W32/Delf.ZFA (ZulAnick)       25 Juli 2007

Kespo Part II, sekarang MSWord jadi BMP

Pembuat virus kelihatannya meniru JK Rowling, gemar membuat serial yang lebih seru dari setiap buku yang diterbitkannya. Setelah Kespo yang sukses menyebar dan merepotkan semua orang marena menginjeksi dan merubah file DOC / .XLS menjadi .EXE, kini muncul variannya Delf.ZFA atau lebih dikenal dengan nama ZulAnick. Kalau virus Kespo merubah file data korbannya menjadi .EXE, maka ZulAnick ini ibarat penjahit celana jeans di Grogol, file-file MSWord, Excel, MP3 dipermak menjadi .BMP (bitmap). Celakanya, vendor antivirus hanya mampu mendeteksi dan membersihkan virus yang menginfeksi file dan file (data) yang telah dibersihkan dari virus tetap tidak mau kembali ke jalan yang benar (tidak dapat diakses) karena sudah dipermak menjadi .BMP. Tentunya korbannya akan nangis Bombay (mungkin maksudnya nangis karena matanya kena bawang Bombay :P). Tetapi jangan khawatir, anda tidak perlu ke India untuk mengatasi masalah ini. Ada programmer Visual Basic lokal dari Yogyakarta yang baik hati dan membuatkan tools untuk mengembalikan data yang dipermak oleh ZulAnick. Dan kabar baiknya, tools ini ampuh dan gratis.

Rasanya baru kemarin kita dilanda kesengsaraan akibat ulah kespo, dimana semua data baik MS.Word maupun MS.Excel akan di injeksi/infeksi sehingga terkadang antivirus vendor akan menghapus file tersebut dan tidak berdaya untuk repair file yang sudah terinfeksi virus Kespo tersebut. Bak perlombaan, para programer lokal juga berlomba untuk membuat tools untuk menghajar sang Kespo, seiring dengan berjalannya waktu kini sudah banyak bermunculan removal tools untuk mengembalikan file yang diinjeksi Kespo tersebut, antara lain :

• Husni dengan DOC/XLS Remover nya  (Gratis) http://adilmakmur.wordpress.com/2007/05/25/doc-xls-recover/

• Ahlul dengan EXE 2 DOC nya (Gratis) http://www.ahlul.web.id/download/kespo/

• PCMAV dikeluarkan oleh majalah PC Media dan diberikan di dalam DVD jika anda membeli majalah PC Media.

• Yayat dengan YAV (Yayat Anti Virus) Gratis. Yayat adalah seorang programmer VB yang bekerja di internet café Chanal – Yogyakarta www.chanal.biz. Untuk mendownload tools YAV terbaru, Vaksincom sudah mengupload file tersebut di http://vaksin.com/removal.htm.

PENTING !!!

Sekalipun Vaksincom mempercayai itikad baik dari para pembuat tools untuk saling membantu para korban Kespo, namun anda menggunakan tools yang kami informasikan ini dengan resiko anda sendiri.

PT. Vaksincom tidak bertanggungjawab atas kerugian yang timbul baik langsung maupun tidak langsung atas penggunaan tools ini. Guna mencegah kerugian karena infeksi virus atau hal lain, PT. Vaksincom menyarankan para pengguna komputer untuk selalu memback-up data pentingnya secara teratur dengan baik dan benar.

Jika anda ragu dan belum tahu cara yang benar dan tepat untuk membersihkan virus yang menginfeksi komputer anda, harap hubungi vendor antivirus anda untuk mendapatkan bantuan support.

Setelah Kespo A-C yang merubah file DOC /XLS menjadi .EXE, kini muncul varian lain yang merubah data korbannya menjadi BMP (Bitmap). Bitmap adalah format gambar Windows yang digunakan oleh Microsoft. Jika virus lokal lain “hobi” menggunakan Visual Basic, maka virus yang baru ini yang lebih dikenal dengan nama ZulAnick (terdeteksi oleh Norman Virus Control sebagai W32/Delf.ZFA) ini menggunakan bahasa pemrograman Delphi. Pada dasarnya Delf.ZFA tidak menginfeksi tetapi hanya mengenkrip dan merubah ekstensi file target tersebut.

