Having problems with message search?
Share on Facebook
SmallTroj.BEPS /
EXTR3M3 4
September 2009
Virus (sok) Religius yang
takut Kiamat
Gempa 7,3 skala Richter yang berpusat di
selatan pulau Jawa dan terasa sampai ke Jakarta selama 30 detik memberikan
pengalaman sekali seumur hidup, ada yang bosnya bilang-tenaaaaang… tenaaaaang,
tapi habis itu lari duluan. Ada yang biasanya naik turun tangga saja pelan2
seperti kurang makan dan ngos-ngosan tapi mendadak bisa turun tangga secepat
Gundala Putera Petir :p.
Apakah memang bumi sudah terlalu tua atau
memang hal ini wajar secara ilmiah karena Indonesia memang terletak di pertemuan
lempeng bumi sehingga sangat rawan gempa. Yang terpenting adalah kita sebagai individu
perduli dengan kesusahan sesama.
Informasi
:
Jika
anda ingin berperan membantu korban gempa Tasikmalaya. Dibawah ini adalah beberapa
institusi yang dapat anda gunakan untuk menyalurkan kepedulian anda :
-
Elshinta Peduli
-
BCA, cabang Daan Mogot
-
AC : 1983004494
AN : Elshinta Peduli
-
BII cabang Intercon Kebon Jeruk
AC : 2077372900
AN : Elshinta
Peduli
-
BNI
AC : 194690046
AN : Elshinta Peduli
-
Metrotvnews.com
-
Bank Mandiri Taman Kebun Jeruk – Jakarta
-
AC : 1170000778894
AN : PT.
Media Televisi Indonesia
-
BCA Puri Indah
AC : 2883333888
AN : PT.
Media Televisi Indonesia
-
Dana Kemanusiaan Kompas
-
BCA Gajah Mada
-
AC : 0123005772
AN : Kompas
Media Nusantara
-
Bank Mandiri Plaza Mandiri
AC : 0700077788888
AN : Kompas
Media Nusantara
-
BNI Jakarta Kota
AC : 14132840
AN : Kompas
Media Nusantara
-
Sonora Peduli
-
BCA
-
AC : 0013310090
AN : Sonora
Peduli
Sehubungan dengan gempa Tasikmalaya (bukan
TasikMalaysia … :p) Vaksincom mempostingkan satu virus
SmallTroj.BEPS, virus (sok) religius yang satu ini (lha iya, religius kok bikin
virus nyusahin orang lain) jika anda terinfeksi virus ini, ia akan menampilkan
pesan seperti pada gambar 1 dibawah ini.
Gambar
1, Kutipan pesan yang disampaikan oleh virus Extr3m3
EXTR3M3
Selamat
Datang !
Perhatian
!
Kapan manusia akan sadar ? Insaf kembali kepada jalan
yang benar. Gempa, banjir, Tsunami, bukankah pertanda kiamat? Tapi selain itu,
sekarang banyak tanda-tanda kiamat lain yang sudah terlihat, bahkan akan
terjadi. Jika Anda seorang muslim yang beriman dan bertaqwa kepada Allah SWT.
Kenapa harus takut mencegah perbuatan tercela? Satu orang berbuat maksiat,
semua akan mendapat malapetaka!
