Saturday, July 17, 2010

Salam kangen untuk Abang-abangku di Moncong Burung Abepura - Jayapura | Jenis Virus = W32/Smallworm.GQK

KOHOIN A
Salam untuk sahabat-sahabatku di Pangkalan Naiboya
Jago, Snts, Glnk, Wnts dan lain-lain
Untuk yang punya komputer:
Hebat, file ini bisa ada di komputer anda, padahal saya tidak pernah
sengaja untuk menyebarkan file ini, ini semua karena ada yang
mencuri lagu-lagu dalam komputerku, dan dia tidak tahu bahwa
diantara lagu-lagu itu ada tersisip sebuah program yang mungkin bisa dianggap virus
Tapi tentu saja ini bukan virus! ini hanya program
dan program ini dibuat saat saya belajar tentang pemrograman, jadi jika anda sampai pusing
karena program ini, dan anda menganggap program ini adalah virus, anda salah !
karena program ini dibuat oleh seseorang yang masih pemula!

by Anak Smoensa T'Buan!

Perkembangan IT cepat atau lambat merambah seluruh Indonesia. Indonesia bagian Timur sekalipun yang dari sisi pembangunan agak tertinggal dari daerah lainnya, rupanya pelan tapi pasti mulai tersentuh oleh teknologi informasi. Terbukti dengan beredarnya virus iseng yang memalsukan diri sebagai file MP3.
Bagi Anda yang gemar mengkoleksi lagu-lagu terutama dalam format Winamp (mp3) sebaiknya mulai berhati-hati karena saat ini sedang menyebar virus yang akan memanfaatkan icon dari file winamp tersebut untuk mengelabui user dan disinyalir berasal dari Sorong. Virus ini akan blok program winamp serta program pengolah kata seperti MS Word, ia juga akan blok file instalasi yang mempunyai nama file setup.exe, berikut beberapa ciri-ciri umum yang dapat ditemui pada virus ini :
  • Mucul file dengan nama Kohoin.txt di setiap drive, file ini berisi pesan dari sang pembuat virus kepada pengguna komputer yang telah terinfeksi
  • Muncul pesan dibawah ini saat komputer pertama kali dihidupkan (lihat gambar 1)
Gambar 1, Pesan saat komputer pertama kali dinyalakan

  • Tidak dapat menjalankan program utility Windows seperti msconfig, winamp, file instalasi yang mempunyai nama file setup.exe serta file pengolah kata MS Word, dengan memunculkan pesan error pada saat menjalankan file tersebut (lihat gambar 2)
Gambar 2, Pesan error saat menjalankan file yang di blok oleh virus

  • Berusaha menjalankan file "Mixers.exe" setiap kali komputer dinyalakan. (lihat gambar 3)
Gambar 3, Virus berusaha menjalankan file dengan nama "Mixers.exe" saat komputer dihidupkan

File induk Virus
Gurita (eh salah) .. Virus ini dibuat dengan menggunakan program Visual Basic  dengan ukuran file skitar 68 KB. Agar mudah mengelabui user dan mudah menyebar, ia akan memanfaatkan program pemutar musik winamp dengan  menggunakan icon Winamp pada file yang menyertai virus tersebut dengan type file sebagai aplikasi. (lihat gambar 4)
Gambar 4, File induk virus

Dengan update terbaru Norman Security Suite dan Norman Security Siite PRO mendeteksi virus ini sebagai W32/Smallworm.GQK. (lihat gambar 5)
Gambar 5, Norman Security Suite medeteksi virus ini sebagai W32/Smallworm.GQK

Pada saat virus ini di aktifkan ia akan menampilkan pesan error seperti terlihat ada gambar 6 dibawah, kemudain ia akan membuat beberapa file induk yang akan dijalankan pada saat komputer dinyalakan diantaranya:
  • C:\Sisboot.exe
  • C:\Windows\Dell.bat
  • C:\Windows\Mixers.exe
  • C:\Windows\systems.ini
  • C:\Windows\sys.exe
  • C:\Windows\xpsys.exe
  • C:\Windows\system32\xpsys.exe
  • C:\Documents and user\%user%\Local settings\Temp\xpsys.exe
Gambar 6, Pesan error saat menjalanan file virus

Agar file tersebut dapat dijalankan secara otomatis pada saat komputer dinyalakan, ia akan membuat string ada beberapa registry berikut
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
-          Fonts System = C:\WINDOWS\Sys.Exe
-          WinConfig = C:\WINDOWS\Mixers.Exe
-          Windows System0 = C:\Sisboot.Exe
-          Windows System1 = E:\Sisboot.Exe
-          Xpfrm = C:\WINDOWS\system32\xpsys.exe
-          Xpfrx = C:\Document and Settings\%user%\Local Settings\Temp\xpsys.exe
-          XpSys = C:\WINDOWS\xpsys.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
-          load = C:\Windows\Dell.bat

File Dell.bat ini berisi perintah lain untuk merubah nama file C:\Windows\Systems.ini menjadi C:\Windows\Mixers.exe
Sebagai benteng pertahanan, ia akan melakukan blok terhadap beberapa fungsi utility Windows seperti Task Manager, MSConfig dengan memunculkan pesan error seperti terlihat pada gambar 2 di atas.

