Posts Subscribe to CommentsComments

Saturday, June 13, 2009

Browse » Home » » Lagi.. Virus lokal ukuran Jumbo

Lagi.. Virus lokal ukuran Jumbo

Hmmm.... kayaknya virus sekarang tambah besar saja ya.. contohnya berita yang ada di "vaksin.Com" Penyebaran virus saat ini tidak selalu “made in” Visual Basic tetapi dengan bahasa sederhana setingkat VBScript [VBS] sang VM sudah dapat membuat sebuah virus yang mempuyai daya serang yang tak kalah dengan virus yang dibuat dengan VB.

Munculnya virus yang dibuat dengan VBS pertama kali ditemukan pada virus W32/Solow [r4n694-24y], yang akan menampilkan pesan “Hacked By Godzilla” pada jendela Internet Explorer anda serta merubah nama pemilik Windows.

Sama seperti virus yang dibuat dengan bahasa VB yang tidak akan berkutik jika file C:\Windows\system32\msvbvm60.dll di hapus, begitupun dengan virus yang dibuat dengan bahasa VBS yang juga tidak akan berkutik jika file C:\Windows\system32\WSCript.exe dan C:\WINDOWS\system32\dllcache\WsCript.exe dihapus . Bedanya jika virus yang dibuat dengan VB masih dapat dijalankan jika file msvbvm60.dll dicopy ke tempat dimana file virus tersebut berada sedangkan file virus yang dibuat dengan VBS tidak akan dapat dijalankan meskipun file WSCript.exe di copy ke lokasi dimana file virus tersebut berada.

MaHaDeWa muncul ramaikan pertempuran

Untuk meramaikan kancah pertempuran di dunia maya, kini telah muncul satu jenis virus hasil “rakitan” anak bangsa yang dibuat dengan bahasa VBScript. Kali ini file yang di usung cukup besar dan tidak wajar untuk ukuran virus yakni sekitar 30,426 KB alias 30 MB. Mungkin inilah salah satu sebabnya virus ini menamakan dirinya MaHaDeWa, karena ukurannya yang Maha / Jumbo. (lihat gambar 2)

Biasanya virus yang menyebar saat ini mempunyai ukuran yang lebih ramping sekitar 22 kb - 1 MB, semakin kecil ukuran file virus maka waktu dan tempat yang dibutuhkan oleh virus untuk berkembang biak menjadi semakin kecil sehingga secara otomatis penyebarannya akan lebih mudah dan meluas. Anda bisa membayangkan jika virus tersebut mempunyai ukuran lebih dari 1 MB maka membutuhkan waktu yang lama untuk mengkopikan dirinya kedalam system komputer yang menjadi target sehingga proses penyebarannya pun akan terhambat. Karena itu, memang memerlukan orang yang memiliki pemikiran "agak" berbeda dan berani menerobos pakem biasa dimana daripada menerapkan pakem yang sama bahwa small is wonderful, pembuat virus yang satu ini lebih memilih Big is beautiful :P. Hebatnya, menurut pengamatan Vaksincom, virus MaHaDeWa juga sempat menyebar dengan tingkat infeksi cukup tinggi, walaupun belum sampai menjadi virus Top 10 di Indonesia.

Gambar 2, File induk MaHaDeWa atau VBS/AutoRun.AM yang memiliki ukuran "maha".

Virus ini di sinyalir dibuat oleh salah seorang mahasiswa dari UBL, hal ini bisa dilihat dari script dan jejak yang ditinggalkan oleh virus tersebut.

