|
W32/VBWorm.ZL 7
November 2006
Virus
“MrHelloween” yang Kere
Aku
anak orang tak punya
Ingin kugapai cita-cita
Demi Nusa dan bangsa...
Tapi kau hancurkan diriku
Akan semua kerakusanmu...
Wahai para wakil rakyat
Lupakan semboyan bangsamu ?
Hentikan keangkuhanmu
Hilangkan hati iblismu
Dengarkah teriakan orang yang tak mampu
Yang ingin menuntut ilmu
Demi memajukan negaramu
Itulah
sepenggal pesan yang ingin disampaikan oleh sang pembuat virus
setiap kali komputer anda booting dilengkapi dengan gambar muka
orang bermuka merah (kepanasan) nyengir, lihat gambar 3 (mungkin
foto pembuat virusnya, tetapi Vaksincom tidak mendapatkan
konfirmasi).
Jika
komputer anda menampilkan gejala yang kami sebutkan di atas, dapat
dipastikan komputer anda terinfeksi virus W32/VBWorm.ZL. Begitupun
jika anda menjalankan file dengan ekstensi EXE, COM, BAT dan PIF
maka virus ini akan mencoba untuk menutup aplikasi tersebut dan
menyembunyikan TaskBar untuk beberapa saat.
Virus
ini cukup merepotkan karena ia juga berusaha untuk menyembunyikan
file EXE dan membuat duplikat sesuai dengan nama file yang
disembunyikan, sehingga dapat dipastikan setiap kali anda
menjalankan file dengan ekstensi EXE secara otomatis virus ini akan
aktif. (Dari sudut pandang “positive thinking”, virus ini dapat
dikategorikan sebagai virus yang tidak jahat karena tidak
menghancurkan file komputer korbannya seperti Rontokbro.EQ yang
menghancurkan data MS Office pada bulan Oktober dan Desember 2006).
Pembersihan melalui mode Normal, safe mode atau safe mode with
command prompt akan sangat sulit dilakukan oleh kerena itu
pembersihan melalui DOS merupakan pilihan akhir untuk membersihkan
virus ini dengan terlebih dahulu mengetahui file induk yang biasa
dijalankan pertama kali oleh virus ini.
Seperti biasanya virus akan menggunakan rekayasa sosial dengan
memanfaatkan kebiasaan user, untuk mengelabui user VBWorm.ZL akan
menyamarkan setiap file yang telah ternifeksi dengan menggunakan
icon “FOLDER” dan mempunyai ekst. EXE dengan type file sebagai
“Application” (lihat gambar 1)

Gambar 1, File yang terinfeksi VBWorm.ZL dilihat dari komputer yang
masih belum terinfeksi
tetapi jika virus tersebut sudah menginfeksi komputer anda maka
type file tesrebut akan berubah dari “Application” menjadi “File
Folder” karena telah terjadi perubahan pada string registry yang
dilakukan oleh virus yang akan semakin menyempurnakan penyamaran
yang dilakukan oleh virus ini. Dari namanya,kita ketahui bahwa virus
ini dibuat dengan menggunakan bahasa Visual Basic, untuk varian
awalnya mempunyai ukuran 88 KB. Norman Virus Control dengan
teknologi Sandbox sudah mampu mendeteksi virus ini sebagai
W32/VBWorm.ZL (lihat gambar 2)

Gambar 2, Norman Virus Control sudah mendeteksi virus MrHelloween
sebagai W32/VBWorm.ZL
Jika
file tersebut dijalankan oleh user maka akan muncul foto (mungkin)
dari si pembuat virus, dengan pesan seperti dibawah ini : (lihat
gambar 3)

Gambar 3, Pesan yang ditampilkan oleh VBWorm.ZL
Jika
virus sudah menginfeksi komputer ia akan membuat beberapa file induk
yang akan dijalankan pertama kali setiap kali komputer dinyalakan.
-
Data %user logon%.exe di setiap partisi Hard Disk
-
C:\kere.exe
-
Membuat folder KERE pada setiap Drive, dimana folder ini
berisi 2 buah file dengan nama "folder.htt" dan "sex bebas.exe".
-
C:\Documents and Settings\All Users\Start
Menu\Programs\Startup
§
Empty.pif
§
Empty.exe dan Startup.exe
-
C:\Documents and Settings\Default User\Start
Menu\Programs\Startup
§
Startup.exe
-
C:\Documents and Settings\%user%\Application
Data\Microsoft\Word\STARTUP
§
Startup.exe
-
C:\WINDOWS\system32\config\systemprofile\Start
Menu\Programs\Startup
§
Startup.exe
-
C:\Documents and Settings\%user%\Local Settings\Application
Data
§
IExplorer.exe
§
shell.exe
§
csrss.exe
§
kere.exe
§
lsass.exe
§
services.exe
§
winlogon.exe
-
C:\Documents and Settings\%user%\Local Settings\Application
Data\WINDOWS
§
Csrss.exe
§
lsass.exe
§
services.exe
§
smss.exe
§
winlogon
-
C:\Documents and Settings\%user%\Start Menu\Programs\Startup
§
Startup.exe
-
C:\Program Files\Microsoft Office\OFFICE11\STARTUP
§
Startup.exe
-
C:\Windows
§
kERe.exe
-
C:\WINDOWS\system32
§
MrHelloween.scr
§
shell.exe
§
IExplorer.exe
Catatan:
%user logon% menunjukan user yang digunakan untuk login ke windows
Sebagai penunjang agar file tersebut dapat dijalankan, ia akan
membuat beberapa string pada registri yakni :
Catatan:
%user logon% menunjukan user yang digunakan untuk login ke windows
Manipulasi Screen Saver Windows
Selain
itu VBWorm.ZL juga akan memanipulasi screen saver Windows dengan
mengganti default screen saver menjadi MrHelloween.scr. File
ini akan disimpan didirektori [C:\Windows\system32]. File ini akan
dijalankan pada waktu-waktu yang telah ditentukan sehingga secara
otomatis akan mengaktifkan dirinya. Untuk melakukan hal tersebut ia
akan merubah string pada registry berikut (lihat gambar 4) :

Gambar 4, Screen saver yang sudah di manipulasi oleh VBWorm.ZL
Untuk
mempertahankan dirinya VBWorm.ZL akan mencoba untuk melakukan blok
beberapa software security termasuk antivirus maupun fungsi windows
yang biasa kita kenal seperti regedit, msconfig, task manager,
folder option juga cmd dengan membuat string pada registry berikut:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
-
DisableRegistryTools
-
DisableTaskMgr
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-
DisableCMD
-
DisableRegistryTools
-
DisableTaskMgr
Selain
itu virus ini juga akan mencoba untuk menyembunyikan System Restore
(lihat gambar 5) dan blok file installer yang mempunyai ekstensi.MSI
[Microsoft Installer] dengan membuat string pada registry berikut :

Gambar 5, VBWorm.ZL menyembunyikan tabulasi “System restore”
Manipulasi file EXE, COM, BAT, PIF dan LNK
Jika
anda terinfeksi VBWorm.ZL jangan menjalankan file yang mempunyai
ekst. exe, com, bat, pif dan lnk karena jika anda menjalankan file
dengan ext tersebut maka secara tidak langsung telah menjalankan
virus tersebut. Untuk melakukan hal ini ia akan merubah string pada
registry berikut:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
Selain
itu VBWorm.ZL juga akan membut merubah string pada registri berikut:
Memanipulasi file eksekusi.
VbWom.ZL akan mencoba untuk menyembunyikan setiap file exsekusi
[.exe] dari sebuah program. Untuk mengelabui user menjalankan
dirinya ia akan membuat file duplikat sesuai dengan nama file yang
disembunyikan dengan ciri-ciri :
-
Menggunakan icon “Folder”
-
Ukuran 88 KB
-
Ekst. .EXE
-
Type file “File Folder” walaupun sebenarnya merupakan
“Application” hal ini disebabkan karena virus ini akan merubah
type file dari “Application” menjadi “File Folder” teknik ini
juga digunakan untuk mengelabui user.
Merubah type file dari “Application” menjadi “File Folder”
Jika
komputer anda terinfeksi virus ini coba perhatikan semua file yang
mempunyai ekst. EXE dimana sebelumnya akan mempunyai type sebagai
file “Apllication” kini berubah menjadi “File Folder” hal ini
digunakan oleh virus ini sebagai salah satu trik untuk mengelabui
user sehingga user terpancing untuk menjalankan file tersebut. Untuk
melakukan hal tersebut VBworm.ZL akan merubah string pada registry
berikut (lihat gambar 7) :

Gambar
7, “Type” file Application windows diganti dengan File Folder guna
mengelabui user menjalankan virus.
Manipulasi file MSVBVM60.dll
Program bahasa yang digunakan untuk membuat Virus ini adalah bahasa
VB. Anda pasti sudah tahu [mudah-mudahan] bahwa agar semua file yang
dibuat dengan menggunakan bahasa VB tidak aktif [termasuk virus]
anda hanya perlu merubah file msvbvm60.dll yang berada didirektori
[C:\windows\system32] menjadi nama file lain [contoh: msvbvm60old].
Tetapi rupanya virus ini “juga tahu” (kelihatannya sudah banyak yang
tahu, selain nenek-nenek, mungkin si Komo juga tahu :P), oleh karena
itu agar user kesulitan dalam merubah file tersebut dan agar
VBWorm.ZL dapat tetap aktif maka virus ini akan mengkopi file yang
sama [msvbvm60.dll] ke direktori [C:\windows] dengan attribut
“hidden” begitupun file msvbvm60.dll yang ada di direktori
[C:\windows\system32] akan disembunyikan.
Aktif
pada Safe Mode dan Safe Mode with Command Prompt
Sebagai upaya lain untuk mempertahankan dirinya, VBWorm.ZL akan
tetap aktif walaupun komputer di booting pada mode “safe mode” dan
“safe mode with command prompt” sehingga mempersulit proses
pembersihan dengan melakukan perubahan pada registri berikut:
Membuat file duplikat
Sebagai penutup VBWorm.ZL akan membuat file duplikat disetiap folder
dan sub folder sesuai dengan nama folder tersebut dengan ciri-ciri :
-
Menggunakan icon “Folder”
-
Ukuran 88 KB
-
Ekst. .EXE
-
Type file “File Folder” walaupun sebenarnya merupakan
“Application” hal ini disebabkan karena virus ini akan merubah
“string” registry type file dari “Application” menjadi “File
Folder”.
Media
penyebaran
Untuk
menyebarkan dirinya VBWorm.ZL masih menggunakan media Disket/UFD
dengan kopi beberapa file serta membuat file duplikat disetiap
folder dan sub folder dengan nama file sesuai dengan nama folder
yang disembunyikan, berikut beberapa file yang di kopi ke media
Disket/UFD:
Catatan:
%user
logon% menunjukan user yang digunakan untuk login ke windows
Cara
membersihkan secara manual
-
Putuskan hubungan komputer yang akan dibersihkan dari Jaringan
-
Matikan proses virus yang aktif dimemori. Sebagaimana yang telah
dijelaskan di awal bahwa virus ini sulit untuk dibersihkan baik
melalui mode “Normal, safe mode atau safe mode with command
promt” karena ia akan mencoba untuk blok dari berbagai arah agar
dirinya tetap aktif termasuk untuk memanipulasi file dengan
ekst. exe, com, bat, lnk dan pif sehingga jika anda menjalankan
file dengan ext tersebut maka secara tidak langsung akan
menjalankan virus tersebut, oleh karena itu pembersihan
sebaiknya dilakukan melalui mode DOS PROMPT.
Jika
komputer anda terinstall Windows dengan Operating System
NT/2000/XP/2003 dengan format NTFS anda dapat menggunakan software
NTFS for DOS. Tools ini digunakan untuk membuat Disket Startup,
software ini dapat di downoad di alamat
http://www.free-av.com/antivirclassic/avira_ntfs4dos.html.
Setelah anda berhasil download dan menginstall software tersebut
anda dapat langsung membuat Disket Startup dengan hanya membutuhkan
1 [satu] disket saja. Setelah Disket starup tersebut berhasil dibuat
booting komputer melalui Disket.
Virus
ini dibuat dengan menggunakan program bahasa VB dengan demikian anda
hanya perlu merubah file MSVBVM60.dll, Ingat !! virus ini akan
membuat file MSVBVM60.dll pada direktori [C:\Windows] oleh karena
itu selain anda merubah file MSVBVM60.dll di direktori
[C:\Windows\system32] anda juga harus merubah file yang sama pada
direktori [C:\Windows]
HATI-HATI !
Jika
anda menggunakan Software NTFS for DOS biasanya Drive master
[contoh: C:\] akan menjadi Drive terakhir, contohnya jika komputer
anda mempunyai 2 partisi [C:\ sebagai System dan D:\ sebagai
Data] maka drive C:\ ini akan menjadi D:\ dan drive D:\ akan
menjadi C:\
Setelah anda berhasil masuk ke dalam lingkungan DOS dengan
menggunakan NTFS for DOS pastikan kursor berada di Drive system anda
[contoh D:\] kemudian rename file MSVBVM60.dll yang ada didirektori
[C:\Windows dan C:\Windows\system32]. Setelah itu ketik perintah
DIR /AH [untuk melihat file yang di sembunyikan] kemudian ketik
kambali perintah ren msvbvm60.dll msvbvm60old untuk merubah
nama file kemudian tekan tombol [enter], perhatikan gambar 8 dibawah
ini:

Gambar 8, Merubah file msvbvm60.dll pada DOS Prompt
Setelah berhasil merubah file MSVBVM60.dll, restart komputer dan
booting ke mode Windows Normal.
-
Hapus string registry yang dibuat oleh virus. Untuk mempercepat
proses penghapusan salin script dibawah ini pada program
“notepad” kemudian simpan dengan nama repair.inf setelah
itu jalakan file tersebut dengan cara:
-
Klik kanan repair.inf
-
Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM,
Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM,
Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
hklm,
SOFTWARE\Classes\lnkfile\shell\open\command,,,"""%1"" %*"
HKLM,
SOFTWARE\Microsoft\Windows
NT\CurrentVersion\AeDebug,Auto,0x00000020,0
HKLM,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug,Debugger,0,
HKLM,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"
HKLM,
SOFTWARE\Classes\exefile,,,"Application"
HKLM,
SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM,
SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM,
SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0,
"cmd.exe"
HKCU,
Control Panel\Desktop, SCRNSAVE.EXE,0,
HKLM,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0,
"C:\Windows\system32\userinit.exe,"
[del]
HKCU,
Software\Microsoft\Windows\CurrentVersion\Run,kERe
HKCU,
Software\Microsoft\Windows\CurrentVersion\Run,MSMSGS
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NOFolderOptions
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableCMD
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegistryTools
HKCU,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,
DisableTaskMgr
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Run,System Monitoring
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,
DisableTaskMgr
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,
DisableRegistryTools
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,
NoFolderOptions
HKLM,
SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKLM,
SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM,
SOFTWARE\Policies\Microsoft\Windows\Installer,
LimitSystemRestoreCheckpointing
Catatan:
Sebaiknya dan cek kembali registry berikut, karena untuk string yang
dibuat akan berbeda-beda sesuai dengan login user yang digunakan
pada pc yang terinfeksi.
Selain itu sebelum menjalankan repair.inf lakukan pengecekan ulang
pada script berikut:
-
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
Userinit,0, "C:\Windows\system32\userinit.exe,"
Kemudian ganti pada baris C:\Windows\system32\userinit.exe,
menjadi C:\Winnt\system32\userinit.exe, jika menggunakan
Windows NT/2000, karena baris script diatas
[C:\Windows\system32\userinit.exe] berlaku jika komputer
terinstall Windows XP/2003
-
Hapus file induk yang telah dibuat oleh virus. Sebelum anda
menghapus file induk tersebut pastikan anda sudah menampilkan
semua file yang disembunyikan dengan memilih option “ show
hidden file anda folder” dan mematikan option “hide file
extension for known type” dan “hide protected operating system
files (recommended), kemudian hapus file berikut:
·
Data
%user%.exe pada setiap partisi Hard Disk, dimana %user% menunjukan
user yang digunaakn untuk login ke windows
·
C:\kere.exe
·
Membuat folder KERE pada setiap drive, dimana folder ini berisi 2
buah file dengan nama "folder.htt" dan "sex bebas.exe", kedua file
ini akan disembunyikan
·
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
§
Empty.pif
§
Empty.exe dan Startup.exe
·
C:\Documents and Settings\Default User\Start Menu\Programs\Startup
§
Startup.exe
·
C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup
§
Startup.exe
·
C:\Documents and Settings\Virus_Labs\Application
Data\Microsoft\Word\STARTUP
§
Startup.exe
·
C:\Documents and Settings\Virus_Labs\Local Settings\Application Data
§
IExplorer.exe
§
shell.exe
§
csrss.exe
§
kere.exe
§
lsass.exe
§
services.exe
§
winlogon.exe
·
C:\Documents and Settings\Virus_Labs\Local Settings\Application
Data\WINDOWS
§
Csrss.exe
§
lsass.exe
§
services.exe
§
smss.exe
§
winlogon
·
C:\Documents and Settings\Virus_Labs\Start Menu\Programs\Startup
§
Startup.exe
·
C:\Program Files\Microsoft Office\OFFICE11\STARTUP
§
Startup.exe
·
C:\Windows
§
kERe.exe
·
C:\WINDOWS\system32
§
MrHelloween.scr
§
shell.exe
§
IExplorer.exe
-
Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri:
-
Menggunakan icon “Folder”
-
Ukuran file 88 KB
-
Mempunyai extension .EXE
-
Type file “Application”
-
Tampilkan kembali semua file eksekusi yang telah disembunyikan
oleh virus, untuk mempercepat anda dapat menggunakan perintah
ATTRIB pada DOS PROMPT, contoh (lihat gambar 9) :
ATTRIB –h –r /s
kemudian tekan tombol [enter]

Gambar 9, Mengembalikan file .exe yang disembunyikan oleh virus
-
Jika komputer sudah benar-benar bersih dari virus, rename [ubah]
kembali file msvbvm60.dll yang ada didirektori
[C:\Windows\system32] yang sudah diubah sebelumnya.
-
Untuk pembersihan optimal dan mencegah infeksi ulang gunakan
Norman Virus Control dengan teknologi Sandbox yang sudah dapat
mendeteksi dan membasmi virus W32/VBWorm.ZL dengan baik.
OOT (Out of Topic) :
"Mungkin" nama yang dimaksud adalah Halloween dan bukan Helloween.
Mungkin pembuat virus mengira nama yang benar adalah dari kata
"Hell" (neraka) ditambahkan oween. Asal hati-hati, jangan tambahkan
Michael di depan Oween, bisa-bisa jadinya virus sepakbola (Michael
Owen).
Pesan Vaksincom :
-
Apakah Anda sudah membackup data
penting anda hari ini ?
-
Jika anda ingin menggunakan Norman
Virus Control dan mendapatkan support Onsite (kunjungan langsung
oleh teknisi Vaksincom / Vaksinis) di 27 kota di seluruh
Indonesia, hubungi
info@vaksin.com.
-
Dapatkan Norman Virus Control for
Single User + update definisi dan engine 1 tahun GRATIS setiap
pembelian Microsoft Windows XP Home Edition selama bulan Oktober
s/d Desember 2006.
-
Dengarkan dan saksikan apa kata
Adang (Vaksinis Jempolan), Alfons (Vaksinis) , Dani (Hacker
Jempolan), Deddy (Security Expert Microsoft Jempolan) Onno (ICT
Jempolan), Righard (Analis Norman Jempolan) tentang Evaluasi
Malware 2006 dan Ancaman 2007 serta bagaimana cara menghadapinya
di Seminat tahunan Vaksincom yang akan diadakan pada tanggal 29
November 2006 di Mercantile Club.
Salam,
Ajuta
info@vaksin.com
PT.
Vaksincom
Jl.
Tanah Abang III / 19E
Jakarta 10160
Ph :
021 345 6850
Fx :
021 345 6851 |