VBWorm.NTH / Bandot           14 Februari 2008

Bandot Falling In Love ... Selamat Hari VALENTINE ya....

 

Gambar 1, Pesan Valentine yang ditampilkan virus Bandot

 

Para pengguna komputer, jangan Ge Er dulu jika anda menjumpai file dengan nama “Kupu Malam” pada komputer anda, apalagi jika disertai ucapan (lihat gambar 1) :

Happy Valentine's Day !

Bandot Falling in love ... Selamat hari VALENTINE ya...

 

Percayalah pada kami, pesan tersebut tidak dikirimkan oleh rekan / pacar anda, tetapi oleh satu virus yang ikut-ikutan memanfaatkan event Valentine untuk menyebarkan dirinya. Selain menampilkan pesan di hari Valentine, virus yang kecentilan ini juga menampilkan pesan pada tanggal 17 Agustus, 25 Desember, 1 Januari dan 24 April. Kalau 3 tanggal pertama adalah hari Kemerdekaan, Natal dan Tahun Baru. Lalu tanggal 24 April ternyata bukan hari besar biasa, melainkan hari Ulang Tahun si pembuat virus (tsk...tsk..tsk... mengelus dada). Virus ini berusaha mengindikasikan “seolah-olah” dirinya berasal dari salah satu Universitas Komputer Top di Jakarta, tetapi kenyataan sebenarnya ... tanyakan saja pada si Bandot.

 

Gambaran umum

Bandot / VBWorm.NTH adalah salah satu jenis virus lokal yang kemungkinan berasal dari salah satu perguruan tinggi di bilangan Jakarta. Icon yang digunakanpun masih mengunakan icon Visual Basic jadi dapat dipastikan bahwa virus ini dibuat dengan menggunakan bahasa pemrograman “sejuta umat” Visual Basic, file ini akan mempunyai ukuran sebesar 88 KB (lihat gambar 2).

Gambar 2, File virus VBWorm.NTH

 

Secara umum virus ini tidaklah berbahaya, ia “hanya” akan menampilkan pesan yang mengganggu, dimana pesan tersebut akan ditampilkan pada tanggal yang telah tertentukan seperti pada saat Tahun Baru, Hari Valentine, Hari Kemerdekaan Indonesia atau pada saat Natal. VBWorm.NTH juga akan menampilkan pesan default ada hardware baru yang sudah terinstal dan siap digunakan, semua pesan tersebut akan muncul pada tray menu (lihat gambar 3).

Gambar 3, Pesan yang ditampilkan oleh VBWorm.NTH


Walapun virus ini akan blok regedit/cmd dan Folder Options tetapi sebenarnya tidaklah terlalu sulit untuk mematikan proses virus tersebut. Dengan bantuan tools pihak dari ketiga seperti process explorer atau currproses Anda sudah dapat mematikan proses virus kemudian menghapus file induk virus tersebut.


Aktif pada Safe Mode dan Safe Mode with Command Prompt

Hati-hati karena virus ini akan tetap aktif pada mode “safe mode” dan “safe mode with command prompt” . Untuk menyebarkan dirinya, ia akan menggunakan Flash Disk. Jadi hati-hati jika pada Fash Disk Anda terdapat file dengan nama Kupu Malam.exe atau kupu-k~1.exe dengan ukuran 88 KB serta menggunakan icon Visual Basic sebaiknya dihapus dan lakukan pembersihan baik secara manual atau menggunakan antivirus yang up-to-date dan sudah mengenali vius ini.

 

Ciri-ciri file virus : (lihat gambar 4)

  • Mengunakan icon Visual Basic

  • Ukuran file 88 KB

  • Type File “Application”

  • Dibuat dengan program bahasa Visual Basic

Gambar 4, File virus VBWorm.NTH

 

Jika file tersebut ditampilkan secara “Tile” (View – tiles) akan muncul informasi nama salah satu Universitas Ilmu Komputer Top di Jakarta. (lihat gambar 5).

Gambar 5, nama salah satu Universitas Komputer ditampilkan pada mode Tile View

 

Symptom:

  • Pada saat menjalankan regedit, maka akan muncul program Windows Media Player begitupun saat menjalankan CMD/Command

  • Muncul satu shortcut jika klik kanan pada folder/drive dengan nama bandot.