Apabila bumi diguncangkan dengan goncangan (yang
dashyat), dan bumi telah mengeluarkan beban-beban berat (yang dikandung)nya,
dan manusia bertanya: Mengapa bumi (menjadi begini)?, pada hari itu bumi
menceritakan beritanya, karena sesungguhnya Tuhanmu telah memerintahkan (yang
sedemikian itu) kepadanya. Pada hari itu manusia ke luar dari kuburnya dalam
keadaan bermacam-macam, supaya diperlihatkan kepada mereka (belasan) pekerjaan
mereka. Barangsiapa yang mengerjakan kebaikan seberat dzarrahpun, niscaya dia
akan melihat (balasan)nya. Dan barangsiapa yang mengerjakan kejahatan
dzarrahpun, niscaya dia akan melihat (balasan)nya pula (QS. Al Zalzalah: 1 - 8)
Virus Sholat
kembali berulang, tidak seperti varian sebelumnya virus ini tidak menampilkan
pesan peringatan Sholat sehingga tidak terlalau mencolok. Virus ini kemungkinan
dibuat dengan menggunakan program Visual Basic Script [VBS] dan untuk
mengelabui user virus ini dikemas dengan
menggunakan converter menjadi file executable [exe] dan merubah type file dari
VBS menajadi EXE serta merubah icon menjadi icon gambar sehingga user tidak
akan terlalu curiga apalagi file tersebut mempunyai nama yang tidak religius [CewekGirls.EXE]
(lihat gambar 3) yang membuat kita penasaran untuk membukanya. Virus ini
mempunyai ukuran sekitar 151 KB
Dengan Update
terbaru Norman Security Suite sudah dapat mendeteksi virus ini sebagai
SmallTroj.BEPS
(lihat gambar 2)
Gambar
2, Hasil Scan Norman Security Suite
Gambar
3, File induk SmallTroj.BEPS
Bagaimana kita mengetahui bahwa komputer terinfeksi
SmallTroj.BEPS?
Virus ini
sebenarnya tidak terlalu sulit dikenali, pada saat kompuer terinfeksi virus ia
akan meninggalkan beberapa jejak diantaranya:
1. Merubah halaman utama [Intenet Explorer] dengan mengakases file
C:\Windows\Help\Log.html
(lihat gambar 1)
2. Merubah judul [Internet Explorer]
menjadi "Kiamat Sudah Dekat ! by – EXTR3M3-
3. Akan menampilkan program kalkulator pada saat menjalankan "notepad.exe"
"rstrui.exe" [system restore] (lihat gambar 4)
Gambar 4, Program yang muncul saat menjalankan "msconfig" atau "system restore"
Apa yang dilakukan oleh SmallTroj.BEPS?
Pada saat file
yang terinfeksi virus ini dijalankan, akan memanggil sebuah image yang berada
di direktori [C:\WINDOWS\Web\Wallpaper\follow.jpg] (lihat gambar 5)
Gambar 5, Gambar yang tampil pada saat menjalankan file virus
Kemudian akan
membuat beberapa file induk yang akan
dijalankan pertama kali pada saat komputer tersebut di nyalakan
§ C:\Documents and Settings\%user%\My Documents\CeweGirls.exe
§ C:\Windows\system32\ulib.dll
§ C:\Windows\system32\atrun.dll
§ C:\Windows\system32\1pconfig.EXE
§ C:\Windows\system32\illegal.vbs
§ C:\Windows\system32\Setup\Admin.dll
§ C:\Windows\system32\cewek.dll
§ C:\Windows\system32\girl.dll
§ C:\Windows\system32\log.wri
Agar file tersebut dapat
dijalankan secara otomatis, ia akan membuat string pada registri editor
berikut:
§ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- services = %systemroot%\system32\1pconfig.EXE
- system = %systemroot%\system32\illegal.vbs
§ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = Explorer.exe "%systemroot%\system32\1pconfig.EXE"
Blok Fungsi Windows
Untuk memperlancar aksinya, ia akan mencoba untuk blok
beberapa fungsi Windows diantaranya:
§ Registry Editor
§ Msconfig
§ Task Manager
§ Folder Option
§ System Restore
§ Menyembunyikan ekstensi File
§ Enable Autorun Windows
§ Notepad
Untuk blok fungsi Windows tersebut, ia akan membuat registry berikut :
§ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoControlPanel = 0
- NoFind = 1
- NoFolderOption = 1
- NoRun = 1
- NoDriveTypeAutoRun = 145
§ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools = 1
- DisabletaskMgr = 1
§ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- HideFileExt = 1
§ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced
- Hidden = 0
§ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- ShowSuperHidden = 0
§ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
- Text = Show hidden files and folders
§ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
- Text = Do not show hidden files and folder
Selain itu ia juga akan merubah beberapa string registry berikut:
§ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- AltDefaultUserName = EXTR3M3
- DefaultUserName = EXTR3M3
§ HKEY_CURRENT_USER\Control Panel\Desktop
- MenuShowDelay = 0
§ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
- Disable = 0
§ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- HideIcons = 0
§ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- FolderContentsInfoTip = 0
§ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
- Text = Hidden files and folders
§ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
- Type = radio
§ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
- Type = radio
Hapus File
Kabar
baiknya, virus ini tidak akan
menghapus file data Anda melainkan hanya menghapus beberapa file bawaan Windows
seperti regedit.exe, msconfig.exe, rstrui.exe [System Restore] dan program
Notepad. Sebagai pengganti ia akan mengganti file yang di hapus [kecuali file
TaskMgr.exe dan Regedit.exe] dengan file
CALC.exe [Kalkulator], sehingga pada saat user menjalankan file [notepad.exe]
dan [rstrui.exe] maka akan muncul program kalkulator tersebut [calc.exe].
