Virus Cuakep yang bikin korbannya pucat
Until this second.., until this minute.., and until today, I still love U.
When everything’s make me broken.. I just want you don’t know who I am..
Maybe, you never be mine, and I always to lonely..
Such a lonely day.., the most loneliest day of my life.
And if The time is coming.., I just want nobody know about me.
Sometime.. I look in your direction, although you pay me no attention.
You never know how much I need U, and also you never seen me.
I’ll always be waiting for U.., and always to Loving U..
Thanx for all the thing that make me sick..
F_Rom L4mpUN6 ‘with L0;v3
Bagi sebagian besar pengguna komputer, gambar atau foto digital merupakan salah satu bentuk data yang sangat berharga. Tidak hanya untuk anda yang berkecimpung dalam bidang usaha yang berhubungan dengan data digital seperti desainer grafis, tetapi pengguna komputer yang awam sekalipun dapat dipastikan memiliki data digital yang berharga seperti foto keluarga, kenangan jalan-jalan, foto kelahiran anak, pernikahan dan sunatan yang sekali hilang, tidak akan dapat tergantikan oleh uang berapapun besarnya.
Hal ini diperkuat dengan trend penggunaan gambar dalam berbagai aktivitas jejaring sosial seperti Friendster, Facebook dan Twitter sudah umum digunakan. Bagi pengguna yang bergabung dalam forum dan milis (mailing list) pun juga dapat menyertakan foto atau gambar sebagai identitas. Jika dahulu semua dilakukan secara manual dengan menggambar di atas kertas, kini dapat dilakukan dengan komputer. Bahkan jika penggunaan foto harus dilakukan dengan cetak film, maka sekarang anda dapat melakukan transfer file via komputer atau internet.
Jika anda sering menggunakan gambar atau foto digital tentu akan sangat khawatir jika terjadi kehilangan atau perubahan pada gambar atau foto digital yang anda miliki. Apalagi jika sebelumnya anda sering mendengar serangan virus lokal “amburadul” yang cukup populer bagi pengguna komputer di Indonesia. Virus yang ampuh dalam menyembunyikan gambar serta membuat file gambar palsu (padahal virus) ini cukup mampu membuat panik user yang memiliki gambar atau foto digital. Hal ini kemungkinan menjadi inspirasi bagi para pembuat virus lokal yang lain, yang membuat jenis virus yang memiliki kharakteristik yang sama. Dan bagi anda yang memiliki foto dan gambar digital, khususnya yang mudah jantungan harap siaga menjaga detak jantung anda karena telah menyebar salah satu varian virus yang memiliki kharakter yang sama yaitu dengan nama “Cuakep”.
Jika anda Dengan update terbaru Norman Security Suite mendeteksi varian virus lokal ini dengan nama W32/Obfuscated.A!genr. (lihat gambar 1)
Gambar 1. Norman Security Suite dengan fitur DNA Matching mendeteksi varian baru virus “Cuakep”
GEJALA & EFEK VIRUS
Beberapa gejala dan efek yang terjadi jika anda terinfeksi varian virus cuakep yaitu sebagai berikut :
ü Duplikasi file JPEG
Jika anda memiliki file gambar atau foto digital dengan format JPEG, maka file akan disembunyikan (hidden) dan yang akan muncul adalah file virus dengan nama yang sama tetapi ekstensi file yang berbeda. (lihat gambar 2)
Gambar 2. File virus menduplikasi file gambar atau foto digital dengan format JPEG
ü Membuka file gambar wanita cantik
Jika kita secara tidak sengaja menjalankan file virus tersebut, tidak hanya file virus yang aktif melainkan akan membuka sebuah gambar wanita cantik untuk mengalihkan perhatian korbannya. File gambar inilah yang seolah-olah menggantikan file gambar kita yang sebelumnya. (lihat gambar 3)
Gambar 3. File gambar wanita cantik yang terbuka saat kita menjalankan file virus.
