W32/VBWorm.PEC 2 Agustus 2008
Hati-hati dengan Doraeman, Sin Chan dan Tom & Jerry
*THE ROAD TO SYUHADA*
--------------------------------------
*WAHAI DIRI...*
*JIKA KAU TIDAK GUGUR DI MEDAN JUANG...*
*KAU TETAP AKAN MATI...*
*WALAU DI ATAS RANJANG...
Yayasan Pengembangan Media Anak (YPMA) memberikan kategori “berbahaya” untuk tayangan kartun Tom & Jerry dan Crayon Sinchan. Sedangkan film Doraemon dimasukkan sebagai kategori “hati-hati”.
http://www.kidia.org/news/tahun/2008/bulan/07/tanggal/15/id/76/.
Tidak tahu apakah sangking “saktinya” ketiga film di atas sehingga juga mampu mengilhami pembuat virus untuk menggunakannya sebagai sarana menyebarkan virus baru yang terdeteksi oleh Norman Security Suite sebagai W32/VBWorm.PEC. Atau jangan-jangan pembuat virus ini sebenarnya programmer baik-baik yang berubah menjadi jahat (pembuat virus) setelah menonton ke tiga film tersebut. Kalau memang benar dugaan tersebut, maka solusi menyadarkan kembali pembuat virus dan cracker di Indonesia ke jalan yang benar sangat mudah. Pembuat virus dan cracker yang tertangkap dikumpulkan saja dan setiap hari di suruh menonton film Si Unyil, Dora The Explorer, Go Diego Go ! dan Laptop Si Unyil. Supaya lebih afdol lagi, orang tua pembuat virus ini dihimbau untuk menemani dalam menonton film-film yang masuk kategori “aman” di atas. (Hati-hati saja para orang tua jangan sampai menonton Doraemon, Tom & Jerry dan Crayon SinChan ... bisa-bisa berubah jadi jahat :P).
Jika pada artikel-artikel sebelumnya kita membahas salah satu anime kartun jepang “Naruto” http://vaksin.com/2008/0408/hokage/hokage.html. Maka kali ini kami akan mengupas salah satu jenis virus yang juga ikut mengusung tema anime kartun. Ditengah maraknya popularitas anime kartun “Naruto”, sepertinya kali ini si pembuat virus ingin bernostalgia dengan anime kartun yang dulu sangat favorit di kalangan anak-anak.
Oleh Norman Security Suite, virus ini teridentifikasi sebagai W32/VBWorm.PEC (Gambar 1).
Gambar 1, Norman Security Suite mendeteksi “Pilem Lutchu” sebagai W32/VBWorm.PEC
Ciri-ciri File Virus
Ciri-ciri dari file virus ini diantaranya sebagai berikut : (lihat gambar 2)
• Menggunakan icon Real Player (software media player buatan Real Media)
• Memiliki ukuran “129” kb
• Type file “application”
• Ekstensi “exe”
Gambar 2, Contoh file virus W32/VBWorm.PEC
Gejala / Efek Virus
Jika komputer anda terinfeksi oleh virus W32/VBWorm.PEC, maka virus akan melakukan blok terhadap beberapa fungsi windows seperti System Configuration Utility / MSConfig, Folder Options, dan System Restore.
Selain melakukan blok, virus berusaha menutup / mematikan fungsi windows (lihat gambar 3) seperti Task Manager, Registry Editor, dan Command Prompt. Serta mencoba juga menutup / mematikan program pengganti Task Manager seperti Security TaskManager, CurrProcess, ProceXP, dll. Dari aksinya ini terlihat bahwa pembuat virus lokal rupanya juga mengamati tools apa saja yang sering digunakan komunitas IT Indonesia dalam membasmi virus :).
Gambar 3, Script virus untuk mematikan program pengganti task manager & fungsi windows
Untuk mengelabui user, virus membuat sebuah folder dengan nama “pilem lutchu” (lihat gambar 4), pada My Documents dan flashdisk / removable drive / external harddisk. Folder tersebut berisi 3 file virus yang sama seperti contoh file virus diatas (yang berisi Doraemon-Pistol Perubah Tubuh Sebagian.rm.exe, Sinchan-Menginap Di Sekolah.rm.exe, TOM & JERRY 2.rm.exe).
Gambar 4, Folder yang dibuat virus pada My Documents dan flashdisk
Sama seperti virus lokal lain-nya, W32/VBWorm.PEC meninggalkan pesan pada My Computer, dengan mengubah “support information” dari system properties My Computer. Serta pada Drive C, dengan membuat file “ THE ROAD TO SYUHADA” dengan isi yang sama (lihat gambar 5).
Gambar 5, Pesan yang dibuat oleh virus W32/VBWorm.PEC
File Virus & Penyebarannya
Setelah menginfeksi, virus W32/VBWorm.PEC akan membuat beberapa file virus, diantaranya sebagai berikut :
• C:\antiZionisme.rm.exe
• C:\WINDOWS\Help\explorer.exe
• C:\WINDOWS\system32\300403.exe
• C:\WINDOWS\system32\aparaparsaparyangparipircapar.exe
• C:\WINDOWS\system32\HacKid's.exe
File virus pada My Documents, dengan membuat folder “pilem lutchu”
• Doraemon-Pistol Perubah Tubuh Sebagian.rm.exe
• Sinchan-Menginap Di Sekolah.rm.exe
• TOM & Jerry 2.rm.exe
Selain itu, virus juga menyertakan beberapa file seperti :
• C:\WINDOWS\system32\060785.bat (script untuk menjalankan file 050587.vbs)
• C:\WINDOWS\system32\050587.vbs (script untuk menjalankan file virus)
• C:\WINDOWS\system32\appdata.vbs (script untuk menjalankan file virus)
• C:\WINDOWS\system32\run4.bat (script virus untuk mematikan program)
• C:\THE ROAD TO SYUHADA.ini (pesan dari pembuat virus)
• C:\WINDOWS\system32\oeminfo.ini (pesan pada system properties My Computer)
Sama seperti virus lokal lainnya, W32/VBWorm.PEC akan menyebar dengan menggunakan media USB Flash / Removable Drive / External Harddisk. Virus akan membuat sebuah folder dengan nama “pilem lutchu”, yang kemudian di dalamnya terdapat 3 file virus (lihat gambar 6).
