Virus Fullhouse, AutoRun.GUB

Han Ji Eun menyembunyikan data anda ?

 

Tidak seperti kebanyakan virus lokal yang sibuk menggunakan artis Indonesia sebagai sarana rekayasa sosial guna mengelabui calon korbannya agar menjalankan file virus, virus yang satu ini justru terinspirasi oleh film seri Korea FullHouse. Dan sebagai informasi Han Ji Eun bukan saudaranya Dong Yang (merek eskalator) melainkan pemeran utama yang dalam seri tersebut. Ciri khas virus ini adalah membuat satu drive tambahan dengan nama FullHouse Drive, apakah pembuat virus ini memiliki tujuan untuk membantu mempopulerkan film FullHouse di Indonesia, yang jelas tindakan ini termasuk ke dalam tindakan kurang bertanggung jawab dan tidak layak di tiru. Jika anda memiliki kemampuan programming yang tinggi, Vaksincom menyarankan anda untuk menjaga integritas anda, karena meskipun anda programmer yang sangat hebat dengan integritas yang diragukan akan sulit sekali mencari kerja karena integritas merupakan harga mati di dunia kerja.

 

Meskipun FullHouse bukan tergolong virus baru di Indonesia namun tak bisa disangkal kalau penyebaran virus ini cukup luas, menurut pantauan Vaksincom,  Fullhouse ikut berperan meningkatkan infeksi virus keluarga Autorun yang sampai 19 Agustus 2009 menurut catatan Vaksincom mencapai lebih dari 1.000 insiden di seluruh Indonesia. Virus ini dibuat menggunakan bahasa pemrograman Visual Basic yang dalam melakukan aksinya akan membuat drive tersendiri pada Desktop, My computer dan Control Panel yang jika di buka akan menampilkan gambar "Han Ji Eun" artis cantik dalam serial Full House.

 

Norman Security Suite mendeteksi virus FullHouse sebagai AutoRun.GUB (lihat gambar 1)

 

Gambar 1. Norman Security Suite mendeteksi virus FullHouse sebagai AutoRun.GUB

 

FullHouse memiliki ciri diantaranya sebagai berikut :

v  Mempunyai ukuran file sebesar "168 kb" dengan "Date Modified" 07-08-2009

v  Tipe file "File Folder" yang sebenarnya adalah "Application" dengan teknik memanipulasi registri

v  Berekstensi file ".exe" yang tidak terlihat karena virus ini menambahkan string "NeverShowExt" pada registry sehingga extesions file tidak ditampilkan

v  Menggunakan icon folder

v  Membuat drive tambahan dengan nama "FullHouse Drive" pada Desktop, My Computer dan Contol panel (lihat gambar 2)

 

Gambar 2. AutoRun.GUB membuat drive dengan nama FullHouse Drive

 

v  Jika drive tersebut di klik akan menampilkan foto artis cantik pemeran dalam serial Fullhouse (lihat gambar 3)

Gambar 3. Foto Han Ji Eun akan ditampilkan ketika FullHouse Drive di klik

 

Teknik Infeksi

ü  Jika file virus berhasil aktif maka akan membuat file induk pada direktori C:\RECYCLER (lihat gambar 4)

Gambar 4. File induk yang dibuat oleh virus Fullhouse 

 

ü  Menyembunyikan folder pada setiap Removable Disk (flashdisk, hdd external, etc.) virus ini membuat duplikat folder sesuai dengan nama folder yang telah disembunyikannya dengan tujuan mengelabuhi user agar mengaktifkan virus. (lihat gambar 5)

 

Gambar 5. Membuat duplikat folder untuk mengelabuhi user

 

Teknik Pertahanan

 

M  Agar tetap dapat berjalan di proses tanpa diketahui korbannya virus ini memblok Regedit dan Task Manager dengan teknik yang cukup unik yaitu menjalankan kedua aplikasi ini terlebih dahulu di background sehingga jika user membuka fungsi tersebut akan muncul pesan error (lihat gambar 6)

 

Gambar 6. Blocking fungsi registry windows

 

