W32/Alman (Almanahe) Komputer kacau karena file .exe di injeksi virus Selain virus ARP Poisoning yang sedang marak menyebar di Diam-diam ada satu virus yang juga merepotkan para pengguna komputer di Indonesia dan banyak sekali memakan korbannya. Salah satu ciri khas dari virus ini adalah kehebatannya dalam mengubah semua file yang memiliki ekstensi .EXE sehingga jelas mengganggu korbannya karena aplikasi di komputer yang menjadi korban virus ini akan menjadi kacau. Dalam menyebarkan dirinya, virus hasil racikan luar ini akan menyebar dengan melalui jaringan dengan mengincar direktori yang di share “full” dan menginfeksi file EXE yang ada di dalam folder tersebut. Ada beberapa lokasi yang tidak akan di rubah seperti file yang berada di direktori : · \LOCAL SETTINGS\T · \QQ · \Windows · \Winnt Untuk mempertahankan dirinya, ia akan aktif di memori sebagai services serta akan menginfeksi library (.dll file) dari file explorer.exe serta memantau koneksi internet yang kemudian akan mendownload malware lainnya serta menjalankannya. Virus ini dibuat dengan menggunakan program bahasa “Microsoft Visual C ++ 6.0”. Dengan update terbaru Gambar 1, Norman Virus Control mendeteksi varian-varian virus Alman / Almanahe yang sedang mengganas di Drop File Pada saat virus ini aktif, ia akan membuat beberapa file induk yang akan di jalankan pertama kali setiap kali komputer aktif, file ini akan di jadikan sebagai service Windows. · C:\Windows\linkinfo.dll · C:\Windows\System32\drivers\LsDrv118.sys · C:\Windows\system32\drivers\nvmini.sys · C:\Windows\System32\drivers\cdralw.sys · C:\Windows\System32\drivers\riodrvs.sys · C:\Windows\System32\drivers\DKIs6.sys Registri Agar dirinya dapat aktif secara otomatis, ia akan membuat dirinya seolah-olah merupakan service Windows dengan terlebih dahulu membuat string pada registri berikut: · [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%file%] o "DisplayName" = " o "ImagePath" = "%system%\drivers\%file%.sys" · [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%] o "NextInstance" = 1 · [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%\0000] o "Service" = "%file%" o "Legacy" = 1 o "ConfigFlags" = 0 o "Class" = "LegacyDriver" o "ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}" o "DeviceDesc" = "%file%" · [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%\0000\Control] o "NewlyCreated" = 0 o "ActiveService" = "%file%" · HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%file% o "DisplayName" = "RioDrvs Usb Driver" · HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\%file% o DisplayName" = "RioDrvs Usb Driver" Catatan: %file% ini berbeda-beda yang terdiri dari salah satu file dibawah ini: · Nvmini · Cdralw · RioDrvs Terminate program / Aplikasi / Malware W32/Alman juga akan mencoba untuk mematikan dan menghapus beberapa program/apalikasi/malware/library (dll file) salah satu file dibawah ini: · c0nime.exe · cmdbcs.exe · ctmontv.exe · explorer.exe · fuckjacks.exe · iexpl0re.exe · iexpl0re.exe · iexplore.exe · internat.exe · logo_1.exe · logo1_.exe · lsass.exe · lying.exe · msdccrt.exe · msvce32.exe · ncscv32.exe · nvscv32.exe · realschd.exe · rpcs.exe · run1132.exe · rundl132.exe · smss.exe · spo0lsv.exe · spoclsv.exe · ssopure.exe · svhost32.exe · svch0st.exe · sxs.exe · sysbmw.exe · sysload3.exe · tempicon.exe · upxdnd.exe · wdfmgr32.exe · wsvbs.exe · dllwm.dll · dllhosts.dll · notepad.dll · rpcs.dll · rdihost.dll · rdfhost.dll · reshost.dll · lgsym.dll · rund11.dll · midddsccrt.dll · wsvbs.dll · cmdb.dll · richdll.dll · wininfo.rxk · windhcp.dll · upxdhnd.dll Ia juga akan blok proses dari software antirootkit atau network filter dibawah ini: · SPUBDRV · ISDRV1 · RKREVEAL · PROCEXP · SAFEMON · RKHDRV10 · NPF · IRIS · NPPTNT · DUMP_WMIMMC · SPLITTER · EAGLENT Media penyebaran Virus ini menyebar cukup cepat dengan memanfaatkan media Flash Disk atau Disket dan melalui jaringan. Untuk menyebar melalui Flash Disk / Disket, ia akan membuat 2 buah file yakni boot.exe (40KB) dan autorun.inf. Virus ini akan aktif secara otomatis setiap kali Flash Disk tersebut dihubungkan ke komputer atau pada saat pengguna komputer mengakses ke Flash Disk tersebut. File autorun.inf ini berisi script untuk menjalankan file boot.exe. Selain meembuat 2 file tersebut, ia juga akan menginfeksi semua file yang mempunyai ekstensi EXE. File yang sudah terinfeksi tersebut akan bertambah 32 KB dari ukuran semula. Sedangkan untuk menyebar melalui jaringan, ia akan menginfeksi semua file EXE yang ada di folder yang di sharing yang mempunyai akses “Full”. Selain itu ia juga akan mencoba untuk mengakses drive lokal pada komputer target (C:\) dengan menggunakan username administrator serta mencoba beberapa password berikut: · admin · 1 · 111 · 123 · Aaa · 12345 · 123456789 · 654321 · !@#$ · qsdf · asdfgh · !@#$% · !@#$%^ · !@#$%^& · !@#$%^&* · !@#$%^&*( · !@#$%^&*() · qwer · admin123 · love · test123 · owner · mypass123 · root · letmein · qwerty · abc123 · password · monkey · password1 Jika berhasil di tembus, ia akan drop dan menjalankan satu file dengan nama setup.exe pada drive C:\. Mampu mengupdate diri seperti antivirus W32/Alman juga akan mencoba untuk mengirimkan beberapa informasi dari komputer yang telah terinfeksi serta mengirimkan informasi tentang keberadaan driver dari software security dibawah ini ke pembuat virus · Hooksys · KWatch3 · KregEx · KLPF · NaiAvFilter1 · NAVAP · AVGNTMGR · AvgTdi · nod32drv · PavProtect · TMFilter · BDFsDrv · VETFDDNT dan mencoba untuk download malware lain dari url yang telah di tentukan seperti: · pic.imrw0rldwide.com · soft.imrw0rldwide.com · tj.imrw0rldwide.com Injeksi File EXE Target selanjutnya yang dilakukan adalah mencoba untuk menginfeksi semua file yang mempunyai ekstensi EXE yang tidak diproteksi oleh System File Checker (SFC). Walaupun ia berusaha untuk menginfeksi file EXE tetapi ada beberapa lokasi yang tidak akan di incar yakni file yang berada di direktori berikut: · \LOCAL SETTINGS\TEMP · \QQ · \Windows · \Winnt Serta beberapa file yang mempunyai salah satu nama dibawah ini: · launcher.exe · repair.exe · wow.exe · wooolcfg.exe · woool.exe · ztconfig.exe · patchupdate.exe · trojankiller.exe · xy2player.exe · flyff.exe · xy2.exe · au_unins_web.exe · cabal.exe · cabalmain9x.exe · cabalmain.exe · meteor.exe · patcher.exe · mjonline.exe · config.exe · zuonline.exe · userpic.exe · main.exe · dk2.exe · autoupdate.exe · dbfsupdate.exe · asktao.exe · sealspeed.exe · xlqy2.exe · game.exe · wb-service.exe · nbt-dragonraja2006.exe · dragonraja.exe · mhclient-connect.exe · hs.exe · mts.exe · gc.exe · zfs.exe · neuz.exe · maplestory.exe · nsstarter.exe · nmcosrv.exe · ca.exe · nmservice.exe · kartrider.exe · audition.exe · zhengtu.exe Cara membersihkan W32/Alman · Putuskan komputer yang ingin dibersihkan dari jaringan. · Matikan “System Restore” selama proses pembersihan berlangsung. · Disarankan lakukan pembersihan pada mode “safe mode”. · Matikan service virus yang aktif dimemory dengan cara: · Klik [Start] [Run]. · Ketik services.msc, pada dialog box RUN kemudian klik tombol [OK] · Cari services virus dengan nama “ · Kemudian klik menu Action > Properties. · Klik tombol Stop. · Pada bagian Startup Type pilih Manual. · Klik OK · Hapus registry Windows yang sudah dibuat oleh virus. Untuk mempermudah proses penghapusan, silahakn salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: Klik kanan repair.inf | klik Install [Version] Signature="$ Provider=Vaksincom Oyee [DefaultInstall] AddReg=UnhookRegKey DelReg= [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1"" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe" HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1 [ HKLM, Software\Microsoft\Internet Explorer\Main, Window Title HKLM, SYSTEM\ControlSet001\Services\RioDrvs HKLM, SYSTEM\ControlSet001\Services\cdralw HKLM, SYSTEM\ControlSet001\Services\nvmini HKLM, SYSTEM\CurrentControlSet\Services\RioDrvs HKLM, SYSTEM\CurrentControlSet\Services\nvmini HKLM, SYSTEM\CurrentControlSet\Services\cdralw HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RIODRVS HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_RIODRVS HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_cdralw HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_cdralw HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini · Hapus file yang di drop oleh virus di direktori: o C:\Windows\linkinfo.dll o C:\Windows\System32\drivers\lsDrv118.sys o C:\Windows\system32\\drivers\nvmini.sys o C:\Windows\System32\\drivers\cdralw.sys o C:\Windows\System32\drivers\riodrvs.sys o C:\Windows\System32\drivers\DKIs6.sys Hapus juga file Boot.exe dan autorun.inf yang dibuat di Flash Disk Catatan: Sebelum menghapus file tersebut, sebaiknya tampilkan terlebih dahulu file yang disembunyikan dengan cara (lihat gambar 2): · Buka Windows Explorer · Klik menu “Tools” | Folder Option · Klik tabulasi “View” · Pilih opsi “Show hidden files and folders” · Uncheck pilihan “Hide protected operating system files (recommended)” · Klik “Apply” · Klik “Ok” Gambar 2, Menampilkan file yang tersembunyi · Repair file yang sudah di injeksi oleh virus. Untuk clean file tersebut silahkan gunakan removal tools berikut : http://www.4shared.com/file/50751394/a0aa95b5/_2__Norman_Alman_Cleaner.html?dirPwdVerified=7a224f27 · Untuk pembersihan optimal install scan dengan antivirus yang dapat mengenali dan membasmi virus ini dengan baik. Silahkan download antivirus Norman free trial 1 bulan di alamat berikut salam, Aj Tau info@vaksin.com PT. Vaksincom Jl. Tanah Abang III/19E Jakarta 10160 Ph : 021 345 6850 Fx : 021 345 6851 |
W32/Dloader.HFZC
Batosai jadi jagoan di WarCraft ??
Masih ingatkah anda pada artikel virus batosai (virus yang mengubah background folder windows menjadi background gambar komik Jepang, Batosai) http://vaksin.com/2007/1007/Batosai.htm. Kali ini, yang mendapatkan “giliran” untuk menjadi thema dari pembuat virus adalah Maxtrox (Maximum Troxer).
Bila anda bingung apa yang dimaksudkan dengan Maximum Troxer, tanya rekan anda penggemar game. Bagi pecinta game online, tentu sangat familiar dengan game dari Blizzard Entertaiment yaitu World of Warcraft. Entah apa hubungannya antara game ini dengan virus, kemungkinan besar si pembuat virus ini merupakan salah satu penggemar game ini.
