Worm:VBWorm.gen3

Worm:VBWorm.gen3            15 Februari 2010
Selamat Jalan Kekasih Tercinta ... Windows

...||| Sei GutBai 2 WINDOWS |||...

Gunakan DeeFreeze atau sejenisnya ...!!!

Go Back juga boleh … !!!

Untuk menangkal Vulnerabilty ini …

Sebab kalau tidak, Kamu HARUS mengatakan

GOOD BY ForeVer …!! Buat WINDOWS

>>>     WINDOWS Serious Vulnerability <<<

|||KHUSUS buat Kamu-kamu yang punya nyali B3S4R |||

Created by :

..|| Jerry Maheswara ||..

For YogyaFree | X-Code | FamiliyCode <

This is just for KnowleDge, Not for Crime Destination

(c) 2006 – All Crime Not Reserved

Jika pada hari Valentine dirayakan oleh pasangan kekasih yang menyatakan cintanya dengan berbagai macam cara, baik mengirimkan coklat sampai dengan makan malam romantis, maka pada Valentine 2010 ini ada satu virus yang merayakannya dengan mengucapkan Selamat Jalan kepada “kekasih” komputer anda .... Operating System Windows. Sebenarnya virus ini tidak termasuk kedalam kategori virus yang canggih, malahan terkesan virus ini terlalu banyak menampilkan pesan untuk menakut-nakuti korbannya. Ibarat beberapa anggota Dewan virus ini masuk kategori NATO (No Action Talk Only) atau lebih tepatnya LATM (Little Action Talk Much) karena untuk menjalankan aksinya saja virus ini akan menampilkan 4 dialog box. Ibarat orang kalau mau sudah sekarat tetapi mau meninggalkan pesan banyak sekali .... akhirnya tidak jadi meninggal karena Malaikat Jibrilnya bosen tungguin pesan terakhirnya ..... kepanjangan :p. (harap hal ini jangan dicoba di rumah)

Walaupun penyebaran virus lokal saat ini mulai redup dibandingkan bulan-bulan sebelumnya tetapi justru virus-virus yang di hasilkan semakin mempunyai efek yang cukup membahayakan, bukan saja menyambunyikan suatu file tetapi lebih dari itu akan meghapus file yang dianggap penting atau sering diakses oleh user. Walaupun terkadang beberapa pembuat virus mengatakan bahwa hal ini dilakukan sebagai media pembelajaran tetap saja hal ini melanggar hukum karena pada prinsipnya program apapun tidak boleh melakukan perubahan data dari komputer penggunanya tanpa persetujuan terlebih dahulu. Sebagai pengguna komputer anda perlu melakukan langkah-langkah preventif yang dilakukan tidak menjadi korban keisengan virus. Salah satunya adalah selalu membackup data anda secara teratur ke media yang terpisah dari harddisk komputer anda, seperti di burn ke CD / DVD Rom, melakukan backup ke file sharing / virtual harddrive di internet sehingga jika terjadi hal yang tidak diinginkan pada suatu saat seperti terinfeksi virus, harddisk crash atau komputer anda di curi sekalipun, anda tidak mengalami kerugian yang terlalu besar dari sisi kehilangan data karena data anda telah anda amankan terlebih dahulu.

VBWorm.Gen3 atau biasa disebut Virus GutBai merupakan salah satu virus yang akan melakukan aksi penghapusan terhadap file system sehingga menyebabkan komputer tidak dapat booting dengan menampilkan pesan error bahwa system tidak dapat menemukan file NTLDR. Virus ini memang tidak banyak melakukan blok terhadap fungsi windows seperti Task Manager atau Folder Options, file induk yang dibuatpun tidak begitu banyak serta tidak membuat file duplikat seperti kebanyakan virus lokal  lainnya.

Virus ini mempunyai ukuran sekitar 121 KB, icon yang digunakannya adalah icon aplikasi / program dengan ekstensi EXE / SCR.

Norman mendeteksi virus ini sebagai VBWorm.gen3 (lihat gambar 2)

Gambar 2, Norman Security Suite mendeteksi virus Gutbai sebagai Worm: VBWoem.gen3

JIka dilihat dari body virus yang ada kemungkinan virus ini berasal dari kota gudeg, dengan dalih sebagai media pembelajaran ia akan mencoba untuk menguasai pc sehingga pc yang terinfeksi tidak dapat digunakan. Virus ini dibuat menggunakan VB dengan ukuran mencapai 121 KB.

Pada saat user menjalankan file tersebut ia akan menampilkan sebuah layar yang berisi pesan yang ditujukan kepada user tentang bahaya virus tersebut, bagi orang awam yang membaca pesan tersebut kemungkinan akan gemetaran karena harus mengucapkan selamat jalan kepada “kekasihnya” tercinta Windows dengan header pesan Sei GutBai 2 Windows (gambar 3)

Gambar 3, Pesan yang muncul ketika virus dijalankan

Jika user klik tombol [OK] (karena tidak ada tombol lain yang bisa di klik lagi :p) maka secara otomatis virus akan langsung menjalankan aksinya untuk membuat beberapa file induk dan melakukan perubahan terhadap beberapa registri, ia juga akan menampilkan pesan berikut (gambar 4)

Bukan ku tak cinta...

Bukan ku tak sayang ...

Tapi...

Kini t’lah tiba masanya

Kita ‘tuk berpisah ...

Tenangkan hatimu, sayang

Pandanglah wajahku, sepuas hatimu ...

Great Thanks for All Members of Yogyafree

Kupersembahkan bunga kenangan ini untukmu ...

Belajarlah menciumnya ...

Sebelum ia kehilangan harum baunya ...

