Having problems with message search?
http://vaksin.com/2009/0709/cinta/virus_cinta.htm
Trojan: Autorun.QBP
28 Juli 2009
Artikel
Info Komputer by Vaksin.com
“Folder
Cinta” penebar Virus
Begitulah sepenggal lirik lagu populer
“Aku Cinta Dia” milik almarhum Chrisye yang dibawakan kembali oleh
penyanyi muda nan sensasional Gita Gutawa. Di
tengah krisis global dan isu flu babi yang merebak dimana-mana, cinta
sepertinya sangat diperlukan paling tidak meredakan suasana permasalahan yang
ada. Cinta dapat disampaikan melalui berbagai media baik tulisan, perasaan
maupun hal lainya.
Hal ini menjadi juga inspirasi bagi para
pembuat virus dengan menyampaikan pesan dengan cara yang berbeda, mengikuti
pepatah “Banyak jalan menuju Roma (bukan penyanyi
dangdut)” maka dengan dengan diplesetkan
menjadi “Banyak jalan menebar Cinta (bukan nama
artis chadel :p)”
Jika pada umunya pembuat virus Cinta
membuat virus dengan membuat pesan pesan baik dalam bentuk dokumen (word atau
notepad) dan HTML (browser), maka kali ini pembuat virus menebar hanya dengan
menggunakan logo/icon virus yang berbentuk folder (asal jangan logo parpol..)
dan meninggalkan jejak file kosong “khq”. Jadi jika pada komputer
anda atau komputer server anda terdapat file “khq”, maka anda baru
saja dikunjungi oleh virus ini atau bahkan sudah menyebar virus “folder cinta”
ini.
Pada varian virus ini, oleh Norman Virus
Control teridentifikasi sebagai Autorun.QBP.
(lihat gambar 1)
Gambar 1, Norman
Virus Control mendeteksi sebagai Autorun.QBP
Ciri ciri file virus
Ciri ciri dari file virus Autorun.QBP, diantaranya :
(lihat gambar 2)
·
Menggunakan icon “Folder Cinta”
·
Memiliki ukuran 793 kb
·
Type file “Application”
·
Ber-extension exe
Gambar 2, File virus
W32/Autorun.QBP
Gejala / efek virus
Jika anda terinfeksi oleh virus Autorun.QBP, maka akan menimbulkan
gejala/efek sebagai berikut,
· Disetiap file sharing
akan muncul file virus dengan nama “[namaacak].exe” dan file system yang
kosong dengan nama “khq”. (lihat Gambar 2.) File khq ini juga akan
berada pada setiap root drive.
· File virus aktif di
memori komputer
dengan nama “csrcs.exe”
pada proses dengan username lokal. Anda dapat melihat dengan menggunakan task
manager pada tab processes. (lihat gambar 3)
Gambar 3, Virus
aktif pada user lokal dengan nama file csrcs.exe
· Tidak dapat
menampilkan file yang sudah di hidden. (walaupun “folder
options” sudah di
rubah ber-kali kali, akan kembali hidden) lihat gambar 4.
Gambar 4, Show
Hidden tidak bisa berubah
File file virus
Berbeda dengan beberapa virus lain yang
menggunakan bahasa pemrograman Visual Basic / bahasa C++, virus Autorun.QBP dibuat dengan menggunakan
script Autoit dan di kompress menggunakan UPX Unpacker. Beberapa file virus
yang akan muncul jika dijalankan, yaitu :
· C:\WINDOWS\system32\csrcs.exe
(berukuran 793 kb)
· C:\WINDOWS\system32\Autorun.inf
· [namaacak].exe ,
(disetiap root folder lokal yg sharing, serta folder dalam jaringan yang
full-sharing)
· khq, (disetiap root
folder lokal yg sharing, serta folder dalam jaringan yang full-sharing) , serta
pada setiap root drive.
· [namaacak].exe ,
(pada media USB Flash/removable drive)
· Autorun.inf , (pada
media USB Flash/removable drive)
Registri
Windows
Walau tidak banyak aksi yang dilakukan, Autorun.QBP juga membuat beberapa
perubahan pada registry yaitu diantaranya :
ü Agar dapat
aktif saat komputer dijalankan, ia akan membuat string registry sebagai berikut
:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
·
csrcs
=
C:\WINDOWS\system32\csrcs.exe
ü Untuk memproteksi dan tetap aktif pada
windows, ia akan membuat string berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
·
Shell
= Explorer.exe csrcs.exe
Media penyebaran
Virus Autorun.QBP,
dapat menyebar dengan cepat melalui jaringan serta USB Flash/removable drive.