ü Disable Folder Options
Untuk mencegah akses user agar dapat menampilkan file gambar atau foto digital yang asli, virus melakukan blok dengan cara menyembunyikan menu Folder Options pada Windows Explorer. (lihat gambar 4)
Gambar 4. Menu Folder Options yang disembunyikan
ü Disable Registry, Command Prompt dan Task Manager
Untuk mencegah akses user agar tidak dapat mematikan proses virus dan mengembalikan fungsi Windows menjadi seperti semula, virus melakukan blok beberapa fungsi administrasi komputer agar tidak dapat dijalankan. Fungsi-fungsi tersebut tidak dapat dijalankan dengan baik, hanya akan memunculkan sebuah pesan bahwa telah dimatikan oleh “administrator” komputer. (lihat gambar 5)
Gambar 5. Salah satu fungsi Windows yang telah di blok oleh virus
ü Disable System Restore dan Disable MSI Installer
Pada umumnya jika komputer anda terinfeksi virus, anda dapat mengembalikan ke semula dengan memanfaatkan fitur Windows yaitu System Restore. Dengan fitur ini, kita dapat mengembalikan pada waktu-waktu tertentu yang kita inginkan sebelum terinfeksi virus. Virus “cuakep” mencegah hal ini dengan mematikan fungsi System Restore. Selain itu virus juga mencegah user melakukan instalasi program atau software lain, dengan melakukan blok pada MSI Installer. (lihat gambar 6)
Gambar 6. Fungsi MSI Installer yang di blok oleh virus.
ü Rubah data Properties Computer
Virus “cuakep” juga merubah data pada Properties Computer, dengan menambahkan beberapa pesan cinta yang ditujukan untuk seseorang. (lihat gambar 7)
Gambar 7. Properties Computer yang ditambahkan sebuah pesan
ü Membuat Jadwal (Schedule task)
Virus “cuakep” juga membuat jadwal atau schedule task agar setiap saat dapat tetap aktif dan berjalan pada proses Windows walau sudah dimatikan proses virus-nya. (lihat gambar 8)
Gambar 8. Schedule Task yang dibuat oleh virus
ü Rubah Wallpaper
Virus “cuakep” juga merubah tampilan wallpaper pada desktop menjadi gambar wanita cantik. Dengan mematikan fungsi klik kanan pada desktop, virus mencegah user merubah tampilan wallpaper. (lihat gambar 9)
Gambar 9. Tampilan wallpaper yang dirubah dan tidak bisa diganti
ü Pesan pada Welcome Screen
Virus “cuakep” juga menampilkan sebuah pop-up pesan pada jendela Welcome Screen. Pesan ini juga muncul dengan caption judul yang berbeda jika waktu pada komputer tepat pada tanggal 21 September. (lihat gambar 10)
Gambar 10. Pesan pada Welcome Screen
FILE VIRUS
Virus “Cuakep” dibuat dengan menggunakan bahasa pemrograman Visual Basic yang sudah di kompress menggunakan UPX. Jika virus berhasil menginfeksi komputer, maka virus akan membuat beberapa file utama sebagai berikut :
- C:\ lvsys.sys
- C:\WINDOWS\ckpexp.exe
- C:\WINDOWS\ckpinfo.nfo
- C:\WINDOWS\ckplog.log
- C:\WINDOWS\system32\ckp.exe
- C:\WINDOWS\system32\ckp.jpg
- C:\WINDOWS\system32\ckpauto.inf
- C:\WINDOWS\system32\ckpcmd.exe
- C:\WINDOWS\system32\ckpexp.exe
- C:\WINDOWS\system32\ckplog.log
- C:\WINDOWS\system32\sched32.exe
- C:\WINDOWS\system32\startup32.exe
- C:\WINDOWS\system32\Windows.exe
- C:\WINDOWS\system32\Windows.scr
- C:\WINDOWS\system32\ lvsys.sys
Selain itu jika komputer memiliki partisi drive lain atau memiliki mapping drive, maka virus “Cuakep” akan membuat file virus yaitu
- Autorun.inf
- RECYCLER\S-1-5-21-1757981266-1326574676-839522115\lvsys.exe
Ciri-ciri file virus yaitu : (lihat gambar 11)
- Menggunakan icon gambar (JPEG)
- Memiliki ukuran file 198 kb
- Memiliki type file “application” (jika sudah terinfeksi akan dirubah menjadi JPEG image)
Gambar 11. File virus cuakep
File pendukung lainnya yaitu :
- C:\WINDOWS\system32\ckpcmd.jpg
- C:\WINDOWS\system32\ckpexp.jpg
- C:\WINDOWS\system32\startup32.jpg
- C:\WINDOWS\system32\Windows.jpg
METODE PENYEBARAN
Sama seperti varian virus lokal yang lain, virus cuakep masih memanfaatkan penggunaan removable drive seperti flashdisk, external harddisk, dll sebagai media penyebaran virus. (lihat gambar 12)
Gambar 12. Virus infeksi removable drive/flash disk
MODIFIKASI REGISTRY
Beberapa registry yang dilakukan perubahan yaitu sebagai berikut :
- Menambah Registry
· Start-Up
Agar virus dapat aktif pada saat start-up, maka virus membuat string berikut :
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Lvsystem = C:\WINDOWS\system32\ckp.exe
Avgnt = 0
Egui = 0
Mcagent_exe = 0
· Disable Fungsi Windows
Agar virus melakukan blok pada fungsi Windows, maka virus membuat string berikut :
Ø HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System
DisableRegedit = 1
Ø HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System
DisableTaskMgr = 1
Ø HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
DisableCMD = 1
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ Explorer
NoFolderOptions = 1
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ Explorer
NoDriveAutoRun = 0
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ Explorer
NoViewContextMenu = 1
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\SystemRestore
DisableSR = 1
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
DisableSR = 1
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
DisableConfig = 1
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System
DisableGPO = 1
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
DisableMSI = 2
· Wallpaper dan Screensaver
Agar virus melakukan perubahan pada desktop, maka virus membuat string berikut :
Ø HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\ Desktop
SCRNSAVE.EXE = C:\WINDOWS\system32\Windows.scr
Wallpaper = C:\WINDOWS\system32\startup32.jpg
· Extension File
Agar virus melakukan perubahan pada extension file, maka virus membuat string berikut :
Ø HKEY_CLASSES_ROOT\exefile
NeverShowExt
- Merubah Registry
· Folder Options
Agar virus dapat memanipulasi pada fungsi Windows, maka virus merubah string berikut :
Ø HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ Advanced
FriendlyTree = 0
· Winlogon
Agar virus dapat tetap aktif pada saat start-up Windows, maka virus merubah string berikut :
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon
Shell = Explorer.exe "C:\WINDOWS\ckpexp.exe"
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon
LegalNoticeCaption = Welcome to 2010, the …
· Safe Mode
Agar virus dapat tetap aktif pada Safe Mode, maka virus merubah string berikut :
Ø HKEY_CURRENT_USER\Software\Microsoft\CommandProcessor
Autorun = C:\WINDOWS\system32\ckpcmd.exe
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
AlternateShell = C:\WINDOWS\system32\ckp.exe
Ø HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
AlternateShell = C:\WINDOWS\system32\ckp.exe
· Extension File
Agar virus dapat tetap aktif pada saat menjalankan file dengan extension tertentu, maka virus merubah string berikut :
Ø HKEY_CLASSES_ROOT\.exe
(Default) = cuakep.exe
Ø HKEY_CLASSES_ROOT\.reg
(Default) = cuakep.reg
Ø HKEY_CLASSES_ROOT\.txt
(Default) = cuakep.txt
Ø HKEY_CLASSES_ROOT\.VBS
(Default) = cuakep.vbs
Ø HKEY_CLASSES_ROOT\exefile
(Default) = JPEG Image
- Menghapus Registry
· Winlogon
Agar virus dapat merubah isi dari Winlogon, maka virus menghapus string berikut :
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon
LegalNoticeText
PEMBERSIHAN VIRUS
Langkah-langkah yang harus dilakukan dalam melakukan pembersihan virus cuakep adalah sebagai berikut :
- Putuskan koneksi jaringan/internet.
