Deadlock alias Tibs.DKKR               14 Agustus 2009

Virus kampanye Pemilu yang anti KKN dan teroris

 

Bebaskan Negeri kami Indonesia dari Terorisme, Anarkis, dan KKN (Kolusi, Korupsi & Nepotisme) pada Kubu Pemerintahan Republik Indonesia (Sipil, TNI & Polisi) serta Tangkap, Berantas dan Penjarakan – Tanpa Kecuali. Bersihkan Negeri kami dari Portitusi, Perjudian dan Kejahatan Sosial. Merdekakan diri kami dari Kemiskinan, Kesengsaraan dan Ketidakadilan! Bersama Partai Demokrat – SBY & BOEDIONO, Bersama Membangun Indonesia Adil, Makmur & Sejahtera

 

Atas Nama Bangsa Indonesia

 

Pangeran DEADLOCK

 

I'm Everyone, but NoOne

I'm Everything, but NoThing

I'm Everywhere, but NoWhere

 

Jika komputer anda menampilkan pesan seperti pada gambar 1

Gambar 1, Pesan yang ditampilkan oleh Deadlock

 

Maka Vaksincom menyarankan anda untuk berhati-hati dan ingat selalu untuk membackup data anda karena pada tanggal 12 dan 13 nanti Deadlock akan membuat komputer anda "deadlock" alias di hancurkan semua datanya, baik data di seluruh harddisk, Flashdisk dan O/S Windows sehingga menampilkan pesan NTLDR is Missing (lihat gambar 7).

Dengan mengesampingkan kesalahan ejaan seperti kata "prostitusi" yang ditulis "portitusi" (sudah terbalik menaruh huruf "r" dan "o", ehh huruf "s" juga ketinggalan, kayanya pembuat virus ini pelajaran Bahasa Indonesianya jeblok). Dari sisi penyampaian pesan patut diacungi jempol bahwa pembuat virus ini masih memiliki kepedulian sosial dan rasa kebangsaan yang tinggi. Tetapi tingkah virus ini merusak data dengan mendelete semua data di harddisk ini yang membuat pesan yang disampaikan kontra produktif. Wong pesannya suruh jadi orang baik, pembela kebenaran, jangan korupsi, berantas prostitusi …. eeh dirinya sendiri malah menghancurkan data orang lain. Mungkin jika pembuat virus ini menyampaikan dengan cara yang lebih simpatik dan tidak menghancurkan data (EG menghidden data) akan lebih relevan dengan pesan yang disampaikan. Tetapi terlepas dari itu semua PT. Vaksincom ingin mengucapkan Dirgahayu Kemerdekaan RI ke 64, mari kita bangun Indonesia. MERDEKAAAA !!! …….

 

Salah satu virus yang akan mencoba untuk menghapus data adalah Deadlock, kenapa dikatakan demikian hal ini tentunya mempunyai makna tersendiri dan semoga saja virus ini tidak membawa unsur politis sesuai dengan pesan yang akan ditampilkan dalam gambar 1. Virus ini sebenarnya masih masuk ke dalam keluarga Visual Basic yang di kompresi dengan menggunakan program Petite 2.x dengan ukuran sekitar 80 KB. Icon yang digunakan juga  tidak disamarkan tetap menggunakan icon aplikasi (lihat gambar 2) dan kemunginan berasal dari salah satu kota di Kalimantan (Samarinda).

 

Gambar 2, File induk Deadlock

 

Ciri utama dari virus ini adalah akan merubah desktop dengan pesan sosial dari sang pembuat virus, biasanya pesan ini hanya akan muncul pada waktu yang ditentukan, seiring dengan munculnya pesan ini maka semua file yang ada di semua drive akan di hapus termasuk program dan file system Windows (lihat gambar 3). Jadi kalau anda melihat pesan ini pada komputer anda, kemungkinan sudah terlambat karena sebentar lagi data di komputer anda akan dihancurkan.

 

Gambar 3, Pesan sang pembuat virus

 

Jika virus ini aktif di komputer ia akan membuat beberapa file yang aka dijalankan pada saat komputer di nyalakan.

