh file virus Nadia Saphira

 

Hidden folder & membuat duplikat virus

Sama seperti virus Bulu Bebek, virus Nadia Saphira juga tidak memiliki niat jahat dengan menghancurkan data komputer. Tetapi virus ini hanya menyembunyikan folder / sub folder pada drive maupun pada flashdisk / external, untuk mengelabui user virus akan membuat duplikat di setiap folder/sub folder sesuai dengan nama folder yang disembunyikan. Selain itu virus juga membuat type file sesuai dengan type file folder. (lihat gambar 3)

http://www.vaksin.com/2009/0509/nadia%20saphira/clip_image007.jpg

Gambar 3. virus Nadia Saphira in Action (duplikat dan hidden folder)

 

Blok fungsi Windows

Sebagai bentuk pertahanan, virus akan mencoba melakukan usaha blok terhadap beberapa fungsi Windows. Beberapa fungsi Windows yang di blok diantaranya sebagai berikut :

ü  Folder Options (dilakukan untuk mencegah akses terhadap file/folder yang disembunyikan)

ü  Registry Editor (dilakukan untuk mencegah akses perbaikan registry) (lihat gambar 4)

ü  Search/Find (dilakukan untuk mencegah dari pembersihan virus)

ü  Command Prompt (dilakukan untuk mencegah dari proses kill virus)

http://www.vaksin.com/2009/0509/nadia%20saphira/clip_image009.jpg

Gambar 4. virus Nadia Saphira in Action (blok fungsi windows)

 

Aktif pada start up

 

Untuk memastikan agar dapat aktif dengan baik pada saat komputer dijalankan, virus menyisipkan file virus pada startup windows sehingga akan langsung aktif jika kita sudah masuk windows. Setelah aktif, virus memanggil kedua rekannya (virus pendukung) agar sulit dimatikan. File virus yang aktif pada startup yaitu :

ü  C:\Documents and Settings\All User\Start Menu\Programs\Startup\lan.exe

File ini yang kemudian memanggil kedua rekannya (virus pendukung) untuk memperkuat existensinya, yaitu :

ü  C:\WINDOWS\system32\misconfig.exe

ü  C:\WINDOWS\taskmgr.exe (lihat gambar 5)

http://www.vaksin.com/2009/0509/nadia%20saphira/clip_image010.jpg

Gambar 5. virus Nadia Saphira in Action (aktif pada startup)

 

Registry windows

Agar dapat melakukan blok fungsi “Search” windows, virus akan membuat string registry sebagai berikut :

 

ü  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

nofind = 1

ü  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ Explorer

nofind = 1

 

Agar dapat melakukan blok fungsi “Folder Options” windows, virus akan membuat string registry sebagai berikut :

ü  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoFolderOptions = 1

 

Agar dapat melakukan blok fungsi “Registry Editor” windows, virus akan membuat string registry sebagai berikut :

ü  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableRegistryTools = 1

 

Agar dapat melakukan blok fungsi “Command Prompt” windows, virus akan membuat string registry sebagai berikut :

ü  HKEY_CURRENT_USER\Software\Microsoft\Command Processor

Autorun = 

ü  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor

Autorun = 

 

Walaupun Folder Optionssudah di blok, tetapi virus mencegah untuk menampilkan file yang tersembunyi. Untuk itu, ia membuat string registry sebagai berikut :

ü  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue = 0

DefaultValue = 0

 

Agar dapat mengelabui user terhadap file virus dan mencoba mengubah type file exe, virus membuat string sebagai berikut :

ü  HKEY_CLASSES_ROOT\exefile

(Default) = File Folder

Info Tip = File Folder

TileInfo = File Folder

 

Terakhir virus berusaha melakukan blok ekseskusi file “Microsoft Visual Studio Spy Debugging Tools”, virus membuat string sebagai berikut :

ü  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe

Debugger =

ü  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sessmgr.exe

Debugger =

ü  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPYXX.exe

Debugger =

 

Metode Penyebaran

Dengan memanfaatkan system autoplay windows, virus ini menggunakan removable drive / usb sebagai sarana penyebaran dirinya. Beberapa file yang akan di buat virus yaitu :

ü  autorun.inf

ü  NadiaSaphira.ini

ü  Membuat file virus dan menggandakan diri pada setiap folder yang ada (lihat gambar 6)

 

http://www.vaksin.com/2009/0509/nadia%20saphira/clip_image011.jpg

Gambar 6. Script virus untuk autoplay virus

 

