W32/VBWorm.NEE           15 Agustus 2007

Tukul lebih top dari Brad Pitt ??

 

Penyebaran virus lokal semakin hari semakain cepat dengan aksi yang beragam, walaupun media penyebarannya masih menggunakan Flash Disk tetapi cukup mampu menyebar dengan luas apalagi disertai dengan trik rekayasa sosial  yang semakin beragam dan terkadang menggunakan nama idola dari si pembuat virus itu sendiri sehingga lebih mudah untuk mengelabui user. Sudah banyak contoh virus yang menggunakan rekayasa ini sebut saja virus Coolface dimana sang pembuat virus menggaet nama “Artika Sari Devi” atau virus Runitis yang membawa nama “Siti Nurhaliza” dan kini giliran Tukul Arwana yang di jadikan maskot virus VBWorm.NEE, walaupun wajah sang pelawak ini tidak dimunculkan tetapi guyonan khas tukul Arwana yang diambil dan dijaduikan maskot pada virus ini “KEMBALI KE LAPTOP”, dan disinyalir kemungkinan virus ini berasal dari kota Pahlawan (red. Surabaya). Mengapa bukan Brad Pitt yang dijadikan obyek melainkan Tukul ? Kemungkinan karena Tukul lebih top daripada Brad Pitt di kalangan orang Indonesia :P.

 

Lagi-lagi VB menjadi pilihan yang digunakan oleh sang VM, tak terkecuali dengan virus VBWorm.NEE ini dengan ukuran sebesar 56 KB  dan  kali ini bukan icon Folder atau MS.Word yang akan di gunakan oleh VBWorm.NEE melainkan menggunakan icon “Video Media Player” dengan ekstensi ganda yakni .DOC .EXE [ekstensi EXE akan di sembunyikan], perhatikan gambar dibawah 1 ini:

 

file induk

 

Gambar 1 File induk VBWorm.NEE

 

Dengan update terakhir Norman Virus Control sudah dapat mengenali virus ini sebagai VBWorm.NEE (lihat gambar 2)

 

scan norman

Gambar 2 Norman Virus Control mendeteksi virus Tukul sebagai W32/VBWorm.NEE

 

Pada saat virus ini pertama kali menginfeksi komputer target, VBWorm.NEE maka akan memuncul sebuah program MS.Word dengan sederetan puisi dengan judul “Setia Hingga Akhir Masa”, setelah itu VBWorm.NEE juga akan memunculkan beberapa program Internet Explorer yang berisi pesan sang VM, pehatikan gambar 3 dan 4 dibawah ini:

 

word1]

Gambar 3 Puisi yang dibuat sang VM

 

ie2

Gambar 4 Kembali ke Laptop

 

Sebagai pertahanan dan agar dirinya dapat aktif setiap kali komputer dinyalakan, ia akan membuat beberapa file induk berikut :

  • C:\Windows\SPOOL32.exe
  • C:\WINDOWS\system32\winword.exe
  • C:\Windows\config\system32.exe
  • C:\WIndows\system32\ArekSuroboyo.html
  • C:\Documents and Settings\%user login%
    • [System Process]BabII.doc .exe
    • [System Process]Fileku.doc .exe
    • [System Process]Jangan di buka .doc.exe
    • [System Process]Tolong.doc .exe
    • [System Process]Data.doc .exe
    • [System Process]Desposisi.doc .exe
    • [System Process]Empat Mata.doc .exe
    • [System Process]Benci.doc .exe

 

Pada saat komputer dinyalakan, VBWorm.NEE akan mecoba untuk menjalankan 2 file induk yakni SPOOL32.exe dan WINWORD.exe dengan terlebih dahulu membuat string dibawah ini:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

-        Printer Cpl = C:\WINDOWS\SPOOL32.EXE

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

-       Microsoft Word = C:\WINDOWS\system32\WINWORD.EXE

 

Sudah menjadi tradisi, bahwa setiap virus lokal akan mencoba untuk blok beberapa fungsi Windows dengan tujuan agar dirinya tidak mudah di hentikan, berikut beberapa fungsi  Windows yang akan di blok :

-       Disable Registry Editor

-       Disable Task Manager

-       Disable Folder Option

-       Dsiable Run

-       Disable Search

-       Disable klik kanan Desktop

-       Disable klik kanan Task Bar

-       Disable Shutdown

-       Disable CMD

 

Untuk melakukan hal ini ia akan membuat beberapa string registri dibawah ini :

 

-       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

o    NoClose

o    NoFInd

o    NoFolderOptions

o    NoRun

o    NoTrayContextMenu

o    NoViewContextMenu

o    NoWinLeys

-       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

o    DisableRegistryTools

-       HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System

o    DisableCMD

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

o    DisableMSI

o    NoClose

o    NoFolderOptions

o    NoViewContextMenu

o    NoWinKeys

-       HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command

o    Default = cmd.exe /c del "%1"

 

Sebenarnya masih banyak lagi fungsi Windows yang akan diblok oleh VBWorm.NEE seperti System Restore, Disable Windows Installer [MSI] atau Disable Desktop, tetapi hal ini tidak berhasil karena terdapat beberap “bug” pada string yang dibuat .

