Virus Lokal Baru



W32/VBTroj.FJA

10 Maret 2007
Antara Banten dan CilegonCatatan Vaksincom :

Vaksincom menerima banyak informasi bahwa virus yang menyerang printer sedang marak menyebar di internet. Setelah melakukan investigasi, disinyalir salah satu kemungkinan penyebabnya adalah virus W32/VBTroj.FJA. Tetapi setelah melakukan pengetesan beberapa hari di virus lab Vaksincom, ternyata hal yang dikeluhkan oleh pengguna komputer tidak terbukti. Jika anda mengalami printer melakukan pencetakan karakter aneh pada banyak komputer dan menduga disebabkan oleh virus, silahkan kirimkan sample virus tersebut kepada kami. Teknisi kami dengan senang hati akan membedah virus yang anda kirimkan. Lihat www.vaksin.com/hall_of_fame.htm

“Mari membangun Banten dengan memberikan pendidikan gratis” itulah
sepenggal pesan yang ingin disampaikan oleh sang pembuat virus,
dengan tanpa lelah pesan ini akan terus muncul setiap kali anda
menyalakan komputer.

Sampai saat ini penyebaran virus lokal masih dominan dibandingkan virus
racikan luar dan tidak dipungkiri kreasi anak bangsa ini cukup
merepotkan apalagi jika sudah menyebar di jaringan intranet. Aksi
yang dilakukanpun sangat beragam dengan tetap mempertahankan Flash
Disk sebagai media penyebaran utama, disamping file sharing dan
email.

Salah satunya adalah virus “Cilegon-Banten” yang menggunakan Visual Basic.
Virus ini mempunyai payload yang cukup merepotkan dengan ukuran file
induk sebesar 62 KB dengan tidak bermasud menghilangkan tradisi,
virus ini akan mempunyai icon “Folder” dengan ekstensi EXE yang
tentunya akan mempunyai type file sebagai “Application”. (lihat
gambar 1)


Gambar 1, File Induk VBTroj.FJA

Dengan
update terakhir program antivirus Norman Virus Control berhasil
mendeteksi virus ini sebagai W32/VBtroj.FJA (lihat gambar 2)



Gambar 2, Norman berhasil mendeteksi VBTroj.FJA

Agar VBTroj.FJA ini dapat dengan tenang aktif setiap waktu ia akan
membuat beberapa file induk di beberapa folder dengan atribut HRS
[Hidden, Read Only dan System], berikut beberapa tempat
persembunyian dari beberapa file induk yang akan dibuat oleh
VBTroj.FJA

  • C:\GambarAneh.exe
  • C:\Selebritis Cilegon.exe
  • C:\Data %user%.exe [contoh: Data Administrator.exe
  • C:\windows\system32
  • shell.exe
  • IExplorer.exe
  • 18TapakNaga.exe
  • C:\WIndows\Cilegon.exe
  • C:\Cilegon, folder ini terdiri dari file Brojo.exe dan
    Folder.htt
    [folder ini akan dibuat di setiap Drive termasuk
    Disket dan Flash Disk]
  • C:\Documents and Settings\Adang\Local Settings\Application
    Data\WINDOWS
  • Service.exe
  • CSRS.exe
  • LSAS.exe
  • C:\Documents and Settings\Adang
  • Data Adang.exe
  • GambarAneh.exe
  • Selebritis Cilegon
  • C:\Documents and Settings\Adang\Local Settings\Application Data
  • Service.exe
  • CSRS.exe
  • LSAS.exe
  • cilegon.exe
  • IExplorer.exe
  • Winlogin.exe
  • Desktop.ini. File ini berisi script untuk menjalankan script
    lain [folder.htt] kemudain folder.htt berisi script
    untuk menjalankan file brojo.exe [file ini akan dibuat
    disetiap drive termasuk dikset dan flash disk]

Agar file tersebut dapat dijalankan setiap kali komputer dinyalakan maka
VBTRoj.FJA akan membuat string pada registry berikut:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

§ 18TapakNaga = C:\WINDOWS\system32\18TapakNaga.exe
§ cilegon = C:\WINDOWS\cilegon.exe
§ MSMSGS = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\WINLOGIN.EXE
§ ServiceAdang = C:\Documents and Settings\Adang\Local
Settings\Application Data\WINDOWS\SERVICE.EXE

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

§ LogonAdang = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\CSRS.EXE
§ System Monitoring = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\LSAS.EXE

