vaksin : Messages : 697-726 of 852

Messages: Show Message Summaries Sort by Date

#697 From: "Alfons" <alfons@...>
Date: Mon Oct 5, 2009 10:17 am
Subject: Separuh Virusku Pergi, Statistik Virus September 2009 5 Oktober 2009 vaksincom
Send Email

http://www.vaksin.com/2009/1009/virus0909/stat0909.htm

Statistik Virus September 2009 5 Oktober 2009

Separuh Virusku Pergi

Kalau mau dicari lagu apa yang cocok dengan penyebaran malware di bulan September 2009, bukan lagu "Puspa" atau "Batal Kawin", melainkan lagu "Separuh Jiwaku Pergi". Tetapi yang pergi kali ini bukan separuh jiwa, tetapi separuh virus dan tidak berakhir duka, tetapi berakhir lega. Mengapa ? Karena ternyata penyebaran virus di Indonesia bulan September 2009 memang pergi separuhnya dibandingkan dengan bulan Agustus 2009.

Insiden virus di bulan September 2009 mengalami penurunan signifikan dibandingkan dengan insiden bulan-bulan sebelumnya. Menurut pantauan dari Norman Network Protector (NNP), dibandingkan dengan bulan Agustus, insiden virus di bulan September mengalami penurunan 53 %. Hal ini juga dikuatkan oleh data insiden virus harian dimana pada traffic internet yang melewati Datautama bahkan ada hari dimana tidak ditemukan adanya virus dimana hal ini tidak pernah terjadi selama bulan Agustus dan bulan-bulan sebelumnya. Yang menarik adalah NNP yang berhasil mendeteksi adanya Trojan PHP/C99Shell.R yang menginfeksi salah satu situs pemerintah. Walaupun situs tersebut tidak dipasangi NNP, tetapi karena pelanggan ISP yang dilindungi NNP dan melakukan browsing ke situs tersebut, NNP mendeteksi bahwa situs tersebut terinfeksi virus Trojan dan langsung menghentikan akses ke file yang dicurigai bervirus pada situs tersebut (tanpa memblok akses ke situs tersebut).

Penurunan insiden virus karena libur Lebaran

Walaupun virus sebenarnya tidak mengenal hari libur, namun terbukti bahwa insiden virus di bulan September 2009 (lihat gambar 1) mengalami penurunan sangat signifikan dibandingkan dengan bulan Agustus 2009.(lihat gambar 2) Penurunan yang terjadi adalah sekitar 53 % dimana pada bulan September insiden virus yang dihentikan oleh NNP pada adalah sebanyak 34.795 menurun signifikan dibandingkan bulan Agustus sebanyak 74.011 insiden.

Gambar 1, Insiden Virus September 2009 menurut pantauan NNP di Datautama

Gambar 2, Insiden Virus bulan Agustus 2009

Apa sebenarnya yang menyebabkan turunnya infeksi virus di bulan September 2009 ? Menurut pantauan NNP, hal ini terjadi karena turunnya aktivitas browsing secara keseluruhan dan khususnya pada saat libur lebaran yang turun sangat signifikan seperti yang terlihat pada gambar 3 dimana pada tanggal 19 s/d 27 September 2009 tidak ada insiden virus sama sekali. Jadi bukan karena separuh virus pulang kampung ikut arus mudik melainkan karena memang aktivitas internet yang menurun pada bulan September 2009 dan secara paralel menyebabkan penyebaran virus menurun secara signifikan.

Gambar 3, Penurunan infeksi virus terjadi karena libur Lebaran 19 � 27 September 2009

Hal ini tidak terjadi pada bulan-bulan sebelumnya, dimana sebagai perbandingan pada bulan Agustus 2009 selama sebulan penuh tidak pernah sepi dari insiden virus dan setiap hari selalu ada insiden virus yang dihentikan oleh NNP. (lihat gambar 4)

Gambar 4, Setiap hari selalu ada virus dihentikan oleh NNP selama bulan Agustus 2009 dan sebelumnya

Data statistik yang dikumpulkan melalui email statistik virus Vaksincom dari pengguna Norman di seluruh Indonesia menunjukkan virus Alman masih menempati peringkat teratas virus yang dihentikan oleh Norman di Indonesia diikuti oleh Conficker, Autorun, Sality dan IE Title. IE Title yang merupakan virus VBS yang menginfeksi Internet Explorer mengalami peningkatan dan perlu di waspadai. Autorun yang banyak variannya merupakan buatan lokal makin memusingkan karena variannya yang bertambah dengan kecepatan luarbiasa sehingga menyulitkan banyak program antivirus yang paling terkenal sekalipun untuk dapat mendeteksi virus ini dengan cepat dan baik karena tidak memiliki akses terhadap sample baru dari Autorun tersebut. Vaksincom dengan perwakilan yang tersebar di lebih dari 27 kota di seluruh Indonesia http://www.vaksin.com/reps.htm tidak pernah berhenti mengumpulkan varian virus baru setiap hari dan di dukung oleh laboratorium virus di Jakarta menjadikan Norman sebagai salah satu antivirus mancanegara yang dapat mendeteksi varian Autorun terbaru lebih cepat dari antivirus lain yang tidak memiliki support dan laboratorium virus lokal.

Virus Online, PHP/C99Shell

Sedangkan virus yang menyebar melalui browsing dan dihentikan oleh NNP, masih di dominasi oleh Onlinegames, Smalltroj dan Agent. Satu hal yang menarik adalah dihentikannya Trojan PHP/C99Shell.R pada satu situs milik pemerintah pada tanggal 28 September 2009 (lihat gambar 5). Sebenarnya secara langsung, Trojan PHP/C99Shell.R "hanya" merupakan pertanda adanya backdoor yang telah di tanam pada satu situs (web server) dan Trojan ini sendiri tidak bisa menginfeksi komputer biasa (non webserver). Tetapi yang menjadi masalah adalah dengan adanya backdoor (pintu belakang) pada satu situs berarti pengamanan situs tersebut telah berhasil ditembus dan pengunjung situs tersebut rentan terhadap ancaman, karena mudah sekali untuk menanamkan malware pada situs yang telah berhasil ditanami backdoor dan hal itulah yang menjadikan situs berbahaya untuk dikunjungi oleh pengguna biasa.

Gambar 5, Salah satu situs pemerintah memiliki kelemahan Trojan/C99Shell.r

Untuk memastikan adanya kode berbahaya, Vaksincom melakukan pengamatan lebih jauh pada halaman awal website tersebut, dan telihat bahwa halaman awal website mengandung link ke situs-situs porno Turki (lihat gambar 6 dan 7)

Gambar 7, Pada akhir situs, terdapat hidden link ke situs-situs porno Turki seperti www.sikisinlan.com yang tentunya sangat tidak pantas terdapat pada page awal Badan Pemerintah.

Ketika paga tersebut di save baik sebagai txt maupun html, Norman Security Suite langsung mendeteksi file tersebut sebagai Trojan: PHP/C99Shell.R (lihat gambar 8)

Gambar 8, Norman Security Suite mendeteksi Trojan: PHP/C99Shell.R

Salam,

Aa Tan

PT. Vaksincom

info@...

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 6851

Reply | Messages in this Topic (1)

#698 From: "Alfons" <alfons@...>
Date: Mon Oct 12, 2009 2:51 am
Subject: W32/Alman (W32/Almanahe) 9 Oktober 2009, I Love you sharing FULL tanpa password vaksincom
Send Email

http://www.vaksin.com/2009/1009/alman/alman.htm

W32/Alman (W32/Almanahe) 9 Oktober 2009

I Love you sharing FULL tanpa password

Kalau Mbah Surip bilang I Love You FULL, maka Alman juga akan bilang I Love You Full, khususnya bagi anda yang melakukan sharing folder di jaringan secara FULL Access (alias tanpa password). Virus jawara di Indonesia ini (nomor 2 paling banyak menyebar menurut statistik malware Vaksincom Agustus 2009) mengincar semua folder di jaringan yang dishare secara full tanpa password.

Jika sebelumnya kita disibukkan dengan penyebaran virus lokal sehingga terlena dengan virus racikan mancanegara, kini tengah santer menyebar virus yang dapat menginjeksi semua file yang mempunyai ekstensi EXE. Virus ini dapat menyebar dengan cepat melalui jaringan dengan memanfaatkan folder yang mempunyai share "Full" dan memanfaatkan "Default Share" [C$/D$/ADMIN$] selain itu virus ini juga akan menyebar dengan memanfaatkan Flash Disk dengan menginjeksi semua file EXE yang ada dan membuat file [boot.exe] dan [autorun.inf] yang berfungsi agar dirinya dapat aktif secara otomatis setiap kali user mengakses Flash Disk. Agar tidak diketahui user kedua file ini akan di sembunyikan.

Walaupun ia berusaha untuk menginfeksi file yang mempunyai ekstensi EXE tetapi ada beberapa lokasi folder yang tidak akan di infeksi yakni file yang berada di direktori dibawah ini serta bebarapa file tertentu.

- \LOCAL SETTINGS\TEMP

- \QQ

- \Windows

- \Winnt

Agar virus ini susah di hapus ia akan menyemarkan dirinya sebagai sebuah service yang akan menginfeksi sebuah file library [.dll] dari file [explorer.exe] serta memantau koneksi internet yang kemudian akan mengunduh malware lainnya dari alamat yang telah ditentukan dan secara otomatis akan menjalankan file tersebut. Virus ini dibuat dengan menggunakan program bahasa "Microsoft Visual C ++ 6.0".

Dengan update terbaru Norman Security Suite sudah dapat mendeteksi virus ini sebagai W32/Alman. (lihat gambar 1)

Gambar 1, Hasil deteksi Norman sebagai W32/Alman

Drop File

Pada saat virus ini aktif, ia akan membuat beberapa file induk yang akan di jalankan pertama kali setiap kali komputer aktif, salah satu dari file yang dibuat ini akan aktif sebagai service windows sehingga mempersulit pada saat pembersihan:

� C:\Windows\linkinfo.dll

� C:\Windows\System32\drivers\LsDrv118.sys

� C:\Windows\system32\drivers\nvmini.sys

� C:\Windows\System32\drivers\cdralw.sys

� C:\Windows\System32\drivers\riodrvs.sys

� C:\Windows\System32\drivers\DKIs6.sys

Registry

Agar dirinya dapat aktif secara otomatis, ia akan membuat dirinya seolah-olah merupakan service Windows dengan terlebih dahulu membuat string pada registry berikut:

- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%file%]

o "DisplayName" = "NVIDIA Compatible Windows Miniport Driver"

o "ImagePath" = "%system%\drivers\%file%.sys"

- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%]

o "NextInstance" = 1

- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%\0000]

o "Service" = "%file%"

o "Legacy" = 1

o "ConfigFlags" = 0

o "Class" = "LegacyDriver"

o "ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"

o "DeviceDesc" = "%file%"

- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%\0000\Control]

o "NewlyCreated" = 0

o "ActiveService" = "%file%"

- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%file%

o "DisplayName" = "RioDrvs Usb Driver"

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\%file%

o DisplayName" = "RioDrvs Usb Driver"

Catatan:

%file% ini berbeda-beda yang terdiri dari salah satu file dibawah ini:

- Nvmini

- Cdralw

- RioDrvs

Mematikan program/Aplikasi/Malware

W32/Alman juga akan mencoba untuk mematikan dan menghapus beberapa program/apalikasi/malware/library (dll file) salah satu file dibawah ini:

- c0nime.exe

- cmdbcs.exe

- ctmontv.exe

- explorer.exe

- fuckjacks.exe

- iexpl0re.exe

- iexplore.exe

- internat.exe

- logo_1.exe

- logo1_.exe

- lsass.exe

- lying.exe

- msdccrt.exe

- msvce32.exe

- ncscv32.exe

- nvscv32.exe

- realschd.exe

- rpcs.exe

- run1132.exe

- rundl132.exe

- smss.exe

- spo0lsv.exe

- spoclsv.exe

- ssopure.exe

- svhost32.exe

- svch0st.exe

- sxs.exe

- sysbmw.exe

- sysload3.exe

- tempicon.exe

- upxdnd.exe

- wdfmgr32.exe

- wsvbs.exe

- dllwm.dll

- dllhosts.dll

- notepad.dll

- rpcs.dll

- rdihost.dll

- rdfhost.dll

- reshost.dll

- lgsym.dll

- rund11.dll

- midddsccrt.dll

- wsvbs.dll

- cmdb.dll

- richdll.dll

- wininfo.rxk

- windhcp.dll

- upxdhnd.dll

Ia juga akan blok proses dari software antirootkit atau network filter dibawah ini:

- SPUBDRV

- ISDRV1

- RKREVEAL

- PROCEXP

- SAFEMON

- RKHDRV10

- NPF

- IRIS

- NPPTNT

- DUMP_WMIMMC

- SPLITTER

- EAGLENT

Media penyebaran (Flash Disk/Network)

Virus ini menyebar cukup cepat dengan memanfaatkan media Flash Disk atau Disket serta menyebar melalui jaringan.

Untuk menyebar memalui Flash Disk/Disket, ia akan membuat 2 buah file yakni boot.exe dan autorun.inf. virus ini akan aktif secara otomatis setiap kali Flash Disk tersebut dihubungkan ke komputer atau pada saat user akses ke Flash Disk tersebut. File autorun.inf ini berisi script untuk menjalankan file boot.exe. Selain meembuat 2 file tersebut, ia juga akan menginfeksi semua file yang mempunyai ekstensi EXE.