Hal lain yang membedakan antara Kespo dengan ZulAnick adalah, dimana untuk Kespo hanya akan menyerang data MS.Word/MS.Excel dan file DataBase [DBF] tetapi hanya terbatas di media Flash Disk, selain itu Kespo langsung  bereaksi dengan menginfeksi dan merubah ekstensi file tersebut pada saat Kespo  menginfeksi komputer target. Sedangkan ZulAnick akan menyerang tidak hanya di Flash Disk saja, tetapi juga di Harddisk. Dan file yang diserang adalah DOC/XLS/MP3. Delf.ZFA tidak menjalankan dirinya sebagai service Windows, selain itu Delf.ZFA tidak akan langsung merubah file target ketika dirinya menginfeksi komputer target, untuk merubah ekstensi file tersebut ia akan menggunakan timer yang akan di eksekusi pada waktu yang sudah ditentukan.

Seperti pada Kespo yang menggunakan Bahasa Delphi, Delf.ZFA  memiliki ukuran sekitar  430 KB dan akan menggunakan icon Folder, perhatikan gambar 1 diawah ini:

Gambar 1 Icon file yang sudah terinfeksi Trojan:W32/Delf.ZFA

Dengan update terakhir Norman Virus Control sudah dapat mengenali virus ini sebagai Trojan:W32/Delf.ZFA. (Lihat gambar 2)

Gambar2 Norman mendeteksi virus ZulAnick sebagai Trojan:W32/Delf.ZFA

Ketika virus ini menginfeksi komputer target ia akan berupaya untuk mempertahankan dirinya dengan membuat beberapa file induk [acak] yang akan di jalankan setiap kali komputer dinyalakan. File induk yang akan dibuat biasanya berada di direktori berikut:

• C:\Windows\%nama file%.SCR

[Contohnya: C:\Windows\UVdSdGFXNXBjM1J5WVhSdmNnQT0=.scr]

• C:\Windows\System32\%nama file%.com

[Contohnya : C:\Windows\System32\QWRtaW5pc3RyYXRvcgA=.com]

• C:\Documents and Settings\%user%\Local Settings\Temp\%nama file%.bat

  • C:\Documents and Settings\%user%\Local Settings\Temp\VWxkNE1tRlhOV2hCUVQwOQ==.bat

• C:\Documents and Settings\%user% \Start Menu\Programs

  • Cintaku kandas ditengah jalan.lnk

• C:\Documents and Settings\Elvina\My Documents

  • My My Pictures.exe

  • My Music.exe

  • My Videos.exe

Agar dirinya dapat aktif secara otomatis setiap kali komputer di nyalakan/restart maka ia akan membuat beberapa string registry berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  • Zul_Cinta_Anick = C:\WINDOWS\system32\QWRtaW5pc3RyYXRvcgA=.com

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run

  • Cintaku  = C:\WINDOWS\UVdSdGFXNXBjM1J5WVhSdmNnQT0=.sc

• C:\DOCUME~1\Elvina\LOCALS~1\Temp\VWxkNE1tRlhOV2hCUVQwOQ==.bat

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  • Explorer.exe = C:\WINDOWS\Uld4MmFXNWhBQT09.scr

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

  • Explorer.exe = C:\DOCUME~1\[user]\LOCALS~1\Temp\[random].bat

Sudah pasti ia juga akan blok fungsi Windows maupun software lainnya yang sekiranya dapat menghentikan penyebarannya sebut saja, task manager, date and time properties [tidak dapat merubah  tanggal dan jam pada system komputer], Disk defragment, Folder Option dengan menghilangkan opsi Show hidden file and folder merubah value “Hide extensions for known file types dan “ Hide Protected Operating System (recommended) dan tools HijackThis maupun Tune Up Registry Editor. (lihat gambar 3)

Gambar3 W32/Delf.ZFA memanipulasi Folder Options

Untuk melakukan hal tersebut, ia akan membaca setiap caption yang mempunyai nama diatas serta membuat beberapa string pada registry berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

  • DisableTaskMgr

• HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System

  • DisableCMD

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
  Hidden\SHOWALL

  • type = ""