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

§ Shell = Explorer.exe “C:\WINDOWS\system32\IExplorer.exe”
§ Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\IExplorer.exe


Disable Fungsi Windows

Sebagai upaya untuk mempertahankan dirinya, VBTRoj.FJA juga akan
melakukan blok terhdap beberapa fungsi Windows yang dapat
dipergunakan untuk menghentikan dirinya diantaranya:

  • Disable Registry Editor
  • Disable CMD
  • Disable Task Manager
  • Disable “System Restore” [jika mengunakan Windows ME/XP]
  • Disable File Installer dengan format MSI
  • Disable Folder Option
  • Disable Tools Security seperti Pocket killbox, HijackThis, Security tak manager dll
  • Blok file yang memunyai caption text: Virus, options, kill,
    setup, install, symantec, avg

Untuk melakukan blok fungsi Windows tersebut, ia akan membuat beberapa string berikut:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ekplorer

§ NoSaveSettings

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

§ NoFolderOptions

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

§ DisableCMD

§ DisableRegistryTools

§ DisableTaskMgr

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

§

NoFolderOptions

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

§ DisableRegistryTools

§ DisableTaskmgr

  • KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

§

DisableMSI

§

LimitSystemRestoreCheckpointing

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
    NT\SystemRestore

§

DisableConfig

§

DisableSR

Sebagai upaya tambahan, VBTRoj.FJA juga akan memanipulasi file yang
mempunyai ekstensi exe, pif, com, lnk, bat dan pif sehingga
jika user menjalankan file yang mempunyai ekstensi tersebut maka
secara otomatis akan mengaktifkan VBTroj.FJA dan kemudian akan
menyembunyikan file tersebut, sebagai bentuk upaya untuk mengelabui
user ia akan membuat file “samaran” [duplikat] sesuai dengan nama
file yang disembunyikan.

Untuk
melakukan hal tersebut diatas, VBTroj.FJA akan merubah string pada
registry berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
    • Default = File Folder
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
    • Default = “C:\WINDOWS\system32\shell.exe” “%1” %*
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command

 

§

Default = “C:\WINDOWS\system32\shell.exe” “%1” %*

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command

§

Default = “C:\WINDOWS\system32\shell.exe” “%1” %*

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command

§

Default = “C:\WINDOWS\system32\shell.exe” “%1” %*

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command

§

Default = “C:\WINDOWS\system32\shell.exe” “%1” %*

Selain
itu VBTRoj.FJA juga akan membuat string pada registry berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    NT\CurrentVersion\AeDebug

§

Debugger = “C:\WINDOWS\system32\Shell.exe”

Sebagai upaya agar dapat tetap aktif p[ada mode “safe mode with
command prompt”, VBTroj.JFA akan merubah string pada registry
berikut:

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

§

AlternateShell = C:\WINDOWS\cilegon.exe

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot

§

AlternateShell = C:\WINDOWS\cilegon.exe

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

§

AlternateShell = C:\WINDOWS\cilegon.exe

Sebagai misi sosial, VBTroj.FJA akan menampilkan pesan setiap kali
komputer dinyalakan dengan pesan berikut:


MARI BANGUN BANTEN DENGAN MEMBERIKAN PENDIDIKAN GRATIS, DENGAN
MEMBANGUN WARNET-WARNET YANG MURAH, SEKARANG GAGAL BESOK GAGAL LAGI
JUGA NGGAK APA-APA YANG PENTING TETAP SEMANGAT, HIDUP PENJAGA WARNET
MAGRIBI, HIDUP PENJAGA WARNET TRIDENTE, HIDUP MAHASISWA, HIDUP
RAKYAT INDONESIA

Untuk
melakukan hal tersebut, ia akan membuat string pada registry
berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    NT\CurrentVersion\Winlogon

    • LegalNoticeCaption = FROM NAGA EMAS CILEGON
    • LegalNoticeText = MARI BANGUN BANTEN DENGAN MEMBERIKAN
      PENDIDIKAN GRATIS, DENGAN MEMBANGUN WARNET-WARNET YANG
      MURAH, SEKARANG GAGAL BESOK GAGAL LAGI JUGA NGGAK APA-APA
      YANG PENTING TETAP SEMANGAT, HIDUP PENJAGA WARNET MAGRIBI,
      HIDUP PENJAGA WARNET TRIDENTE, HIDUP MAHASISWA, HIDUP RAKYAT
      INDONESIA

Menyebar melalui Flash Disk

Untuk
menyebarkan dirinya, VBTroj.FJA akan menggunakan media Disket/Flash
Disk dengan membuat file induk dengan nama