 

Selain disable fungsi Windows diatas, VBWorm.NEE juga akan mencoba untuk menyembunyikan ekstensi EXE dari suatu file Application dengan membuat string pada registry berikut : (lihat gambar 5)

 

-       HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

o     NeverShowExt [menyembunyikan ext. exe]

-       HKEY_CLASSES_ROOT\exefile

o    NeverShowExt [menyembunyikan ext. exe]

 

file exe

Gambar 5 VBWorm.NEE menyembunyikan ekstensi EXEsupaya virus tidak terdeteksi dengan mata telanjang

 

Kopi file  virus disetiap folder / subfolder

Sebagai penutup VBWorm.NEE akan mencoba untuk mengkopi dirinya sendiri ke setiap folder/subfolder yang di akses dengan nama file acak dengan ciri-ciri : (lihat gambar 6)

-       Ukuran 56 KB

-       Ekstensi .DOC .EXE

-       Type file Application

-       Icon Video Media Player

 

Gambar 6 Contoh file yang akan di kopi oleh VBWorm.NEE

 

Berikut beberapa file yang akan di kopi disetiap folder/subfolder:

 

-       Bab11.doc .exe

-       Desposisi.doc .exe

-       Fileku.doc .exe

-       Tolong.doc .exe

-       Siapa.doc .exe

-       Data.doc .exe

-       Jangan di buka.doc .exe

-       Empat mata.doc exe

-       Cerita.doc .exe

-       Benci.doc .exe

 

Cara mengatasi VBWorm.NEE

 

  1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan [jika terhubung ke LAN]
  2. Matikan proses virus, silahkan gunakan tools currprocess http://www.nirsoft.net/utils/cprocess.html, kemudian matikan proses yang mepunyai gambar “Video Media Player”, contohnya : (lihat gambar 7)

 

    1. Spool32.exe
    2. Winword.exe

 

kil process

Gambar 7 Mematikan proses VBWorm.NEE

 

  1. Hapus string registry yang dibuat oleh virus, untuk mempercepat proses penghapusan registry tersebut salin script dibawah ini pada notepad kemudian simpan dengan nama "repair.vbs" setelah itu  jalankan file tersebut  kemudian logoff komputer.

 

Dim oWSH: Set oWSH = CreateObject("WScript.Shell")

on error resume Next

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command\","""%1"" /S"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command\","regedit.exe %1"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Word")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Printer Cpl")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\DisableMSI")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\LimitSystemRestoreCheckpointing")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoWinLeys")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCLose")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Nofind")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisableMSI")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoWinLeys")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NOLogoff")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoWinKeys")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoWinKeys")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogoff")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispApprearancePage")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCpl")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispSettingsPage")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\

System\NoScrSavPage")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\NeverShowExt")

oWSH.RegDelete("HKEY_CLASSES_ROOT\exefile\NeverShowExt")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\policies\Microsoft\system\DisableCMD")

 

  1. Jika menggunakan Windows ME/XP, disable "System Restore" untuk sementara selama proses pembersihan berlangsung.
  2. Hapus file induk dan file copy VBWorm.NEE yang dibuat oleh virus dengan terlebih dahulu menampilkan file/folder yang disembunyikan (gunakan folder option untuk menampilkan file/folder yang disembunyikan), dengan ciri-ciri:
    • Ukuran 56 KB
    • Ekstensi .DOC .EXE
    • Type file Application

·                     Icon Video Media Player

§  C:\Windows\SPOOL32.exe

§  C:\WINDOWS\system32\winword.exe

§  C:\Documents and Settings\%user login%

·         [System Process]BabII.doc .exe

·         [System Process]Fileku.doc .exe

·         [System Process]Jangan di buka .doc.exe

·         [System Process]Tolong.doc .exe

·         [System Process]data.doc .exe

·         [System Process]Desposisi.doc .exe

·         [System Process]Empat Mata.doc .exe

·         [System Process]benci.doc .exe

·         fileku.doc.exe [acak]

·         SystemData.doc .exe [acak]

·         SystemTolong.doc  [acak]

·         sYSTEMbENCI.doc.exe [acak]

·         C:\Windows\config\system32.exe

·         C:\WIndows\system32\ArekSuroboyo.html

 

Untuk mempercepat proses penghapusan virus tersebut, gunakan tools Search Windows, dengan setting berikut:

·         All or part of the file name, isi dengan *.EXE

·         Look in, isi dengan Drive yang Anda miliki

·         What size it is? Pilih Specify size (in KB)

o    At Most

o    57 KB

·         More Advanced options, pilih

o    Type of file : (All File and Folders)

o    Search System  folders

o    Search  hidden files and folders