W32/VBWorm.NFA                   16 April 2007

Mau tahu HP Bunga Citra Lestari ?? (bagian pertama)

 

Gara-gara pengen tahu nomor HP BCL, komputer jadi terkunci di menu logon dan kenalan sama Nakula Sadewa. Apa hubungan BCL dengan Wayang ? Dua dunia yang berbeda ini disatukan oleh virus Wayang yang terdeteksi Norman Virus Control sebagai W32/VBWorm.NFA. Virus yang disinyalir berasal dari Surabaya ini cukup merepotkan karena mampu memblok komputer pada menu logon seperti kasus virus Flu Burung. Ibarat kisah Mahabarata, artikel virus ini sangat panjang (walaupun tidak sepanjang sinetron Tersanjung, yang mungkin selesai setelah saya punya cucu :P), karena itu Vaksincom memecahkan artikel virus ini ke dalam dua bagian. Bagian pertama akan memberikan informasi dan capture screen virus, bagian kedua yang akan menyusul akan memberikan informasi removal.

 

Harap berhati-hati, jika Desktop pada Windows anda secara tiba-tiba berubah digantikan dengan gambar sesosok kesatria masa silam yang hadir dalam dunia pewayangan begitupun jika setiap kali komputer dinyalakan  yang hanya akan menampilkan desktop dengan gambar wayang tersebut dan “sialnya” komputer tersebut tidak dapat digunakan karena deskop Windows di blok, jangan coba-coba untuk boot komputer pada mode “safe mode” atau “safe mode with command prompt” karena pada kedua mode inipun komputer “tetap” tidak dapat digunakan. Anda tentu masih ingat dengan kasus virus W32/Oyoborus ? Bedanya jika pada kasus virus Oyoborus pada saat komputer booting hanya akan menampilkan layar dengan latar belakang berwarna  biru saja <tanpa icon dan task bar>, sedangkan pada kasus VBWorm.NFA  akan menampilkan desktop dengan gambar satria pewayangan <tanpa icon dan task bar>, perhatikan gambar 1 dibawah ini.

 

Gambar 1, Tampilan Desktop Windows saat komputer dinyalakan

 

Virus ini kemungkinan lahir di kota pahlawan, file yang terinfeksi VBWorm.NFA mempunyai ukuran sebesar 76 KB dengan icon “Microsoft Word Document” <MS.Word> dengan type file sebagai “Application”, sehingga diharapkan user akan mudah terkecoh untuk menjalankan file tersebut apalagi salah satu file induk tersebut mendompleng nama “sakti” :P HP BCL (Bunga Citra Lestari) (lihat gambar 2).

 

Gambar 2, File induk VBWorm.NFA “menjanjikan” HP BCL bagi yang mengklik

 

Jika virus tersebut sudah menginfeksi komputer maka ia akan merubah type file yang sudah terinfeksi dari “Application” menjadi “Microsoft Word Document”  (lihat gambar 3) sehingga semakin lengkaplah penyamaran yang dilakukan oleh VBWorm.NFA, untuk melakukan hal tersebut ia akan merubah string pada registry berikut:

 

·          HKLM\Software\Classes\exefile

-          Default = Microsoft Word Document

Gambar 3, File virus berubah dari type Application menjadi Microsoft Word Document untuk menyempurnakan penyamaran.

 

Virus ini sangat merepotkan karena begitu banyak file induk yang akan dibuat dengan seabreg-abreg string registry yang akan diubah, hal ini mengingatkan kita pada virus Oyoborus.A dan Gnurbulf.B, oleh karena itu jika komputer anda sudah terinfeksi VBWorm.NFA jangan lupa untuk membersihkan string yang sudah diubah jika anda masih menginginkan komputer tersebut dapat digunakan, karena jika registry yang dibuat oleh VBWorm.NFA tidak dibersihkan maka komputer tidak dapat digunakan dengan  “selalu” meminta konfirmasi untuk mengisi “user name” dan “password” alias terkunci di menu logon. (lihat gambar 4)

 

Gambar 4, Pembersihan virus yang tanggung akan menyebabkan komputer terkunci di menu logon

 

Dengan  update terakhir, Norman Virus Control sudah dapat mengenali virus ini sebagai VBWorm.NFA (lihat gambar 5)

Gambar 5, Norman Virus Control mendeteksi virus HP BCL sebagai W32/VBWorm.NFA

 

Membuat file induk untuk dijalankan setiap kali komputer booting

Jika file tersebut dijalankan ia akan membuat banyak sekali file induk yang akan di simpan di beberapa lokasi yang berbeda, berikut beberapa contoh file yang akan dibuat oleh VBWorm.NFA

 

  • C:\HP Bunga Citra Lestari.exe <file ini akan dibuat di setiap drive>

  • C:\Tugas %user%.exe (contoh Tugas Administrator.exe) <file ini akan dibuat di setiap drive>

  • Membuat folder C:\w4y4n9  <file ini akan dibuat di setiap drive>, berisi 2 file yakni:

-          Folder.htt <berisi script untuk menjalankan file Lo5tword.exe>

-          Lo5tword.exe

 

  • C:\Tugas systemprofile.exe <file ini akan dibuat di setiap drive>

  • C:\desktop.ini <file ini akan dibuat disetiap drive, berisi script untuk menjalankan file folder.htt, dimana file folder.htt berisi script untuk menjalankan file induk VBWorm.NFA < lo5tword.exe >

  • C:\Windows

-          msvbvm60.dll

-          Hanuman.exe

-          About.htm

  • C:\Windows\system32

-          GatoTkaca.scr

-          Oemlogo.bmp

-          Oeminfo.ini

-          wayangPaper.bmp

  • C:\WINDOWS\Microsoft %user% <contoh: C:\Windows\Microsoft Administrator>

-          Msvbvm60.dll

-          Windows %angka%.exe

<%angka%, menunjukan angka acak, contohnya : Windows 744968116.exe>

  • C:\WINDOWS\Microsoft systemprofile

-          Msvbvm60.dll

-          Windows %angka%.exe

<%angka% menunjukan angka acak, contohnya : Windows 744968116.exe>

  • C:\WINDOWS\Software %user% <contoh: C:\Windows\Software Administrator>

-          Msvbvm60.dll

-          w4y4n9.exe

  • C:\WINDOWS\Software systemprofile

-          msvbvm60.dll

-          w4y4n9.exe

  • C:\WINDOWS\nakula sadewa

-          msvbvm60.dll

-          services.exe

-          spoolsv.exe

-          svchost.exe

  • C:\Documents and Settings\%user%\Local Settings

-          DaLang MistiQ.exe

-          W32 Wayang.exe

-          Msvbvm60.dll

  • C:\Documents and Settings\%user%\Local Settings\Application Data

-          Kota P4hlawan.exe

-          Majnun was H3re.exe

-          SMA Negeri 4.exe

-          msvbvm60.dll

  • C:\Documents and Settings\%user%\My Documents

-          majnun.txt

  • C:\WINDOWS\system32\%user% durjana

-          Msvbvm60.dll

-          Csrss.exe

-          Lsass.exe

-          Smss.exe

  • C:\Windows\system32\systemprofile durjana

-          msvbvm60.dll

-          csrss.exe

-          lsass.exe

-          smss.exe

  • C:\WINDOWS\system32\config\systemprofile\Local Settings

-          daLang MistiQ.exe

-          w32 Wayang.exe

-          msvbvm60.dll

  • C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

-          msvbvm60.dll

-          Kota P4hlawan.exe

-          Majnun was H3re.exe

-          SMA Negeri 4.exe

 

Membuat string registry

Agar file tersebut dapat dijalankan secara otomatis setiap kali komputer booting/dihidupkan, VBWorm.NFA akan membuat beberapa string pada registry berikut:

 

  • HKLM\Software\microsoft\winodws\CurrentVersion\Run

-          %user% Nakula = C:\WINDOWS\Microsoft %user%\Windows 477212131.exe /register

-          %user% Sadewa  = C:\WINDOWS\Software %user%\w4y4n9.exe /register

-          systemprofile Nakula = C:\WINDOWS\Microsoft systemprofile\Windows 456178128.exe /register

-          systemprofile Sadewa = C:\WINDOWS\Software systemprofile\w4y4n9.exe /register

  • HKLM\SOftware\Microsoft\WInodws NT\CurrentVersion\Winlogon

-          Shell = explorer.exe C:\WINDOWS\nakula sadewa\spoolsv.exe

-          Userinit: C:\WINDOWS\nakula sadewa\svchost.exe,

-          system = C:\WINDOWS\nakula sadewa\services.exe

  • HKCU\Software\Microsoft\Windows\CurrentVersion\run

-          %user% Nakula = C:\WINDOWS\Microsoft %user%Windows 477212131.exe /register

-          %user% Sadewa = C:\WINDOWS\Software %user%\w4y4n9.exe /register

-          mutiara = C:\Documents and Settings\%user%\My Documents\majnun.txt /register

  • HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows

-          Load = C:\WINDOWS\Hanuman.exe

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\AeDebog

-          debugger = C:\WINDOWS\system32\%user% durjana\csrss.exe

 

Aktif pada mode “safe mode” dan “safe mode with command prompt”

Virus ini juga akan tetap aktif walaupun komputer booting pada mode “safe mode” atau “safe mode with command prompt” dengan tetap akan melakukan blok terhadap Desktop Windows sehingga komputer tidak dapat digunakan, dengan membuat string pada registry berikut:

 

  • HKLM\Software\Microsoft\WInodws NT\CurrentVersion\Winlogon

-          Shell = explorer.exe C:\WINDOWS\nakula sadewa\spoolsv.exe

-          Userinit: C:\WINDOWS\nakula sadewa\svchost.exe,

-          system = C:\WINDOWS\nakula sadewa\services.exe

  • HKLM\System\ControlSet001\control\SafeBoot

-          AlternateShell = C:\Documents and Settings\%user%\Local Settings\Application Data\SMA Negeri 4.exe

  • HKLM\System\ControlSet002\control\SafeBoot

-          AlternateShell = C:\Documents and Settings\%user%\Local Settings\Application Data\Kota P4hlawan.exe

  • HKLM\System\ControlSet003\control\SafeBoot

-          AlternateShell = C:\Documents and Settings\%user%\Local Settings\Application Data\Majnun was H3re.exe

 

Disable Fungsi Windows dan tools security

Untuk melakukan pertahanan, VBWorm.NFA akan mencoba untuk melakukan blok terhadap beberapa fungsi windows dibawah ini:

  • Disable registry editor

  • Disabla task manager

  • Disable msconfig

  • Disable RUN

  • Disable fungsi Klik kanan

  • Disable CMD

  • Disable Search

  • Disable Drive

  • Disable System Restore

  • Disable MSI Installer

 

Untuk melakukan hal tersebut, ia akan membuat beberapa string pada registry berikut:

 

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

-          NoControlPanel

-          NoDrives

-          NoFind

-          NoRun

-          NoTrayContextMenu

-          NoViewContextMenu

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system

-          DisableCMD

-          DisableRegistryTools

-          DisableTaskMgr

  • HKCU\Software\policies\Microsoft\system

-          DIsableCMD

  • HKLM\Software\Policies\Microsoft\Windows\Installer

-          DisableMSI

-          LimitSystemRestoreCheckpointing

  • HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore

-          DisableConfig

-          DisableSR

 

Selain itu VBWorm.NFA juga akan melakukan blok terhadap beberapa tools security seperti Pocket killbox/proceexp/security task manager/hijackthis serta program firewall dan antivirus.

 

Blok URL Tools security

VBWorm.NFA juga akan melakukan blok terhadap beberapa web site antivirus/sex dan web security dengan memodifikasi file Host Windows yang ada pada direktori C:\Windows\system32\drivers\etc\host

--------------------------------------------------------------------------------------------------------------------

127.0.0.1  localhost

 

# Host file has been infected by: W32.Wayang

# Powered by Majnun

 

127.0.0.1  www.vaksin.com

127.0.0.1  vaksin.com

127.0.0.1  www.ansav.com

127.0.0.1  ansav.com

127.0.0.1  www.jasakom.com

127.0.0.1  jasakom.com

127.0.0.1  www.vbbego.com

127.0.0.1  vbbego.com

127.0.0.1  www.virologi.info

127.0.0.1  virologi.info

127.0.0.1  www.infokomputer.com

127.0.0.1  infokomputer.com

127.0.0.1  www.kaskus.com

127.0.0.1  kaskus.com

127.0.0.1  www.duniasex.com

127.0.0.1  duniasex.com

127.0.0.1  www.sysinternals.com

127.0.0.1  sysinternals.com

127.0.0.1  www.avast.com

127.0.0.1  avast.com

127.0.0.1  www.mcafee.com

127.0.0.1  mcafee.com

127.0.0.1  www.grisoft.com

127.0.0.1  grisoft.com

127.0.0.1  www.symantec.com

127.0.0.1  symantec.com

127.0.0.1  www.norman.com

127.0.0.1  norman.com

127.0.0.1  www.trendmicro.com

127.0.0.1  trendmicro.com

127.0.0.1  www.secunia.com

127.0.0.1  secunia.com

127.0.0.1  www.zonelabs.com

127.0.0.1  zonelabs.com

127.0.0.1  www.pandasoftware.com

127.0.0.1  pandasoftware.com

127.0.0.1  www.f-secure.com

127.0.0.1  f-secure.com

127.0.0.1  www.sophos.com

127.0.0.1  sophos.com

127.0.0.1  www.free-av.com

127.0.0.1  free-av.com

127.0.0.1  www.neuber.com

127.0.0.1  neuber.com

127.0.0.1  www.bleepingcomputer.com

127.0.0.1  bleepingcomputer.com

127.0.0.1  www.iknowprocess.com

127.0.0.1  iknowprocess.com

127.0.0.1  www.kaspersky.com

127.0.0.1  kaspersky.com

127.0.0.1  www.virustotal.com

127.0.0.1  virustotal.com

127.0.0.1  www.friendster.com

127.0.0.1  friendster.com

 

# Didik penguasa dengan perlawanan

-------------------------------------------------------------------------------------------------------------------

 

Menguasai komputer dengan merubah nama pemilik dan organisasi dari komputer yang terinfeksi

Sama seperti yang dilakukan kebanyakan virus lokal <contohnya: kasus virus W32/Rabox, VBWorm.NFA  juga akan meninggalkan jejak dengan merubah nama pemilik Windows dan Organisasi  komputer yang terinfeksi dengan merubah string pada registry berikut : (lihat gambar 6)

 

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion

-          RegisteredOrganization =  by Majnun

-          RegisteredOwner =  W32 Wayang

Gambar 6, VBWorm.NFA akan merubah nama registrasi pemilik Windows

 

Merubah Desktop Windows

Jangan terkejut jika tampilan Desktop/Wallpaper anda diganti oleh VBWorm.NFA dengan gambar wayang kulit (Nakula – Sadewa … CMIIW) (lihat gambar 7) dan merubah “Screen Saver” komputer anda. Screen saver yang akan ditampilkan bukanlah sebuah gambar atau tulisan melainkan akan menjalankan dirinya dengan terlebih dahulu  merubah string berikut:

 

  • HKCU\Control Panel\Desktop

-          SCRNSAVE.EXE           = C:\WINDOWS\system32\GatoTkaca.scr

-          Wallpaper = C:\WINDOWS\system32\wayangPaper.bmp

 

Gambar 7, VBWorm.NFA  merubah wallpaper komputer dengan gambar wayang

 

VBWorm.NFA juga akan merubah background explorer bar pada Windows Explorer dengan sederetan gambar pewayangan <perhatikan gambar 8 dibawah ini> dengan merubah string berikut:

 

         HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar

-     BackBitmapShell = C:\WINDOWS\wayangShell.bmp

               

Gambar 8, VBWorm.NFA merubah background bar Windows Explorer dengan wayang Explorer

 

Merubah Start Page Internet Explorer

Selain merubah explorer bar, VBWorm.NFA  juga akan merubah start page Internet Explorer menjadi “C:\Windows\about.htm” dengan merubah alamat registry berikut : (lihat gambar 9)

 

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

-          Start Page = C:\WINDOWS\about.htm

-          Window Title = I love u Rurie

Gambar 9, VBWorm.NFA merubah Start page Internet Explorer

 