  • Data %User%.exe [contoh: Data Adminsitrator.exe]
  • GambarAneh.exe
  • Selebritis Cilegon.exe
  • Membuat folder Cilegon, dimana folder ini terdiri dari 2
    fiel yakni brojo.exe dan Folder.htt

Sebagai infromasi VBTroj.FJA akan aktif secara otomatis tanpa perlu
menjalankan file yang telah terinfeksi VBTroj.FJA. Virus ini akan
menginfeksi jika user mengakses drive yang sudah terinfeksi
VBTroj.FJA, termasuk jika user akses ke Disket/Flash Disk. Untuk
melakukan hal tersebut, ia akan membuat folder CILEGON dan
Desktop.ini
disetiap Drive termasuk Disket/Flash Disk dimana
folder CILEGON ini akan berisi 2 file yakni folder.htt dan

Brojo.exe. File Desktop.ini akan berisi script untuk
menjalankan fiel Folder.htt yang ada di folder CILEGON, sedangkan
file Folder.htt berisi script untuk menjalankan file Brojo.exe, jadi
sebaiknya lakukan pembersihan secara menyeluruh tidak hanya pada
Drive System saja [C:\]

Sebagai penutup VBTroj.FJA akan menyembunyikan semua file yang
mempunyai ekstensi exe, pif, com, lnk, bat dan pif jika file
dengan ekstensi tersebut dijalankan dan pada kodiisi tertentu
VBTroj.FJA akan blok aplikasi/program yang di jalankan. Untuk
menglabui user ia akan membuat file “samaran” [duplikat] sesuai
dengan nama file yang disembunyikan dengan ciri-ciri:

·

Icon
“Folder”

·

Ukuran
62 KB

·

Ekstensi EXE

·

Type
File “File Folder”. Type file dari file tersebut sebenarnya adalah
“Application” tetapi jika VBTroj.FJA sudah menginfeksi maka akan
merubah type file dari “Application” menjadi file Folder (lihat
gambar 3)

 


Gambar 3, File duplikat yang dibuat oleh VBTroj.FJA

Cara mengatasi VBTroj.FJA :

  • Putuskan hubungan komputer yang akan dibersihkan dari jaringan.
  • Matikan proses virus yang aktif dimemori. Sebagaimana yang telah
    dijelaskan di awal bahwa virus ini sulit untuk dibersihkan baik
    melalui mode “Normal, safe mode atau safe mode with command
    promt” karena ia akan mencoba untuk blok dari berbagai arah agar
    dirinya tetap aktif termasuk untuk memanipulasi file dengan
    ekstensi exe, com, bat, lnk dan pif sehingga jika
    user menjalankan file dengan ekstensi tersebut maka secara tidak
    langsung akan menjalankan virus tersebut, oleh karena itu
    pembersihan sebaiknya dilakukan melalui mode DOS PROMPT.

Jika
komputer anda terinstall Windows dengan Operating System
NT/2000/XP/2003 dengan format NTFS anda dapat menggunakan software
NTFS for DOS. Tools ini digunakan untuk membuat Disket
Startup, software ini dapat di downoad di alamat

http://www.free-av.com/down/windows/ntfs_h.exe
.

Setelah anda berhasil download dan menginstall software tersebut
anda dapat langsung membuat Disket Startup dengan hanya membutuhkan
1 [satu] disket saja. Setelah Disket starup tersebut berhasil dibuat
booting komputer melalui Disket.

Virus
ini dibuat dengan menggunakan program bahasa VB dengan demikian anda
hanya perlu merubah file MSVBVM60.dll, Ingat !! virus ini akan
membuat file MSVBVM60.dll pada direktori [C:\Windows] oleh karena
itu hapus file MSVBVM60.DLL yang ada di direktori [C:\Windows] dan
[C:\Windows\system32].

Jika
anda menggunakan Software NTFS for DOS biasanya Drive master
[contoh: C:\] akan menjadi Drive terakhir, contohnya jika komputer
anda mempunyai 2 partisi [C:\ sebagai System dan D:\ sebagai
Data] maka drive C:\ ini akan menjadi D:\ dan drive D:\ akan
menjadi C:\

Setelah berhasil masuk ke dalam DOS PROMPT dengan menggunakan NTFS
for DOS pastikan kursor berada di Drive system anda [contoh D:\]
kemudian hapus file MSVBVM60.dll yang ada didirektori [C:\Windows
dan C:\Windows\system32].