Norman Security Suite, kategori virus ini teridentifikasi sebagai W32/Dloader.HFZC. (lihat gambar 1)
Gambar 1, Norman Security Suite mendeteksi Maxtrox sebagai W32/Dloader.HFZC
Ciri-ciri File Virus
Ciri-ciri dari file virus ini diantaranya sebagai berikut :
· Menggunakan icon WinRAR
· Memiliki ukuran 77 KB
· Type file “application” dan “screen saver”
· Memiliki ekstensi utama “exe” dan “scr”, dengan pendukung “msd” dan “sysm” (lihat gambar 2)
Gambar 2, Contoh file virus MaxTrox
Mengubah Wallpaper
Salah satu efek utama dari virus MaxTrox adalah mengubah wallpaper dekstop menjadi gambar MaxTrox (Maximum Troxer), dengan tambahan waktu di tengah atas dan comment di tengah bawah serta identitas di kiri bawah. (lihat gambar 3)
Gambar 3, Wallpaper yang dibuat oleh virus MaxTrox
Wallpaper ini akan aktif pada setiap tanggal 1 s/d 6 pada bulan April, Agustus dan Desember. Waktu yang dibuat oleh virus selalu berubah sesuai dengan waktu pada komputer user. Untuk comment yang dibuat menyesuaikan dengan nama user yang aktif saat ini.
Mengubah background folder WINDOWS
Sama seperti virus batosai, MaxTrox merubah tampilan background folder WINDOWS dengan background MaxTrox. (lihat gambar 4)
Gambar 4, Background folder WINDOWS yang diubah oleh virus MaxTrox
Duplikat File dan Merubah ekstensi File .exe
Jika diperhatikan dengan teliti, salah satu ciri khas Maxtrox selain menggantikan wallpaper adalah berusaha menggantikan file .exe asli dari folder Program Files. Caranya adalah dengan menduplikasi file asli kemudian menambahkan spasi (space) pada file asli, exe tanpa spasi menjadi exe dengan spasi. (lihat gambar 5)
Gambar 5, Maxtrox memalsukan diri sebagai file executable di Program Files dan menggantikan file asli dengan cara menambahkan spasi
Dengan cara ini, maka virus berusaha menggantikan file asli dengan file palsu yang telah terinject virus. User tetap dapat menjalankan program asli yang disertai menjalankan pula file virus. Sedangkan file executable yang asli telah di-rename menjadi ekstensi exe (exe dengan tambahan spasi).
Register Ekstensi
Untuk mengelabui user dan mendukung aksi-nya, virus meregister ekstensi file virus (msd dan sysm). Msd dengan type Microsoft System Direct, dan Sysm dengan type System Mechanic. (lihat gambar 6)
Gambar 6, Ekstensi MSD dan SYSM yang diregister ke registri
Membuat folder Palsu
Untuk menunjang aksi-nya dan mencoba mengelabui user, virus membuat folder palsu sebagai tempat berkumpulnya virus. Dalam hal ini dia membuat folder “My Network Places\Network Connections” (lihat gambar 7)
Gambar 7 folder palsu yang dibuat sebagai penunjang aksi virus
File-file Virus
Sama seperti pendahulunya, virus ini memiliki beberapa file induk yaitu :
· C:\Documents and Settings\%user%\Start Menu\Programs\Startup\Microsoft Connection.msd
· C:\WINDOWS\system32\Windows 3D.scr
· C:\WINDOWS\system32\CommandPrompt.Sysm
· C:\WINDOWS\system32\Desktop.Sysm
Setelah infeksi, virus membuat sekumpulan file virus pada folder palsu yaitu :
· C:\Documents and Settings\%user%\My Network Places\Network Connections\
aiza.exe, aizg.exe, aizw.exe, amaw.exe, amha.exe, amn.exe, asc.exe, asct.exe, auxw.exe, avc.exe, csa.exe, csda.exe, csnp.exe, csw.exe, cswg.exe, dsdv.exe, dsha.exe, dsnv.exe, dswa.exe, dswp.exe, duxp.exe, dvcw.exe, huxa.exe, izav.exe, izha.exe, iznv.exe, nam.exe, ncs.exe, ndsg.exe, nizv.exe, nscp.exe, sca.exe, scat.exe, scdw.exe, scg.exe, schg.exe, scnv.exe, scwg.exe, uxnw.exe, vc.exe, vcg.exe, vcna.exe, vcwg.exe, vcwt.exe,wamg.exe, wdsp.exe, wdsw.exe, wizw.exe, wscg.exe, wscp.exe, wuxv.exe, wvca.exe.
Virus juga menduplikasi file dan menggantikan file executable asli program. Virus akan membuat file exe virus yang sama persis dengan file asli, sedangkan file asli akan di-rename menjadi file exe (file exe dengan spasi). Seluruh file exe pada folder Program Files akan di duplikasi virus.