Ciri-Ciri MaHaDeWa

  1. Merubah Judul internet Explorer menjadi MaHaDeWa Labkom UBL (lihat gambar 3)

Gambar 3, MaHaDewa merubah Header Internet Explorer

  1. Merubah start page Internet Explorer menjadi http://webkom

  1. Merubah nama komputer dan nama pemilik Windows (lihat gambar 4)

    1. RegisteredOrganization = Your pc has been clean from Nita Virus by MaHaDeWa

    2. RegisteredOwner = MaHaDeWa

Gambar 4, MaHaDewa merubah nama pemilik komputer

o Merubah Walpaper Windows dengan terlebih dahulu membuat string pada registry berikut : (lihat gambar 5)

o HKEY_CURRENT_USER\Control Panel\Desktop

§ ConvertedWallpaper = C:\WINDOWS\Web\Wallpaper\Bliss.jpg"

o HKEY_CURRENT_USER\Control Panel\Desktop

§ OriginalWallpaper = C:\WINDOWS\Web\Wallpaper\Bliss.jpg

o HKEY_CURRENT_USER\Control Panel\Desktop\

§ Wallpaper = C:\WINDOWS\Web\Wallpaper\Bliss.jpg

Gambar 5, Wallpaper yang sudah diubah oleh MaHaDeWa

Norman Security Suite mendeteksi virus MaHaDeWa sebagai VBS.Autorun.AM (lihat gambar 6)

Gambar 6, Virus MaHaDeWa di deteksi Norman Security Suite sebagai Trojan:VBS/AutoRun.AM

File induk MaHaDeWa

Sama seperti file yang dibuat dengan menggunakan program bahasa Visual Basic, agar dirinya dapat di aktifkan ia membutuhkan file pendukung yakni wscript.exe.

Pada saat dirinya aktif ia akan mencoba untuk membuat beberapa file berikut sebagai file induk yang akan dijalankan pertama kali saat komputer diaktifkan.

  • C:\Windows\system32\WinXp.vbs

  • C:\MaHaDeWa.dll.vbs [setiap drive]

Untuk memastikan agar dirinya dapat aktif secara otomatis setiap kali komputer dinyalakan, ia akan membuat string pada registry berikut:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    • Systemdir = C:\Windows\System32\MaHaDeWa.dll.vbs

    • Ageia = C:\WINDOWS\system32\WinXp.vbs

Selain dengan membuat string registry tersebut, agar dirinya dapat aktif secara otomatis saat user akses Flash Disk atau Drive lain di komputer, ia juga akan memanfaatkan fitur autoplay Windows dengan membuat file autorun.inf dimana file ini akan secara otomatis menjalankan file MaHaDeWa.dll.vbs tanpa perlu menjalankan file tersebut. File autorun.inf ini akan dibuat disetiap Drive termasuk pada Flash Disk (lihat gambar 7)

Gambar 7, MaHaDeWa memanfaatkan fitur Autorun.infagar virus dapat aktif secara otomatis sewaktu Flash Disk di akses

Kawan atau Lawan?

Sebenarnya apa tujuan sang VM membuat virus ini, Apakah MaHaDeWa ini kawan atau Lawan?

Jika kita bongkar isi script yang ada pada file MaHaDeWa.dll.vbs sangat jelas terlihat bahwa dia (VBS/Autorun.AM) ini mempunyai tujuan baik yang akan mencoba untuk mengembalikan registri yang sudah di acak-acak oleh virus sejenis yakni Nita.dll.vbs ataukah antara MaHaDeWa dan Nita ini mempunyai hubungan “khusus”, karena jika kita lihat pada string yang dibuat maka akan membentuk kata-kata N Love You Forever, hanya mereka berdua yang tahu J.

Berikut beberapa registry yang akan dihapus oleh VBS/Autorun.AM

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • N=C:\WINDOWS\system32\sol.exe"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • L=C:\WINDOWS\system32\spider.exe"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • Lo=C:\WINDOWS\Help\Tours\mmTour\tour.exe"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • Lov=C:\WINDOWS\Help\Tours\mmTour\intro.swf

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • Love=C:\WINDOWS\Help\Tours\mmTour\nav.swf

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveY=C:\WINDOWS\Help\Tours\mmTour\segment1.swf

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveYo=C:\WINDOWS\Help\Tours\mmTour\segment2.swf"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveYou = C:\WINDOWS\Help\Tours\mmTour\segment3.swf