Sebelum menghapus file MSVBVM60.dll yang ada di direktori
[C:\Windows\System32] copy terlebih dahulu file tersebut ke
direktori lain, hal ini dikhawatirkan terjadi kegagalan jika anda
merubah file MSVBVM60.dll yang ada di direktori
[C:\Windows\System32] sehingga berpotensi aktifnya kembali virus
tersebut.

·

Untuk
menghapus file MSVBVM60.dll lakukan perintah DEL MSVBVM60.dll

·

Untuk
copy file MSVBVM60.dll lakukan perintah :


COPY MSVBVM60.DLL %Lokasi Drive tujuan%:\


[contoh: COPY MSVBVM60.DLL D:\]

Setelah itu ketik perintah DIR /AH untuk melihat apakah file
tersebut sudah berhasil di hapus, untuk lebih jelasnya lihat gambar
4 dibawah ini:


Gambar 4, Menghapus fiel MSVBVM60.dll

Setelah berhasil merubah file MSVBVM60.dll kemudain restart
komputer dan booting ke Windows.


Catatan

Setelah virus berhasil dibersihkan copy kembali file MSVBVM60.dll
ini ke direktori [C:\Windows\system32]

  • Hapus registry yang sudah dibuat oleh virus, untuk mempercepat
    proses pembersihan salin script dibawah ini pada program
    “notepad” kemudain simpan dengan nama “repair.inf” dan jalanakn
    file tersebut dengan cara:

 

  • Klik kanan “repair.inf”
  • Klik “Instrall”

[Version]

Signature=”$Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM,Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM,Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM,Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM,Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM,Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM,SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM,SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM,SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM,SOFTWARE\Classes\exefile,,,application
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug, debugger,0, ”

[del]

HKCU,Software\Microsoft\Windows\CurrentVersion\Run, 18TapakNaga
HKCU,Software\Microsoft\Windows\CurrentVersion\Run, cilegon
HKCU,Software\Microsoft\Windows\CurrentVersion\Run, MSMSGS
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Ekplorer
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, System Monitoring
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableRegistryTools
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableTaskMgr
HKLM,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,LegalNoticeCaption
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,LegalNoticeText
HKLM,SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM,SOFTWARE\Policies\Microsoft\Windows\Installer,
LimitSystemRestoreCheckpointing

HKLM,SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig

HKLM,SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableSR
Setelah menjalankan file tersebut restart komputer.

  • Hapus file induk dan file duplikat yang sudah dibuat oleh virus
    dengan ciri-ciri:

 

  • Icon “Folder”
  • Ukuran 62 KB
  • Ekstensi EXE
  • Type file “Application”

Sebelum menghapus file tersebut pastikan anda sudah menampilkan
semua file yang disembunyikan dengan memilih “Show hidden files and
folders” dan menghilangkan pilihan “Hide extension for known file
types” dan “Hide protected operating system files (recommended)”
pada Folder Option, perhatikan gambar 5 dibawah ini:


Gambar 5, Menampilkan file yang disembunyikan

 

Untuk
mempercepat proses penghapusan, gunakan menu “Search Windows”
dengan setting sebagai berikut : (lihat gambar 6).

  • All or part of the file name, isi dengan *.EXE
  • Look in, isi Lokasi Drive yang ada di komputer anda [contoh:
    C:\ atau D:\]
  • What size is it, pilih option “Specify size (in KB)
    • At Most –à
      63 KB
  • More Advanced options, pilih option berikut :
    • Search system folders
    • Search hidden files and folders
    • Serach subfolders

 


Gambar 6, Mencari file induk dan file duplikat yang dibuat
VBTroj.FJA

Cari
dan hapus juga file duplikat dan file induk yang ada di Flash Disk
atau Disket

  • Tampilkan kembali file dengan ekstensi exe, com, bat, pif dan
    lnk
    dengan menulis perintah berikut pada Dos Prompt [command
    prompt]. (lihat gambar 7)


ATTRIB –s –h *.exe /s /d

Gambar 7, Menampilkan kembali file yang disembunyikan

  • Copy kembali file MSVBVM60.dll ke dalam direktori
    [C:\Windows\System32]
  • Untuk pembersihan optimal dan mencegah infeksi ulang, gunakan
    Norman Virus Control yang sudah dapat mendeteksi virus ini
    dengan baik.

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III / 19E
Jakarta 10160

Ph : 021 345 6850
Fx : 021 345 6851

Berikan Komentar :

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: