Worm:VBWorm.NOI (Antivirus AVG "Palsu")        12 Juli 2007

Pembuat Virus ternyata fans Winnie The Pooh

 

Diskon adalah hal yang dinanti-nanti penggemar belanja, makin besar diskon yang diberikan maka makin banyak orang yang tertarik. Kalau saja kata diskon dapat menarik perhatian, apalagi kata Gratis !! Rupanya hal ini menjadi perhatian pembuat virus dan memunculkan idenya untuk memanfaatkan kebiasaan pengguna komputer untuk mendapatkan program gratisan. Dan celakanya, program gratisan yang menjadi korban adalah program antivirus yang cukup popular dikalangan pengguna komputer. AVG (Anti Viral Group … bukan singkatan dari Anti Virus Gratis) besutan Grisoft www.grisoft.com.

Seperti kita ketahui, di internet terdapat beberapa vendor antivirus yang memberikan programnya secara gratis kepada penggunanya (biasakan baca EULA – End User License Agreement sebelum menginstal software gratis supaya anda mengetahui ketentuan penggunaan software gratis) seperti Antivir, Avast, AVG dan bitdefender http://www.bitdefender.com.sg/PRODUCT-14-sg--BitDefender-8-Free-Edition.html. Tidak lupa pembuat virus ini memberikan pesan agar virus ciptaannya diberi nama Piglet (dengan gambar kartun yang agak seronok) yang malahan mengingatkan pada Winnie The Pooh.

 

Jika sebelumnya Kespo mulai menyebar dengan cepat serta sudah memakan ribuan korban dengan target utama file Office khususnya MS.Word dan MS.Excel dengan cara menginjeksi file tersebut hal ini diperparah dengan banyaknya vendor antivirus luar yang belum mampu untuk mengembalikan/repair file yang sudah terinfeksi tersebut bahkan cenderung untuk menghapus file yang sudah terinfeksi tersebut.

 

Kini anda harus kembali berhati-hati dengan satu virus yang sudah menyebar saat  dengan ciri-ciri utama terdapat file dengan nama AVG 2007 disetiap Drive ternasuk di media Flash Disk. Sepintas file ini mirip dengan file installer  antivirus AVG dengan icon yang sama persis dengan icon yang digunakan oleh antivirus AVG dengan ukuran file 101 KB. Rupanya si pembuat virus menggunakan rekayasa ini karena banyaknya para pengguna komputer yang menggunakan antivirus ini. Selain itu ciri lain yang dapat dikenali dari virus ini adalah adanya file dengan nama W32.Piglet II.jpg yang akan disimpan di Flash Disk, perhatikan gambar 1 dibawah ini:

 

Gambar 1, File induk VBWorm.NOI

 

Oleh karena itu Anda jika menjumpai file ini di komputer sebaiknya waspada, apalagi jika file ini berada di Flash Disk karena virus ini akan menyebar dengan menggunakan Flash Disk serta menginfeksi komputer otomatis melalui Flash Disk setiap kali Flash Disk tersebut dihubungkan ke komputer. Untuk menghindari infeksi otomatis melalui Flash Diks sebaiknya Anda matikan Autoplay/Autorun pada komputer, silahkan baca link berikut untuk menonaktifkan fiture ini.

 

http://www.vaksin.com/2007/0507/autoinfect.htm

 

Dengan update terbaru, Norman Virus Control sudah dapat mengenali virus ini dengan baik, perhatikan gambar 2 dibawah ini :

Gambar 2, Norman Virus Control mendeteksi virus Piglet II sebagai Worm:VBWorm.NOI

 

Jika file tersebut dijalankan maka akan membuat beberapa file induk yang akan dijalankan setiap kali komputer dinyalakan. Berikut beberapa file yang akan dibuat oleh VBWorm.NOI.

 

  • C:\msvbvm60.dll [Disetiap Drive]
  • C:\Desktop.ini [Disetiap Drive]
  • C:\AVG_update_2007.exe [Disetiap Drive]
  • C:\AVG 2007.exe [Disetiap Drive]
  • C:\Autorun.inf  [Disetiap Drive]
  • C:\update (berisi file Folder.htt)
  • C:\Windows\msvbvm60.dll
  •  C:\windows\Resources\system.scr
  •  C:\windows\system32
    • notepad.scr
    • proposal.scr

 

Sebagai pendukung agar file tersebut dapat dijalankan, VBWorm.NOI akan membuat registri berikut:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • EYORE = C:\WINDOWS\System32\Notepad.scr
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • EYORE = C:\WINDOWS\System32\Notepad.scr

 

VBWorm.NOI juga akan aktif pada mode “safe mode” dengan membuat string pada registry berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • EYORE = C:\WINDOWS\System32\Notepad.scr

 

Selain aktif pada mode “safe mode”, VBWorm.NOI juga akan aktif pada mode “safe mode with comand prompt” dengan membuat string pada registry berikut:

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
    • AlternateShell = C:\WINDOWS\System32\Notepad.scr
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
    • AlternateShell = C:\WINDOWS\System32\Notepad.scr
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
    • AlternateShell = C:\WINDOWS\System32\Notepad.scr
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Control\SafeBoot
    • AlternateShell = C:\WINDOWS\System32\Notepad.scr %1 %*
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
    • AlternateShell = C:\WINDOWS\System32\Notepad.scr

 

Sebagai pertahanan ia akan mencoba untuk blok beberapa fungsi Windows seperti Task Manager/Regedit/CMD/MSConfig/Folder Options serta beberapa tools security dengan membaca caption text dari tools tersebut seperti ProceeXP atau Security Task Manager. Selain itu VBWorm.NOI ini juga akan menyembunyikan file C:\Windows.

 

Untuk melakukan hal tersebut ia akan membuat beberapa string pada registry berikut:

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

            - NoSetFolders

            - NoSetTaskbar

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

            - DisableCMD

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp

 

MEngalihkan Program Tools Windows

Guna melindungi dirinya dari pembasmian, VBWorm.NOI juga akan mencoba blok tools windows seperti msconfig, regedit dan system restore dengan mengalihkan program tersebut ke program lain seperti gambar –gambar dibawah ini :

  • Jika menjalankan Regedit maka akan muncul program ClipBoard

Gambar 3, Program yang akan muncul jika menjalankan Regedit

 

  • Jika menjalankan MSconfig maka akan muncul program On-Screen Keyboard (lihat gambar 4)

 

Gambar 4, Program yang akan muncul jika menjalankan MSCOnfig

 

  • Jika menjalankan System Restore maka akan muncul program tourstart (lihat gambar 5)

 

Gambar 5, Program yang akan muncul jika menjalankan System Restore

 

Untuk melakukan hal tersebut ia akan membuat string berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe
    • debugger = C:\WINDOWS\System32\osk.exe

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe
    • debugger = C:\WINDOWS\System32\clipbrd.exe

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstui.exe
    • debugger = C:\WINDOWS\System32\tourstart.exe

 

VBWorm.NOI juga akan mencoba untuk menghilangkan beberapa opsi yang terdapat pada Folder Option seperti :

  • Do Not show hidden file and folder
  • Show hidden file and folders
  • Hide exstension for known file types
  • Hide protected operating system file (recommended)

 

dengan menghapus string TYPE string pada registry berikut (lihat gambar 6):

 

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

 

Gambar 6, VBWorm.NOI akan mematikan beberapa opsi “Folder Option”

 

Selain itu VBWorm.NOI juga akan mencoba untuk merubah Registered Organization dan Registered Owner dengan membuat string berikut (lihat gambar 7)

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
    • RegisteredOrganization = SMAN SURABAYA
    • RegisteredOwner = Dedy Kurniawan

 

 

Gambar 7, Registered Owner dan Registerd Organization yang diubah oleh VBWorm.NOI

 

 

Menyebar otomatis melalui Flash Disk

Untuk mempercepat proses pemnyebarannya, VBWorm.NOI akan menggunakan media Flash Disk dengan membuat beberapa file berikut

  • Desktop.ini
  • AVG_update_2007.exe
  • AVG 2007.exe
  • Autorun.inf
  • update (berisi file Folder.htt)
  • Autoexec.bat
  • W32.Piglet II.jpg

 

Agar VBWorm.NOI dapat aktif secara otomatis tanpa di klik, ia akan membuat beberapa script berikut pada disetiap Drive termasuk Flash Disk (lihat gambar 8 - 10) :

 

  • Desktop.ini

Gambar 8

 

  • Folder.htt

Gambar 9

 

  • Autorun.inf

Gambar 10

 

Menghapus program antivirus.

Harap hati-hati dengan VBWorm.NOI karena  ia akan mencoba untuk mematikan program antivirus berikut dengan menghapus file dari program antivirus tersebut  seperti :

  • AVG
  • AVP
  • BitDefender
  • F-Prot
  • Inoculate IT
  • Kaspersky
  • McAfee
  • Norman
  • Panda
  • Trend Micro
  • Norton
  • Zone Alaram

 

Bagaimana VbWorm.NOI melakukannya? Untuk melakukan hal tersebut ia akan membuat file Autoexec.bat pada Flash Disk sehingga jika Fash Disk tersebut dihubungkan ke komputer maka secara otomatis akan menjalankan file tersebut, perhatikan script yang ada pada file Autoexec.bat (gambar 11)

 

Gambar 11, Script  VBWorm.NOI untuk menghapus program virus

 

Bagaimana cara mengatasi VBWorm.NOI

  1. Putuskan hubungan komputer yang akan dibersihakn dari jaringan
  2. Matikan Autorun pada Dirive Anda, hal ini dilakukan agar virus ini tidak aktif ketika user akses ke setiap Drive atau Flash Disk. Untuk mematikan Autorun tersebut silahkan klik link berikut:

http://www.vaksin.com/2007/0507/autoinfect.htm

  1. Matikan proses virus yang aktif dimemori. Untuk mematikan proses virus tersebut Anda dapat menggunakan tools pengganti Task Manager seperti Currprocess, kemudian matikan proses dengan nama Notepad.scr dengan icon antivirus AVG (lihat gambar 12)

Gambar 12, Mematikan proses VBWorm.NOI

  1. Hapus string registry yang sudah dibuat oleh virus. Untuk mempermudah proses Repair registry dengan menyalin script berikut pada program notepad kemdian simpan dengan nama Repair.inf, jalankan file tersebut dengan cara:

    1. Klik kanan Repair.inf
    2. Klik Install

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom Piglet

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, ""

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0,""

HKLM, SYSTEM\ControlSet001\Control\SafeBoot,AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot,AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet003\Control\SafeBoot,AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentContolSet\Control\SafeBoot,AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot,AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN,type,0, "Radio"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,type,0, "Radio"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,type,0, "Checkbox"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,type,0, "Checkbox"

 

 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetFolders

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetTaskbar

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, EYORE

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, EYORE

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstui.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, EYORE

HKLM, SYSTEM\CurrentContolSet

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

 

  1. Hapus file induk yang sudah dibuat oleh virus dengan terlebih dahulu menampilkan file yang disembunyikan (lihat gambar 13)

 

Gambar 13, Menampilkan File/Folder yang disembunyikan

 

            Kemudian hapus file berikut:

    • C:\msvbvm60.dll [Disetiap Drive/Flash Disk]
    • C:\Desktop.ini [Disetiap Drive/Flash Disk]
    • C:\AVG_update_2007.exe [Disetiap Drive]
    • C:\AVG 2007.exe [Disetiap Drive/Flash Disk]
    • C:\Autorun.inf  [Disetiap Drive/Flash Disk]
    • C:\update [Disetiap Drive/Flash Disk
      • Folder.htt
    • C:\Windows\msvbvm60.dll
    • C:\windows\Resources\system.scr
    •  C:\windows\system32
      • notepad.scr
      • proposal.scr

 

  1. Tampilkan folder C:\Windows yang diembunyikan oleh virus dengan cara:
    1. Klik [Start]
    2. Klik [Run]
    3. Pada dialog box Run, ketik CMD atau Command kemudian klik tombol “OK”
    4. Setelah muncul layar “Command Prompt” pastikan kursor berada di root C:\ kemudian ketik perintah berikut

 

ATTRIB –s –h C:\Windows kemudian tekan “enter”

 

  1. Untuk pembersihan optimal dan mencega infeksi ulang install Norman Virus Control yang sudah dapat mendeteksi dan membasmi virus ini dengan baik.

 

 

Aj Tau (Adang Juhar Taufik)

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 345 6850

Fx : 021 345 6851