Sedangkan untuk menyebar melalui jaringan, ia akan menginfeksi semua file EXE yang ada di folder yang di sharing yang mempunyai akses "Full". Selain itu ia juga akan mencoba untuk mengakses drive lokal pada komputer target (C:\) dengan menggunakan username administrator serta mencoba beberapa password berikut:

- admin

- 1

- 111

- 123

- Aaa

- 12345

- 123456789

- 654321

- !@#$

- qsdf

- asdfgh

- !@#$%

- !@#$%^

- !@#$%^&

- !@#$%^&*

- !@#$%^&*(

- !@#$%^&*()

- qwer

- admin123

- love

- test123

- owner

- mypass123

- root

- letmein

- qwerty

- abc123

- password

- monkey

- password1

Jika berhasil di tembus, ia akan drop dan menjalankan satu file dengan nama setup.exe pada drive C:\.

Download malware

W32/Alman juga akan mencoba untuk mengirimkan beberapa informasi dari komputer yang telah terinfeksi serta mengirimkan informasi tentang keberadaan driver dari software security dibawah ini ke pembuat virus

- Hooksys

- KWatch3

- KregEx

- KLPF

- NaiAvFilter1

- NAVAP

- AVGNTMGR

- AvgTdi

- nod32drv

- PavProtect

- TMFilter

- BDFsDrv

- VETFDDNT

Virus ini juga akan mencoba untuk mendownload malware lain dari alamat yang telah ditentukan dan menjalankan nya seperti:

pic.imrw0rldwide.com
soft.imrw0rldwide.com
tj.imrw0rldwide.com

Rakus menginfeksi file EXE

Target selanjutnya yang dilakukan adalah mencoba untuk menginfeksi semua file yang mempunyai ekstensi EXE yang tidak diproteksi oleh "System File Checker (SFC)".

Walaupun demikian tidak semua file EXE akan di infeksi oleh Alman termasuk file yang merupakan file System Windows dan file yang di proteksi oleh "System File Checker Windows (SFC)", biasnya W32/Alman akan menginfeksi file program atau file installer serta file portable. Berikut beberapa lokasi yang tidak akan di incar oleh W32/Alman:

- ..\LOCAL SETTINGS\TEMP

- ..\QQ

- ..\Windows

- ..\Winnt

Serta beberapa file yang mempunyai salah satu nama dibawah ini:

- launcher.exe

- repair.exe

- wow.exe

- wooolcfg.exe

- woool.exe

- ztconfig.exe

- patchupdate.exe

- trojankiller.exe

- xy2player.exe

- flyff.exe

- xy2.exe

- au_unins_web.exe

- cabal.exe

- cabalmain9x.exe

- cabalmain.exe

- meteor.exe

- patcher.exe

- mjonline.exe

- config.exe

- zuonline.exe

- userpic.exe
main.exe

- dk2.exe

- autoupdate.exe

- dbfsupdate.exe

- asktao.exe

- sealspeed.exe

- xlqy2.exe

- game.exe

- wb-service.exe

- nbt-dragonraja2006.exe

- dragonraja.exe

- mhclient-connect.exe

- hs.exe

- mts.exe

- gc.exe

- zfs.exe

- neuz.exe

- maplestory.exe

- nsstarter.exe

- nmcosrv.exe

- ca.exe

- nmservice.exe

- kartrider.exe

- audition.exe

- zhengtu.exe

Cara membersihkan W32/Alman

1. Sebaiknya disconnect komputer yang akan di bersihkan dari jaringan

2. Disable "System Restore" selama proses pembersihan berlangsung agar pembersihan bisa optimal [Windows XP/2003/Vista], caranya : (lihat gambar 2)

� Buka [Windows Explorer]

� Klik kanan [My Computer]

� Klik [Properties]

� Klik tabulasi [System Restore]

� Centang opsi [Turn off System Restore on all drives]

� Klik [Apply]

� Klik [OK]

Gambar 2, Disable System Restore

3. Sebaiknya lakukan pembersihan pada mode "safe mode"

4. Matikan service virus yang aktif dimemory [jika ditemukan] dengan cara:

� Klik [Start menu]

� Klik [Run]

� Ketik "services.msc" [tanpa tanda kutip], pada dialog box [RUN] kemudian klik tombol [OK]

� Cari services virus dengan nama "NVIDIA Compatible Windows Miniport Driver" atau "RioDrvs Usb Driver"

� Kemudian klik menu [Action] --> [Properties]

� Klik tombol [Stop]

� Pada bagian [Startup Type], pilih [Manual].

� Klik [OK]

Matikan juga file yang aktif di memory dengan nama LINKINFO.DLL dengan menggunakan program "Task Manager" jika ditemukan.

5. Hapus registry Windows yang sudah dibuat oleh virus. Untuk mempermudah proses penghapusan, silahakn salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:

� Klik kanan [repair.inf]

� klik [Install]

[Version]

Signature="$Chicago$"

Provider=Vaksincom FULL

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

[del]

HKLM, Software\Microsoft\Internet Explorer\Main, Window Title

HKLM, SYSTEM\ControlSet001\Services\RioDrvs

HKLM, SYSTEM\ControlSet001\Services\cdralw

HKLM, SYSTEM\ControlSet001\Services\nvmini

HKLM, SYSTEM\CurrentControlSet\Services\RioDrvs

HKLM, SYSTEM\CurrentControlSet\Services\nvmini

HKLM, SYSTEM\CurrentControlSet\Services\cdralw

HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RIODRVS

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_RIODRVS

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini

HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_cdralw

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_cdralw

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini

6. Hapus file yang di drop oleh virus di direktori:

� C:\Windows\linkinfo.dll

� C:\Windows\System32\drivers\lsDrv118.sys

� C:\Windows\system32\\drivers\nvmini.sys

� C:\Windows\System32\\drivers\cdralw.sys

� C:\Windows\System32\drivers\riodrvs.sys

� C:\Windows\System32\drivers\DKIs6.sys

Hapus juga file Boot.exe dan autorun.inf yang dibuat di Flash Disk

Catatan:

Sebalum menghapus file tersebut, sebaiknya tampilkan terlebih dahulu file yang disembunyikan dengan cara : (lihat gambar 3)

� Buka [Windows Explorer]

� Klik menu [Tools]

� Klik [Folder Option]

� Klik tabulasi [View]

� Pilih opsi [Show hidden files and folders]

� Uncheck pilihan [Hide protected operating system files (recommended)]

� Klik [Apply]

� Klik [Ok]

Gambar 3, Menampilkan file yang tersembunyi

7. Scan dengan menggunakan Norman Malware Cleaner, silahkan download Norman Malware Cleaner dengan di alamat berikut:

http://www.norman.com/support/support_tools/58732/en-us

Sebelum menjalankan file tersebut sebaiknya ganti ekstensi Norman Malware Cleaner dari EXE manjadi COM agar tools tersebut tidak di injeksi oleh W32/Alman.

8. Untuk pembersihan optimal install scan dengan antivirus yang up-to-date dan sudah dapat mengenali virus ini dengan baik.

Silahkan download antivirus Norman free trial di alamat berikut

http://download.norman.no/nss/NormanSecuritySuite_710x86_ENG_R16.msi

Tips dan Trik:

1) Install semua komputer dengan antivirus yang dapat terupdate secara otomatis dan pastikan antivirus yang terinstall dapat berjalan dengan baik.

2) Agar komputer tidak terinfeksi kembali virus W32/Alman, buat folder kosong dengan nama dibawah ini dan ubah attribut file tadi menjadi SYSTEM, Hidden dan Read Only. (lihat gambar 4)

a. C:\Windows\linkinfo.dll

b. C:\Windows\system32\drivers\LsDrv118.sys

c. C:\Windows\system32\drivers\nvmini.sys

d. C:\Windows\system32\drivers\cdralw.sys

e. C:\Windows\System32\drivers\riodrvs.sys

f. C:\Windows\System32\drivers\DKIs6.sys

Gambar 4, Membuat file dummy

3) Jika komputer terhubung jaringan sebaiknya pastikan semua komputer sudah bersih dari virus W32/Alman, karena akan mengakibatkan komputer yang sudah bersih akan terinfeksi kembali.

4) Sebaiknya tidak melakukan share folder dengan akses Full atau share folder yang diperlukan saja dan disable "Default Share" [C$, D$, ADMIN$] jika tidak digunakan.

Silahkan salin cript dibawah ini pada program notepad kemudian simpan dengan nama DisableDEFAULT_SHARE.inf, kemudian jalankan file tersebut denga cara:

a. Klik kanan DisableDEFAULT_SHARE.inf

b. Klik [Install]

-------------------" awal script " --------------------------------------------------

[Version]

Signature="$Chicago$"

Provider=Vaksincom FULL

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0x00010001,0

HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0x00010001,0

-------------------" akhir script " -------------------------------------------------

5) Sebaiknya disable autorun Windows agar W32/Alman tidak dapat aktif secara otomatis saat user mengakses Drive/Flash Disk

Silahkan salin cript dibawah ini pada program notepad kemudian simpan dengan nama DisableAUTORUN.inf, kemudian jalankan file tersebut denga cara:

a. Klik kanan DisableDEFAULT_SHARE.inf

b. Klik [Install]

-------------------" awal script " --------------------------------------------------

[Version]

Signature="$Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

-------------------" akhir script " -------------------------------------------------

6) Agar virus ini tidak mengcopy file boot.exe dan autorun.inf ke Flash Disk sebaiknya buat folder kosong dengan nama yang sama, kemudian set attribut kedua fiolder tersebut menjadi SYSTEM/HIDDEN/READ ONLY, caranya : (lihat gambar 5)

a. Klik menu [Start]

b. Klik [Run]

c. Pada dilag box RUN, ketik CMD kemudian tekan tombol "Enter"

d. Setelah muncul layar DOS PROMPT, pindahkan posiis kursor ke lokasi Flash Disk, contoh jika Flash Disk adalah Drive [D:\] maka ketik D: kemudian tekan tombol "Enter"

e. Kemudian ketik perintah MD Autorun.inf kemudian klik tombol "Enter"

f. Ketik perintah MD Boot.exe, kemudian klik tombol "Enter"

g. Untuk meruba attribut ke dua file tersebut ketik perintah

o ATTRIB +S +h +r Autorun.inf kemudian tekan tombol [Enter]

o ATTRIB +S +h +r Boot.inf kemudian tekan tombol [Enter]

Gambar 5, Membuat folder dummy untuk mengelabui user

7) Jika diperlukan dan untuk mencegah penyebaran virus melalui Flash Disk sebaiknya blok eksekusi file aplikasi yang ada di Flash Disk [tidak dapat menjalankan file yang mempunyai ekstensi EXE/COM/BAT/PIF/LNK/SCR/VBS/INF/REG/]. Fitur ini hanya ada pad Windows XP Proffesional, Windows Vista/Windows 2003 dan Windows 2008.

Berikut cara untuk blok eksekusi file yang ada pada Flash Disk

o Klik menu [Start]

o Klik [Run]

o Ketik "secpol.msc" [tanpa tanda kutip]

o Pada layar [Local Security Policy], klik [Software restriction policies]

o Klik kanan pada [software restriction policies] dan pilih [Create new policies].

o Kemudian klik kanan di [Additional Rule], dan pilih [New Path Rule] (lihat gambar 6)

Gambar 6, Secpol

o Pada Kolom Path, masukkan drive dimana aplikasi di dalamnya tidak dapat dieksekusi. Karena kebanyakan malware menular dari flash disk, sebaiknya ketik drive di mana flash disk berada. Misalnya, jika flash disk ada di drive G maka ketikkan G:\ (lihat gambar 7)

Gambar 7

o Di Security Level pilih [Disallowed]

o Pilih OK dan restart komputer.

Salam,

Adang Juhar Taufik

info@...

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 3456850

Fx : 021 3456851

Reply | Messages in this Topic (1)

#699 From: "Alfons" <alfons@...>
Date: Tue Oct 20, 2009 1:44 am
Subject: W32/OnlineGames.JGEV 19 Oktober 2009, Diam-diam jagoan vaksincom
Send Email

http://vaksin.com/2009/1009/onlinegames/onlinegames.html

Share

W32/OnlineGames.JGEV 19 Oktober 2009

Diam-diam jagoan

Game Halo 2 dalam sehari mencatat penjualan 125 juta dolar, mengalahkan pendapatan film Spiderman yang dalam 3 hari menghasilkan 115 juta dolar. Dari kejadian di tahun 2007 tersebut tentunya kita semua setuju bahwa industri game (mainan) sudah tidak bisa dianggap main-main lagi. Lihat saja game populer seperti Ragnarok, Warcraft dan yang ditunggu-tunggu Starcraft II mampu membius pemainnya seakan-akan berada di dunianya sendiri. Mass multiplayer game online seperti World of Warcraft mampu menembus jumlah pemain online aktif 10 juta di seluruh dunia pada bulan Januari 2008, lebih banyak dari jumlah seluruh penduduk Singapura.

Ada gula ada semut, seperti kata pepatah, selain menarik banyak pemain online yang jika ingin bermain harus membayar biaya berlangganan dan menghabiskan banyak waktu untuk meningkatkan karakter kemampuan karakter yang dimainkannya. Ternyata hal ini juga mengundang pihak-pihak yang tidak bertanggungjawab yang ingin mencuri karakter yang dimiliki oleh pemain World of Warcraft dengan membuat virus yang berfungsi sebagai trojan dan keylogger. Dan kabar buruknya, selain mencuri data World of Warcraft, virus yang disebarkan juga memiliki aksi mencuri data account Yahoo dan Google.

Menurut pantauan Vaksincom baik dari data infeksi di komputer client dan traffic ISP yang di hentikan oleh NNP (Norman Network Protector), virus dengan nama W32/OnlineGames ini selalu menempati peringkat tinggi dalam penyebaran virus di Indonesia dan bahkan pada bulan Agustus 2009 menjadi virus nomor satu mengalahkan penyebaran virus Alman dan Conficker.