Virus ini juga cukup baik dengan menghapus semua file
yang ada di [C:\Wndows\temp]. Untuk mengapus file tersebut ia akan menjalankan
perintah DOS /c Del /s /f /q systemroot\Temp secara
terus menerus dengan membuka aplikasi MS.DOS, hal ini menyebabkan komputer
manjadi tidak stabil dan terkesan hang.
Pesan Moral
Tak lupa SmallTroj.BEPS juga akan meninggalkan pesan
moral untuk mengajak kepada kebaikan dengan membuat pesan yang dituangkan pada
file [C:\Windows\query.log], sayangnya pesan ini tidak akan ditampilkan. Selain
itu ia juga akan menampilkan pesan lain dalam bentuk file HTML, dimana pesan
ini akan langsung ditampilkan pada saat user membuka program [Internet
Explorer], file HTML ini akan di simpan
di direktori [C:\Windows\Help\log.HTML]
Agar pesan tersebut dapat dijalankan setiap kali user
akses [Internet Explorer] ia akan membuat string pada registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Start page =
C:\WINDOWS\Help\log.html
- Window Title = EXTR3M3 -
Lihat gambar 6, Pesan yang akan disampaikan oleh pembuat file [query.log]
Task Scheduler
Virus ini juga dapat aktif secara otomatis dengan cara
membuat jadwal task [Task Scheduler] yang akan menjalankan file virus yang
berada di direktori [C:\Windows\system32\log.wri]. ia akan membuat 7 jadwal
task yang akan di jalankan setiap hari pada waktu-waktu yang telah ditentukan (lihat gambar 7 dan
8)
§ C:\Windows\task
- At1 akan dijalankan setiap jam 1 AM
- At2 akan dijalankan setiap jam 6 AM
- At3 akan dijalankan setiap jam 9 AM
- At4 akan dijalankan setiap jam 1 PM
- AT5 akan dijalankan setiap jam 3 PM
- At5 akan dijalankan setiap jam 6 PM
- At7 akan dijalankan setiap jam 9 PM
Gambar 7, Jadwal Task yang dibuat
oleh Virus
Gambar 8, Properties file Jadwal
Task yang akan di aktifkan
Media Penyebaran
Media Flash Disk masih menjadi "idaman" untuk dapat
menyebarkan dirinya bagi setiap virus khususnya virus lokal. Kali ini ia akan
membuat 2 buah file dengan nama
[Autorun.inf] dan [CewekGirls.exe], file autorun.inf ini sendiri berisi
script untuk menjalankan file [CewekGirls.exe] yang akan di aktifkan secara
otomatis setiap kali user mengakses Flash Disk tersebut dengan memanfaatkan
fitur Autorun Windows dan ke dua file tersebut akan di copykan ke 5 [lima]
drive [drive D-H] .
(lihat gambar 9)
Gambar
9, File Autorun.inf yang memungkinkan dapat menjalankan file virus secara
otomatis
Bagaimana membersihkan SmallTroj.BEPS?
