Having problems with message search?
http://www.vaksin.com/2009/0609/sandradewi/SandraDewi.html
W32/Sadra.A
12 Juni 2009
Cinta
ditolak, SandraDewi bertindak
Apakah anda sedang putus cinta atau patah
hati??? Jangan khawatir, karena “Sandra Dewi” akan membantu anda. Loh??? Ko
bisa??? Hehehe, jangan salah paham dulu, Sandra Dewi ini bukanlah Sandra Dewi
yang beneran loh... (klo itu juga saya mau… J).
Jika anda penggemar gadis berparas cantik
ini, maka anda perlu berhati-hati karena telah menyebar varian virus baru
dengan menggunakan nama “Sandra Dewi”. Dari script
virus yang dibuat, si pembuat virus ini juga ikut membawa dan memunculkan nama
salah satu kampus komputer di Kalimantan Timur.
Cinta
Ditolak VIRUS bertindak
Sangat
sakit rasanya apabila cinta kita ditolak oleh seseorang,
pada
zaman dahulu orang menggunakan fasilitas dukun sebagai media untuk mendapatkan
cintanya
Seiring
dengan berkembangnya Teknologi informasi,
media
yang digunakannya untuk mendapatkan cintanya adalah VIRUS
Norman Security Suite mendeteksi varian virus
Sandra Dewi sebagai W32/Obfuscated.B!genr.
(lihat gambar 1 dan 2)
Gambar 1. Norman Security Suite dengan teknologi
Sandbox dan DNA Matching tanpa update mendeteksi virus Sandra Dewi sebagai
new unkown virus.
Gambar 2, NSS setelah update mengidentifikasi
Sandra Dewi Bugil.exe sebagai W32/Sadra.A
File virus
Ciri-ciri dari file virus ini, diantaranya
sebagai berikut :
·
Memiliki ukuran file sebesar “132
kb”.
·
Mempunyai type file
“Application”.
·
Berextension file “exe”.
·
Memiliki icon gambar
(JPEG image).
Virus Sandra Dewi dibuat
dengan menggunakan bahasa pemrograman visual basic. Jika virus berhasil
menginfeksi, maka ia akan membuat beberapa file virus diantaranya :
·
C:\Sandra Dewi Bugil.exe (pada
semua root drive)
·
C:\Documents and
Settings\%user%\Start Menu\Programs\Startup\Sandra Dewi Bugil.exe
·
C:\WINDOWS\Sandra
Dewi Bugil.exe
·
C:\WINDOWS\system32\
Sandra Dewi Bugil.exe
·
Membuat duplikat file
virus pada setiap folder yang ada pada removable drive/usb. (lihat gambar 2)
Gambar
2. Contoh file virus Sandra Dewi
Pesan sebelum login
Masih ingat dengan virus Blue Fantasy,
virus yang menampilkan pesan sebelum login, dan kini virus Sandra
Dewi juga menampilkan sebuah pesan. (lihat gambar 3)
Gambar
3. Virus Sandra Dewi in Action
(duplikat dan hidden folder)
Blok fungsi Windows
Sebagai bentuk pertahanan, virus akan mencoba melakukan usaha blok
terhadap beberapa fungsi Windows. Beberapa fungsi Windows yang di blok
diantaranya sebagai berikut :
·
Folder Options (dilakukan untuk
mencegah akses terhadap file/folder yang disembunyikan)
·
Registry Editor
(dilakukan untuk mencegah akses perbaikan registry)
·
Search/Find
(dilakukan untuk mencegah dari pembersihan virus)
·
Command Prompt
(dilakukan untuk mencegah dari proses kill virus)
·
Task Manager
(dilakukan untuk mencegah proses monitoring virus) (lihat gambar 4)
·
Control Panel
(dilakukan untuk mencegah akses kontrol dari OS komputer)
·
MsConfig/System
Configuration Utility (dilakukan untuk mencegah akses pada startup)
Gambar
4. Virus Sandra Dewi in Action (blok
fungsi windows)
Selain itu, virus juga mencoba melakukan usaha blok terhadap beberapa
fungsi Windows yang lain seperti diantaranya :
·
Disable klik kanan pada desktop.
·
Disable “All Programs”
pada Start Menu.
·
Disable menu Log
Off/Turn Off pada Start Menu.
Dengan usaha ini, virus mencoba agar pengguna komputer kesulitan dalam
menjalankan program tertentu, dan bahkan kesulitan untuk me-restart, log-off
maupun shutdown komputer.
Merubah informasi System Properties
Pada System Properties, virus akan merubah RegisteredOwner
menjadi Dewi Bugil dan RegisteredOrganization
menjadi Sandra. (lihat
gambar 5)
Gambar
5. Merubah nama pemilik Windows menjadi Sandra Dewi Bugil
Merubah header Internet Explorer
Virus akan merubah header Internet Explorer (IE) saat akan menjalankan
aplikasi Internet Explorer, dengan tambahan ::CREATION::BUDI::DARMA::.
Gambar
6. Header Internet Explorer yang sudah diubah
Aktif pada start up dengan menjalankan
program Splash
Untuk memastikan agar file dapat berjalan dengan baik pada saat
komputer dijalankan, virus menyisipkan file virus pada startup windows sehingga
akan langsung aktif jika kita sudah masuk windows.. File virus yang aktif pada
startup yaitu :
·
C:\Documents and
Settings\%user%\Start Menu\Programs\Startup\Sandra Dewi Bugil.exe
File virus yang aktif ini menjalankan program Splash, program ini tidak
dapat di geser ataupun di tutup kecuali pada tombol Keluar.