Jika anda termasuk salah satu pengguna game online maka anda perlu berhati-hati, karena telah menyebar berbagai varian trojan game online. Anda dapat melihat statistik update trojan ini pada alamat http://www.vaksin.com/2009/0809/virus0709/stat0709.htm.

Norman mendeteksi salah satu varian trojan ini sebagai W32/OnlineGames.JGEV. (lihat gambar 1)

Gambar 1, Norman mendeteksi sebagai W32/OnlineGames.JGEV

Pencuri Informasi

Secara umum, beberapa varian trojan OnlineGames hanya digunakan untuk mencuri informasi account pemain game online yang kemudian akan dikirimkan ke link URL (Uniform Resources Locator) terenkripsi yang dituju oleh trojan tsb. Untuk W32/OnlineGames.JGEV ini bukan hanya informasi account game online, tetapi beberapa account lain yang juga ikut dicuri. Pada beberapa varian trojan sebelumnya hanya mengincar beberapa game online seperti World of Warcraft (WOW), Perfect World dan Cabal Online. Trojan ini juga mencari beberapa account yang tercatat pada script file trojan tsb yaitu :

- Worldofwarcraft.com

- Woweurope.com

- Battle.net

- Yahoo.com

- Google.com

Trojan menggunakan aktifitas keylogging yang tujuan awalnya untuk mendapatkan username dan password dari game online. Pada perkembangannya trojan juga mencari informasi yang berusaha didapatkan berdasarkan script yang mengandung string sebagai berikut :

- file

- complete

- accountName

- text

- password

- email

- login

- passwd

- Email

- Passwd

Tentunya akan sangat berbahaya jika yang berhasil didapatkan merupakan data penting seperti username dan password pada rekening bank, kartu kredit dan lainnya yang dicuri dan dikirimkan ke link URL pembuat trojan tsb.

Cara Penyebaran

Banyak cara yang coba dilakukan untuk menjebak korbannya untuk menjalankan trojan. Beberapa hal yang dilakukan sebagai berikut :

- Posting pada forum umum, kemudian memberikan link file untuk didownload. (lihat gambar 2)

Gambar 2, Topik umum & link trojan yang diberikan untuk didownload.

- Link untuk mendownload flash player, padahal yang didownload dan dijalankan adalah trojan. (biasanya dengan pop-up tertentu) lihat gambar 3.

Gambar 3, Link download trojan yang dipalsukan sebagai flash player

- Posting link pada forum game sebagai FAQ (Frequently Asked Question) dari game tsb, ataupun dengan memberikan pertanyaan tentang beberapa hal pada game yang disertakan link, hingga yang membuat link tentang adanya patch terbaru pada game tertentu.

Gambar 4, Link download trojan yang dipalsukan sebagai FAQ.

- Mengirim e-mail yang disertakan link ataupun attachment tertentu.

- File sharing pada jaringan, biasanya berbentuk file executable/application.

File Virus

File trojan yang didownload dan dijalankan dibuat dengan menggunakan bahasa C++. Setelah link maupun attachment tersebut berhasil dijalankan oleh user (baik secara disengaja maupun tidak), maka akan membuat beberapa file pada system sebagai berikut : (lihat gambar 5)

- C:\Program Files\Manson (membuat folder "Manson")

- C:\Program Files\Manson\liser.exe (60 kb)

- C:\Program Files\Manson\liser.dll (24 kb)

Gambar 5, File virus yang dibuat dan aktif

Registry Windows�

Agar dapat aktif pada saat menjalankan Windows, trojan membuat string registry pada :

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Kell = C:\Program Files\Manson\liser.exe

Selain itu, trojan mengubah string registry pada :

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

AppInit_DLLs = c:\progra~1\Manson\liser.dll

Cara Pembersihan Virus�

- Matikan System Restore (XP/ME) (pada saat digunakan)

- Matikan proses virus. Gunakan Windows Task Manager untuk mematikan proses virus. (gambar 6)

Gambar 6, Kill Process virus

Lakukan End Process pada file virus yang aktif (liser.exe)

- Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oeyy

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Kell

Gunakan notepad, kemudian simpan dengan nama "Repair.inf" (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

- Hapus file virus (liser.exe & liser.dll) secara manual, yaitu pada folder "C:\Program Files\Manson" atau dapat menggunakan tools Norman Malware Cleaner. Anda dapat mendownload pada link berikut (lihat gambar 7)

http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

Gambar 7, Scan virus dengan Norman Malware Cleaner

- Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.

Blok Akses Trojan

Bagi anda yang tidak ingin data penting anda hilang ataupun dicuri sebaiknya jangan sampai terinfeksi trojan ini. Oleh karena itu sebaiknya hindari ekseskusi maupun instalasi pada program maupun software yang tidak anda kenal. Berhati-hati pada forum-forum tertentu yang menyediakan link-link yang mencurigakan / tidak anda yakini keabsahannya.

Khusus untuk perusahaan dengan komputer dalam jaringan yang banyak, Vaksincom menyarankan anda melakukan filter IP-IP yang mencurigakan. Hasil filtering menggunakan NNP yang dilakukan Vaksincom pada traffic ISP di Indonesia mengkonfirmasikan bahwa W32/OnlineGames merupakan ancaman yang nyata yang harus diwaspadai saat ini (lihat gambar 8)

Gambar 8, W32/OnlineGames termasuk sebagai virus yang paling banyak dihentikan oleh NNP di bulan Agustus 2009

salam,

Ad Sap (Adi Saputra)

info@...

PT. Vaksincom

Jl. Tanah Abang III / 19 E

Jakarta 10160

Ph : 021 3456850

Fx : 021 3456851

Reply | Messages in this Topic (1)

#700 From: "Alfons" <alfons@...>
Date: Wed Oct 21, 2009 3:29 am
Subject: Trojan: W32/SmallTroj.PUDN, 21 Oktober 2009, Tak Gendong CD Rom dan MS Word vaksincom
Send Email

http://vaksin.com/2009/1009/cdrom-virus/cdrom-virus.html

Share

Trojan: W32/SmallTroj.PUDN 21 Oktober 2009

Tak Gendong CD Rom dan File MS Word anda

Ini kali ke dua virus yang akan mempermainkan CDROM setelah kemunculan virus lainnya yakni [SmallTroj.QFBU]. Perbedaan yang mencolok adalah pada script yang dibuat untuk membuka CDROM. Pada virus SmallTroj.QFBU, script untuk membuka CDROM berada pada tubuh virus itu sendiri hal ini memberikan keuntungan yakni selama virus ini masih akif dimemori maka ia akan dengan leluasa untuk selalu membuka CD ROM tersebut, berbeda dengan virus SmallTroj.PUDN ini yang akan mengandalkan file lain dengan memanfaatkan file [C:\Windows\System32\WSCript.exe] dan tidak tergantung pada file induk untuk membuka CD ROM tersebut, tetapi dari hasil pengetesan hal ini tidak berjalan sesuai dengan yang diharapkan karena file script tersebut membutuhkan file pemicu lain untuk menjalankankan isi dari script tersebut, file pemicu inilah yang "mungkin" terlupakan atau dilupakan oleh sang pembuat virus. Apapun yang dilakukan oleh kedua virus ini yang jelas perbuatan ini sangat merugikan pengguna komputer apalagi bagi mereka yang awam. Ingin tahu apalagi yang akan dilakukan oleh virus SmallTroj.PUDN, mari kita ikuti penelurusan Laboratorium Virus Vaksincom J

Made in VB

Meskipun sekarang sudah jaman Blackberry, tetapi sebenarnya market leader tetap Nokia yang masih mendapatkan predikat ponsel sejuta umat. Sama dengan VB, siapa bilang VB sudah di tinggalkan, buktinya masih banyak virus lokal yang dibuat dengan menggunakan bahasa pemrograman sejuta umat ini, selain mudah dipelajari banyak orang yang menguasai dan sudah banyak situs-situs yang membahas program VB ini, dengan sedikit modifikasi dari "tangan-tangan jahil" maka lahirkan sebuah program yang "mematikan" yang disebut virus, salah satu virus yang dibuat dengan menggunakan program bahasa VB adalah SmallTroj.PUDN. Untuk memperkecil ukuran dan mempersulit untuk membongkar isi body virusnya, pembuat virus akan mengkompres dengan menggunakan program UPX. File sebelum di kompres akan mempunyai ukuran sekitar 92 KB dan setelah di kompres akan menyusut menjadi sekiatr 41 KB. Untuk mengelabui user ia akan menggunakan icon notepad, tetapi jika kita tampilkan file tersebut secara detail, maka akan terlihat bahwa file tersebut mempuyai type file sebagai "Application" dengan ekstensi "EXE" (lihat gambar 1)

Gambar 1, File induk virus

Dengan update terbaru Norman Security Suite mendeteksi sebagai Trojan: W32/SmallTroj.PUDN (lihat gambar 2)

Gambar 2, Hasil deteksi Norman Security Suite

Apa yang akan dilakukan setelah menginfeksi?

Setelah user menjalankan file yang terinfeksi SmallTroj, maka pertama kali ia akan membuat file [wmdrtl32_.vbs] di folder dimana file virus tersebut dijalankan dengan atribut [system, hidden, read only, arsip], kemudian akan membuat beberapa file induk yang akan dijalankan pertama kali saat komputer dinyalakan yakni:

c:\Windows\wmdrtl32_.exe
c:\xMr. Jabluntz.exe [semua drive], x menunjukan karakter acak
c:\wmdrtl32_.vbs [semua drive]
C:\Autorun.inf
C:\ a_Video Hot.exe
C:\Windows\System32\wmdrtl32_.vbs
C:\Windows\System32\autorun.inf

Agar file tersebut dapat dijalankan secara otomatis saat komputer dinyalakan, ia akan membuat string pada registry berikut:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\wmdrtl32_
- c:\windows\wmdrtl32_.exe
HKCU\software\microsoft\windows\shellnoroam\MUICache\wmdrtl32_
- c:\windows\wmdrtl32_.exe

Virus ini juga akan aktif saat user mengakses setiap drive atau folder [C:\Windows\system32] dengan memanfaatkan fitur autorun windows dengan membuat file [autorun.inf] yang akan menjalankan file [a_VideoHot.exe]

Blok akses fungsi Windows

Agar dirinya tidak mudah di "basmi", ia akan mencoba untuk blok beberapa fungsi windows "standar" seperti

Task Manager
Run
Find [Search]
Folder Options [Tidak dapat menampilkan file yang disembunyikan]
CMD [Command]

Untuk melakukan hal tersebut ia akan membuat beberapa registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoRun
- NoFind
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegedit
- DisableRegistryTools
- DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- HideFileExt = 1
- SuperHidden = 0
- Show SuperHidden = 0
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
- DisableCMD
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
- NOHIDDEN = DefaultValue,0x00010001,2
- SHOWALL = DefaultValue,0x00010001,1

Delete Antivirus

SmallTroj.PUDN juga akan mencoba untuk menghapus file yang ada di direktori instalasi antivirus [C:\Program Files], berikut beberapa antivirus yang menjadi incaran SmallTroj.PUDN

- C:\Program Files\Norton AntiVirus\*.*

- C:\Program Files\Kaspersky Lab\*.*

- C:\Program Files\Eset\*.*

- C:\Program Files\WinRAR\*.*

- C:\Program Files\Symantec\*.*

- C:\Program Files\Norman\*.*

- C:\Program Files\PCMAV\*.*

- C:\Program Files\AV\*.*

- C:\Norman\*.*

SmallTroj.PUDN akan mencoba untuk mematikan beberapa software tertentu dengan menjalankan perintah taskkill /f /im. Berikut beberapa program yang akan di matikan oleh SmallTroj.PUDN

taskkill /f /im winamp.exe
taskkill /f /im taskmgr.exe
taskkill /f /im egui.exe [Eset Smart Security]
taskkill /f /im ekrn.exe [Eset Smart Security]

Selain itu SmallTroj.PUDN juga akan mencoba untuk melakukan koneksi ke sejumlah situs security khususnya anti virus dan beberapa situs porno berikut :

www.bitdefender.com
www.pcmedia.com
www.mcafee.com
www.kaspersky.com
www.symantec.com
www.norton.com
www.norman.com
www.nod32.com
www.vaksin.com
www.islamiah.com
www.kaskus.com
www.virologi.info
www.altavista.com
www.playboy.com
www.google.com
www.yahoo.com
www.yahoo.co.id
www.google.co.id

Merubah Jendela IE

Setiap kali user membuka program Internet Explorer, secara otomatis halaman utama akan di direct ke suatu halaman friendster yang telah ditentukan yakni [http://www.friendster.com/Ace270388?]. Halaman ini telah diset dengan merubah registry berikut (lihat gambar 3)

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
- Start page = http://www.friendster.com/Ace270388?

Gambar 3, Halaman IE yang sudah diganti oleh SmallTroj.PUDN

Sama seperti yang dilakukan oleh virus VBS/Cript.A, yang akan menyertakan link pembasmi virus ini dengan nama [Antivirus.exe], yang ternyata jika link [antivirus.exe] tersebut kita "klik" maka akan menampilkan alamat url [http://www.dinamikasolusi.co.nr] yang berisi informasi "bagaimana cara membuat antivirus dengan VB" ops promosi lagi nih J.

