cyberninja

W32/Banload.RYQ 29 November 2007

Anak Kost jadi Ninja. Pesin dan Kangen Rest in Peace

Kelihatannya pembuat virus memiliki hobi baca komik Jepang. Hanya satu bulan setelah virus Battosai (W32/Autorun.AD) mengganas, ibarat tidak mau kalah muncul virus baru yang menamakan dirinya Cyber Ninja yang mengusung jagoannya Naruto. Kalau sebentar lagi penggemar Avatar akan unjuk gigi dengan membuat virus, maka dunia VM (Virus Maker) mungkin perlu diganti namanya jadi Animax :P.

Jika anda salah satu penggemar anime & manga Naruto, maka sebaiknya berhati-hati, karena telah menyebar salah satu virus lokal yang familiar dengan menggunakan nama cYberNINJA. Mengikuti trend yang sedang beredar saat ini, dimana Naruto adalah manga yang terkenal dan sedang naik daun di seluruh dunia. Serial manga ini bercerita seputar kehidupan tokoh utama, Naruto Uzumaki, seorang ninja remaja dari desa Konoha yang berisik, hiperaktif dan ambisius dalam meraih cita-citanya menjadi seorang Hokage, pemimpin tertinggi sebuah desa.

---------------------------------------

This place is not enough for us

Rest In Peace.. Pesin

Rest In Peace.. Kangen

---------------------------------------

Ya, begitulah salah satu script yang ada pada file virus cYberNINJA. Dan kemungkinan besar, si pembuat virus mempunyai hubungan dengan pembuat virus kangen dan pesin.

Norman mengenali virus ninja tersebut dengan nama W32/Banload.RYQ. (lihat gambar 1)

Gambar 1, Norman Virus Control mendeteksi Cyberninja sebagai W32/Banload.RYQ

Karakteristik Virus

Seolah seperti ninja yang pintar untuk mengelabui musuhnya, virus ini menggunakan icon gambar dengan ekstensi .jpg sebagai media untuk mengelabui pengguna komputer menjalankan file virus tsb. (lihat gambar 2)

Gambar 2, Icon gambar dengan ekstensi .jpg

Jika user sudah meng-klik file virus tsb, maka akan terbuka jendela aplikasi microsoft word (tidak berfungsi jika menggunakan aplikasi office lain seperti openoffice), yang berisi tentang curahan hati atau unek-unek si CyBer Ninja, yang mirip dengan virus kangen yang masih bertemakan cinta. Lihat gambar 3)

Gambar 3, Unek-unek Cyber Ninja

Kemudian dalam beberapa saat setelah itu akan terbuka jendela Internet Explorer (sekaligus menandakan bahwa komputer telah terinfeksi). Jendela ini akan terus terbuka dalam beberapa saat kemudian, seolah telah dibuat timer repeat atau dibuat schedule task. (lihat gambar 4)

Gambar 4, Pesan yang ditampilkan virus Cyber ninja pada Internet Explorer

Jika kita mengklik pada link Antivirus.exe, akan di redirect ke website http://historyni***.tk/ yang mirip dengan website Friendster (lihat gambar 5). Hati-hati !! Website ini adalah palsu dan bukan website Friendster yang seharusnya www.friendster.com.

Gambar 5, Website palsu Friendster yang dipalsukan

Jika sudah terinfeksi, virus ini menggunakan icon shuriken (sebuah senjata lempar khas ninja) sebagai media pengenalan dirinya, serta membuat file virus pada setiap folder / drive yang diakses user dengan ukuran 35 kb. (lihat gambar 6)

Gambar 6, Icon my documents & recycle bin yang berubah menjadi shuriken perhatikan file virus “artis Hot.jpg” yang berukuran 35 kb

Sama seperti halnya virus kangen, cyber ninja cukup baik dan tidka destruktif seperti Kespo dan “hanya” mennyembunyikan file dokumen Microsoft Word komputer korbannya dan kemudian akan membuat file duplikat virus dengan ekstensi .zip (lihat gambar 7)

Gambar 7, File word di hidden, dan file duplikat dengan ekstensi . zip

Selain itu, cursor pun akan berkedip-kedip dan bergerak kesana kemari bak seorang ninja, mengubah tulisan start menu menjadi Ninja, serta mengubah nama Drive C: menjadi Ninja Devil. (lihat gambar 8)

Gambar 8, Mengubah nama drive menjadi Ninja Devil

Dan jika anda berada dalam jaringan LAN, dan berusaha untuk browse ke komputer yang lain dan mengeksekusi sebuah file misalnya antivirus, maka virus akan akan membuat komputer restart.