Jika tombol Keluar di klik, maka akan muncul pop-up KONFIRMASI
kirim email kepada budi_9***@....
Apapun yg di klik, baik tombol Yes
maupun No akan membuat shutdown komputer
kita dengan memunculkan jendela System Shutdown
dalam waktu 1 menit.
Gambar 7.Program Splash Sandra Dewi yang
aktif dengan mencantumkan sebuah kampus
Gambar 8.Pop-up KONFIRMASI saat kita klik
tombol Keluar pada program tsb.
Gambar 9.Pop-up System Shutdown saat kita
klikYes atau No dengan waktu 1 menit.
Registry windows
Untuk melakukan blok fungsi windows, virus akan membuat string registry
sebagai berikut :
·
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoClose = 1
NoControlPanel = 1
NoFind = 1
NoFolderOptions = 1
NoRun = 1
NoStartMenuMorePrograms = 1
NoViewContextMenu = 1
NoViewOnDrive = 1
StartMenuLogoff = 1
·
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = 1
DisableMsConfig = 1
DisableTaskMgr = 1
Agar dapat melakukan blok fungsi “Command Prompt” windows, virus akan
membuat string registry yang berbeda yaitu sebagai berikut :
·
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\system
DisableCMD = 1
Agar dapat memunculkan pesan sebelum login, maka virus membuat string
registry sebagai berikut :
·
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
LegalNoticeCaption = Cinta Ditolak VIRUS Bertindak.::CREATION BUDI
DARMA::.
LegalNoticeText = Sangat sakit rasanya apabila cinta kita ditolak oleh
seseorang, pad zaman dahulu orang menggunakan fasilitas dukun sebagai media
untuk mendapatkan cintanya. Seiiring dengan berkembangnya Teknokogi Informasi
media yang digunakan untuk mendapatkan cintanya adalah VIRUS.
Metode Penyebaran
Virus ini menggunakan removable drive/usb sebagai sarana penyebaran
dirinya. File yang akan di buat virus yaitu :
·
Sandra Dewi Bugil.exe
Cara pembersihan virus Sandra Dewi
·
Sebaiknya putuskan hubungan
komputer yang akan dibersihkan dari jaringan.
·
Matikan “System
Restore” selama proses pembersihan virus (untuk Windows XP/Vista)
·
Matikan proses virus
yang aktif di memory. Gunakan tools pengganti task manager, seperti Process
Explorer (dapat anda download pada alamat berikut)
http://www.sysinternals.com/utils/index.html
·
Lakukan kill process, pada
beberapa file virus yang aktif yaitu :
o C:\Documents
and Settings\%user%\Start Menu\Programs\Startup\Sandra Dewi Bugil.exe
o C:\WINDOWS\
Sandra Dewi Bugil.exe (lihat gambar 10)
Gambar 10. Kill process virus yang aktif
·
Hapus string registry yang telah
dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah
ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCR, batfile\shell\open\command,,,"""%1""
%*"
HKCR, comfile\shell\open\command,,,"""%1""
%*"
HKCR, exefile\shell\open\command,,,"""%1""
%*"
HKCR, piffile\shell\open\command,,,"""%1""
%*"
HKCR, lnkfile\shell\open\command,,,"""%1""
%*"
HKCR, scrfile\shell\open\command,,,"""%1""
%*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0,
"Organization"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0,
"Owner"
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
CheckedValue, 0x00010001,1
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
DefaultValue, 0x00010001,2
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableMsConfig
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableTaskMgr
HKCU, Software\Policies\Microsoft\Windows\system, DisableCMD
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoClose
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoControlPanel
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoStartMenuMorePrograms
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoViewContextMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoViewOnDrive
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
StartMenuLogoff
Gunakan notepad, kemudian simpan dengan nama “repair.inf”
(gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik pada menu File pada windows explorer,
kemudian pilih install.
Sebaiknya membuat file repair.inf di komputer yang clean, agar virus
tidak aktif kembali.
·
Hapus file virus yang mempunyai
ciri-ciri sebagai berikut :
§ Icon
gambar (JPEG Image)
§ Extension
exe
§ Ukuran
132 kb
Catatan
o Sebaiknya
tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file
virus.
o Untuk
mempermudah proses pencarian sebaiknya gunakan "Search Windows"
dengan filter file *.exe
yang mempunyai ukuran 133 KB.
o Hapus
file virus yang biasanya mempunyai date modified yang sama. (lihat gambar 11)
Gambar 11. Hapus file virus melalui fitur
search windows
·
Untuk pembersihan yang optimal dan
mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan
mengenali virus ini dengan baik. Anda dapat pula menggunakan tools Norman
Malware Cleaner yang dapat anda download pada
http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe
Ad Sap
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 345 6850
Fx : 021 345 6851
Bagi anda yang ingin memberikan komentar atau bertanya seputar virus
MaHaDeWa, silahkan klik Forum khusus virus Sandra Dewi,
http://www.facebook.com/topic.php?topic=8493&uid=44419857236
Offline 
Send Email