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
  SuperHidden

  • UncheckedValue = 1

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

  • ShowSuperHidden = 1

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder

  • Bitmap = hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,
    00,65,00,6d,00,33,00,32,00,5c,00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,
    2c,00,34,00,00,00

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

  • Bitmap = hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74, 00,65,00,6d,00,33,00,32,00,5c,00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,
    2c,00,34,00,00,00

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

  • Hidden = 2

  • HideFileExt = 1

  • ShowSuperHidden = 0

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
  HideFileExt\

  • UncheckedValue = 1

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
  Hidden\SHOWALL\

  • CheckedValue = 0

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
  SuperHidden

  • UncheckedValue = 1

Tidak Cuma itu saja, W32/Delf.ZFA juga akan merubah “Type File” yang mempunyai ekstensi BATdan COM dengan membuat string berikut : (lihat gambar 4 dan gambar 5)

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile

  • Default = kabatia

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile

  • Default = Demi Allah Zul cinta kamu Anick

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"Default" = "File Folder"

  • Default = File Folder

Gambar 4 Delf.ZFA merubah type file *.com dari “MS-DOS Application” menjadi “Demi Allah Zul cinta kamu Anick

Gambar 5 Delf.ZFA merubah type file *.bat dari “MS-DOS Batch File” menjadi “Kabitia”

Menyembunyikan file/folder dan membuat file duplikat 

Sebagai upaya untuk mengelabui user, W32/Delf.ZFA akan menyembunyikan file/folder yang dijumpai disetiap Root Drive dan membuat file duplikat sesuai dengan folder yang disembunyikan dengan ciri-ciri:

• Mempunyai ukuran 430 KB

• Menggunakan icon Folder

• Mempunyai ekstensi EXE (lihat gambar 6)

Gambar 6 Delf.ZFA membuat file duplikat untuk mengelabui user

Rahasia jahat yang terselubung dari Delf.ZFA

Sebaiknya anda berhati-hati, jika komputer terinfeksi virus ini sebaiknya secepatnya bersihkan dan jangan lupa untuk backup data. Anda tentu masih ingat dengan kasus Kespo yang sampai saat ini masih bergentayangan, yang cukup merepotkan adalah  dimana data DOC/XLS akan di injeksi dan diubah menjadi EXE, virus ini masih tergolong baik karena walaupun file tersebut sudah diubah menjadi EXE tetapi masih dapat di jalankan bahkan di hapus/edit isi dari dokumen tersebut.

Bom Waktu

Pada awal pengetesan, penulis sempat terkecoh karena Delf.ZFA tidak melakukan perubahan yang berarti pada dokumen, ternyata anggapan itu salah karena di dalam tubuh Delf.ZFA tersimpan bom waktu yang siap setiap saat meledak dan menghancurkan file anda dengan cara mengenkrip semua file [bukan hanya DOC/XLS saja] yang di jumpai dan merubah ekstensi file tersebut menjadi BMP. Untungnya, pembuat virus ini masih tergolong tidak jahat seperti Kamasutra yang menghancurkan file komputer korbannya. ZulAnick hanya menginjeksi file dan merubah menjadi .BMP, dengan tools yang tepat, file tersebut masih dapat dikembalikan. Jangan hapus data anda jika anda terinfeksi ZulAnick karena data tersebut masih dapat dikembalikan.

Berbeda dengan Kespo, dimana jika komputer target terinfeksi virus Kespo maka secara otomatis akan menginjeksi file DOC/XLS yang berada di Flash Disk. Tetapi untuk virus Delf.ZFA tidak akan langsung melakukan reaksi tersebut, anda tentu masih ingat dengan kasus W32/Rontokbro.EQ dimana virus ini pada tanggal yang sudah ditentukan maka ia akan menghancurkan semua file/folder/subfolder yang dijumpai sehingga begitu komputer anda booting maka akan muncul pesan bahwa file NTLDR Missing dengan demikian format/install ulang adalah cara terakhir yang harus dilakukan, begitupun dengan Delf.ZFA ini yang akan menggunakan TIMER [waktu] untuk merubah dan meng-enkrip semua file yang dijumpai dan merubah ekstensi dari file tersebut menjadi BMP sehingga file tersebut tidak dapat dibuka, perhatikan gambar 7 dan 8 dibawah ini:

