|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
W32/Autorun.AD 9 Oktober 2007 Giliran Battosai yang menyerang komputer anda Dapatkan info ancaman virus terbaru lebih cepat di HP
anda. Vaksincom bekerjasama dengan Kompas Cybermedia mengirimkan informasi
ancaman virus terakhir langsung ke HP anda http://www.kompasmobile.com/detail.cfm?id=50&iid=763836828 Nantikan Seminar Evaluasi Virus 2007 dan Ancaman Virus
2008 tanggal 21 November 2007. Tidak tahu apa
hubungannya manga Jepang dengan Virus, tetapi yang jelas pembuat virus yang
satu ini penggemar komik Samurai X yang jagoannya Kenshin Himura dan sering
disebut Battosai. Virus yang terdeteksi oleh Norman Virus Control sebagai
W32/Autorun.AD ini cukup merepotkan karena tetap aktif di Safe Mode dan Safe
Mode with Command Prompt dan mengganti background komputer korbannya dengan
gambar Battosai. (lihat gambar 1) Perkembangan dan penyebaran virus
semakin cepat, dan tentunya ada saja yang selalu dijadikan imajinasi oleh si
pembuat virus. Begitupun yang terjadi pada worm ini, mungkin saja si pembuat
virus adalah penggemar berat dari serial anime jepang ini atau sekedar iseng
saja menggunakan karakter tokoh tsb. Jika anda menemukan folder windows
anda berubah menjadi background seorang samurai, maka anda dipastikan telah
terinfeksi oleh W32/Autorun.AD.
Gambar 1, Background
yang dirubah oleh virus Battosai Virus ini terbilang tidak terlalu rumit, karena dia tidak memblok program aplikasi
windows seperti task manager, regedit dan msconfig. Selain itu dia juga tidak
memblok fungsi windows seperti folder options. Jika virus ini aktif, dia akan
berjalan di proses tanpa icon dan nama aplikasi yang berjalan. (lihat gambar 2)
Gambar 2, Proses
virus Battosai File
Virus Seperti biasa, virus ini memiliki
beberapa file induk yaitu diantaranya :
Serta
membuat string registry pada saat windows login : o
HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon Shell ===> Explorer.exe
"c:\windows\explore.exe" (lihat gambar 3)
Gambar 3, Registry yang dirubah virus Battosai Kemudian,
virus akan membuat beberapa file duplikat, yaitu :
Semua file duplikat yang dibuat
tersebut diatas mempunyai ciri sebagai berikut :
Untuk
menyamarkan tipe file ia membuat string registry : o
HKCR\exefile (default) ===> icon Nevershowext ===> o
HKLM\SOFTWARE\Classes\exefile (default) ===> icon Nevershowext ===> Seperti kita ketahui virus ini tidak
memblok fungsi windows seperti folder options, tetapi akan mencoba melakukan
perubahan terhadap setting folder options. Untuk itu ia akan membuat string
registry (lihat gambar 4) : o
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ShowSuperHidden
===> 0 o
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden CheckedValue
===> 1 DefaultValue
===> 1 Sebagai penunjang, ia akan membuat
string registry pada : o
HKLM\SOFTWARE\Microsoft\Windows|CurrentVersion\Run def ===>
C:\WINDOWS\Temp\Vel.exe SysRestore ===>
c:\windows\system32\restoration.msd o
HKCU\Control Panel\Desktop SCRNSAVE.exe ===> C:\WINDOWS\Temp\%fileduplikat%.exe Aktif pada Safe
Mode & Safe Mode with Command Prompt Selain aktif pada
mode “normal”, virus ini pun aktif pada mode “safe mode” dan “safe mode with
command prompt”. Untuk itu ia membuat string registry pada : o
HKLM\SYSTEM\ControlSet001\Control\SafeBoot AlternateShell ===> c:\windows\system32\CommandPrompt.Sysm o
HKLM\SYSTEM\ControlSet002\Control\SafeBoot AlternateShell ===> c:\windows\system32\CommandPrompt.Sysm o
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot AlternateShell ===> c:\windows\system32\CommandPrompt.Sysm Media
Penyebaran Sebagai media
penyebarannya, ia menggunakan fitur autoplay/autorun pada windows sehingga akan
lebih mudah baik pada disket, flashdisk ataupun removable drive yang lain. Ia
akan membuat 2 file duplikat, yaitu : autorun.inf dan copy of desktop.ini. (lihat gambar 4)
Gambar 4, File duplikat yang dibuat oleh virus Cara mengatasi W32/Autorun.AD
Gambar 5, Matikan proses virus Battosai dengan Task Manager Windows
[Version] Signature="$Chicago$" Provider=Vaksincom [DefaultInstall] AddReg=UnhookRegKey DelReg=del [UnhookRegKey] HKCR, exefile,,,"Application" HKLM, SOFTWARE\Classes\exefile,,,"Application" HKLM,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe" HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
ShowSuperHidden,0x00010001,0 HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,
CheckedValue,0x00010001,1 HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,
DefaultValue,0x00010001,1 HKLM,
SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKLM,
SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0,
"cmd.exe" [del] HKCR, exefile,
NeverShowExt HKLM,
SOFTWARE\Classes\scrfile, NeverShowExt HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
def HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SysRestore HKCU,
ControlPanel\Desktop, SCRNSAVE.EXE
File induk o
C:\WINDOWS\desktop.ini o
C:\WINDOWS\System32\windxp.ini o
C:\WINDOWS\System32\restoration.msd o
C:\WINDOWS\System32\CommandPrompt.Sysm o
C:\WINDOWS\explore.exe o
C:\Documents and settings\%user%\Start
Menu\Programs\Startup\AdobeGamma.pif
o
C:\Documents and Settings\%user%\Local
Settings\Temp\winzipt
Gambar 6, Norman Virus Control mendeteksi virus Battosai sebagai
W32/Autorun.AD INFO
VIRUS PC di HP anda Untuk
berlangganan ketik REG VIRUSPC kirim ke 9858 Tarif
untuk langganan Rp adalah Rp550 untuk TELKOMSEL, XL, 3 dan FLEXI, kecuali
INDOSAT Rp880 dan FREN Rp825 per SMS. Tarif pull (tidak berlangganan) Rp1000 (belum
termasuk PPN) semua operator. Salam, Ad Sap PT. Vaksincom Jl. Tanah Abang III / 19E Jakarta 10160 Ph : 021 345 6850 Fx : 021 345 6851 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||