Untuk melakukan hal ini ia akan membuat file di direktori [C:\Windows\help.html] dan merubah string pada registry berikut : (lihat gambar 4 dan 5)

HKCU\Software\Microsoft\Internet Explorer\Main\Local Page
- Local page = C:\Windows\help.htm

Gambar 4, Alamat "gadungan" untuk mengelabui user

Gambar 5, Alamat promosi yang akan ditampilkan oleh Virus

Membuka CD/DVD ROM

Smalltroj.PUDN juga akan melakukan hal serupa seperti yang pernah dilakukan oleh virus SmalTroj.QFBU, yakni akan membuka CD ROM dengan membuat [wmdrtl32_.vbs], file ini akan dibuat di setiap drive dan di direktori [C:\Windows\System32] dengan atribut [System, Hidden, Read Only dan Arsip]. Agar script tersebut dapat dijalankan ia membutuhkan file pendukung lain yakni [C:\Windows\System32\WSCript.exe]. Tetapi script ini tidak berjalan dengan baik mungkin karena tidak file pemicu [contoh: autorun.inf] untuk menjalankan script ini sehingga CD ROM anda akan aman. (lihat gambar 6)

Gambar 6, Script yang berisi perintah untuk membuka CD ROM

Menyembunyikan file TXT dan DOC [Ms.Word]

Tujuan akhir dari virus ini adalah akan mencari file yang mempunyai ekstensi TXT dan DOC disemua drive dan menyembunyikannya inilah yang menyebabkan perfomance komputer akan terasa lebih lambat dibandingkan sebelumnya. Untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan dengan ciri-ciri : (lihat gambar 7)

Menggunakan icon TXT, sehingga user beranggapan bahwa file asli telah di hapus
Mempunyai ekstensi TXT.exe [jika file yang disembunyikan adalah TXT] dan DOC.exe [jika file yang disembunyikan adalah file DOC, ekstensi EXE ini akan disembunyikan
Mempunyai ukuran 41 KB

Gambar 7, File duplikat Virus

Untuk menyempurnakan aksi ini dan untuk mempermudah dalam mengelabui user, ia akan menyembunyikan ekstensi kedua dari file duplikat ini [EXE] dengan membuat string pada registry berikut : (lihat gambar 8)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- HideFileExt = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
- NOHIDDEN = DefaultValue,0x00010001,2
- SHOWALL = DefaultValue,0x00010001,1

Gambar 8, Ekstensi file yang disembunyikan

Aksi lain yang akan dilakukan oleh SmallTroj.PUDN adalah akan menyebabkan file explorer menjadi crash pada saat user melakukan pengkopian file / folder dengan memunculkan pesan error berikut : (lihat gambar 9)

Gambar 9, Pesan error saat kopi file / folder

Media Penyebaran

Flash Disk masih menjadi "primadona" untuk menyebarkan dirinya, begitupun yang dilakukan oleh SmallTroj dengan cara menyembunyikan file yang mempunyai ekstensi TXT dan DOC dan membuat file duplikat dengan ciri-ciri:

Menggunakan icon TXT, sehingga user beranggapan bahwa file asli telah di hapus
Mempunyai ekstensi TXT.exe [jika file yang disembunyikan mempunyai ekstensi TXT] dan DOC.exe [jika file yang disembunyikan mempunyai ekstensi DOC], ekstensi EXE ini akan disembunyikan
Mempunyai ukuran 41 KB

Cara membasmi SmallTroj.PUDN

Nontaktifkan "System Restore" selama proses pembersihan
Matikan proses virus yang aktif dimemori, untuk mempermudah dalam mematikan proses virus tersebut gunakan tools pengganti task manager seperti ProceeXP atau CurrProses.

Silahkan download tools CurrProses di alamat berikut:

http://www.brothersoft.com/currprocess-download-32083.html

Setelah di download jalankan tools tersebut kemudian cari dan matikan proses virus yang aktif di memori. Matikan proses virus yang mempunyai icon TXT (lihat gambar 10)

Gambar 10, Mematikan proses virus

Fix registry Windows yang telah diubah/dibuat oleh SmallTroj.PUDN. Untuk mempercepat proses perbaikan ini silahkan salin script dibawah ini pada program Notepad kemudian simpan dengan nama [repair.inf]. Jalankan file tersebut dengan cara:

Klik kanan [repair.inf]
Klik [Install]

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, CheckedValue,0x00010001,2

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, DefaultValue,0x00010001,2

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue,0x00010001,2

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,1

HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0x00010001,0

HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0x00010001,0

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

[del]

HKCU, Software\Microsoft\Internet Explorer\Main, Start Page

HKCU, Software\Microsoft\Internet Explorer\Main, Local Page

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, wmdrtl32_

HKCU, software\microsoft\windows\shellnoroam\MUICache, wmdrtl32_

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegedit

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,ShowSuperHidden

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, NOHIDDEN

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, SHOWALL

Hapus file virus yang mempunyai ciri-ciri
1. Icon TXT
2. Ukuran file 41 KB
3. Ekstensi .TXT.EXE dan DOC.exe

Sebelum menghapus file tersebut, sebaiknya tampilkan terlebih dahulu file yang tersembunyi dengan melakukan perubahan pada Folder Options, seperti yang terlihat pada gambar 11 dibawah ini :

Gambar 11, Menampilkan file yang tersembunyi

Untuk mempermudah proses pencarian, silahkan gunakan fitur Find [Search] kemudian cari dan hapus file dengan ciri-ciri di atas. (lihat gambar 12)

Gambar 12, Mencari dan menghapus file virus

Hapus juga file berikut:

c:\windows\wmdrtl32_.exe
c:\xMr. Jabluntz.exe [semua drive], x menunjukan karakter acak
c:\wmdrtl32_.vbs [semua drive]
C:\Windows\system32\wmdrtl32_.vbs
C:\autorun.inf [semua drive]
C:\Windows\System32\autorun.inf
C:\a_Video Hot.exe [semua drive]

Tampilkan file dengan ekstensi TXT dan DOC yang disembunyikan dengan cara : (lihat gambar 13)
1. Klik menu [Start]
2. Klik menu [Run]
3. Pada dialog box RUN, ketik CMD
4. Pada dos prompt, pindahkan kursor ke lokasi yang akan periksa, contohnya [C:\]
5. Kemudian ketik perintah ATTRIB �s �h �r *.TXT /s /d [untuk menampilkan file txt] dan ATTRIB �s �h �r *.DOC /s /d [Untuk menampilkan file dengan ekstensi *.DOC]

Gambar 13, Menampilkan file yang disembunyikan

Untuk pembersihan optimal dan mencegah infeksi ulang, silahkan instal dan scan dengan antivirus yang up-to-date.

Anda juga dapat menggunakan removal tools Norman Malware Cleaner dengan mendownload di alamat berikut : (lihat gambar 14)

http://www.norman.com/support/support_tools/58732/en-us

Gambar 14, Hasil deteksi Norman Malware Cleaner

Salam,

Aj Tau

info@...

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 3456850

Fx : 021 3456851

Reply | Messages in this Topic (1)

#701 From: "Alfons" <alfons@...>
Date: Tue Oct 27, 2009 3:07 am
Subject: Trojan: W32/VBTroj.VNE (Rieysha), harus dibasmi di Mini PE vaksincom
Send Email

http://vaksin.com/2009/1009/rieysha/rieysha.html

Trojan: W32/VBTroj.VNE (Rieysha)

sayang kapan kamu kembali ke indonesia?

apa kamu kembali dengan hatimu yang dulu?

Jika komputer anda menampilkan pesan notepad dengan nama file "system32pesan_dari_rieysha.txt" sebagai berikut (lihat gambar 1) :

sayang kapan kamu kembali ke indonesia?

apa kamu kembali dengan hatimu yang dulu?

by:rieysha

Anda jangan buru-buru senang atau GR, apalagi anda buru-buru kembali ke Indonesia. Karena anda bukan mendapatkan pesan dari Rieysha, melainkan komputer anda terinfeksi virus W32/VBTroj.VNE.

Gambar 1, Pesan yang ditampilkan virus Rieysha

Begitu pula jika pesan tersebut muncul di file MS Word anda dengan nama "system32pesan.doc" dengan pesan (lihat gambar 2) :

yanx kapan kamu balik?

aku sudah kangen berat nih

kenapa sih mesti pergi jauh dariku

apa kamu kembali dengan hatimu yang dulu

apa aku akan merasakan kehangatan cinta yang dulu

Setelah sebelumnya muncul virus dengan nama W32/VBTroj.AOQB atau lebih dikenal dengan nama virus Nadia Saphira yang merupakan reinkarnasi dari virus Donal Bebek, kini telah muncul virus baru dengan nama W32/VBTroj.VNE atau lebih dikenal dengan nama virus [Rieysha]. Virus ini juga menggunakan nama acak untuk menamai filenya, salah satunya adalah ikut2an mencatut nama NadiaSafira.exe sebagai nama filenya. Namun jika dilihat dari aksinya virus reinkarnasi Rieysha yang satu ini lebih ganas dibandingkan virus Nadia Saphira W32/VBTroj.AOQB.

Untuk informasi lebih jauh mengenai virus Nadia Saphira, klik url berikut:

http://www.vaksin.com/2009/0509/nadia%20saphira/nadia%20saphira.html

Virus ini dibuat dengan menggunakan bahasa Borland Delphi dengan ukuran sekitar 228 KB dan jika dilihat dari pesan yang akan ditampilkan oleh pembuat virus, kemungkinan virus ini berasal dari kota Gudeg tempat asal Mang Engking. Kalau Mang Engking sukses buka restoran dengan menu Udang Galah, maka virus jebolan [Rieysha] ini juga sukses merepotkan korbannya seperti pada virus W32/Delf.DCDW yang pernah dibuat sebelumnya.

Virus ini lebih mudah di ketahui hanya dengan melihat icon dari file yang menyertainya, yakni menggunakan icon gambar dengan rupa seorang gadis bersanggul seperti terlihat pada gambar dibawah ini : (lihat gambar 3)

Gambar 3, Icon yang akan menyertai file virus

Ciri-Ciri komputer yang terinfeksi

Mengganti tampilan walpaper/desktop

Ciri-ciri yang dapat dikenali dari virus ini adalah dimana virus ini akan menutup desktop/wallpaper dengan wallpaper dirinya yang berisi pesan error, dengan digantinya walpaper ini maka user sudah tidak bisa mengakses komputer tersebut, jadi pembersihan hanya dapat dilakukan pada mode "DOS" atau dengan menggunakan software lain seperti "Mini PE"

Merubah format penanggalan dari PM/AM menjadi [Rieysha]
Merubah nama Organisasi dan pemilik OS menjadi

- RegisteredOrganization = kamu kembali

- RegisteredOwner = sayang kapan

Disable beberapa fungsi Windows seperti

o Disable Task Manager

o Menyembunyikan menu ShutDown komputer

o Menyembunyikan Drive

o Mengaktifkan fungsi Autorun, agar virus dapat aktif secara otomatis pada saat user mengakses Drive/Flash Disk

o Menyembunyikan fungsi pencarian file/folder [Search]

o Menyembunyikan [Folder Options]

o Menyembunyikan [Run]

o Menyembunyikan [Start Menu Programs]

Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai W32/VBTroj.VNE (lihat gambar 4)

Gambar 4, Norman Security Suite mendeteksi virus Rieysha baru sebagai Trojan: W32/VBTroj.VNE

File induk virus

Pada saat virus ini aktif ia akan mencoba untuk membuat file induk yang cukup banyak mencapai lebih dari 200 file di setiap direktori yang telah ditentukan dengan nama file acak yakni :

o Root Drive [C:\ atau D:\]

o C:\Windows

o C:\Windows\system32

o C:\Documents and Settings\%user%\Application Data%angka%Admin.exe

[Contoh: Application Data90Admin.exe]

o C:\Documents and Settings\%user%\Local Settings\Application Data%angka%r13y5h4ku.exe

[Contoh: Application Data90r13y5h4ku.exe]

o C:\Documents and Settings\%user%\Start Menu\Programs\Startup%angka%AVG Test Center.exe

[Contoh: Startup90AVG Test Center.exe] 26 files

File yang akan dibuat ini akan mempunyai ciri-ciri : (lihat gambar 5)


Menggunakan icon Ukuran File 228 KB Type file "Application" Ekstensi EXE

Gambar 5, Contoh file virus yang dibuat Rieysha

File induk virus

Virus ini juga akan membuat file di direktori :

o C:\CeweNakal.scr

o C:\Windows

- Oemlogo.pif

- Taksman.com

- system32folder.htt

- system32desktop.ini

- system32pesan_dari_rieysha.txt

- system32pesan.doc

- system32Autorun.inf

- system32pesanku.bat

- system32pesanQ.htm

- system32klikAku.bat

- system32klik2kali.bat

- system32rieysha.jpg

o C:\Documents and Settings\win321.exe

o C:\WINDOWS\Web\Printers\Write.exe

o C:\WINDOWS\Web\download.exe

o C:\Windows\Cursors\newCursor.exe

o C:\Windows\Debug\adminMode.exe

o C:\Windows\Font\rieyshaTrueType.exe

o C:\Windows\Help\userhelping.exe

o C:\Windows\java\packet.exe

o C:\Windows\Media\newmedia.exe

o C:\Windows\msagent\agentkvr.exe

o C:\Windows\registration\registy.exe

o C:\Windows\repair\setup.exe

o C:\windows\tasks\newScedule.exe

o C:\windows\system32\win34.exe

o C:\WINDOWS\system\oeminfo.exe

o C:\Windows\softwaredistribution\downloads.exe

o C:\Program Files\Internet Explorer

- hacker.exe

- IEfree.exe

o D:\puisi.txt [semua drive]

Registry

Agar salah satu dari sekian banyak file yang dibuat ini dapat dijalankan saat komputer dinyalakan, ia akan merubah beberapa registry berikut:

HKCU\Softawre\microsoft\Windows\currentVersion\Run

- r13y5h4.exe = C:\WINDOWS\r13y5h4.exe

HKLM\Software\microsoft\WindowsNT\CurrentVersion\Winlogon

- Shell = C:\windows\system32\win34.exe

- userinit = C:\windows\system32\win34.exe

Untuk memperkuat pertahanannya ia akan mencoba untuk mematikan beberapa fungsi windows seperti :

- Disable Task Manager

- Menyembunyikan menu [ShootDown komputer]

- Menyembunyikan Drive

- Menyembunyikan fungsi pencarian [Search]

- Menyembunyikan [Folder Options]

- Menyembunyikan [Run]

- Menyembunyikan [Start Menu Programs]

- Blok [Explorer]

Dengan terlebih dahulu membuat string pada registry berikut:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

- Explorer

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- NoClose

- NoDrives

- NoDriveTypeAutoRun

- NoFind

- NoFolderOptions

- NoRun

- NoStarMenuMorePrograms

- NoViewOnDrive

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableCMD

- DisableRegistryTools

- DisableTaskMgr

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- NoCLose

- NoControlPanel

- NoDrives

- NoFind

- NoFolderOptions

- NoLOgoff

- NoRun

- NoSetFolders

- NoTrayContextMenu

- NoViewOnDrive

- NoWindowsUpdate

- StartMenuLogOff

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System

- NoDispCPL

- DisableRegistryTools

- DisableTaskMgr

Aktif pada mode "safe mode" dan "safe mode with command prompt"

Virus ini juga akan aktif walaupun komputer booting pada mode "safe mode" atau "safe mode with command prompt" sehingga semakin mempersulit peroses pembersihan dengan membuat sring pada regustry berikut.