Untuk melakukan hal tersebut, ia akan membuat string berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
            - NoFolderOptions
            - NoTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
            - 1 = msconfig.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
            - DisableRegistryTools
            - DisabletaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
            - DisallowRun
            - NoFolderOptions

Blok program MS Word dan Wimamp
Selain blok fungsi Windows di atas ia juga akan melakukan blok terhadap  program pengolah kata Microsoft Word (MS Word) atau pada saat user menjalankan file pemutar musik (Winamp) atau saat menjalankan file MP3, untuk melakukan hal tersebut ia akan membuat string pada registry berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
            - 1 = Winamp.exe
            - 3 = Winword.exe

Pesan pembuat virus
Untuk mengabadikan dirinya, ia akan meninggalkan beberapa jejak dengan menampilkan pesan-pesan baik yang akan ditampilkan pada saat kompter booting atau dalam bentuk file dengan membua file kohoin.txt di setiap drive. (lihat gambar 1)

Untuk menampilkan pesan di atas ia akan membuat perubahan pada string registry berikut :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • legalnoticecaption = Pesan dari Novi Montegarza
    • legalnoticetext = Salam kangen untuk Abang-abangku di Moncong Burung Abepura - Jayapura (lihat gambar 7)
Gambar 7, Pesan yang akan dituangkan dalanm bentuk file dengan nama Kohonin.txt

Media penyebaran
Untuk mempermudah penyebarannya, ia akan memanfaatkan media removable disk termasuk flash disk dengan membut file (acak) di setiap drive seperti anima bintang.exeKutak bisa.exe, Ungu-Demi waktu.exe, Once Dealova.Exe atau cenderawasih.exe, file ini mempunyai ukuran 68KB dengan menggunakan icon Winamp dengan tujuan untuk mengelabui user.

Cara mengatasi W32/Smallworm.GQK dengan Norman Security Suite PRO
Dalam artikel ini, Vaksincom memberikan satu trik baru membersihkan virus menggunakan fitur “Intrusion Guard” yang mampu mencegah injeksi file virus dan fitur “Advance System Reporter” yang memiliki fungsi dasar seperti Process Manager tetapi dengan fitur yang jauh lebih lengkap. Anda dapat mendownload Norman Security Suite Pro di http://www.norman.com/downloads/special/nss80, untuk mendapatkan Kode Lisensi NSS Pro Gratis untuk 30 hari silahkan isi form di http://www.norman.com/downloads/trial_registrations/58627/?utm_source=pressrelease&utm_medium=try_link&utm_campaign=nsspro. Anda juga dapat menggunakan tools selain Intrusion Guard seperti Security Task Manager untuk menghentikan proses virus yang aktif.
  1. Nonaktifkan “System Restore” selama proses pembersihan
  2. Matikan proses virus yang sedang aktif di memori. Norman Security Suite PRO dengan fitur Intrusion Guard mempunyai kemampuan untuk memonitoring setiap file yang aktif dimemori serta mempunyai kemampuan untuk mematikan setiap proses yang kita inginkan sekaligus menghapus registri startup dari proses tersebut (jika ditemukan).
Untuk memanggil fitur ini, lakukan langkah bereikut
    • Pada layar utama Norman Security Suite PRO, klik pada menu “Intrusion Guard”
    • Klik “Advanced System Reporter” (lihat gambar 8)
Gambar 8, Menu utama Norman Security Suite Pro

    • Klik “Go to View”, pada menu “Processes” (lihat gambar 9)
Gambar 9, Klik "Go to view" untuk melihat proses virus 
    • Klik pada tabulasi “Auto Start”, klik kanan  proses virus dengan icon “Winamp”, kemudian klik menu “Terminate Process” untuk menghentikan proses file tersebut dan “Remove Autorun untuk menghapus string Autorun dari file tersebut agar tidak aktif kembali pada saat komputer di restart. Cek juga pada tabulasi “Other, matikan file proses dengan icon Winamp. (lihat gambar 10)
Gambar 10, Mematikan proses virus dengan menggunaakn Norman Intrusion Guard
  1. Repair registry, untuk memperludah proses penghapusan silahkan copy script dibawah ini kemudian simpan dengan mama repiar.inf, install file tersebut dengan cara: Klik kanan REPAIR.INF | Klik INSTALL
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, load, 0,""

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Microsoft System Info
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, DisallowRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisabletaskMgr
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoTaskMgr
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, legalnoticecaption
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, legalnoticetext
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Fonts System
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, WinConfig
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Windows System0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Windows System1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Xpfrm
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Xpfrx
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, XpSys

  1. Hapus file induk, Untuk mempercepat proses penghapusan, silahkan salin script dibawah ini kemudian simpan dengan nama sembarang (contoh: DelVirus.bat), jalankan file tersebut dengan  cara Klik 2x pada file yang tersebut.
---- awal code ----
cd\
attrib -s -h -r sisboot.exe

Del Anima-bintang.exe /f
Del Kohoin.txt /f
Del sisboot.exe /f

CD\
CD Windows
attrib -s -h -r Dell.bat /f
attrib -s -h -r Mixers.exe /f
attrib -s -h -r systems.ini /f
attrib -s -h -r sys.exe /f
attrib -s -h -r xpsys.exe /f

Del Dell.bat /f
Del Mixers.exe /f
Del systems.ini /f
Del sys.exe /f
del xpsys.exe /f

CD\
CD Documents and Settings\%username%\local settings\temp
attrib -s -h -r xpsys.exe
del xpsys.exe /f

cd\

msg %username% /time:30 /w /v "Hapus string copy C:\WINDOWS\systems.ini C:\WINDOWS\Mixers.Exe", pada file C:\AUTOEXEC.BAT

notepad.exe c:\autoexec.bat

msg %username% /time:30 /w /v "Proses penghapusan file induk virus telah selesai dilakukan, silahkan scan ulang dengan antivirus yang up-to-date"
     
            ---- akhir code ----

  1. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang terupdate dan sudah dapat mendeteksi dan membasmi virus ini dengan baik.