Cara pembersihan virus Nadia Saphira

 

o    Sebaiknya putuskan komputer yang akan dibersihkan dari jaringan.

o    Matikan “System Restore” selama proses pembersihan virus (untuk Windows XP / Vista).

o    Matikan proses virus yang aktif di memory. Gunakan tools pengganti task manager, seperti CProcess (dapat anda download pada alamat berikut)

 

http://www.nirsoft.net/utils/index.html

 

Lakukan kill process, pada beberapa file virus yang aktif yaitu :

ü   C:\Documents and Settings\All User\Start Menu\Programs\Startup\lan.exe

ü   C:\WINDOWS\system32\misconfig.exe

ü   C:\WINDOWS\taskmgr.exe (lihat gambar 7)

http://www.vaksin.com/2009/0509/nadia%20saphira/clip_image013.jpg

Gambar 7. Kill process virus yang aktif dengan CurrProcess

 

o    Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

 

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

                       

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKCR, batfile\shell\open\command,,,"""%1"" %*"

HKCR, comfile\shell\open\command,,,"""%1"" %*"

HKCR, exefile\shell\open\command,,,"""%1"" %*"

HKCR, piffile\shell\open\command,,,"""%1"" %*"

HKCR, lnkfile\shell\open\command,,,"""%1"" %*"

HKCR, scrfile\shell\open\command,,,"""%1"" %*"

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,

HKLM, SOFTWARE\Classes\exefile\DefaultIcon,,,""%1""

HKLM, SOFTWARE\Classes\exefile,,,"Application"

HKLM, SOFTWARE\Classes\exefile,infotip,0, "prop:FileDescription;Company;FileVersion;Create;Size"

HKLM, SOFTWARE\Classes\exefile,TileInfo,0, "prop:FileDescription;Company;FileVersion"

HKCU, Software\Microsoft\Command Processor, AutoRun,0,

HKLM, SOFTWARE\Microsoft\Command Processor, AutoRun,0,

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001,1

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue, 0x00010001,2

 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, nofind

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, nofind

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sessmgr.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPYXX.exe

 

Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

 

o    Hapus file virus yang mempunyai ciri-ciri sebagai berikut :

ü  Icon application/folder

ü  Ext. exe

ü  Ukuran 69 kb & 17 kb

 

Catatan

o    Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.

o    Untuk mempermudah proses pencarian sebaiknya gunakan "Search Windows" dengan filter file *.exe & *.ini yang mempunyai ukuran 69 KB & 17 KB.

o    Hapus file virus yang biasanya mempunyai date modified yang sama.  (lihat gambar 8)

http://www.vaksin.com/2009/0509/nadia%20saphira/clip_image015.jpg

Gambar 8. Hapus file virus melalui fitur search windows

 

o    Tampilkan kembali folder yang disembunyikan pada drive atau flashdisk. Gunakan perintah “ATTRIB” pada command prompt.

ü    Klik “Start”

ü    Klik “Run”

ü    Ketik “CMD”, kemudian tekan tombol “Enter”

ü    Pindahkan posisi kursor ke drive Flash Disk

ü    Kemudian ketik perintah ATTRIB –s –h –r /s /d kemudian tekan tombol “enter (lihat gambar 9)

 

http://www.vaksin.com/2009/0509/nadia%20saphira/clip_image017.jpg

Gambar 9. Menampilkan file yang disembunyikan

 

o    Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.

 

Salam,

Ad Sap

 

info@...

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 345 6850

Fx : 021 345 6851

Bagi anda yang ingin memberikan komentar atau bertanya seputar virus Nadia Saphira, silahkan klik Forum khusus virus Nadia Saphira http://www.facebook.com/topic.php?topic=8232&post=28947&uid=44419857236#post28947

 
Mon May 25, 2009 8:11 am

Show Message Option
vaksincom
Offline Offline
Send Email Send Email

Forward 		Message #680 of 711 |
Expand Messages Author Sort by Date

<http://www.facebook.com/share.php?u=%3Chttp://www.vaksin.com/2009/0509/nadi a%20saphira/nadia%20saphira.html%3E> Share on Facebook W32/VBTroj.AOQB... 		Alfons Tanujaya
vaksincom
Offline Send Email 		May 25, 2009
8:13 am
< Prev Topic  |  Next Topic >
Message #
Search:
Advanced
Copyright © 2009 Yahoo! Inc. All rights reserved.
Privacy Policy - Terms of Service - Guidelines - Help