Pada USB Flash/removable drive, ia akan
membuat 2 file dengan attribute RHSA (Read, Hidden, System, Archive), yaitu :
· Autorun.inf,
yang berisi sebagai berikut :
;KJHOEULqHhiwDrOcyNwJNkxDfwkQJgqAhzVJqTERXfcnpAWZADHEcgsZmIybEUQkpUtfqHUwP
[AutoRun]
;bvNhsWkvJPvskfUipMfoMoguXEHMZourHiEWOf
open=vrtzkw.exe
;nsOgGGNtxPKinHAuwiLerRKijvNwnwyWXQuIowFKofnXUvwbzqTVjHrceZxt
shell\open\Command=vrtzkw.exe
;zIAQcWhhaLNbYaFgGFRkRnpobPjxqGjGWibjuVtGTeIvbYXEQMGIALSvTgGR
shell\open\Default=1
;45F27A231FB5BAE1D81F012E0845BDDF8E8C0EECB727D2C7BFC81571
;YTMjNinJOTSMglGpJiKuocrsfjnTADdBsw
shell\explore\Command=vrtzkw.exe
;hnztJRApTybMIbruXwPgoyMKkh
· [namaacak.exe],
file virus yang berukuran 793 kb (lihat gambar 5)
Gambar 5, 2 file
yang dibuat oleh virus dengan atribut file RHSA
Pada jaringan, ia akan membuat 2 file (pada
root folder lokal yg di sharing, serta masuk pada folder/drive dalam jaringan
yang full-sharing), yaitu :
· khq,
file kosong yang yang merupakan jejak persinggahan virus Autorun.QBP
· [namaacak.exe],
file virus yang berukuran 793 kb (lihat gambar 6)
Gambar 6, 2 file
yang dibuat oleh virus dalam jaringan yg full sharing
Cara pembersihan
secara manual:
1. Disconnect/putuskan
hubungan komputer yang akan dibersihkan dari jaringan.
2. Disable/matikan
“System Restore” selama
proses pembersihan virus.
3. Gunakan “Task
Manager” untuk mematikan proses virus yang aktif. (kemungkinan besar
dengan nama “csrsc.exe”).
(lihat gambar 7)
Gambar 7, Task
Manager untuk mematikan proses virus (End Process)
Untuk membuka task manager, dapat dilakukan dengan menekan secara bersama Ctr+Alt+Del, atau dengan klik kanan pada
taskbar windows. Selanjutnya matikan proses virus dengan klik [End Process]
pada proses csrsc.exe.
4. Hapus file utama dari
virus Autorun.QBP, yang terdapat
pada C:\WINDOWS\system32, dengan nama csrsc.exe
yang berukuran 793 kb dan Autorun.inf
yang berukuran 1 kb.
Gunakan search/find, untuk mencari file virus
duplikat yang lain, terutama pada media sharing atau USB Flash/removable drive,
file virus berukuran 793 kb, berextension exe & ber type application serta
file khq di seluruh drive. Jangan lupa untuk menampilkan attribute
“Show hidden file…”
dan menghilangkan attribute “Hide protected operating…” pada
Folder Options. (lihat gambar 4).
5. Hapus string registry
yang sudah dibuat oleh virus. Untuk mempermudah dapat menggunakan script
registry dibawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,,
"""%1"" %*"
HKLM, SOFTWARE\ Classes \comfile\shell\open\command,,,
"""%1"" %*"
HKLM, SOFTWARE\ Classes \exefile\shell\open\command,,,
"""%1"" %*"
HKLM, SOFTWARE\ Classes \scrfile\shell\open\command,,,
"""%1"" %*"
HKLM, SOFTWARE\ Classes \piffile\shell\open\command,,,
"""%1"" %*"
HKLM, SOFTWARE\ Classes \regfile\shell\open\command,,,
"regedit.exe "%1"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
Shell, 0, Explorer.exe
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Gunakan notepad, kemudian simpan dengan nama
“repair.inf” (gunakan
pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan,
kemudian pilih [install].
6. Untuk pembersihan
secara optimal terhadap virus Autorun.QBP,
gunakan Norman Malware Cleaner yang
dapat mendeteksi dan membasmi virus
ini dengan baik. (lihat gambar 8). Jika anda ingin
terproteksi dari virus ini dan virus mancanegara lainnya, gunakan antivirus
Norman Security Suite (Single User) atau Norman Endpoint Protection (Corporate
User) yang dapat mencegah komputer anda terinfeksi virus mancanegara dan virus
lokal dengan baik dan khusus pelanggan korporat akan mendapatkan di support ONSITE
Gratis oleh Vaksinis (teknisi PT. Vaksincom).
Gambar 8,
Task Manager untuk mematikan proses virus (End Process)
Anda dapat mendownload Norman
Malware Cleaner pada link berikut :
http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe
salam,
Ad Sap (Vaksinis)
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 3456850
Fx : 021 3456851
Bagi anda yang ingin memberikan komentar atau
bertanya mengenai virus Folder Cinta, silahkan klik Forum khusus virus Folder
Cinta, http://www.facebook.com/topic.php?topic=9218&post=34446&uid=44419857236#post34446
Offline 
Send Email