Gambar 7 Delf.ZFA merubah file MP3 dan MS Word / Excel menjadi BMP, tampilan View-Detail

Gambar 8 Delf.ZFA merubah file manjadi BMP tampilan View-Thumbnai)

Kabar baiknya virus ini hanya aktif pada mode Normal saja sehinga relatif mudah untuk dibersihkan dan sebagai jembatan penyebarannya ia masih menggunakan media Flash Disk/Disket dengan menyembunyikan file/folder yang ada pada Root Flash Disk tersebut seta membuat file duplikat di dalam Flash Disk tersebut sesuai dengan nama folder yang disembunyikan.

Kabar buruknya, virus ini masih belum terdeteksi oleh bnayak antivirus dan korbannya sampai saat ini menurut catatan Vaksincom sudah mencapai ribuan komputer diseluruh Indonesia.

Cara membersihkan Trojan:W32/Delf.ZFA

1. Jika menggunakan Windows ME/XP matikan  “System restore” selama proses pembersihan
2. Lakukan pembersihan virus pada mode “safe mode”
3. Hapus string registry yang sudah dibuat oleh Delf.ZFA, untuk mempercepat proses pemberihan silahkan salin skrip dibawah ini pada program “Notepad” kemudian simpan dengan nama “repair.inf”, jalankan file teresebut dengan cara:

1. Klik kanan repair.inf
2. Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom - ZulAnick

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, Type,0,"radio"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder, Bitmap,0, "C:\WINDOWS\SYSTEM32\SHELL32.DLL,4"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, Bitmap,0, "%SystemRoot%\system32\SHELL32.dll,4"

HKLM, SOFTWARE\Classes\comfile,,, "MS-DOS Application"

HKLM, SOFTWARE\Classes\batfile,,, "MS-DOS batch file"

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,hidden,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,HideFileExt,0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue,0x00010001,1

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Policies\Microsoft\Windows\System, DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, explorer.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Zul_Cinta_Anick

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Cintaku

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Run

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System

4. Hapus file induk dan file duplikat yang dibuta oleh virus, dengan terlebih dahulu menempilkan semua file/folder  yang disembunyikan [gunakan Folder Options] untuk menampilkan file/folder yang disembunyikan. (lihat gambar 9)

Gambar 9 Menampilkan file / folder yang disembunyikan

Untuk mempercepat proses pencarian dan pembersihan, sebaiknya gunakan fungsi Search Windows.

Jangan lupa untuk menghapus file link berikut:

• C:\Documents and Settings\%user% \Start Menu\Programs
  • Cintaku kandas ditengah jalan.lnk

5. Tampilkan kembali file/folder yang sudah disembunyikan oleh Delf.ZFA dengan menggunakan perintah ATTRIB –s –h /s /d pada DOS PROMPT dengan memastikan posisi kursor berada di setiap Root Drive yang akan di periksa, perhatikan contoh dibawah ini : (lihat gambar 10)

Gambar 10 (menampilkan file/folder yang disembunyikan)

6. Untuk pembersihan optimal dan mencegah infeksi ulang, lindungi komputer anda dengan Norman Virus Control yang sudah dapat mendeteksi virus ini.
7. Untuk repair file yang sudah di enkrip dan diubah ekstensi nya menjadi BMP, anda dapat menggunakan tools yang dibuat oleh Mas Yayat [BMP 2 DOC Recovery], silahkan download di alamat http://vaksin.com/removal.htm

Tools ini dapat mengembalikan/repair semua file yang sudah di ubah menjadi BMP ke file semua, untuk versi awalnya BMP 2 DOC Recovery hanya dapat merepair file BMP tersebut per file [masih belum ada fasilitas untuk search dan repair per Drive/Folder]. Perhatikan gambar 11 dibawah ini:

Gambar11 Menjalankan tools BMP 2 DOC

PT. Vaksincom mengucapkan terimakasih dan penghargaan kepada saudara Yayat atas kerelaannya mengorbankan waktu dan tenaga membuatkan tools ini.

Salam,

Aj Tau

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 6851