Selain itu, virus juga membuat beberapa file pendukung yaitu :
· C:\Documents and Settings\%user%\My Network Places\Network Connections\%USER% ANGEL.bmp
· C:\WINDOWS\desktop.ini
· C:\WINDOWS\system32\XPs.ini
· C:\WINDOWS\system32\maxtrox.txt
Manipulasi Registry
Agar dapat aktif saat komputer dinyalakan, virus membuat string registri pada startup windows, yaitu :
· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
VisualStyle = C:\WINDOWS\system32\Desktop.Sysm
Untuk menyamarkan tipe file, virus membuat string registri pada :
· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
NeverShowExt =
· HKEY_CLASSES_ROOT\exefile
NeverShowExt =
Saat aktif, virus hanya berusaha mematikan Task Manager tetapi tidak melakukan blok terhadap beberapa fungsi windows seperti folder options, namun virus berusaha mencegah perubahan pada folder options dengan membuat string pada :
· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
· HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer \Advanced\Folder\SuperHidden
CheckedValue= 1
DefaultValue= 1
· HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer \Advanced\Folder\ShowFullPath
DefaultValue= 1
Terakhir, virus mencoba aktif pada mode “safe mode” atau “safe mode with command prompt”, agar semakin sulit untuk dibersihkan. Untuk itu, virus membuat string pada registry berikut :
· HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
AlternateShell = C:\WINDOWS\system32\CommandPrompt.Sysm
· HKEY_LOCAL_MACHINE\System\ControlSet001\Control\SafeBoot
AlternateShell = C:\WINDOWS\system32\CommandPrompt .Sysm
· HKEY_LOCAL_MACHINE\System\ControlSet002\Control\SafeBoot
AlternateShell = C:\WINDOWS\system32\CommandPrompt .Sysm
· HKEY_LOCAL_MACHINE\System\ControlSet003\Control\SafeBoot
AlternateShell = C:\WINDOWS\system32\CommandPrompt .Sysm
Cara Pembersihan Virus
1. Sebaiknya lakukan pembersihan pada mode safe mode.
2. Matikan proses virus yang aktif di memory. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager (dapat anda download pada alamat berikut)
Lakukan kill process, pada file virus yang aktif yaitu : (lihat gambar 8)
· C:\Documents and Settings\%user%\Application Data\Microsoft\%dsh%.exe
(nama virus random / acak, semisal aizw.exe, scnp.exe, dll)
Gambar 8, Gunakan Itty Bitty Process Manager untuk Kill Process virus yang aktif
3. Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature="$Chicago
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Classes\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden, 0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPath, DefaultValue, 0x00010001,0
[del
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Classes\exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, VisualStyle
HKCU, Control Panel\Desktop, SCRNSAVE.EXE
Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
4. Hapus file induk virus yang mempunyai ciri-ciri sebagai berikut :
· Icon “WinRAR”
· ekstensi *.exe, *.scr, *.msd, *.sysm
· Ukuran 77 kb
Catatan
· Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.
· Untuk mempermudah proses pencarian sebaiknya gunakan "Search Windows" dengan filter file *.exe, *.scr, *.msd, *.sysm yang mempunyai ukuran 77 KB.
· Hapus file virus yang biasanya mempunyai date modified yang sama. (lihat gambar 9)
Gambar 9, Hapus file induk virus melalui fitur search windows
5. Hapus file duplikasi virus pada folder C:\Program Files (biasanya file virus diikuti file executable asli yang telah di-rename menjadi EXE File oleh virus). Untuk pembersihan yang optimal, sebaiknya gunakan Norman Security Suite atau antivirus yang ter-update dan dapat mengenali virus tsb untuk mempermudah penghapusan virus. Anda bisa menggunakan Norman Malware Cleaner untuk melakukan penghapusan tsb dengan men-download pada : (lihat gambar 10)
Gambar 10, Gunakan Norman Malware Cleaner membersihkan Maxtrox
6. Rubah kembali ekstensi file executable yang telah di-rename oleh virus pada folder C:\Program Files. Gunakan software/tool untuk mempermudah rename ekstensi secara cepat. (lihat gambar 11)
Gambar 11, Extention Renamer, salah satu tools merubah ekstensi secara cepat pada semua folder/drive
7. Untuk mencegah infeksi ulang lindungi komputer anda dengan antivirus yang telah dapat mendeteksi dan membasmi virus ini.