1. Putuskan komputer yang terinfeksi virus dari jaringan
2. Matikan proses virus yang akif di memory.
Sebagai informasi virus ini dibuat dengan program VBS. Virus ini
membutuhkan sebuah file dengan nama WSCRIPT.exe agar dirinya aktif. Oleh karena
itu matikan file WSCRIPT.exe yang aktif dimemori, untuk memastikan proses virus
ini dapat menggunakan tools pengganti Task Manager seperti Proceexp. (lihat gambar 10)
Gambar 10, Mematikan proses virus yang aktif di memory
Silahkan download tools tersebut di alamat url berikut:
http://download.sysinternals.com/Files/ProcessExplorer.zip
3. Hapus string registry yang sudah dibuat oleh virus. Silahkan copy script
berikut pada program [Wordpad], caranya :
(lihat gambar 11)
§ Klik [Start] à [Programs] à [Accessories] à [WordPad]
§ Setelah cript tersebut di copy, simpan dengan cara:
§ Klik [File]
§ Klik [Save]
§ Pada kolom "Save In", tentukan dimana lokasi file tersebut akan di simpan.
§ Pada kolom "File name", isi dengan nama REPAIR.INF
§ Pada kolom "Save As Type", pilih "Text Document"
Gambar 11, Menyimpan file repair.inf
§ Kemudian instal scipt tersebut dengan cara:
- Klik kanan Repair.INF
- Klik Install
Berikut script yang arus di copy
[Version]
Signature="$Chicago$"
Provider=Vaksincom
Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM,
Software\CLASSES\batfile\shell\open\command,,,"""%1""
%*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1""
%*"
HKLM,
Software\CLASSES\exefile\shell\open\command,,,"""%1""
%*"
HKLM,
Software\CLASSES\piffile\shell\open\command,,,"""%1""
%*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe
"%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1""
%*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0,
"about:blank"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0,
"cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0,
"cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
HideFileExt,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN,
text,0, "Do not show hidden files and folders"
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
Text,0, "Show hidden files and folders"
HKCU, Control Panel\Desktop, MenuShowDelay,0, "400"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced,
Hidden ,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
FolderContentsInfoTip, 0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
ShowSuperHidden, 0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,
NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoControlPanel
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp,
Disabled
4. Hapus File virus dengan terlebih dahulu menampilkan file yang disembunyikan (lihat gambar 12)
- Buka Windows Expplorer
- Klik [Tools]
- Klik [Folder Option]
- Klik Tab [View]
- Pilih Opsi "Show Hidden Files and Folders"
- Hilangkan tanda centang pada opsi "Hide Extension for known file types"
- Hilangkan tanda centang pada opsi "Hide Protected Operating System files
(Recommended)"
Gambar 12, Menampilkan file yang tersembunyi
Kemdian hapus file berikut:
§ C:\Documents and Settings\%user%\My Documents\CeweGirls.exe
§ C:\Windows\system32\ulib.dll
§ C:\Windows\system32\atrun.dll
§ C:\Windows\system32\1pconfig.EXE
§ C:\Windows\system32\illegal.vbs
§ C:\Windows\system32\Setup\Admin.dll
§ C:\Windows\system32\cewek.dll
§ C:\Windows\system32\girl.dll
§ C:\Windows\system32\log.wri
§ C:\Windows\Help\log.HTML
§ C:\Windows\query.log
§ C:\Windows\task\AT%1%
Catatan : %1% menunjukan angka [AT1 – AT7]
§ Hapus juga file [Autorun.inf] dan [CewekGirls.exe] yang ada di Drive lain
termasuk Flash Disk
5. Copy ulang file yang telah dihapus oleh virus dari komputer dengan OS yang
sama yang tidak terinfeksi.
- C:\Windows\Regedit.exe
- C:\Windows\System32\Notepad.exe
- C:\Windows\System32\TaskMgr.exe
- C:\WIndows\PCHealth\HelpCtr\Binaries\msconfig.exe
- C:\Windows\system32\restore\rstrui.exe
6. Untuk pembersihan optimal dan mencegah infeksi ulang silakan instal dan
scan dengan antivirus yang up-to-date. Anda juga dapat mendownload
Norman_Malware_Cleaner di alamat (lihat
gambar 13) http://www.norman.com/Virus/virus_definitions_latest/13958/
Gambar 13, Scan Norman Malware Cleaner
Salam,
Aj Tau
Jl. Tanah Abang III /
19E
Jakarta 10160
Ph : 021 3456850
Fx : 021 3456851
Offline 
Send Email