HKLM\Software\microsoft\WindowsNT\CurrentVersion\Winlogon

- Shell = C:\windows\system32\win34.exe

- userinit = C:\windows\system32\win34.exe

HKLM\System\ControlSet001\COntrol\safeboot

- AlternateShell = r13y5h4.exe

HKLM\System\CurrentControlSet\COntrol\safeboot

- AlternateShell = r13y5h4.exe

Jejak sang Virus

Rupanya bukan cuma Riyani Jangkaru saja yang dapat meninggalkan "jejak petualangan" nya tetapi virus pun bisa meninggalkan jejak agar di lebih dikenal. Berikut beberapa jejak yang akan di tinggalkan oleh W32/VBTroj.VNE

- Merubah format penanggalan dari AM/PM menjadi "rieysha" (lihat gambar 6)

Gambar 6, Aksi virus Rieysha mengganti tulisan AM/PM

Untuk merubah format penanggalan ini, W32/VBTrojVNE ini akan merubah string pada registry:

HKCU\Control Panel\International

- s1159 = rieysha

- s2359 = rieysha

Merubah nama pemilik Windows (lihat gambar 7)

- RegisteredOrganization = kamu kembali

- RegisteredOwner = sayang kapan

Gambar 7, Nama pemilik Windows yang diubah oleh virus

Untuk merubah format penanggalan ini, W32/VBTroj.VNE ini akan merubah string pada registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

- RegisteredOrganization = kamu kembali

- RegisteredOwner = sayang kapan

- Merubah halaman utama [Start page] Internet Explorer menjadi [http://h1.ripway.com/anharku]

Untuk merubah halaman web ini, W32/VBTrojVNE ini akan merubah string pada registry:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

- http://h1.ripway.com/anharku

Pesan sang petualang

Pada saat menginjakan kakinya di komputer target, W32/VBTroj.VNE akan menorehkan beberapa pesan yang ditujukan kepada "pujaan hati" nya, dalam bentuk file yang akan disimpan di direktori [C:\Windows], berikut beberapa pesan yang akan di buat oleh virus ini terlihat dalam gambar 1 dan 2 di atas.

- system32pesan_dari_rieysha.txt

- system32pesan.doc

- system32pesanku.bat

- system32pesanQ.htm

Media Penyebaran

Untuk mempercepat penyebaranya, ia akan memanfaatkan media Flash Disk dengan membuat file induk dengan nama file acak. Agar virus ini dapat aktif secara otomatis ia akan membuat 3 (tiga) buah file untuk menjalankan salah satu file induk [film.exe] secara otomatis. (lihat gambar 8, 9 dan 10)

- C:\Windows\system32\system32folder.htt

- C:\Windows\system32\system32desktop.ini

- C:\Windows\system32\system32Autorun.inf

Gambar 8, Script Autorun.inf

Gambar 9, Script Folder.htt

Gambar 10, Script Desktop.ini

Menguasai komputer

Dari sekian aksi yang dilakukan di atas, virus ini mempunyai satu tujuan yakni untuk menguasai komputer target dengan cara memblok agar user tidak dapat mengakses komputer sebelum virus tersebut dibersihkan. Untuk melakukan hal ini ia akan mengganti wallpaper/desktop dengan wallpaper dirinya yang berisi pesan Error serta menampilkan pesan-pesan lainnya. Oleh karena itu pembersihan melalui "safe mode" atau "safe mode with command prompt" pun tidak akan mampu menyingkirkan virus ini kecuali jika pembersihan dilakukan pada mode "DOS" atau menggunakan software lain, contohnya dengan menggunakan Windows Mini PE [www.minipe.org] (lihat gambar 11)

Gambar 11, Pesan error yang akan menutupi layar monitor

Cara membersihkan W32/VBTroj.VNE

Karena virus ini tidak bisa di bersihkan baik pada mode "safe mode" atau "safe mode with command prompt" maka sebaiknya pembersihan dilakukan pada mode DOS atau dengan menggunakan software lain seperti Bart PE atau Mini PE dimana pembersihan ini dapat dilakukan secara manual atau dengan menjalankan removal tools [jika sudah mengenali]

Untuk pembersihan kali ini, kita akan menggunakan software Mini PE, silahkan download tools tersebut di alamat www.minipe.org, kemudian burn ke CD dan booting komputer dengan menggunakan CD tersebut. Setelah berhasil booting dengan menggunakan CD tersebut lakukan langkah pembersihan selanjutnya. (lihat gambar 12)

Gambar 12, Tampilan Mini PE

Hapus file virus di drive

Gunakan tools [Windows explorer] untuk memudahkan dalam mencari dan menghapus file induk virus.

- Klik [miniPE2XT]

- Klik [Programs]

- Klik [File Management]

- Klik [Windows Explorer]

Kemudian hapus file berikut:

o [C:\] atau Drive lain termasuk Flash disk

o C:\Windows

o C:\Windows\system32

o C:\Documents and Settings\%user%\Application Data%angka%Admin.exe

[Contoh: Application Data90Admin.exe]

o C:\Documents and Settings\%user%\Local Settings\Application Data%angka%r13y5h4ku.exe

[Contoh: Application Data90r13y5h4ku.exe]

o C:\Documents and Settings\%user%\Start Menu\Programs\Startup%angka%AVG Test Center.exe

[Contoh: Startup90AVG Test Center.exe] 26 files

o C:\Documents and Settings\win321.exe

o C:\WINDOWS\Web\Printers\Write.exe

o C:\WINDOWS\Web\download.exe

o C:\Windows\Cursors\newCursor.exe

o C:\Windows\Debug\adminMode.exe

o C:\Windows\Font\rieyshaTrueType.exe

o C:\Windows\Help\userhelping.exe

o C:\Windows\java\packet.exe

o C:\Windows\Media\newmedia.exe

o C:\Windows\msagent\agentkvr.exe

o C:\Windows\registration\registy.exe

o C:\Windows\repair\setup.exe

o C:\windows\tasks\newScedule.exe

o C:\windows\system32\win34.exe

o C:\WINDOWS\system\oeminfo.exe

o C:\Windows\softwaredistribution\downloads.exe

o C:\Program Files\Internet Explorer

hacker.exe

IEfree.exe

Catatan:

Hapus file virus yang mempunyai ciri-ciri:

- Menggunakan icon

- Ukuran 228 KB

- Type file "Application"

- Ekstensi EXE

Untuk mempercepat pencarian sebaiknya menggunakan tools pencarian [Search], caranya:

- Buka [Windows Explorer]

- Klik tombol [Search]

- Pada kolom "Search for files or folders names" isi dengan format *.exe

- Pada kolom "Look in:" pilih drive yang akan di periksa

- kKik opsi [Search Options >>]

- Pilih opsi "Size"

� Pilih "At most"

� Isi 229

- Klik opsi "Advanced Options"

� Pilih opsi "Search System folders"

� Pilih opsi "Search hidden files and folders"

� Pilih opsi "Search subfolders"

- Klik tombol "Search Now" untuk memulai pencarian

- Kemdian hapus file virus yang berhasil ditemukan sesai dengan ciri-ciri yang telah disebutkan di atas.

Hapus juga file berikut:

- C:\CeweNakal.scr

- C:\Windows

� Oemlogo.pif

� TAKSMAN.com

� system32folder.htt

� system32desktop.ini

� system32pesan_dari_rieysha.txt

� system32pesan.doc

� system32Autorun.inf

� system32pesanku.bat

� system32pesanQ.htm

� system32klikAku.bat

� system32klik2kali.bat

� system32rieysha.jpg

- D:\Puisi.txt

Hapus/edit kembali registry yang sudah diubah virus

o Masih di Mini PE, klik

o Klik MiniPE2XT]

o Klik [Programs]

o Klik [Avast! Registry Editor]

o Klik [Registry Editor]

o Setelah muncul layar [Select File With Registry], klik tombol [Load selected OS registry], jika muncul layar konfirmasi, klik tombol [OK] (lihat gambar 13)

Gambar 13, Menentukan lokasi [C:\Windows] yang akan di remote

o Kemudian cari dan ubah registry berikut:

- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

� Klik 2x pada string [Shell], kemudian pada kolom "string value data" ubah menjadi [explorer.exe], Kemudian klik tombol [OK]

� Klik 2x pada string [Userinit], kemudian pada kolom "string value data" ubah menjadi [%System%:\userinit.exe,], Kemudian klik tombol [OK]

Catatan:

%system% ini berbeda-beda:

� [C:\Windows\system32] � Windows XP/2003

� [C:\Winnt\system32] � Windows 2000

- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Run

� Hapus string [r13y5h4.exe]

- _LOCAL_MACHINE_SYSTEM\ControlSet001\Control\SafeBoot

� Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]

- _LOCAL_MACHINE_SYSTEM\ControlSet002\Control\SafeBoot

� Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]

- _LOCAL_MACHINE_SYSTEM\CurrentControlSet\Control\SafeBoot

� Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]

- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies, kemudian hapus string berikut:

� Explorer

- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, kemudian hapus string berikut:

� NoClose

� NoDrives

� NoDriveTypeAutoRun

� NoFind

� NoFolderOptions

� NoRun

� NoStarMenuMorePrograms

� NoViewOnDrive

- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, kemudian hapus string berikut:

� DisableCMD

� DisableRegistryTools

� DisableTaskMgr

- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, kemudian hapus string berikut:

� NoCLose

� NoControlPanel

� NoDrives

� NoFind

� NoFolderOptions

� NoLOgoff

� NoRun

� NoSetFolders

� NoTrayContextMenu

� NoViewOnDrive

� NoWindowsUpdate

� StartMenuLogOff

- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, kemudian hapus string berikut:

� NoDispCPL

� DisableRegistryTools

� DisableTaskMgr

- _LOCAL_MACHINE_SOFTWARE\Microsoft\WindowsNT

� Pada string [RegisteredOrganization] ubah "string value data" sesuai dengan keinginan Anda

� Pada string [RegisteredOwner] ubah "string value data" sesuai dengan keinginan Anda

- _USER_%user%Software\Microsoft\Windows\CurrentVersion\Run

� Hapus string [r13y5h4.exe]

- _User_%user%\Software\Microsoft\Internet Explorer\Main

� Pada string [Start Page] ubah "string value data" menjadi [about:blank]

- _User_%user%\Control Panel\International

� Pada string [s1159] ubah "String value data" menjadi [AM]

� Pada string [s2359] ubah "string value data" menjadi [PM]

Restart komputer
Fix ulang registry untuk memastikan semua registry sudah di perbaiki, silahkan copy script dibawah ini pada program "notepad" kemudian simpan dengan nama repair.inf

Catatan

Jalankan file repair.inf ini setelah komputer restart

Berikut script yang harus di copy

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, Control Panel\Desktop, Wallpaper,0,

HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"

HKCU, Control Panel\International, s1159,0, "AM"

HKCU, Control Panel\International, s2359,0, "PM"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Classes\exefile,,,application

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

[del]

HKCU, Softawre\microsoft\Windows\currentVersion\Run, r13y5h4.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies, explorer

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRecentDocsMenu

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoViewContextMenu

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStarMenuMorePrograms

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoControlPanel

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFind

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoLogoff

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoRun

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoSetFolders

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoTrayCOntextMenu

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoWindowsUpdate

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStartMenuLogoff

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispCPL

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableRegistryTools

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableTaskMgr

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

Restart komputer, kemudian login tanpa menggunakan CD Mini PE
Jalankan repair.inf untuk membersihkan registry yang sudah di buat/diubah oleh virus caranya:

o Klik kanan repair.inf

o Klik Install

Untuk pembersihan optimal dan mencegah infeksi ulang, silahkan scan dengan antivirus yang up-to-date atau dengan menggunakan removal tools. Anda dapat menggunakan Normal Malware Cleaner dengan mendownload di alamat berikut:

http://www.norman.com/support/support_tools/58732/en

salam,

Aj Tau

info@...