Salam,
Ad Sap
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 345 6850
Fx : 021 345 6851
W32/Agent.GPKB
Free Video Nude Anjelina Jolie
Free Video Nude Anjelina Jolie
Anjelina Jolie XXX Video Free
Untuk pengguna komputer awam.
Jika anda memenuhi kriteria di bawah ini :
1. Pengguna email.
2. Penggemar Angelina Jolie.
3. Memiliki kecenderungan sindroma Gasulik (gatal suka mengklik) [Yes], [Ok], [Next], [Finish]. [Download].
4. Tidak menggunakan antivirus atau menggunakan antivirus yang tidak terupdate untuk mendeteksi virus lokal dan virus mancanegara.
Harap berhati-hati jika menerima email dibawah ini (lihat gambar 1) :
Gambar 1, Email yang “menjanjikan” video polos Anjelina Jolie
Karena isi email tersebut dapat dikatakan 100 % bohong. Bukan Angelina Jolie atau Microsoft yang bohong :P, tetapi pembuat spyware tersebut yang bohong. Email tersebut menjanjikan gambar video polos Anjelina Jolie FREE alias Gratis dengan embel-embel seakan-akan email tersebut merupakan Fitur dari Microsoft MSN. Vaksincom menyarankan, JANGAN sekali-kali mengklik link tersebut. Bukan karena anda masih dibawah umur atau karena dilarang oleh agama.
Kalau anda masih tidak percaya juga dan mengklik link tersebut (seperti teknisi lab Vaksincom yang bandel2 lakukan) maka link tersebut akan membuka browser yang otomatis akan mendownload file yang membuat banyak laki-laki di dunia ini deg-degan “video-nude-anjelina.avi.exe”.
Vaksincom menyarankan, JANGAN di [save], sebaiknya cancel saja (lihat gambar 2).
Gambar 2, Jika anda terlanjur mengklik link pada email akan mengarahkan pada download file.
Tetapi kalau anda (bandel) lakukan juga save file tersebut. JANGAN dijalankan, percayalah pada team lab Vaksincom yang telah mendownload file tersebut dan terinfeksi spyware :P (tentunya pada komputer test virus).
Kalau karena satu dan lain hal, meskipun sudah di bilang JANGAN berkali-kali dan anda tetap mendownload dan menjalankan file tersebut, maka saatnya anda bermetamorfosis dari pengguna komputer awam menjadi pengguna komputer pusing ..... karena anda sudah terinfeksi virus Anjelina yang terdeteksi oleh Norman sebagai W32/Agent.GPKB. (lihat gambar 3).
Gambar 3, Norman Security Suite mendeteksi Anjelina sebagai W32/Agent.GPKB
W32/Agent.GPKB atau kita sebut saja virus Anjelina merupakan virus yang menggabungkan Spam, Spyware dan Virus :
· SPAM, malware ini secara sukarela memberikan atribut [SPAM] pada Subject email (lihat Subject email di gambar 1) dengan tujuan untuk mengelabui spam server dan dapat meloloskan diri dari saringan spam. Selain itu, rangka membuat dirinya dijalankan oleh penerima email, ia menggunakan rekayasa sosial nama Angelina Jolie (belahan jiwanya Brad Pitt) sengaja diplesetkan menjadi Anjelina Jolie. Tujuannya juga untuk menghindari saringan dari antispam yang pada umumnya akan menyaring kata Angelina Jolie. Ingat kata Viagra yang sering diplesetkan menjadi V1agra.
· Spyware dan Virus. Sebenarnya batas antara spyware dan virus sudah sangat tipis, walaupun secara definitif spyware adalah malware (kode jahat) yang sangat bandel jika sudah nempel pada komputer ibarat cicak basah yang lengket dan sangat sulit dilepaskan, memfokuskan pada penyerangan yang memanfaatkan browser populer seperti Internet Explorer dan Firefox. Tetapi pada beberapa aksinya malware ini tidak membutuhkan browser sehingga ia juga masuk ke dalam kategori virus.