 

• C:\Windows\system32\apache.exe

• C:\Windows\system32\mysql.exe

 

Pemilihan nama apache dan mysql kemungkinan bertujuan menyamarkan dirinya sebagai program populer Apache dan Mysql.

Agar file tersebut dapat aktif secara otomatis pada saat komputer dinyalakan, ia akan membuat beberapa string pada registry berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • mysql = C:\Windows\system32\mysql.exe

• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • apache = C:\Windows\system32\apache.exe

 

Virus ini cukup cerdik dalam mengelabui user,  user tidak akan curiga jika sebenarnya komputer tersebut telah terinfeksi karena tidak ada tanda-tanda yang biasa dilakukan oleh virus lokal lainnya seperti disable Task Manager / MSConfig / Regedit atau Folder Options, selain itu file yang dibuat juga tidak mencurigakan karena seolah-olah merupakan program Apache dan MySql. User baru sadar bahwa komputer telah terinfeksi virus pada saat telah terlambat dimana muncul pesan dari pembuat virus yang kemudian diikuti dengan munculnya  pesan error "Windows file Protection" yang menandakan ada suatu program yang berusaha untuk menghapus file system windows. (lihat gambar 4)

 

Gambar 4, Pesan error saat file system di hapus oleh virus

 

Seperti peribahasa "air tenang menghanyutkan", rupanya di dalam bisunya Virus ini menyimpan Bom waktu di komputer korbannya yang akan di aktifkan sesuai dengan waktu yang telah ditentukan..

 

Pesan Pembuat virus

Deadlock juga akan meningggal kan pesan sosial kepada semua orang, agar pesan ini selalu di ingat terutama bagi pengguna komputer yang terinfeksi, ia akan mengganti desktop windows seperti yang terlihat pada gambar dibawah ini. Kalau ingin meninggalkan pesan moral boleh-boleh saja. Tetapi kalau meninggalkan pesan moral dan menghancurkan data komputer korbannya, bukannya simpati yang di dapat tetapi kejengkelan atau bahkan kebencian sehingga mengakibatkan pesan yang dikirimkan malah kontra produktif. Wong, katanya mau memberantas korupsi dan perjudian, tapi diri sendiri menghancurkan data orang lain. (lihat gambar 1)

 

Menyebar secara otomatis

Virus ini akan aktif secara otomatis setiap kali user mengakses suatu drive / flash disk dengan memanfaatkan "autorun windows" dengan membuat 3 buah file yakni : (lihat gambar 5 dan 6)

 

o    [Desktop.ini] yang berisi script untuk menjalankan file [folder.htt]

o    [Folder.htt], berisi script untuk  menjalankan file utama yakni [flashguard.exe]

o    [Flashguard.exe] merupakan file induk yang akan di jalankan

 

Gambar 5, Script yang terdapat pada file [desktop.ini]

 

Gambar 6, Script yang terdapat pada file [folder.htt]

 

Media penyebaran

Flash Disk merupakan salah satu media yang paling banyak digunakan oleh user, hal inilah yang akan dimanfaatkan oleh sebagian bahkan boleh dibilang semua virus untuk menyebarkan dirinya, hal ini juga akan dilakukan oleh virus Deadlock dengan cara membuat beberapa file berikut : (lihat gambar 2)

 

o    Desktop.ini

o    Folder.htt

o    Flashguard.exe

 

BOM Waktu

Virus Deadlock laksana bom waktu yang akan menghancurkan komputer target pada waktu yang telah ditentukan, virus ini akan menjalankan aksinya setiap tanggal 12 - 13 sekitar jam 08.00 - 09.00 setiap bulan dengan cara MENGHAPUS SEMUA FILE/DATA TERMASUK FILE SYSTEM WINDOWS yang ada di semua drive termasuk di media Flash Disk dengan menggunakan perintah cmd.exe /c del /f /s /q /a dan cmd.exe /c rd /s /q, sehingga jika komputer tersebut di restart maka akan muncul pesan error berikut (lihat gambar 7)

 

Gambar 7, NT Loader tidak dapat diakses karena semua data di harddisk termasuk Windows di hapus oleh virus

 