Hati-hati jika komputer anda terinfeksi VBWorm.NFA , hindari menjalankan file executable <file dengan ekstensi com/bat/pif/exe/scr> karena setiap kali menjalankan file dengan ekstensi tersebut maka secara tidak langsung akan mengaktifkan virus tersebut. Untuk melakukan hal tersebut ia akan merubah  merubah string berikut:

 

  • HKLM\Software\Classes\exefile\shell\open\command

-          Default = "C:\WINDOWS\system32\GatoTkaca.exe" "%1" %*

  • HKLM\Software\Classes\batfile\shell\open\command

-          Default = "C:\WINDOWS\system32\GatoTkaca.exe" "%1" %*

  • HKLM\Software\Classes\scrfile\shell\open\command

-          Default = "C:\WINDOWS\system32\GatoTkaca.exe" "%1" %*

  • HKLM\Software\Classes\piffile\shell\open\command

-          Default = "C:\WINDOWS\system32\GatoTkaca.exe" "%1" %*

  • HKLM\Software\Classes\comfile\shell\open\command

-          Default = "C:\WINDOWS\system32\GatoTkaca.exe" "%1" %*

 

Media penyebaran menggunakan Disket/Flash Disk

Disket/Flash Disk masih menjadi sarana utama yang akan digunakan oleh VBWorm.NFA  untuk menyebarkan dirinya karena media ini sampai saat ini masih menjadi “Primadona” bagi sebagian besar pengguna komputer khususnya di Indonesia karena selain bentuknya kecil, mudah dibawa dan mempunyai kapasitas yang cukup besar dibandingkan media lain yang sejenis <disket>. File yang akan di kopi ke media Flash Disk ini akan mempunyai ciri-ciri:

  • Ukuran 76 KB

  • Menggunakan icon “Microsoft Word Document <MS.Word>

  • Ekstensi EXE

 

Berikut beberapa contoh file yang akan dibuat di Flash Disk : (lihat gambar 10)

 

  • C:\HP Bunga Citra Lestari.exe

  • C:\Tugas %user%.exe (contoh Tugas Administrator.exe)

  • C:\membuat dolder w4y4n9 , folder ini berisi 2 file yakni:

-          Folder.htt <berisi script untuk menjalankan file Lo5tword.exe>

-          Lo5tword.exe

Gambar 10, Contoh Ffile induk yang aakn dibuat pada Flash Disk

 

Agar virus ini dapat aktif secara otomatis setiap kali user akses ke Disket/Flash Disk atau Drive maka VBWorm.NFA akan membuat file Desktop.ini dan folder  w4y4n9 <folder ini berisi 2 buah file yakni Folder.htt dan Lo5tword.exe> Idisetiap Drive dan Flash Disk/Disket.

 

File Desktop.ini berisi script untuk menjalankan file Folder.htt dan file Folder.htt ini berisi script untuk menjalankan file induk VBWorm.NFA yakni file Lo5tword.exe, perhatikan gambar 11 dibawah ini.

 

Gambar 11, Script yang terdapat pada file Folder.htt

 

Blok Desktop Windows

Aksi lain yang dilakukan oleh VBWorm.NFA adalah mempunyai kemampuan yang sama seperti yang dilakukan oleh pendahulunya yang juga berasal dari daerah yang sama yakni virus Oyoborus dimana kedua virus ini akan blok desktop windows sehingga komputer tersebut tidak dapat digunakan walaupun komputer tersebut booting pada mode “safe mode” atau “safe mode with command prompt” perbedaannya jika virus Oyoborus hanya menampilkan desktop Windows dengan latar belakang berwarna biru <tanpa icon dan task bar> sedangkan VBWorm.NFA akan menampilkan Desktop Windows dengan gambar Wayang <yang tentunya juga tanpa icon dan Task Bar> seperti terlihat pada gambar 12 dibawah ini. Tetapi ada beberapa kasus walupun komputer tersebut sudah terinfeksi VBWorm.NFA komputer tetap dapat logon ke Windows secara normal akan tetapi pembersihan virus tersebut harus tetap dilakukan pada mode  DOS karena anda tidak dapat menjalankan semua file executable <com/scr/exe/bat>.

 

Gambar 12, Tampilan Desktop Windows saat komputer dinyalakan

 

Cara membersihkan VBWorm.NFA secara manual

(bersambung)

 

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 345 6850

Fx : 021 345 6851