Gambar 6, 3 nama file yang digunakan sebagai sarana menyebarkan virus “Pilem Lutchu”
Manipulasi Registri
Agar dapat aktif saat komputer dinyalakan, virus membuat string registry pada startup windows, yaitu :
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
noboe = C:\WINDOWS\Help\explorer.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon
Shell = Explorer.exe %SystemRoot%\system32\060785.bat
Untuk mempertahankan keberadaannya, virus mencoba menggantikan posisi screensaver dengan menjalankan file virus, dengan mengubah registri berikut :
• HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = %SystemRoot%\system32\300403.exe
ScreenSaveActive = 1
ScreenSaveTimeOut = 60
Untuk menyembunyikan tab screensaver (agar tidak dapat diubah), virus membuat string berikut :
• HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ system
NoDispScrSavPage = 1
Saat aktif, virus akan melakukan blok terhadap beberapa fungsi windows, virus membuat string pada :
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions = 1
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
DisableConfig = 1
DisableSR = 1
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths \MSCONFIG.EXE
(Default) = %SystemRoot%\system32\appdata.vbs
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 0
HideFileExt = 1
• HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer \Advanced\Folder\SuperHidden
UncheckedValue = 0
• HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer \Advanced\Folder\Hidden\SHOWALL
DefaultValue = 1
Selain melakukan blok, virus mencoba mengalihkan file dengan ekstensi *.txt dengan membuka program Internet Explorer, serta menghilangkan default file dengan extension *.reg. Untuk itu, virus membuat string pada :
• HKEY_LOCAL_MACHINE\ SOFTWARE\Classes\.txt\shell\Open\command
(Default) = c:\Program Files\Internet Explorer\IEXPLORE.EXE
• HKEY_LOCAL_MACHINE\ SOFTWARE\Classes\.reg\shell\Merge\command
(Default) =
Terakhir, virus mencoba aktif pada mode “safe mode” atau “safe mode with command prompt”, agar semakin sulit untuk dibersihkan. Untuk itu, virus membuat string pada registry berikut :
• HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
AlternateShell = Explorer.exe %SystemRoot%\system32\060785.bat
• HKEY_LOCAL_MACHINE\System\ControlSet001\Control\SafeBoot
AlternateShell = Explorer.exe %SystemRoot%\system32\060785.bat
• HKEY_LOCAL_MACHINE\System\ControlSet002\Control\SafeBoot
AlternateShell = Explorer.exe %SystemRoot%\system32\060785.bat
• HKEY_LOCAL_MACHINE\System\ControlSet002\Control\SafeBoot
AlternateShell = Explorer.exe %SystemRoot%\system32\060785.bat
Cara Pembersihan Virus (tidak disarankan sambil nonton film Si Unyil tanpa ditemani orang tua, apalagi sambil nonton Tom & Jerry) :
1. Sebaiknya lakukan pembersihan pada mode safe mode.
2. Matikan proses virus yang aktif di memori. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager (dapat anda download pada alamat berikut)
http://majorgeeks.com/Itty_Bitty_Process_Manager_d4690.html
Lakukan kill process, pada beberapa file virus yang aktif yaitu : (lihat gambar 7)
• C:\WINDOWS\Help\explorer.exe
• C:\WINDOWS\system32\300403.exe
• C:\WINDOWS\system32\aparaparsaparyangparipircapar.exe
• C:\WINDOWS\system32\HacKid's.exe
Gambar 7, Gunakan Itty Bitty Process Manager untuk mematikan proses virus yang aktif
3. Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Classes\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue,0x00010001,0
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, noboe
HKCU, Control Panel\Desktop, SCRNSAVE.EXE
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, SOFTWARE\Classes\.reg\shell
HKLM, SOFTWARE\Classes\.txt\shell
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MSCONFIG.EXE
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, NoDispScrSavPage
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableSR
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
4. Hapus file virus yang mempunyai ciri-ciri sebagai berikut :
• Icon “Real Player”
• Extension *.exe
• Ukuran 129 kb
Catatan :
• Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.
• Untuk mempermudah proses pencarian sebaiknya gunakan "Search Windows" dengan filter file *.exe yang mempunyai ukuran 45 KB.
• Hapus file virus yang biasanya mempunyai date modified yang sama.
5. Untuk pembersihan yang optimal dan mencegah infeksi ulang, menggunakan Norman Security Suite atau antivirus yang terupdate dan mampu mendeteksi dan membasmi virus ini dengan baik.
Salam,
Ad Sap
info@vaksin.com
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
2 komentar:
Bahkan kartun yang sangat terkenal di indonesia juga sudah mulai di jadiin alat oleh cyber crime, benar2 dunia teknologi sudah sangat ganas...
sbobet168
daftar sbobet 168
sbobet 168
daftar sbobet168
login sbobet168
cara deposit sbobet 168
sbobet 168 link
link alternatif sbobet168
livechat sbobet
betsanook
aseanbookie
sbobet168 online
agen sbobet168
I really like reading the articles that you make, so I want to read them continuously. Feel free to visit my web : main di game sbobet
Posting Komentar