Untuk mencegah terinfeksi virus ini, Vaksincom menyarankan anda menggunakan program antivirus yang dapat mendeteksi virus ini dengan baik. Menurut pengetesan Lab Vaksincom, saat ini virus yang terdeteksi oleh Norman sebagai Deadlock belum terdeteksi oleh mayoritas antivirus yang ada di Indonesia, baik antivirus lokal maupun antivirus mancanegara. Norman Endpoint Protection mendeteksi virus Deadlock sebagai Tibs.DKKR. (lihat gambar 8)

 

Gambar 8, Deadlock di deteksi Norman sebagai W32/Tibs.DKKR

 

Jika anda menginginkan data anda yang menjadi korban Deadlock ini kembali, JANGAN sekali-kali menginstal ulang OS anda ke harddisk yang mengandung data anda yang hilang tersebut. Lakukan proses recovery data penting dengan menggunakan aplikasi data recovery dan metode yang benar. Jika anda menginstal ulang OS anda ke harddisk yang mengandung data yang ingin anda recover, kemungkinan keberhasilan recovery akan sangat rendah. Jika anda tidak berpengalaman akan data recovery dan ingin mendapatkan bantuan Data Recovery profesional dengan harga yang reasonable, silahkan hubungi divisi Data Recovery Vaksincom di email info@....

 

Cara menangani Deadlock secara manual

 

1. Disable [System Restore] selama proses pembersihan

2. Matikan proses virus yang aktif di memori, gunakan tools pengganti Task Manager seperti "Process Explorer" kemudian matikan proses yang mempunyai nama "mysql.exe dan apache.exe"

 

Silahkan download tools tersebut di url berikut:

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx (lihat gambar 9)

 

Gambar 9, Matikan proses virus dengan Process Explorer

 

3. Agar virus ini tidak dapat aktif kembali sebaiknya blok file tersebut agar tidak dapat di eksekusi dengan mendaftarkan pada "Software Restriction Policies". Fitur ini hanya ada pada komputer dengan sistem operasi "Windows XP Professional/Windows Server 2003/Windows Vista dan Windows Server 2008", dengan cara : (lihat gambar 10)

 

• Klik  menu [Start]

• Klik menu [Run]

• Pada kotak dialog RUN, ketik perintah SECPOL.MSC kemudian klik tombol [OK]

• Setelah muncul layar "Local Security Settings", klik kanan pada menu "Software Restriction Policies" lalu klik "Create New Policies"

• Pada menu "Software Restriction Policies", klik "Additional Rules"

Gambar 10 - 12

• Klik kanan pada "Additional Rules", kemudian pilih "New Hash Rule...", kemudian akan muncul layar "New Hash Rule"

• Pada kolom "File hash" klik tombol "Browse" kemudian arahkan ke direktori [C:\Windows\system32\apache.exe]

 

Gambar 11

Gambar 12, Menentukan file virus yang akan di  blok

 

• Kemudian klik tombol [Open]

• Pada kolom "Security level" pilih [Disallowed] (lihat gambar 13)

 

Gambar 13

 

• Pada kolom "description" boleh di isi atau dikosongkan saja

• Klik tombol [Apply]

• Klik tombol [Ok]

 

Catatan:

Jika komputer Anda tidak terinstall Windows XP Professional/2003 Server/Vista/2008 lewati langkah ini.

 

4. Hapus string registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara

 

1. Klik kanan file repair.inf

2. Klik [Install]

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

 

 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, apache

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, mysql

 

5. Hapus file induk virus yang ada di direktori

 

1. C:\Windows\system32\apache.exe

2. C:\Windows\system32\mysql.exe

 

6. Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan dengan menggunakan antivirus yang up-to-date.

 

Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut di alamat berikut : (lihat gambar 14)

 

http://www.norman.com/support/support_tools/58732/en-us

 

Gambar 14, Deteksi Norman Malware Cleaner

 

 

Catatan:

Jika komputer yang terinfeksi Deadlock ini tidak dapat melakukan booting Windows dengan muncul pesan error "NTLDR Is Missing" sebaiknya lakukan install ulang, sedangkan untuk data yang telah dihapus silahkan Anda recovery dengan menggunakan software recovery seperti GetData Back/Easy Recovery/Recovery my Files, tetapi hal ini tidak akan menjamin semua data akan dapat diselamatkan.