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveYouF = C:\WINDOWS\Help\Tours\mmTour\segment4.swf

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveyouFo = C:\WINDOWS\Help\Tours\mmTour\segment5.swf

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveYouFor = C:\WINDOWS\Help\Tours\WindowsMediaPlayer\wmptour.hta

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveYouFore=C:\WINDOWS\Help\Tours\htmlTour\best_fr.htm

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveYoyForev=C:\WINDOWS\Help\Tours\htmlTour\best_road.htm

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveYouForeve=C:\WINDOWS\Help\Tours\htmlTour\best_robust.htm

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveYouforever=C:\WINDOWS\Help\Tours\htmlTour\best_secure.htm

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveYouforeve=C:\WINDOWS\Help\Tours\htmlTour\connected_data.htm"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveYouforev=C:\WINDOWS\Help\Tours\htmlTour\connected_fr.htm

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveYoufore= C:\WINDOWS\Help\Tours\htmlTour\connected_multiple.htm

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveYoufor=C:\WINDOWS\Help\Tours\htmlTour\connected_networks.htm

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveYoufo=C:\WINDOWS\Help\Tours\htmlTour\connected_wizard.htm

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveYouf=C:\WINDOWS\Help\Tours\htmlTour\default.htm

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveYou=C:\WINDOWS\Help\Tours\htmlTour\footer.htm

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveYo=C:\WINDOWS\Help\Tours\htmlTour\safe_better.htm

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • LoveY=C:\WINDOWS\Help\Tours\htmlTour\safe_easier.htm

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • Love=C:\WINDOWS\Help\Tours\htmlTour\safe_faster.htm

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • Lov= C:\WINDOWS\Help\Tours\htmlTour\safe_fr.htm

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • Lo = C:\WINDOWS\Help\Tours\htmlTour\start_control.htm

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • L=C:\WINDOWS\Help\Tours\htmlTour\start_desktop.htm

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • Univ.Budi_Luhur=C:\WINDOWS\Help\Tours\htmlTour\unlock_playing.htm

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 1=C:\WINDOWS\WinSxS\Manifests\x86_Microsoft.Tools.VisualCPlusPlus.Runtime-Libraries_6595b64144ccf1df_6.0.0.0_x-ww_ff9986d7.cat"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 2=C:\WINDOWS\WinSxS\Manifests\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a.cat"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 3=C:\WINDOWS\WinSxS\Manifests\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9.cat"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 4=C:\WINDOWS\WinSxS\Manifests\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.0.0_x-ww_2726e76a.cat"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 5=C:\WINDOWS\WinSxS\Manifests\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.2600.2180_x-ww_b2505ed9.cat"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 6=C:\WINDOWS\WinSxS\Manifests\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.0.0_x-ww_8d353f13.cat"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 7=C:\WINDOWS\WinSxS\Manifests\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2180_x-ww_522f9f82.cat"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 8=C:\WINDOWS\WinSxS\Manifests\x86_Microsoft.Windows.Networking.Dxmrtp_6595b64144ccf1df_5.2.2.3_x-ww_468466a7.cat"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 9=C:\WINDOWS\WinSxS\Manifests\x86_Microsoft.Windows.Networking.RtcDll_6595b64144ccf1df_5.2.2.3_x-ww_d6bd8b95.cat"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 10=C:\WINDOWS\WinSxS\Manifests\x86_Microsoft.Windows.Networking.RtcRes_6595b64144ccf1df_5.2.2.3_en_16a24bc0.cat"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 11=C:\WINDOWS\WinSxS\Manifests\x86_Microsoft.Windows.SystemCompatible_6595b64144ccf1df_5.1.0.0_x-ww_fc342b0b.cat"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 12=C:\WINDOWS\WinSxS\Manifests\x86_Microsoft.Windows.SystemCompatible_6595b64144ccf1df_5.1.2600.2000_x-ww_bcc9a281.cat"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 13 = C:\WINDOWS\notepad.exe"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 14 = C:\WINDOWS\SHELLNEW\ACCESS9.MDB"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 15 = C:\WINDOWS\SHELLNEW\MSPUB.PUB"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 16 = C:\WINDOWS\SHELLNEW\WINWORD8.DOC"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 17 = C:\WINDOWS\SHELLNEW\EXCEL9.XLS"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 18 = C:\WINDOWS\SHELLNEW\PWRPNT11.POT"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 19 = C:\WINDOWS\mui\muisetup.exe"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 20 = C:\WINDOWS\explorer.exe"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 21=C:\WINDOWS\pchealth\helpctr\System\DVDUpgrd\dvdupgrd.htm"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • 22 = C:\Program Files\Internet ExplorerEXPLORE.EXE"