Best Regards,

^0x99^ | ^c4h_nd3slt^ | Jerry Maheswara

Gambar 4, Pesan kedua yang ditampilkan oleh virus Goodbye

Jika pesan di atas di tutup, maka ia akan menampilkan pesan ke tiga (gambar 5) dan pesan ke empat (gambar 6) lain yang berisi peringatan terhadap user :

Ini memAng diprersembahkan KHUSUS buAt meReka-mereka yang

b3r4ni ... BernYali b3s4r ... bukAn p3cund4n9 ... bukan P3N93CUT ...

Tapi seoRang h4ck3r s3j4t1 ...

Ini hanYalah bingKisan kecil KHUSUS buat para h4ck3r s3j4t1 ...

Salam YogyaFree | X-Code | FamilyCode

Gambar 5, Pesan ke tiga yang ditampilkan oleh virus Goodbye

Adapun pesan ke empat yang muncul adalah sebagai berikut :

Anda layak dapat BinTang ... !!!

B354R juGa NYALI kAmu ... !!!

SelAmaT berJUang ... !!!

Created by : Jerry Maheswara

For >> YogyaFree | X-Code | Familiycode << Members Only

Gambar 6, Pesan ke tiga yang ditampilkan oleh virus Goodbye

Apa yang dilakukan oleh VBWorm.Gen3

Setelah ia aktif didalam system computer ia akan membuat bebeapa file induk agar ia dapat dijalankan sehingga ia dapat terus melakukan aksinya, file induk yang dibuat juga tidak terlalu banyak. Berikut beberapa file induk yang akan dibuat oleh VB.Worm.Gen3 yakni:

C:\Gutbai dengan ukuran file 245 KB

C:\Windows\GutBai.exe dengan ukuran file 121 KB

C:\Widows\Gutbai2 dengan ukuran file 121 KB

C:\Windows\system32

GutBai%x%, dimana x menunjukan karakter acak (1-7) dengan ukuran bervariasi

Registri

Agar virus ini dapat di jalankan secara otomatis ia akan membuat beberapa perubahan pada registry editor seperti:

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon

Shell = GutBai.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = GutBai.exe     

HKEY_USERS\S-1-5-21-448539723-789336058-1343024091-1003\software\microsoft\windows nt\currentversion\winlogon

Shell = GutBai.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

Shell =  GutBai.exe

Blok Fungsi Windows

Tidak banyak fungsi windows yang akan diblok oleh virus ini, tetapi ia akan blok agar user tidak dapat mengakses registry editor dengan menampilkan pesan seperti saat pertama kali user menjalankan file virus, lihat gambar 3 di atas.

Misi Bunuh Diri

Salah satu aksi yang dilakukan oleh virus ini adalah menghapus beberapa file system Windows seperti C:\NTLDR sehingga menyebabkan komputer yang telah terinfeksi tidak bisa digunakan sehingga menampilkan pesan error NTLDR Is MISSING Please Press CTR+ALT+DEL to RESTART. Bagi pembuat virus yang mengerti betul dampak dan strategi penyebaran virus, hal ini malah kontra produktif. Hal inilah yang menyebabkan ia tidak dapat menyebar dengan luas, beruntung ia masih bisa mengcopykan file induknya ke Flash Disk sehingga akan membantu dalam penyebaran dirinya dengan nama “GutBai.exe” yang dari sisi penamaan file akan dengan mudah di deteksi pengguna USB yang teliti.

Pembersihan virus Gutbai

Sebagai informasi bahwa virus ini akan menyebabkan komputer tidak bisa loading windows sehingga memunculkan pesan error saat komputer pertama kali dinyalakan, sehingga proses pembersihan tidak bisa dilakukan pada mode normal, safe mode atau safe mode with command prompt, oleh karena itu dibutuhkan tools lain untuk membersihkan komputer yang telah terinfeksi. Kali ini kita akan menggunakan tools Windows Live Mini PE, berikut langkah-langkahnya:

1. 
   
   Kopi file C:\NTLDR dari komputer lain dengan OS yang sama, hal ini dilakukan agar komputer yang telah terinfeksi dapat digunakan kembali
2. 
   
   Download Windows Life CD Mini PE (www.minipe.org) :

• 
  
  Boot komputer dengan Windows Live CD Mini PE yang sudah di burning.
• 
  
  Kopi file NTLDR yang baru pada langkah pertama di atas tadi ke lokasi C:\ pada komputer yang bermasalah.

3. 
   
   Hapus File Virus yang dibuat oleh virus, caranya:

• 
  
  Klik menu [Mini PE2XT] [File Management]
• 
  
  Klik [Windows Explorer], kemudian hapus file berikut :
  • 
    
    C:\Gutbai
  • 
    
    C:\Windows\GutBai.exe
  • 
    
    C:\Widows\Gutbai2
  • 
    
    C:\Windows\System32
  • 
    
    GutBai%x%, dimana x menunjukan karakter acak (1-7) dengan ukuran bervariasi

4. 
   
   Ubah value registry yang diubah oleh virus, caranya:

• 
  
  Klik menu [Mini Pe2XT] [Avast! Tools]
• 
  
  Klik  menu [Avast Registry Editor]
• 
  
  HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
• 
  
  Shell = Explorer.exe
• 
  
  HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
• 
  
  Shell = Explorer.exe  
• 
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
• 
  
  Shell =  Explorer.exe

5. 
   
   Restart komputer dan booting pada mode “Normal”
6. 
   
   Untuk pembersihan optimal dan mencegah infeksi ulang, scan komputer dengan antivirus yang sudah dapat mendeteksi virus Goodbye ini dengan baik.
   
   
   
   
   Sumber : Vaksin