File Virus & Penyebarannya

Saat terinfeksi, virus mempunyai 2 file induk, yaitu :

o C:\WINDOWS\SPOOL32.EXE

o C:\WINDOWS\system32\WINWORD.EXE

Tetapi kemudian akan membuat file duplikat saat kita mengakses sebuah folder/drive tertentu, sehingga akan lebih mudah menyebar dan menggandakan dirinya. Beberapa file duplikat tersebut diantaranya sebagai berikut :

Nah lo.jpg
Ma ma mi ahh.jpg
Buset Deh.jpg
Artis Hot.jpg
Foto Hot.jpg
Foto Bugil.jpg
Kampus Bugil.jpg
Anak Kampus.jpg
Foto Foto.jpg
Rahasia.jpg
SETUP (pada usb drive )
Autorun (pada usb drive)

Selain itu virus juga menyertakan beberapa file, seperti :

o C:\WINDOWS\Help.htm (yang jika terinfeksi virus ini akan setiap saat selalu terbuka)

o C:\WINDOWS\exe.ico (icon yang digunakan pada semua type file application)

Ciri-ciri file virus, yaitu :

· Menggunakan icon gambar (jika sudah terinfeksi menggunakan icon shuriken)

· Berukuran 35 kb

· Ber-type application

· Untuk file duplikat disertakan ekstensi jpg untuk mengelabui user

Untuk file duplikat dokumen dengan ekstensi zip

Sama seperti virus lokal lain, virus ninja pun akan menyebar melalui media usb flash / removable. Selain menyertakan sebuah file duplikat, Cyber Ninja juga akan membuat 2 file yaitu autorun dan SETUP (untuk lebih mudah menginfeksi komputer lain dengan menggunakan fitur autoplay windows). (lihat gambar 9)

Gambar 9, File Autorun dan Setup yang dibuat oleh virus Cyber Ninja.

Manipulasi Registry

Untuk mempertahankan keberadaannya, virus membuat string registry pada startup windows, yaitu :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,

Microsoft Word = C:\WINDOWS\system32\WINWORD.EXE

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,

Printer Cpl = C:\WINDOWS\SPOOL32.EXE

Walaupun tidak mematikan fitur windows seperti msconfig, task manager dan folder options, tetapi virus telah mematikan fungsi registry editor (regedit), dengan membuat string registry, yaitu :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System,

DisableRegedit = 1 (lihat gambar 10)

Gambar 10, Registry editor yang di disable oleh virus

HKEY_CLASSES_ROOT\regfile\shell\open\command

(Default) = cmd.exe /c del "%1"

Selain itu virus juga tidak menghilangkan fitur folder options, tetapi virus membuat string agar file exefile tidak ditampilkan walaupun kita sudah mengilangkan pilihan cheklist ini. Virus membuat string, yaitu :

HKEY_CLASSES_ROOT\exefile

NeverShowExt =

Icon shuriken yang dijadikan sebagai icon file executable pada semua type file application juga dibuat oleh virus pada string registry berikut :

HKEY_CLASSES_ROOT\exefile\DefaultIcon

(Default) = C:\WINDOWS\exe.ico

Virus pun mengubah beberapa registry file, seperti :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

LegalNoticeText = Komputer Anda terinfeksi NINJA kunjungi site berikut untuk mendapatkan manual cara menghapusnya www.historyninja.tk

LocalNoticeCaption = NINJACYber ComuNity bsi

RegisteredOrganization = NINJA CybeR CoMUNITY

RegisteredOwner = NINJA DEVIL

Cara Pembersihan Virus

Putuskan hubungan komputer dari jaringan [disarankan lakukan pembersihan melalui mode “Safe Mode”]
Jika menggunakan Windows ME/XP, matikan [System Restore] selama proses pembersihan.
Matikan proses virus W32/Banload.RYQ, gunakan tool pengganti task manager karena seperti security task manager. Silahkan download dari www.download.com.
Hapus string yang dibuat oleh virus, untuk lebih cepatnya copy script dibawah ini pada program notepad. Untukmemanggil program notepad kami sarankan anda menjalankan file tersebut pada menu RUN dengan mengetik perintah "notepad" hal ini disebabkan karena virus ini akan menyembunyikan file pada Start menu | programs, setelah itu simpan file tersebut dengan nama repair.inf, kemudian jalankan file tersebut dengan cara:

o klik kanan nana file "repair.inf"

o klik install

[Version]

Signature="$Chicago$"

Provider=Vaksincom - Naruto

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Classes\exefile\DefaultIcon,,,""%1" %"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Microsoft Word

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Printer Cpl

HKLM, SOFTWARE\Classes\exefile, NeverShowExt

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, LegalNoticeText

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, LocalNoticeCaption

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, RegisteredOrganization

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, RegisteredOwner

Hapus file induk serta file duplikat yang dibuat oleh cyber ninja dimana file tersebut mempunyai ciri-ciri sebagai berikut :

- Ukuran file 35 KB

- Berekstensi jpg.exe dan zip.exe

- Type file application

Catatan : untuk mempermudah penghapusan dapat menggunakan fasilitas [search]

Tampilkan semua data yang di hidden dengan menggunakan dos command prompt

§ Klik [start]

§ Klik [run]

§ Ketik [cmd]

§ Pada dos prompt, ketik perintah attrib -s -h /s /d, kemudian tekan enter [sebelumnya pastikan anda berada pada direktori C:\], contoh C:\>attrib -s -h /s /d

§ Untuk mengambalikan file yang disembunyikan di drive lain, lakukan langkah di atas tetapi sebelumnya anda ganti terlebih dahulu lokasi drive yang akan di cek [contoh D:\>attrib -s -h /s /d]

Untuk pembersihan yang optimal sebaiknya gunakan antivirus yang sudah dapat mengenali virus ini dengan baik.

Ad Sap

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 6851