- Matikan proses virus (menggunakan Advanced System Reporter). Bagi pengguna Norman Security Suite Pro dapat menggunakan fitur dari Intrusion Guard yaitu Advanced System Reporter.
· Klik kanan logo/icon Norman, pilin Norman Security Suite. (lihat gambar 13)
Gambar 13. Logo/Icon Norman
· Pada Norman Security Suite, klik Intrusion Guard kemudian klik Advanced System Reporter. (lihat gambar 14)
Gambar 14. Menu Norman Security Suite Pro
· Pada Menu Advanced System Reporter, klik link Processes Go to view. (lihat gambar 15)
Gambar 15. Menu Advanced System Reporter
· Pada tab Other, matikan proses virus yang aktif/berjalan. (lihat gambar 16)
Gambar 16. Menu Proses pada Advanced System Reporter
ü Pilih file virus dengan icon gambar
ü Klik kanan, dan klik Terminate Process
- Matikan proses virus (dengan CurrProcess). Download tools CurrProcess pada link berikut : (lihat gambar 17)
http://www.nirsoft.net/utils/cprocess.zip
Gambar 17. Matikan proses virus CurrProcess
Sebelum menjalankan tools, sebaiknya rename terlebih dahulu extension menjadi cmd (CProcess.cmd). Jalankan file, kemudian blok seluruh file virus yang aktif. Klik kanan seluruh file tersebut, kemudian klik Kill Selected Processes.
- Perbaiki registry Windows. Salin script dibawah ini untuk memperbaiki registry dengan menggunakan Notepad.
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCR, .exe,,,”exefile”
HKCR, .txt,,,”txtfile”
HKCR, .reg,,,”regfile”
HKCR, .vbs,,,”VBSFile”
HKCR, exefile,,,”Application”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, FriendlyTree, 0x00010001,1
HKCU, Software\Microsoft\CommandProcessor, Autorun,0,0
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption,0,0
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText,0,0
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Classes\exefile\DefaultIcon,,,""%1" %"
[del]
HKCR, exefile, NeverShowExt
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Policies\Microsoft\Windows\System, DisableCMD
HKCU, Software\Policies\Microsoft\Windows\Control Panel\Desktop
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveAutoRun
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoViewContextMenu
HKLM, SOFTWARE\Microsoft\Windows NT\SystemRestore, DisableSR
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableSR
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
HKLM, SOFTWARE\Policies\Microsoft\Windows\System, DisableGPO
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, lvsystem
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, avgnt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, egui
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, mcagent_exe
Gunakan notepad, simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install
- Hapus file virus yang mempunyai ciri-ciri sebagai berikut :
· Icon JPEG (gambar)
· Extension exe
· Ukuran 198 kb
· Type Application
Catatan :
ü Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.
ü Untuk mempermudah proses pencarian sebaiknya gunakan "Search Windows" dengan filter file *.exe yang mempunyai ukuran 198 KB.
ü Hapus file virus yang biasanya mempunyai date modified yang sama. (lihat gambar 18)
Gambar 18. Search File virus
- Hapus schedule task yang dibuat oleh virus.
· Klik menu [START] à [All Programs] à [Accessories] à [System Tools] à Scheduled Tasks.
· Hapus seluruh isi file yang dibuat oleh virus dengan nama seperti “AT1.job, AT2.job….”.
- Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.
sosource:vaksin