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe

    • Debugger = “”

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe

    • Debugger = “”

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

    • Debugger = “”

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

    • Debugger = ""

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe

    • Debugger = ""

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegistryEditor.exe

    • Debugger = ""

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe

    • Debugger = ""

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV.exe

    • Debugger = ""

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe

    • Debugger = ""

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe

    • Debugger = ""

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wordpad.exe

    • Debugger = ""

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VB6.exe

    • Debugger = ""

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe

    • Debugger = ""

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe

    • Debugger = ""

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\viremoval.exe

    • Debugger = ""

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\viremover.exe

    • Debugger = ""

VBS/Autorun.AM tidak akan melakukan blok terhadap fungsi-fungsi Windows atau security tetapi justru sebaliknya akan mencoba untuk mengembalikan fungsi Windows seperti Regedit/Task Manager/Folder Options dengan membuat string berikut:

  • HKEY_CURRENT_USER\Control Panel\International

    • s1159 = AM

  • HKEY_CURRENT_USER\Control Panel\International

    • s2359 = PM

  • HKEY_CURRENT_USER\Control Panel\Mouse

    • DoubleClickWidth = 4

  • HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics

    • IconSpacing = -1125

  • HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics

    • IconVerticalspacing = -1125

  • HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics

    • Shell Icon Size = 32

  • HKEY_CURRENT_USER\Control Panel\Desktop\ConvertedWallpaper", "C:\WINDOWS\Web\Wallpaper\Bliss.jpg"

  • HKEY_CURRENT_USER\Control Panel\Desktop

    • OriginalWallpaper = C:\WINDOWS\Web\Wallpaper\Bliss.jpg

  • HKEY_CURRENT_USER\Control Panel\Desktop\

    • Wallpaper = C:\WINDOWS\Web\Wallpaper\Bliss.jpg

  • HKEY_CURRENT_USER\Control Panel\Desktop

    • TileWallpaper = 0

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • NoClose = 0

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • NoStartMenuMorePrograms = 0

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • NoViewOnDrive = 0

  • HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\system

    • DisableCMD = 0

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • NoDriveTypeAutoRun = 95

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

    • DisableMsConfig = 0

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced

    • Hidden = 0

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • NoFind = 0

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • NoFolderOptions = 0

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • NoRun = 0

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

    • DisableRegistryTools = 0

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

    • DisableTaskMgr = 0

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • NoViewContextMenu = 0

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • NoTrayContextMenu = 0

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop

    • NoChangingWallpaper = 0

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • NoWinKeys = 0

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • NoLogOff = 0

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • NoControlPanel = 0

Sayangnya ada beberapa string yang justru akan membuat fungsi “System Restore” menjadi tidak berfungsi : (lihat gambar 8)

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore

    • DisableSR = 0

Gambar 8, VBS.Autorun.AM disable System Restore

Agar apa yang telah dilakukan oleh sang VM terus dikenang, ia akan menorehkan beberapa jejak pada komputer target seperti merubah Header Internet Explorer / merubah halaman utama Internet Explorer / merubah nama pemilik komputer target atau memunculkan pesan dari sang VM sebelum user login Windows. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