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 3456850

Fx : 021 3456851

Reply | Messages in this Topic (1)

#702 From: "Alfons" <alfons@...>
Date: Tue Nov 3, 2009 5:13 am
Subject: Facebook Virus (Bredolab) 1/2 3 November 2009 vaksincom
Send Email

http://vaksin.com/2009/1109/facebook/facebook.html

Facebook Virus

Facebook Virus (Bredolab) 1/2 3 November 2009

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Thanks,

The Facebook Team

Apapun aplikasi yang paling populer akan menarik perhatian orang, baik yang beritikad baik maupun yang beritikad buruk. Ambil contoh virus PC yang mayoritas mengganas di OS Windows karena memang OS tersebut yang paling populer. Contoh lain adalah virus ponsel dimana notabene saat ini ponsel yang paling menjadi incaran virus adalah ponsel dengan OS Symbian, alasannya jelas, karena ponsel dengan OS Symbian merupakan market leader di dunia ponsel. Kalau sekarang ditanya, selain kedua OS di atas, apa hal yang paling populer di jagad maya ini ? Tentunya anda akan setuju kalau dikatakan Facebook. Rupanya bukan cuma kita saja yang tahu kalau Facebook merupakan aplikasi yang paling populer, pembuat virus juga tahu. Karena itu virus-virus yang memanfaatkan kepopuleran Facebook mulai bermunculan. Sebut saja Koobface yang walaupun penyebarannya tidak terlalu tinggi sudah menjadi indikasi bahwa Facebook mulai "diperhitungkan" oleh para kriminal internet untuk menjadi sarana mencapai tujuannya. Dimasa depan, Vaksincom memperkirakan aplikasi-aplikasi jahat yang mengeksploitasi Facebook akan makin marak, karena itu bila anda pengguna Facebook, ada baiknya untuk lebih berhati-hati. Saat ini, sedang marak beredar trojan yang disebarkan memanfaatkan rekayasa sosial seakan-akan datang dari administrator Facebook dan jika diaktifkan ia akan mendownload antivirus palsu atau yang lebih dikenal dengan istilah scareware. Untuk informasi lebih jauh silahkan simak artikel Vaksincom dibawah ini.

Banyaknya penguna Facebook ini menjadikan celah baru bagi para pembuat virus untuk menyebarkan virus dengan memanfaatkan rekayasa sosial, jika kita tidak waspada sudah tentu virus ini akan dapat menyebar dengan sukses di jagat maya khususnya di komunitas Facebook, seperti contoh virus yang sedang menyebar saat ini. Kami menyebutnya virus Facebook atau Norman mendeteksi sebagai W32/Obfuscated.D2!gen. Kenapa disebut virus Facebook ? Karena mempunyai ciri dimana virus ini akan mengincar korban para pengguna internet khususnya bagi mereka yang mempunyai account Facebook, dengan dalih untuk keamanan saat ber-Facebook-ria mereka (pembuat virus) mengirimkan sebuah email yang akan datang seolah-olah dari "Admin Facebook" yang attachment untuk mereset password Facebook yang telah ada sebelumnya, karena datangnya dari admin Facebook maka sudah tentu mereka akan mempercayai email tersebut (daripada account Facebooknya di blokir :p), alhasil bukannya Facebook anda aman tetapi komputer anda akan dijadikan sebagai server zombie untuk menyebarkan spam ke alamat yang ia dapat dan menyebarkan dirinya dengan mengirimkan email yang seolah-olah berasal dari "Admin Facebook" dengan menyertakan sebuah attachment yang mengandung virus. Jadi harap berhati-hati, tetap pantau perkembangan virus dan tetaplah ber-facebook-ria.... asal tidak menggangu pekerjaan J.

Apakah cukup sampai disitu??, ternyata tidak .. ibarat pribahasa "sudah jatuh tertimpa tangga ��. di gigit anjing lagi", ternyata ia juga akan mendownload scareware / antivirus palsu yang menyamarkan dirinya sebagai antispyware dengan nama "Security Tools" yang akan terinstall secara otomatis kedalam system komputer yang telah terinfeksi. Antispyware palsu ini akan menampilkan peringatan palsu juga seolah-olah system anda sudah terinfeksi virus dengan menampilkan sederetan nama-nama virus / trojan serem yang berhasil dideteksi (tetapi sebenarnya file/virus tersebut tidak ada), jika user mencoba untuk melakukan aksi pembersihan dengan menggunakan software palsu tersebut maka ia akan menampilkan layar agar user melakukan pembelian software tersebut, jika muncul hal ini sebaiknya Anda abaikan saja karena anda tidak akan mendapatkan software antispyware tersebut. (lihat gambar 1)

Gambar 1, Security Tools, spyware yang menyamar sebagai program Antispyware

Email yang dikirimkan oleh virus Facebook ini akan mempunyai ciri-ciri berikut : (lihat gambar 2)

Gambar 2, Contoh email yang akan di kirimkan oleh virus

File yang di sertakan dalam email tersebut mempunyai ukuran sekitar 24 KB (ZIP) atau 30 KB (exe), file dalam bentuk exe akan mempunyai icon MS.Excel dengan type file sebagai "Application" (lihat gambar 3)

Gambar 3, File induk virus

Dengan update terbaru Norman Security Suite mendeteksi virus tersebut sebagai W32/Obfuscated.D2!genr sedangkan untuk file [reader_s.exe] dikenali sebagai W32/Pandex.YE. Dengan teknologi Sandbox Norman Security Suite juga mengenali varian baru dari virus ini [possible new, unknown virus] seperti yang terlihat pada gambar 4 dibawah ini :

Gambar 4, Hasil deteksi Norman Security Suite

Jika file tersebut di jalankan ia akan membuat beberapa file induk yang akan di jalankan pertama kali pada saat komputer dinyalakan:

C:\Documents and Settings\%user%\reader_s.exe
C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
C:\WINDOWS\system32\reader_s.exe
C:\Windows\system32\wbem\proquota.exe
C:\windows\system32\sdra64.exe
C:\Windows\system32\lowsec

- local.ds

- user.ds

- user.ds.lll

C:\Documents and Settings\Elvina\Application Data\wiaservg.log

Registry

Virus ini tidak banyak bermain dengan registri karena tujuannya adalah untuk mendownload scareware yang "jika" berhasil dijalankan akan merubah segambreng regisrti, walaupun demikian ia akan tetap mencoba untuk melakukan perubahan pada registry khususnya agar file yang dibuat tersebut dapat dijalankan pertama kali saat komputer di nyalakan, yakni:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

- reader_s = C:\Documents and Settings\Elvina\reader_s.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- reader_s = C:\Wincdows\system32\reader_s.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

- C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

- EnableProfileQuota =1

HKEY_LOCAL_MACHINE\SOFTWARE\AGProtect

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}

Download Trojan/spyware

Virus ini akan mencoba untuk melakukan koneksi ke beberapa alamat yang telah ditentukan dengan tujuan untuk mendownload trojan/spyware lain yang kemudian akan dijalankan secara otomatis, file yang berhasil di download akan di simpan di direktori berikut:

C:\Windows\temp
- Wp%xxx%.exe (xxx ini berbeda-beda, contohnya wpv271256600826.exe)
- _ex-08.exe
C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
C:\Documents and Settings\All Users\Application Data\47543326\ 47543326.exe

Berikut beberapa alamat server yang akan dituju oleh virus tersebut

202.39.17.53
217.23.7.162
95.211.27.211
202.169.46.56

Ia juga akan mencoba untuk melakukan koneksi ke beberapa web server berikut :

- http://mmsfoundsystem.ru/public/controller.php?action=bot&entity_list=&uid=&first=1&guid=13441600&v=15&rnd=8520045

- http://hostvegass.ru/cman/receiver/online

- http://wapdodoit.ru/mn/base.cfg

- http://www.whatsmyipaddress.com

Ia juga akan melakukan DNS query kesejumlah alamat MX domain yang ditentukan seperti terlihat pada gambar 5 di bawah ini:

Gambar 5, Aksi virus Facebook mencari MX Server

Media penyebaran (Email)

Untuk menyebarkan dirinya ia akan mengirimkan email kesemua alamat email yang telah diperolahnya dengan melampirkan sebuah file dalam bentuk ZIP. Bagi anda yang mempunyai account Facebook harap berhati-hati jika menerima email yang anda terima seolah-olah berasal dari Admin Facebook karena kemungkinan email yang Anda terima adalah email yang berisi virus.

Jika kita telurusi dengan tools monitoring jaringan seperti wireshark atau command netstat dari DOS prompt maka dapat dilihat dengan jelas bahwa komputer yang telah terinfeksi virus berusaha untuk mengirimkan email ke sejumlah alamat yang telah ditemukan dengan menyertakan sebuah file attachment yang berisi virus, perhatikan gambar 6 dibawah ini:

Gambar 6, Aksi virus mengirimkan dirinya

Selain mengirimkan email yang seolah-olah datang dari Admin Facebook, ia juga akan menjadikan komputer yang terinfeksi sebagai server spam dengan mengirimkan email kesejumlah alamat email yang di dapat (lihat gambar 7)

Gambar 7, Aktivitas pengiriman email yang dilakukan oleh virus

Mengundang Antispyware palsu "Security Tools" (bersambung ke artikel 2)

Karena artikel terlalu panjang, maka Vaksincom memecahkan artikel ini menjadi dua bagian. Bagian kedua ini akan membahas bagaimana virus ini menginfeksikan spyware ke komputer korbannya dan yang terpenting adalah cara membasmi virus ini.

Salam,

Aj Tau

info@...

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 3456850

Fx : 021 3456851

Reply | Messages in this Topic (1)

#703 From: "Alfons" <alfons@...>
Date: Thu Nov 5, 2009 5:01 am
Subject: Facebook Virus (Bredolab) 2/2, instal spyware dan cara membasminya vaksincom
Send Email

http://vaksin.com/2009/1109/facebook/facebook2.html

Share1

Facebook Virus (Bredolab) 2/2

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Thanks,

The Facebook Team

Sambungan dari http://vaksin.com/2009/1109/facebook/facebook.html

Mengundang Antispyware palsu "Security Tools"

Aksi lain yang akan di lakukan oleh virus Facebook adalah akan mendownload dan menginstal sebuah program antispyware palsu dengan nama "Security Tools". Antispyware palsu ini akan memberikan informasi palsu dengan menampilkan sederetan nama virus/trojan yang berhasil di deteksi, informasi palsu ini biasanya akan ditampilkan secara terus-menerus pada waktu yang telah ditentukan. (lihat gambar 8 dan 9)

Gambar 8, Peringatan palsu yang ditampilkan oleh antiwpyware "Security Tools"

Gambar 9, Scareware yang terinstal akan secara terus menerus memberikan peringatan palsu (Security Tool Warning)

Jika user mencoba untuk melakukan aksi pembersihan dengan menggunakan software palsu tersebut maka ia akan menampilkan layar agar user melakukan pembelian software tersebut, jika muncul hal ini sebaiknya Anda abaikan saja karena anda tidak akan mendapatkan software antispyware tersebut.

File antyspyware "security tools" mempunyai ukuran sekitar 1.103 MB dengan type file sebagai "application" (lihat gambar 10)

Gambar 10, File induk antispyware "security tools"

Antispyware ini akan secara membuat beberapa file berikut agar dirinya tetap aktif:

- C:\Documents and Settings\All Users\Application Data\47543326

- C:\Documents and Settings\Elvina\Desktop\security tools.lnk

- C:\Windows\temp\_ex-08.exe

- C:\Documents and Settings\Elvina\Start Menu\Programs\security tools.lnk

Registry antispayware Security Tools

Sebagai pendukung agar dirinya tetap aktif, ia akan membuat beberapa string pada registry berikut:

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

� 47543326= C:\DOCUME~1\ALLUSE~1\APPLIC~1\47543326\47543326.exe

� PromoReg = C:\WINDOWS\Temp\_ex-08.exe

- HKEY_LOCAL_MACHINE\SOFTWARE\47543326

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network

� UID = %user%_00127065

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

� Rlist

Aksi yang dilakukan oleh antispyware "Security Tools"

� Menampilkan pesan notifikasi bahwa komputer telah terinfeksi virus/spyware (lihat gambar 11 dan 12)

Gambar 11, Pesan pop up yang ditampilkan terus menerus oleh scareware dalam rangka menakuti korbannya

Gambar 12, Pesan peringatan dari Antispyware Security Tools

� Menampilkan konfirmasi update database Antispyware Security Tools (lihat gambar 13)

Gambar 13, Konfirmasi update Antispyware Security Tools

� Restart komputer pada waktu yang teah ditetukan dengan menampilkan layar "Blue Sreen" seolah-olah terjadi error pada system/hardware komputer yang telah terinfeksi.

� Mengganti walpaper/desktop Windows (lihat gambar 14)

Gambar 14, Desktop windows yang diubah oleh antispyware "security tools"

Cara membersihkan W32/Obfuscated.D2!genr dan Antispyware Security Tools

Disable system restore selama proses pembersihan

Disconect komputer dari jaringan/internet

Sebaiknya lakukan pembersihan pada mode "safe mode"

Install software "unlocker" [http://www.filehippo.com/download_unlocker/]

Matikan proses virus yang aktif dimemory, gunakan tools "Security Task Manager", silahkan download tools tersebut di alamat

http://www.neuber.com/taskmanager/download.html (lihat gambar 15)

Gambar 15, Mematikan proses virus dengan "security task manager"

Fix registry, untuk mempercepat proses perbaikan registry silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama [repair.inf]. Jalankan file tersebut dengan cara:

Klik kanan [repair.inf]
Klik [install]

[Version]

Signature="$Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, Software\Microsoft\Internet Explorer\Main, tart Page,0, "about:blank"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,userinit,0, "userinit.exe"

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,47543326

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,PromoReg

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,EnableProfileQuota

HKLM, SOFTWARE\AGProtect

HKLM, SOFTWARE\47543326

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network, UID

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, Rlist

HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}

HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}

Hapus file yang dibuat oleh virus dengan terlebih dahulu menampilkan file yang tersebunyi (lihat gambar 16)

Lihat gambar 16, Menampilkan file yang tersembunyi

Kemudian hapus file berikut::

� C:\Documents and Settings\All Users\Application Data\47543326

� C:\Documents and Settings\Elvina\Start Menu\Programs\Security Tools.lnk

� C:\Documents and Settings\Elvina\Desktop\ Security Tools.lnk

� C:\Documents and Settings\Elvina\Application Data\ wiaservg.log

� C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp

� C:\WINDOWS\Temp\ wpv311256600826.exe

� C:\WINDOWS\Temp\ wpv411256806849.exe

� C:\Documents and Settings\%user%\reader_s.exe

� C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe

� C:\WINDOWS\system32\reader_s.exe

� C:\Windows\system32\wbem\proquota.exe

� C:\windows\system32\sdra64.exe

� C:\Windows\system32\lowsec

o local.ds

o user.ds

o user.ds.lll

Catatan:

Untuk menghapus folder [C:\Windows\system32\lowsec] dan [C:\windows\system32\sdra64.exe], gunakan tools "unlocker" untuk memisahkan proses tersebut dengan proses system windows (explorer.exe dan svchost.exe), karena kedua file tersebut akan menginjeksi file [explorer.exe dan svchost.exe] caranya:

o Klik kanan pada file [C:\windows\system32\sdra64.exe] atau folder [C:\Windows\system32\lowsec]

o Kemudian klik menu "unlocker"

o Pada layar unlocker, pilih opsi [hapus]

o Kemudian klik tombol [OK]

o Jika muncul pesan error, di abaikan saja (klik ok)

Hapus file temporary dan temporary interet file, gunakan tools ATF-Cleaner [http://majorgeeks.com/download.php?det=4949] (lihat gambar 17)

Gambar 17, Menghapus file temporary internet dan temporary file

Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date. Anda juga dapat membersihkan dengan menggunakan tools Norman Malware Cleaner [http://www.norman.com/support/support_tools/58732/en-us] atau Malwarebytes Anti Malware (www.malwarebytes.org) (lihat gambar 18 dan 19)

Gambar 18, Hasil deteksi Malwarebytes Anti Malware

Gambar 19, Hasil deteksi Norman Malware Cleaner

Salam,

Aj Tau

info@...

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 3456850

Fx : 021 3456851

Reply | Messages in this Topic (1)

#704 From: "Alfons" <alfons@...>
Date: Mon Nov 16, 2009 5:11 am
Subject: W32/Zbot.DBB 16 November 2009, Virus Webforgery Facebook vaksincom
Send Email

http://vaksin.com/2009/1109/facebook-zbot/facebook-zbot.html

W32/Zbot.DBB 16 November 2009

Virus Webforgery Facebook

Ikuti Seminar Akhir Tahun Vaksincom "Evaluasi Malware 2009, Trend 2010 dan Antisipasinya http://www.vaksin.com/2009/1209/seminar/seminar.html

Tidak dapat disangkal kalau Facebook adalah program yang sangat populer dan seperti di ulas pada artikel Vaksincom sebelumnya tentang virus Bredolab http://vaksin.com/2009/1109/facebook/facebook.html telah muncul virus yang mengincar pengguna Facebook dan Vaksincom memperkirakan hal ini akan berlanjut dan saat ini notabene Facebook ibaratnya ST12 yang lagi ngetop akan menjadi sasaran serangan virus, baik dari rekayasa sosial maupun pencurian identitas account Facebook. Dalam waktu beberapa hari saja, setelah munculnya Bredolab, muncul satu virus baru yang mengeksploitasi pengguna Facebook yang bertujuan untuk menginstal virus (yang dipalsukan sebagai update Facebook) dan celakanya pembuat virus ini sangat cerdik dan berhasil melakukan rekayasa pesannya sehingga pesan palsunya tidak hanya muncul pada email penerima saja, tetapi juga muncul pada aplikasi Facebook for Blackberry.

Dalam artikel ini Vaksincom akan memberikan sedikit gambaran bagaimana pesan ini muncul dan trik rekayasa sosial yang digunakan dalam memancing korbannya guna mendapatkan account Facebook untuk di eiksploitasi. Vaksincom juga melakukan testing atas beberapa browser yang populer seperti Internet Explorer, Firefox, Safari dan Chrome untuk mengetahui seberapa jauh perlindungan yang diberikan oleh browser tersebut terhadap situs-situs webforging sehubungan dengan virus yang di deteksi Norman sebagai W32/Zbot ini.

Email yang mengandung virus Zbot ini akan datang dengan tampilan yang sangat meyakinkan (lihat gambar 1)

Gambar 1, Tampilan email yang memalsukan diri sebagai pesan dari Facebook

Tampilan dan isi email yang datang sangat meyakinkan, dengan isi email kira-kira seperti ini :

Pengguna Facebook,

Dalam rangka meningkatkan pengalaman online anda lebih aman dan menyenangkan, Facebook akan mengimplementasikan sistem login baru yang akan diterapkan bagi semua pengguna Facebook. Perubahan-perubahan ini memberikan fitur baru dan meningkatkan pengamanan akun Facebook anda.

Sebelum anda dapat menggunakan sistem login yang baru, anda perlu memperbarui akun anda.

Klik disini untuk memperbarui akun anda secara online.

Jika anda memiliki pertanyaan, silahkan lihat di New User Guide.

Terimakasih,

Team Facebook

Jika anda pengguna Facebook, tentunya anda akan hakul yakin bahwa pesan tersebut datang dari administrator Facebook. Tetapi jika anda perhatikan link pada tulisan "here" (disini) maka link tersebut juga dibuat seolah-olah datang dari Facebook �� padahal bukan. Link tersebut sangat mirip dengan link facebook yang selalu diawali dengan www.facebook.com, tetapi jika anda teliti lebih jauh, maka link tersebut sebenarnya bukan www.facebook.com tetapi www.facebook.com.qwease.eu. (lihat gambar 2)

Gambar 2, Link palsu yang diberikan oleh virus Zbot.

Jika anda melanjutkan dengan memasukkan data Facebook anda dengan memasukkan "Email" dan "Password" (sebagai informasi, pada tahap ini sebenarnya rekening akun Facebook anda sudah direkam oleh virus ini pada server login tadi, maka jika anda pernah mengalami hal ini Vaksincom menyarankan anda untuk SEGERA mengganti password Facebook anda) maka anda akan dibawa ke tahap berikutnya untuk mendownload file "update" Facebook (lihat gambar 3)

Gambar 3, Situs forging Facebook yang memberikan updatetool palsu yang sebenarnya virus.

Jika anda mendownload file "updatetool.exe" dan menjalankan file ini, TIDAK ADA yang akan berubah pada fitur Facebook anda, melainkan komputer anda akan terinfeksi virus Zbot dan salah satu aksinya adalah menjadikan komputer anda sebagai host untuk mengirimkan SPAM yang berisi email seperti pada gambar 1 di atas. Jika anda menggunakan Norman Security Suite, file "updatetool.exe" ini akan terdeteksi sebagai W32/Zbot.DBB dan akan langsung dibasmi oleh Norman. (lihat gambar 4a dan 4 b)

Gambar 4a

Gambar 4b, Norman Security Suitedengan teknologi Sandbox dan DNS Matching technology mendeteksi virus Facebook baru ini sebagai W32/Zbot.DBB

Perlindungan dari Browser

PENTING !!!

Test ini tidak untuk memberikan penilaian browser mana yang baik atau jelek karena anya mengambil contoh kasus 1 virus saja. Aksincom berusaha memberikan gambaran obyektif khusus untuk kasus virus Zbot pada saat pertama kali muncul. Pengguna komputer disarankan untuk melakukan riset dan pertimbangan sesuai kepentingan masing-masing dalam menentukan browser apa yang ingin dipakai.

Jika anda perhatikan contoh pada gambar 2 dan 3 di atas, test ini dilakukan pada tanggal 4 November 2009 pukul 16:30 WIB. Mungkin anda tidak sadari mengapa tampilan pada gambar 2 menggunakan browser Safari dan tampilan gambar 3 menggunakan browser Internet Explorer terbaru. Hal tersebut bukan terjadi secara kebetulan, tetapi karena browser yang penulis gunakan sehari-hari (Firefox) dalam waktu yang sangat singkat sudah berhasil mendeteksi bahwa situs yang diberikan oleh email tersebut di atas adalah situs palsu alias Webforging. Pada waktu yang sama, penulis menampilkan link http://www.facebook.com.qweaso.eu/globaldirectory/LoginFacebook.php?ref=8071104215053895800324382049018649693735364451460452&email=bradleynn@... menggunakan 4 browser, Chrome, Firefox, Internet Explorer dan Safari untuk melakukan riset live kecil-kecilan atas kecepatan response browser-browser tersebut terhadap website palsu / webforging dalam rangka melindungi penggunanya.

Seperti yang anda lihat pada gambar 2 di atas, browser Safari menampilkan link di atas dengan baik, begitupula browser Internet Explorer (lihat gambar 5)

Gambar 5, Browser Internet Explorer menampilkan situs forging dengan baik

Begitupula browser Chrome yang di test pada saat yang sama tetap menampilkan situs webforging tersebut seperti Satari dan Internet Explorer (lihat gambar 6)

Gambar 6, Google Chrome pada tanggal 4 November 2009, pkl 16:30 menampilkan sutis forging dengan baik tanpa peringatan apapun

Berbeda dengan 3 browser di atas, Firefox langsung mendeteksi situs tersebut sebagai webforging (lihat gambar 7)

Gambar 7, Firefox menampilkan peringatan bahwa situs yang ingin dikunjungi adalah situs palsu yang berbahaya.

Browser Firefox menampilkan peringatan lengkap dengan icon berwarna merah dengan gambar polisi membawa tanda dilarang masuk bahwa situs www.facebook.com.qweasi.eu sudah dipalorkan sebagai situs palsu dan diblok. Anda memiliki 3 pilihan dimana dua pilihan tertama membatalkan niat anda dan menanyakan mengapa situs tersebut diblok dengan mengklik dua tombol "Get me out of here!" dan "Why was this site blocked?" atau jika anda tetap kekeuh ingin melihat apa isi situs tersebut anda bisa mengklik link yang dibuat sangat kecil di pojok kanan bawah "Ignore this warning".

Jika sudah diperingatkan dan anda masih tetap anggap belum "batal kawin :p" dan ingin melanjutkan, maka Firefox akan memberikan anda akses terhadap situs tersebut tetapi dengan tampilan yang sangat jelek, dimana htmlnya dimatikan (settingan mungkin berbeda tergantung setting sekuriti browser anda). Dan ada peringatan dengan pita berwarna merah bahwa situs ini adalah situs palsu (lihat gambar 8)

Gambar 8, Situs palsu yang terdeteksi sebagai Web Forging ditampilkan tanpa html supaya pengguna tidak tertipu

Andaikan ada pengguna yang (keterlaluan banget) masih saja percaya dan memasukkan akun Facebooknya ke situs yang tampilannya sudah seperti Tessi dibandingkan dengan tampilan Facebook yang asli tersebut maka Firefox akan membukakan layar baru tetap dengan peringatan dengan pita merah dengan tanda dilarang masuk "Reported Web Forgery !" seperti pada gambar 9. Bandingkan dengan tampilan pada gambar 3 yang ditampilkan oleh Internet Explorer yang sangat meyakinkan pengguna bahwa situs tersebut adalah situs Facebook yang benar.

Gambar 9, tahap terakhir setelah pengguna diperingati berulang kali baru pengguna Firefox akan mendapatkan link download virus Zbot.

Sedangkan pengetesan yang penulis lakukan pada 3 browser lainnya, pada awalnya ketiganya meloloskan situs tersebut dan akhirnya semua browser memblok akses ke situs tersebut, browser Safari dan Chrome dalam waktu yang lebih cepat dari Internet Explorer mendeteksi dan memperingatkan atas ancaman web forging ini pada penggunanya.

Salam,

Aa Tan

info@...

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 3456850

Fx : 021 3456851

Reply | Messages in this Topic (1)

#705 From: "Alfons" <alfons@...>
Date: Thu Nov 19, 2009 2:51 am
Subject: Seminar Vaksincom 4 Des 2009, Putri Duyung Ancol. Evaluasi Virus 2009,Trend 2010 vaksincom
Send Email

http://www.vaksin.com/2009/1209/seminar/seminar.html

Evaluasi Malware 2009, Trend 2010 dan Antisipasinya

Share9

Seminar di Pinggir Pantai

Evaluasi Malware 2009, Trend 2010 dan Antisipasinya

Tema :

Evaluasi Malware 2009, Trend Malware 2010 dan Antisipasinya

Waktu
Jum'at, 04 Desember 2009

08.00 s/d 16.00

Tempat
Putri Duyung Ancol (Candi Bentar)

Jl. Lodan Timur No. 7 � Jakarta 14430

Pembicara

A. Alfons Tanujaya (Antivirus Specialist)
Evaluasi Malware 2009, Trend 2010 dan Antisipasinya, Virus mengeksploitasi Facebook dan Blackberry.
Adang Juhar Taufik (Senior Vaksinis Vaksincom)
Analisa Virus di Laboratorium Virus Vaksincom, pembuatan Registry Fix dan Norman Malware Cleaner.
Adi Saputra (Senior Vaksinis Vaksincom)
Deteksi malware Broadcast jaringan, download malware lain dan spamming. Bagaimana menggunakan NNP (Norman Network Protector) untuk menghadapi broadcast malware.
Wiekiang (Data Recovery Expert� Indolabs)
Teknik berjaga-jaga menghadapi bencana kehilangan data dan bagaimana mengamankan data anda yang berharga dari bencana kehilangan Data ketika terjadi bencana.