Untuk lebih detailnya, silahkan simak analisa dari Laboratorium Virus Vaksincom yang dilakukan oleh Adang Juhar Taufik dibawah ini.
Untuk pengguna komputer pusing :
Banyak cara untuk mempromosikan sesuatu, hal ini semakin mudah dengan adanya internet maka ruang dan waktu serta jarak bukanlah suatu penghalang. Salah satu cara yang dilakukan adalah dengan memasang iklan di internet, tetapi cara ini rupanya belum cukup jitu karena tidak semua user akan mengunjungi web tersebut, bahkan menghindari iklan internet. Lalu bagaimana caranya?
Lihatlah apa yang dilakukan oleh perusahaan yang “mengklaim” menjual program dengan nama Antivirus XP 2008.
Hal ini juga dilakukan oleh salah satu perusahaan yang membuat program antivirus dan antispyware dengan nama Antivirus XP 2008 (lihat gambar 4)
Gambar 4, Website Antivirus XP 2008
Sebagai informasi Antivirus XP 2008 adalah salah software security yang “jahat” dan berpura-pura sebagai antispyware yang mengklaim dirinya sebagai Anti-Malware, Anti-Virus, Anti-Trojan, Anti-Backdoor, Anti-Worm and Anti-PornoDial.
Setelah virus tersebut aktif ia akan membuat beberapa file yang akan di jalankan setiap kali komputer di nyalakan diantaranya :
· C:\Windows\services.exe
· C:\WINDOWS\system32\lphc7nvj0e52e.exe.
· C:\WINDOWS\system32\phc7nvj0e52e.bmp
· C:\WINDOWS\system32\blphc7nvj0e52e.scr
· C:\Windows\system32\pphc7nvj0e52e.exe
· C:\Documents and Settings\Elvina\Local Settings\Temp\.ttxx.tmp
Dimana xx=acak
Seperti yang sudah dijelaskan di atas dimana pada saat komputer terinfeksi virus, secara otomastis akan menginstalkan sebuah program antispyware dengan nama Antivirus XP 2008, dimana software ini sebenarnya merupakan sebuah program spyware yang menyamar sebagai antipsyware (maling teriak maling), dia akan membasmi spyware yang lain dan memastikan hanya dirinya saja yang aktif di komputer korban. (lihat gambar 5)
Gambar 5, "Antivirus" XP 2008 beraksi
Program ini akan terinstall di direktori C:\Program Files\rhc3nvj0e52e
Agar dirinya dapat aktif secara otomatis setiap kali pc dihidupkan, ia akan membuat beberapa string pada registry berikut:
· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o lphc7nvj0e52e = C:\WINDOWS\system32\lphc7nvj0e52e.exe
o services = C:\WINDOWS\services.exe
o SMrhc3nvj0e52e = C:\Program Files\rhc3nvj0e52e\rhc3nvj0e52e.exe
Ubah Screan Saver Windows dan Desktop Windows
Anjelina juga akan merubah screensaver Windows untuk menjalankan file yang berada di direktori C:\WINDOWS\system32\blphc7nvj0e52e.scr.
Selain merubah screensaver Windows, Anjelina juga akan merubah desktop windows dengan menjalankan file C:\WINDOWS\system32\phc7nvj0e52e.bmp yang berisi peringatan seperti yang terlihat pada gambar 6 dibawah ini :
Gambar 6, Pesan peringatan dari Antivirus XP 2008
Untuk merubah desktop windows tersebut, ia akan membuat string pada registry berikut :
HKEY_USERS\S-1-5-21-1757981266-1202660629-839522115-1003\Control Panel\Desktop
· SCRNSAVE.EXE = C:\WINDOWS\system32\blphc7nvj0e52e.scr
· ConvertedWallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp
· OriginalWallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp
· Wallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp
HKEY_CURRENT_USER\Control Panel\Desktop
· ConvertedWallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp
· OriginalWallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp
· SCRNSAVE.EXE = C:\WINDOWS\system32\blphc7nvj0e52e.scr
· Wallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp
Agar user sulit untuk merubah screen saver dan desktop Windows tersebut, ia akan menghilangkan tabulasi “Desktop” dan “Screen saver” pada menu “Display Properties (klik kanan desktop | klik properties) dengan membuat string pada registry berikut : (lihat gambar 7)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
· NoDispBackgroundPage
· NoDispScrSavPage
Gambar 7, Disable tabulasi “Desktop” dan Screen saver”
Menyebar melalui SPAM
Untuk menyebarkan dirinya ia akan memanfaatkan email dengan mengirimkan email yang seolah-olah dikirim oleh MSN (Microsoft), lihat gambar 1 di atas.