    • RegisteredOrganization = Your pc has been clean from Nita Virus by MaHaDeWa

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

    • RegisteredOwner = MaHaDeWa

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

    • A = Buatan Labkom UBL

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU\

    • MRUList = A

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

    • LegalNoticeCaption = MaHaDeWa Cleaned

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

    • LegalNoticeText = Congratulations.......!!!!! PC anda bersih dari Virus Nita(^_^)"

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page", http://webkom (lihat gambar 2)

Media Penyebaran

Flash Disk masih digunakan sebagai salah satu alternatif yang akan digunakan oleh VBS/Autorun.AM untuk menyebarkan dirinya dengan membuat 2 buah file yaknis autorun.inf dan MaHaDeWa.dll.vbs. File autourun.inf ini juga dimaksudkan agar dirinya dapat aktif secara otomatis saat user akses ke Flash Disk tersebut.

Bagaimana cara membersihkan VBS/Autorun.MA

  1. Matikan proses virus dengan nama WSCript.exe. untuk mematikan proses virus ini anda dapat menggunakan “task manager” atau tools pengganti task manager lainnya seperti Procee Explorer. (lihat gambar 9)

Silahkan download tools tersebut di alamat berikut

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Gambar 9, Tools untuk mematikan proses virus

  1. Untuk mengantsipasi agar proses virus tidak aktif kembali saat dijalankan, blok file MaHaDeWa.dll.vbs dengan menggunakan “Software Restriction Policies” [Jika menggunakan Windows XP Prof. Dan Windows 2003], caranya : (lihat gambar 10 - 12)

- Klik tombol “Start”

- Klik “Run”

- Ketik “secpol.msc” [tanpa tanda kutip)

- Kemudian pada layar “Local Security Settings”, klik kanan pada folder “Software Restriction Policies” kemudian klik “Crate new policies”

- Kemudian klik kanan pada folder “Additional Rules”

- Klik “New Hash Rule”

Gambar1 0

- Pada kolom “File hash”, klik tombol “Browse” dan arahkan ke file MaHaDeWa.dll.vbs

Gambar 11

Gambar 12 [blok virus VBS/Autorun.AM agar tidak dapat dijalankan]

- Klik tombol “open”

Catatan:

Sebelum blok file tersebut sebaiknya tampilkan file yang tersembunyi terlebih dahulu dengan merubah setting pada Folder Options seperti terlihat pada gambar 13 dibawah ini:

Gambar 13, Menampilkan file yang tersembunyi pada Folder Options

  1. Repair registry yang sudah dibuat oleh MaHaDeWa. Untuk mempermudah proses perbaikan tersebut, salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:

- Klik kanan repair.inf

- Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "About:blank"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x00010001,255

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x00010001,255

[del]

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Ageia

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Systemdir

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

HKLM, Software\Microsoft\Windows\CurrentVersion\Winlogon, LegalNoticeCaption

HKLM, Software\Microsoft\Windows\CurrentVersion\Winlogon, LegalNoticeText

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU\MRUList, a

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU, a

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop, NoChangingWallpaper

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoClose

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoControlPanel

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoStartMenuMorePrograms

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoTrayContextMenu

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoViewOnDrive

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoWinKeys

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, Hidden

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableMsConfig

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoControlPanel

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoLogOff

  1. Hapus file induk virus di direktori berikut:

- C:\MaHaDeWa.dll.vbs (semua drive)

- C:\autorun.inf (semua drive)

- C:\Windows\system32\WinXP.dll.vbs

  1. Untuk pembersihan optimal dan mencegah infeksi ulang, silahkan scan dengan antivirus yang up-to-date dan sudah mengenali virus ini dengan baik

Posted by LiveStrong at 9:39 PM
Labels:

Comments :

0 comments to “Lagi.. Virus lokal ukuran Jumbo”

Post a Comment

Subscribe to: Post Comments (Atom)
 

Copyright © 2009 by My Special Info