M  Untuk dapat berjalan otomatis pada saat komputer dihidupkan, virus menyisipkan string pada registri sehingga akan langsung aktif ketika masuk windows

Ø  HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, Task Manager

Ø  HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, Manager Task

 

String registry tersebut memanggil file induk yang berada pada direktori (lihat gambar 7)

ü C:\RECYCLER\S-1-5-21-1202660629-412668190-725345543-500\smss.exe

 

 

Gambar 7. File induk yang aktif pada saat masuk windows

 

Teknik Penyebaran virus

ü  Membuat duplikat file virus pada media removable disk (flashdisk, external disk) dengan menyembunyikan (hidden) folder asli dan menggantinya dengan file virus yang memiliki icon folder sehingga user akan mengira membuka folder tetapi sebenarnya mengaktifkan file virus.

 

Cara Mengatasi virus

ð  Scan file virus yang berada pada direktori C:\RECYCLER dengan antivirus yang sudah dapat mendeteksi virus ini dengan baik. Vaksincom menggunakan Norman Security Suite. (lihat gambar 8)

Gambar 8, Gunakan Norman Security Suite untuk mendeteksi dan membasmi virus FullHouse.

ð  Setelah selesai scan terdapat file virus dengan status file delete (defered) artinya file akan di hapus ketika windows restart

ð  Klik tombol Clean lalu Close pada saat itu juga Norman Security Suite akan meminta komputer untuk restart (lihat gambar 9)

 

Gambar 9, Deffered Delete merupakan fitur Norman untuk membasmi virus yang membandel dan sulit di delete.

 

ð  Untuk menormalkan kembali registri yang telah dibuat oleh virus buka Notepad lalu copy script di bawah

 

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKCR, batfile\shell\open\command,,,"""%1"" %*"

HKCR, comfile\shell\open\command,,,"""%1"" %*"

HKCR, exefile\shell\open\command,,,"""%1"" %*"

HKCR, piffile\shell\open\command,,,"""%1"" %*"

HKCR, lnkfile\shell\open\command,,,"""%1"" %*"

HKCR, scrfile\shell\open\command,,,"""%1"" %*"

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,

HKLM, SOFTWARE\Classes\exefile\DefaultIcon,,,""%1""

HKLM, SOFTWARE\Classes\exefile,,,"Application"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

 

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, Task Manager

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, Manager Task

HKCR, exefile, NeverShowExt

HKCR, CLSID\{10020D75-0000-0000-C000-000000000000}

HKLM, SOFTWARE\Classes\CLSID\{10020D75-0000-0000-C000-000000000000}

 

ð  Simpan dengan nama "repair.inf" pilih Save As Type menjadi All Files

ð  Jalankan repair.inf dengan klik kanan kemudian pilih install

ð  Hapus file yang dibuat oleh virus dengan ciri berikut :

§   Type file "application"

§   Extension "exe"

§   Ukuran 168 kb

ð  Untuk mempermudah proses pencarian file virus gunakan "Search Windows" dengan filter file *.exe yang mempunyai ukuran 168 KB dan date modified pertanggal 7/8/2008 (lihat gambar 10)

Gambar 10. Hapus file virus dengan menggunakan search windows

ð  Selanjutnya hapus "FullHouse Drive" pada Desktop, My Computer dan Contol Panel

Gambar 10. Hapus fullhouse drive pada Desktop, My Computer dan Contol Panel

 

Recovery Folder pada Flash Disk yang telah di Hidden

 

Untuk menampilkan kembali folder yang disembunyikan pada flashdisk. Gunakan perintah "ATTRIB" pada command prompt.

§   Klik "Start"

§   Klik "Run"

§   Ketik "CMD", kemudian tekan tombol "Enter"

§   Pindahkan posisi directori ke drive Flash Disk, misalkan E maka ketik perintah E: lalu tekan "enter"

§   Kemudian ketik perintah ATTRIB –s –h –r /s /d kemudian tekan tombol "enter (lihat gambar 11)

Gambar 11. Menampilkan file yang disembunyikan

 

Salam,

Fa A

info@...

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 3456850

Fx : 021 3456851