Jika text “Free Video Nude Anjelina Jolie” tersebut di klik maka secara otomatis akan membuka browser dan menggunakan fitur “Drive by Download” akan mendownload sebuah file dengan nama video-nude-anjelia.avi.exe dengan ukuran yang berbeda-beda (108 KB / 146 KB / 173 KB).
Cara membersihkan Agent.GPKB
· Putuskan komputer yang akan dibersihkan dari jaringan/internet
· Matikan proses virus yang aktif di memori. Untuk mematikan proses ini gunakan tools pengganti Task Manager seperti Currprocess, kemudian matikan proses yang mempunyai lokasi berikut : (lihat gambar 8)
o C:\WINDOWS\system32\lphc7nvj0e52e.exe
o C:\WINDOWS\services.exe
o C:\Program Files\rhc3nvj0e52e\rhc3nvj0e52e.exe
o C:\WINDOWS\system32\blphc7nvj0e52e.scr
o C:\Windows\system32\pphc7nvj0e52e.exe
o C:\Program Files\rhc3nvj0e52e\rhc3nvj0e52e.exe
Gambar 8, Gunakan CurrProcess untuk mematikan proses virus
· Hapus registry yang dibuat oleh virus. Silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara :
o Klik kanan repair.inf
o Klik Install
[Version]
Signature="$Chicago
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Control Panel\Desktop, ConvertedWallpaper,0, ""
HKCU, Control Panel\Desktop, OriginalWallpaper,0, ""
HKCU, Control Panel\Desktop, SCRNSAVE.EXEr,0, ""
HKCU, Control Panel\Desktop, Wallpaper,0, ""
[del
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, lphc7nvj0e52e
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, services
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, SMrhc3nvj0e52e
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, NoDispBackgroundPage
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, NoDispScrSavPage
· Hapus File virus berikut:
o C:\WINDOWS\system32\blphc7nvj0e52e.scr
o C:\WINDOWS\system32\phc7nvj0e52e.bmp
o C:\Windows\services.exe
o C:\WINDOWS\system32\lphc7nvj0e52e.exe.
o C:\Windows\system32\pphc7nvj0e52e.exe
· Hapus file temporary Windows.
· Uninstall/remove program Antivirus XP 2008.
o Pastikan proses antivirus xp 2008 telah di matikan, gunakan tools currprocess kemudian matikan file yang mempunyai nama rhc3nvj0e52e.exe (gambar 9)
Gambar 9, hapus file dengan nama rch3nvj0e52e.exe
o Hapus folder yang dibuat virus berikut:
§ C:\Program Files\rhc3nvj0e52e\rhc3nvj0e52e.exe
§ C:\Documents and Settings\Elvina\Application Data\rhc3nvj0e52e
§ C:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008
§ C:\Documents and Settings\Elvina\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk
§ C:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008.lnk
§ C:\Documents and Settings\All Users\Desktop\Antivirus XP 2008.lnk
o Hapus registry yang dibuat oleh virus
§ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
§ rhc3nvj0e52e
§ HKEY_LOCAL_MACHINE\SOFTWARE
§ rhc3nvj0e52e
§ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier
§ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
§ rhc3nvj0e52e
§ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent
§ Post Platform
· Untuk pembersihan optimal dan mencegah infeksi ulang, lindungi komputer anda dengan antivirus yang sudah dapat mengenali dan membasmi virus ini dengan baik.
· Jika anda mengalami kesulitan dalam menghadapi serangan virus di jaringan komputer anda,jangan ragu untuk menghubungiVaksincom di info@vaksin.com.
Salam,
Aj Tau
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 3456850
Fx : 021 3456851
