VBS/Smalltroj.XSR          18 Desember 2007

Buka file inf (Regedit) langsung Log Off, buka MSConfig dapat Notepad

 

Salah satu virus yang cukup merepotkan dan saat ini sedang menyebar adalah jenis VBS/Smalltroj.XSR. Virus ini sebenarnya dibuat dengan menggunakan VBScript, suatu program sederhana tetapi mempunyai kemampuan yang patut diperhitungkan. Ukuran virus ini lumayan kecil sekitar 9 KB dan tetap mengusung icon VBS. Harap berhati-hati jika virus ini sudah mulai menginfeksi komputer maka ia akan melakukan serangkaian perubahan pada registry diantaranya akan merubah type file dari “VBScript Script file” menjadi “Microsoft Word Document” dan merubah icon “VBS” menjadi icon “MS Word”, inilah salah satu rekayasa sosial yang akan digunakan oleh VBS/Smaltroj.XSR. Dilengkapi dengan kemampuan untuk membuat file duplikat disetiap folder dan subfolder, file duplikat ini akan dibuat jika di dalam folder tersebut terdapat file dengan ekstensi XLS/DOC/ZIP/RAR/PDF atau  file gambar, khusus untuk file dengan ekstensi DOC  akan disembunyikan.

 

Dengan update terbaru Norman Virus Control sudah dapat mendeteksi virus ini dengan baik (lihat gambar 1)

 

Gambar 1, Norman Virus Control mendeteksi virus VBS/Smalltroj.XSR

 

Setelah virus tersebut  menginfeksi komputer ia akan membuat beberapa file induk yang diantaranya akan dijalankan setiap kali komputer dinyalakan / restart, file ini akan dibuat secara acak disetiap Drive/folder/subfolder. Berikut beberapa file induk yang akan di buat oleh VBS/Smalltroj.XSR :

 

  • Autorun.inf
  • Dataku.vbs
  • New File.vbs
  • Money.vbs
  • Hasil.vbs
  • Readme.vbs
  • C:\Windows\System.vbs
  • C:\Windows\readme.vbs
  • C:\Documents and Settings\%user%\My Documents\Cerita 17.txt.vbs
  • C:\Documents and Settings\%user%\Application Data\Adobe.vbs

 

Agar file tersebut dapat dijalankan secara otomatis setiap kali komputer dinyalakan / restart ia akan membuat string pada registry berikut:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Adobe = C:\Document and settings\%user%\Favorites\adobe.lnk

 

Untuk mempertahankan dirinya, ia akan blok beberapa fungsi windows seperti:

  • Registry editor
  • Msconfig
  • Task manager
  • Cmd
  • Menu Run
  • Folder Options

 

Untuk melakukan hal tersebut ia akan membuat beberapa string pada registry berikut:

 

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

§  NoFileAssociate

§  NoFind

§  NoFolderOptions

§  NoRun

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

§  DisableCMD

§  DisableRegedit

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

§  DisableTaskmgr

·         HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

§  HideFileExt = 1

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

§  CheckedValue = 2

§  DefaultValue = 2

 

Mengganti program maintenance komputer dengan Notepad.

Jangan kaget jika setiap kali mencoba untuk menjalankan regedit / msconfig / cmd / taskmanager bahkan saat anda mencoba untuk melakukan instalasi program / software yang akan muncul adalah program notepad, karena hal ini juga di lakukan untuk antisipasi agar dirinya susah untuk di bersihkan. Untuk melakukan hal tersebut ia akan membuat string pada registr berikut :

 

·         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe

§  Debugger = Notepad.exe

·         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

§  Debugger = Notepad.exe

·         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

§  Debugger = Notepad.exe

·         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe

§  Debugger = Notepad.exe

·         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe

§  Debugger = Notepad.exe

·         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe

§  Debugger = Notepad.exe

·         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe

§  Debugger = Notepad.exe

·         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe

§  Debugger = Notepad.exe

 

Logoff jika akses Regedit / VBS file

Dalam rangka melindungi dirinya dari pembasmian, virus ini menambahkan blok akses file INF/VBS dan Registry file sehingga jika user menjalankan file yang mempunyai ekstensi tersebut maka komputer akan langsung logoff. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Edit\Command

§  Default = logoff.exe

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\Shell\Install\Command

§  Default = logoff.exe

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\Shell\open\Command

§  Default = logoff.exe

·         HKCR\inffile\shell\Install\command

§  Default = logoff.exe

·         HKCR\regfile\shell\open\command

§  Default = logoff.exe

·         HKCR\VBSFile\Shell\Edit\Command

§  Default = logoff.exe

 

Membuat file duplikat dengan ekstensi VBS

Sebagai penutup dan merupakan target utama adalah ia akan mencoba untuk menyembunyikan file MS Word (.DOC). Untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan tersebut dengan ciri-ciri (lihat gambar 2) :

  • Icon MS Word
  • Ukuran file 9 KB
  • Ekstensi DOC.VBS (ekstensi VBS ini akan disembunyikan)
  • Type file “Microsoft Word Document”

 

Gambar 2, File duplikat virus VBS/Smalltroj.XSR

 

Untuk merubah icon file / type file dan menyembunyikan ekstensi VBS ini, ia akan merubah string pada registry berikut:

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile
    • Default = Microsoft Word Document
    • NeverShowExt
    • FriendlyTypeName = Microsoft Word Document
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\DefaultIcon
    • Default = C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe,1

 

Selain itu VBS/Smalltroj.XSR juga akan membuat file duplikat disetiap folder / subfolder jika di dalam folder / subfolder tersebut terdapat file yang mempunyai ekstensi XLS/ZIP/RAR/PDF atau file gambar (file aslinya tidak akan disembunyikan) dengan ciri-ciri (lihat gambar 3) :

 

  • Icon MS.Word
  • Ukuran file 9 KB
  • Ekstensi VBS (ekstensi VBS ini akan disembunyikan)
  • Type file “Microsoft Word Document”

 

Gambar 3, File duplikat VBS/Smalltroj.XSR

 

Sebagai media penyebaranya ia akan menggunakan flash disk (usb) dengan membuat file berikut dengan ukuran 9 kb dan menggunakan icon MS Word.

  • Autorun.inf
  • Dataku.vbs
  • New File.vbs
  • Money.vbs
  • Hasil.vbs

 

Serta membuat file duplikat disetiap folder/subfolder, file duplikat ini akan dibuat jika di dalam folder/subfolder tersebut terdapat file yang mempunyai ekstensi DOC/XLS/ZIP/RAR/PDF atau file gambar.

 

Agar VBS/Smalltroj.XSR ini dapat aktif secara otomatis setiap kali user akses  ke dalam Drive/Flash Disk, ia akan memanfaatkan file Autorun.inf dimana di dalam file tersebut akan terdapat script untuk menjalankan file virus (Dataku.vbs), berikut script yang ada pada file Autorun.inf. (lihat gambar 4)

 

Gambar 4, Script AutoRun.inf VBS/Smalltroj.XSR

 

Cara membersihkan VBS/Smalltroj.XSR :

  1. Matikan proses virus yang aktif dimemori (file wscript.exe). Untuk mempermudah dalam mematikan proses tersebut Anda dapat menggunakan tools pengganti task manager seperti Proceexp

http://download.sysinternals.com/Files/ProcessExplorer.zip

  1. Ubah kembali string INF file pada registry karena untuk menghapus sisa registry ini kita akan tetap menggunakan file repair.inf. Perubahan ini dilakukan karena virus ini akan blok akses ke file INF file registry maupun file vbs.

 

Untuk merubah string tersebut dapat menggunakan tools pengganti registry editor seperti RegAlizer, silahkan download  di alamat

http://www.safer-networking.org/files/regalyz.exe

 

Setelah program tersebut berhasil di install dan dijalankan kemudian telusuri lokasi HKEY_CLASSES_ROOT\inffile\shell\Install\command dan HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command kemudian ganti string default menjadi C:\Windows\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1

 

Catatan:
Jika komputer anda terinstall Windows NT/2000 ganti script Windows menjadi Winnt

 

  1. Hapus sisa string registry yang dibuat virus. Untuk mempercepat proses penghapusan silahkan copy script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:

 

·         Klik kanan repair.inf

·         Klik Install

 

Berikut script yang harus Anda copy:

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Classes\exefile\DefaultIcon,,,"%1"

HKLM, SOFTWARE\Classes\VBSFile,,,"VBScript Script file"

HKLM, SOFTWARE\Classes\VBSFile\DefaultIcon,,,"C:\WIndows\System32\WScript.exe,2"

HKLM, SOFTWARE\Classes\VBSFile\Shell\Edit\Command,,,"C:\WIndows\system32\notepad.exe %1"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,UncheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,CheckedValue,0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,DefaultValue,0x00010001,0

HKLM, SOFTWARE\Classes\VBSFile, FriendlyTypeName,0,"@C:\Windows\System32\wshext.dll,-4802"

 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Adobe

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDesktop

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFileAssociate

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderoptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, DisableTaskmgr

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe, Debugger

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe, Debugger

HKLM, SOFTWARE\Classes\VBSFile, NeverShowExt

  1. Hapus file duplikat maupun file induk virus termasuk di Flash Disk dengan ciri-ciri:

·         Icon VBS

·         Ekstensi .DOC.VBS dan VBS

·         Ukuran 9 KB

 

Untuk mempercepat proses pencarian dan penghapusan tersebut, Anda dapat menggunakan fungsi Search Windows dengan terlebih dahulu menampilkan file/folder yang disembunyikan (gunakan Folder Options).

Jika setelah menjalankan repair.inf tetapi Folder Option belum tampil, sebaiknya Logoff komputer terlebih dahulu setelah itu baru tampilkan file/folder yang disembunyikan, setelah semua file/folder berhasil ditampilkan kemudian cari dan hapus file virus dengan menggunakan Search Windows seperti terlihat pada gambar 5 di bawah ini:

 

Gambar 5, Hasil pencarian file virus

 

Hapus juga file AutoRun.inf disetiap Drive termasuk di Flash Disk.

 

  1. Tampilkan file MS.Word (DOC) yang disembunyikan dengan menggunakan perintah attrib -s -h *.doc /s pada dos prompt  dengan terlebih dahulu menempatkan posisi kursor dilokasi folder/drive yang akan di periksa.

 

  1. Untuk pembersihan optimal dan mencegah infeksi ulang, silahkan scan dengan menggunakan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini dengan baik.

 

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 345 6850

Fx : 021 345 6851