Biaya
Rp. 380.000,- /orang

Rp. 280.000, -/orang (khusus untuk yang melunasi sebelum tanggal 23 November 2009) **

Biaya sudah termasuk:

Sertifikat, Lunch + Coffee Break
Tiket masuk Ancol
Lisensi NPro Norman Endpoint Protection (Server) untuk maksimal 5 PC dalam jaringan termasuk :
- Update definisi dan engine untuk 2 (dua) bulan
- Support onsite dan instalasi oleh teknisi Vaksincom

Doorprize:

2 (dua) voucher menginap di Hotel IBIS SLIPI untuk masing-masing 2 (dua) orang + Breakfast

Pendaftaran hubungi:

PT. Vaksincom

Jl. Tanah Abang III/19E-Jakarta 10160

Ph : 021-3456850

Fax : 021-3456851

Hp : 021-32041661

Up. Adang atau Wawan

Email : adang@... atau info@...

http://www.vaksin.com/2009/1209/seminar/seminar.html

Transfer Pembayaran ke rekening Vaksincom

BCA Tanah Abang II

A/N : 6540339251

A/N : PT. Vaksincom

** jika pembayaran dilakukan sebelum tanggal 23 November 2009

Reply | Messages in this Topic (1)

#706 From: vaksin-owner@yahoogroups.com
Date: Mon Nov 23, 2009 4:24 am
Subject: W32/VBWorm.YDT 23 November 2009, Virus Bangkit INDONESIA !!! vaksin-owner@yahoogroups.com
Send Email

http://vaksin.com/2009/1109/istn/istn.html

Virus Bangkit INDONESIA !!!

Share1

Ikuti Seminar Akhir Tahun Vaksincom "Evaluasi Malware 2009, Trend 2010 dan Antisipasinya

W32/VBWorm.YDT 23 November 2009

Jangan tanya apa yang bisa negara berikan kepada kita,

tapi apa yang bisa kita berikan untuk negara,

Bangkit INDONESIA !!!

Kampus Ku��

Kampusku Rumahku��Kampusku Negeriku��Kampusku Kebebasanku��Kampusku Wahana Kami��
Disana Kami Dibina��Menjadi Manusia Dewasa��Tapi Kini Apa Yang Terjadi��Kami Ditindas Semena-mena��
Berjuga Rakyat Menanti Tanganmu��Mereka Lapar Dan Bau Keringat��
Ku Sampaikan Salam-Salam Perjuangan��Kami Semua Cinta XXXX
Kamumku Mahasiswa��Dimana Kini Kau Berada��Belenggu Disisi Kirimu��Penjara Disisi Kananmu��
Berjuga Rakyat Menanti Tanganmu��Mereka Lapar Dan Bau Keringat��
Ku Sampaikan Salam-Salam Perjuangan��Kami Semua Cinta-Cinta XXXX

Salam Pembebasan��

Architecture By:

=> T I N S <=

T I N S <=> XXXX

Pengantar

Siapa lagi yang dapat diharapkan selalu idealis dan kritis sepanjang masa selain mahasiswa. Pada saat peralihan Orde Baru tercatat mahasiswa salah satu pihak yang berani menentang penguasa dan memaksakan pergantian rezim walaupun terkadang terjadi dengan pengorbanan darah dan airmata. Umur manusia boleh bertambah dan yang dulunya mahasiswa sekarang sudah tidak mahasiswa lagi, tetapi mahasiswa yang lulus selalu akan digantikan dengan mahasiswa baru dengan idealisme dan kekritisannya. Tercatat juga dalam perseteruan dua lembaga negara (atau lebih) yang banyak dianalogikan sebagai pertempuran cicak lawan buaya, sampai-sampai ada lomba banting buaya (karet) dan lomba makan roti buaya yang diadakan oleh pendukung salah satu lembaga yang berseteru, mahasiswa juga terlibat secara aktif membela lembaga yang menurut hati nuraninya benar. Bukan hanya dalam masalah negara yang besar, tetapi dalam masalah sehari-hari, dimana terjadi pemadaman listrik bergilir sampai-sampai PLN disingkat menjadi Perusahaan Lilin Negara atau sindiran yang banyak menyebar melalui internet, baik Facebook, email maupun Blackberry Chat dimana dikatakan bahwa PLN akan menghilangkan sama sekali pemadaman bergilir dan sebagai gantinya akan dilakukan penyalaan bergilir, mahasiswa juga beraksi menuntut perbaikan http://www.detiknews.com/read/2009/10/27/174354/1229648/10/protes-pemadaman-ratusan-mahasiswa-demo-pln-wilayah-riau.

Mungkin karena ke kritisan tersebut, walaupun melakukan hal yang sebenarnya kurang terpuji (membuat virus) namun positifnya adalah virus yang di deteksi Norman Security Suite sebagai W32/VBWorm.YDT mengubah header dari Windows Media Player menjadi :

Windows Media Player provided by KORUPTOR PENGHIANAT BANGSA !!! (LIHAT GAMBAR 9 DI BAWAH)

Serta menampilkan pesan yang dikutip dari pidato John F. Kennedy

"Ask not what your country can do for you; Ask what you can do for your country"

IIngin tahu lebih jauh ? Silahkan simak artikel yang dibuat oleh Vaksinis Aj Tau dibawah ini.

Secara umum virus ini tidak akan merusak data pada komputer yang terinfeksi, walaupun demikian ia akan menghilangkan beberapa fungsi windows seperti Disable /span> Registry Editor, menghilangkan menu Folder Options, Disable Task Manager dan fungsi Windows lainnya dengan tujuan agar user kesulitan untuk menghapus keberadaan virus tersebut. Virus ini mempunyai misi sosial dengan menampilkan sejumlah pesan baik pada saat komputer dinyalakan, saat user menjalankan aplikasi Internet Explorer atau pada saat screen saver Windows aktif. Virus ini juga akan mengganti halaman utama dari internet explorer dengan alamat web salah satu universitas sains yang cukup top di Jakarta. Apakah yang membuat adalah mahasiswa dari universitas ini dari bagian TINS � (Teknik Industri ??) �� walahualam.

Ciri-ciri komputer terinfeksi VVBworm YDT

Menampilkan pesan pada browser Internet Explorer. (lihat gambar 1)

Gambar 1, Pesan yang akan di tampilkan pada saat Internet Explorer dijalankan
Mengganti halaman utama Internet Explorer dengan alamat web http://istn.ac.id (lihat gambar 2)

Gambar 2, Halaman utama yang akan ditampilan saat menjalankan IE

Menampilkan pesan sosial pada saat sreen saver Windows aktif. Screen saver ini akan aktif setiap 1 menit. (lihat gambar 3)

Gambar 3, Pesan yang akan tampil saat Screen Saver Windows aktif
Menambahkan kata =>TINS<= pada format jam windows (lihat gambar 4)

Gambar 4, Tulisan =>TINS<= yang diselipkan di sebelah jam.

Menampilkan pesan error berikut pada saat komputer dinyalakan/span> (lihat gambar 5)

Gambar 5, Pesan error saat komputer di jalankan

Virus VB/span> dengan icon Winrar

Virus ini dibuat dengan menggunakan program bahasa Visual Basic dengan ukuran file mencapai 536 KB. Untuk mengelabui user ia akan menggunakan icon WINRAR (Winrar Self Extractor) dan menggunakan nama file [SOFWARE.EXE] sehingga user beranggapan bahwa file tersebut adalah kumpulan file software yang di kompres. File tersebut akan mempunyai type file sebagai "Application" sehingga jika dijalankan bukannya akan mengekstrak file tetapi langsung mengaktifkan virus. (lihat gambar 6)

Gambar 6, File induk VBWorm.YDT

Dengan update terakhir Norman Security Suite mengenali sebagai VBWorm.YDT. (lihat gambar 7)

Gambar 7, Norman Security Suite mendeteksi virus ini sebagai Worm:W32/VBWorm.YDT

Pada saat file virus di jalankan ia akan menampilkan layar berikut dan menjalankan file [C:\ C:\Program Files\Outlook Express\wab.exe], diperkirakan pesan ini dimunculkan supaya korbannya tidak curiga kalau komputernya sebenarnya sudah di infeksi virus (lihat gambar 7 dan 8)

GGambar 7, Dialog box pertama yang dimunculkan ketika virus dijalankan

Gambar 8, Dialog Box kedua yang dijalankan ketika virus diaktifkano:p>

Kemudian akan membuat beberapa file induk yang akan di jalankan pada saat komputer dinyalakan

%Drive%\:>software.exe
%Drive%\:>autorun.inf
C:\Windows\system32\explorer.exe
C:\Windows\atn.htm
C:\Windows\master.exe
C:\Documents and Settings\%user%\NetHood\software.exe

Catatan: %Drive%, menunjukan lokasi Drive [Contoh: C:\ atau D:\]

Agar salah satu file tersebut dapat dijalankan ia akan membuat string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- explorer = C:\WINDOWS\system32\explorer.exe

Disable Aplikasi Utility Windows

Untuk mempersulit proses penghapusan, ia akan mencoba untuk mematikan beberapa aplikasi utility windows seperti Task Manager, CMD, Registry Editor atau Folder Options dan fungsi windows lainnya dengan membuat string pada registry berikut

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
- NoDevMgrPage

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFInd
- NoRun
- NoFolderOptions

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools
- DisableTaskMgr
- DisableCMD

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
- NeverShowExt

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

DisableCurrentUserRun
NoSaveSettings

Koruptor Penghianat Bangsa !!!

Walaupun melumpuhkan beberapa fungsi windows di atas, tetapi kelihatannya pembuat vvirus ini tidak melakukan perusakan terhadap data user. Virus ini akan lebih banyak menampilkan pesan sosial baik pada saat komputer dinyalakan atau pada saat screen saver Windows aktif,

Pesan sosial saat Screen Saver aktif yang akan di aktifkan setiap 1 (satu) menit sekali, dengan membuat string pada registry berikut:

HKEY_CURRENT_USER\Control Panel\Desktopo:p>

- SCRNSAVE.EXE = C:\WINDOWS\system32\\ssmarque.scr

HKEY_CURRENT_USER\Control Panel\Screen Saver.Marquee

- Text = Jangan tanya apa yang bisa negara berikan kepada kita, tapi apa yang bisa kita berikan untuk negara, Bangkit INDONESIA !!! (lihat gambar 3 di atas)

� Mengubah Header Windows Media Player (lihat gambar 9) dengan terlebih dahulu membuat string pada registry berikut

HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsMediaPlayer

- TitleBar = KORUPTOR PENGHIANAT BANGSA !!!

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsMediaPlayer

- TitleBar = KORUPTOR PENGHIANAT BANGSA !!!

Gambar 9, Header Windows Media Player akan ditambahi tulisan "provided by KORUPTOR PENGHIANAT BANGSA !!!

� Virus ini juga akan merubah format tampilan jam seperti yang terlihat pada gambar 4 di atas dengan terlebih dahulu merubah string pada registry berikut

HKCU\Control Panel\International

- s1159= =>TINS<=

- s2359= =>TINS<=

� Menampilkan pesan pada sebuah file html dengan nama [atn.htm] yang akan ditampilkan pada saat komputer dinyalakan (lihat gambar 1 di atas)

VBWorm.YDT juga akan meninggalkan jejak lain dengan merubah nama pemilik windows menjadi =>TINS<= (lihat gambar 10) dengan merubah string pada registry berikut

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

- RegisteredOrganization =""

- RegisteredOwner = =>TINS<=

Gambar 10, Nama pemilik Windows yang telah di ubah oleh VBWorm.YDT

Kampus ISTN

Sebagai penutup ia akan merubah halaman awal pada Internet Explorer dengan mempromosikan alamat sebuah kampus sains (lihat gambar 2 di atas) dengan terlebih dahulu merubah string pada registry berikut :

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

- Start Page = http://istn.ac.id

Dengar MP3 malah menjalankan virus

Virus ini memiliki cara yang unik tetapi cukup cerdik dalam menyebarkan dirinya, dimana setiap kali user mengjalankan file MP3, malahan akan mengaktifkan file C:\Windows\master.exe yang sebenarnya adalah file virus.

Untuk melakukan hal tersebut ia akan merubah string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp3file

- DEFAULT = STOP PEMBAJAKAN

- "" = STOP PEMBAJAKAN

- MPlayer2.BAK = STOP PEMBAJAKAN

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp3file\DefaultIcon

- Default = C:\WINDOWS\master.exe,1

HKEY_CLASSES_ROOT\mp3file

- DEFAULT = STOP PEMBAJAKAN

- "" = STOP PEMBAJAKAN

- MPlayer2.BAK = STOP PEMBAJAKAN

HKEY_CLASSES_ROOT\mp3file\DefaultIcon

- Default = C:\WINDOWS\master.exe,1

Media Penyebaran

Untuk menyebarkan dirinya, ia akan memanfaatkan fungsi autorun Windows sehingga ia akan aktif secara otomatis saat user mengakses drive dengan terlebih dahulu membuat file [autorun.inf] dan [software.exe] disetiap drive termasuk di Flash Disk. Script [autorun.inf] ini akan menjalankan file virus yang yang di simpan di drive yang sama dengan nama [software.exe] (lihat gambar 11)

Gambar 11, Script autorun yang akan menjalankan virus secara otomatis

Cara membasmi VBWorm.YDT

Disable System Restore saat proses pembersihan dilakukan
Matikan proses yang aktif di memori dengan menggunakan tools pengganti Task Manager seperti Security Task Manager, silahkan download tools tersebut di alamat berikut: http://www.neuber.com/taskmanager/download.html

Kemudian matikan proses yang mempunyai icon [WINRAR Self Extractor]. (lihat gambar 12)

Gambar 12, Mematikan proses virus dengan menggunakan Security Task Manager

Fix registry yang telah di ubah oleh virus, untuk mempercepat proses perbaikan registry, salin script dibawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.INF. Jalankan file tersebut dengan cara:

- Klik kanan REPAIR.INF

- Klik Install