  • Muncul pesan pada tray menu. Pesan ini akan berubah-ubah sesuai dengan waktu yang telah ditentukan. Biasanya pesan ini akan muncul pada tanggal-tanggal tertentu seperti:

    • 14 Februari, Hari Valentine

    • 25 Desember, Natal

    • 1 Januari, Tahun baru

    • 24 April, ulang tahun si Bandot (Ngga tahan untuk komentar : tsk..tsk..tsk... dasar Narsis)

    • 17 Agustus Hari Kemerdekaan Indonesia

Diluar tanggal tersebut, virus ini akan memunculkan pesan bahwa terdapat Hardware yang baru terinstal dan siap digunakan (Your new hardware is installed and ready to use)


Norman Virus Control dengan update terbaru sudah dapat mengenali virus ini sebagai VBWorm.NTH (lihat gambar 6) :

Gambar 6, Norman Virus Control mendeteksi Bandot sebagai virus Worm W32/VBWorm.NTH


File yang akan dibuat

File induk VBWorm.NTH sebenarnya mudah untuk dikenali yakni akan menggunakan icon Visual Basic, pada saat virus tersebut dijalankan maka akan muncul program Windows Media Player. Hal ini dimaksudkan untuk mengelabui user sehingga user tidak menyadari VBWorm.NTH telah aktif yang kemudian akan membuat beberapa file induk yang akan dijalankan setiap kali komputer aktif (dihidupkan). Berikut beberapa file yang akan dibuat oleh VBWorm.NTH adalah sebagai berikut :

  • C:\BACA!!!.txt

  • C:\Windows\temp\Video~1.mpg.exe

  • C:\Windows\BandotBrobot.exe

  • C:\Windows\system32\Exblorer.exe

  • C:\Windows\inf\84nd0t8r080t (hidden)

    • csrsc.exe

    • lsasc.exe

    • scvhost.exe

    • smsc.exe

  • C:\Windows\system32\drivers\Ble'e.exe

  • C:\WIndows\system32\oobe\blaut.exe

  • C:\Windows\system32\cmd.pif

  • C:\Windows\system32\regedit.pif

Jika diperhatikan terdapat satu file TXT dengan nama BACA!!!.txt, jika file tersebut dibuka maka berisi text seperti terlihat pada gambar 7 dibawah ini :

 

Gambar 7, Isi file BACA!!!.txt


Registry Windows

Untuk memastikan agar dirinya dapat aktif setiap kali komputer dihidupkan, ia akan membuat beberapa string pada registry berikut:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

- BandotOye = C:\WINDOWS\BandotBrobot.exe

- WindowsLogon = C:\WINDOWS\Inf\84nd0t8r080t\scvhost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- LocalServices = C:\WINDOWS\Inf\84nd0t8r080t\lsasc.exe

- WinExblorerXX = C:\WINDOWS\system32\Exblorer.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

- Shell = explorer.exe "C:\WINDOWS\system32\Oobe\Blaut.exe"

- userinit =

C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\Drivers\Ble'e.exe


Aktif pada mode “safe mode” dan “safe mode command prompt”

VBWorm.NTH juga akan tetap aktif walaupun komputer booting pada mode “safe mode” atau “safe mode with comand prompt”. Agar dirinya dapat aktif pada mode tersebut, ia akan membuat beberapa string pada registry berikut:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

- Shell = explorer.exe "C:\WINDOWS\system32\Oobe\Blaut.exe"

- userinit =

C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\Drivers\Ble'e.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

- AlternateShell = C:\WINDOWS\system32\Oobe\Blaut.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

- AlternateShell = C:\WINDOWS\system32\Oobe\Blaut.exe

 

Shortcut “Bandot” untuk Logoff komputer

Coba anda klik kanan pada sembarang Folder atau Drive, apa yang anda temukan ? Ternyata akan muncul satu shortcut baru dengan nama Bandot. Jika user klik shortcut tersebut maka komputer akan Logoff (lihat gambar 8).


Untuk membuat shortcut tersebut, ia akan membuat string berikut:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\Bandot\command

- default = logoff

 

Gambar 8, VBWorm.NTH menambahkan shortcut Bandot


Blok Fungsi Windows

Untuk melancarkan askinya, ia akan mencoba untuk blok beberapa fungsi Windows seperti :

  • Regedit

  • CMD

  • Folder Option

Kusus untuk blok program REGEDIT dan CMD, Vbworm.NTH akan mengalihkan ke file virus yang sudah dibuat dengan nama REGEDIT.PIF jika menjalankan REGEDIT dan CMD.PIF jika menjalanakn CMD yang secara otomatis akan mengaktifkan dirinya serta memanggil program Windows Media Player, hal ini dimaksudkan agar user tidak mencurigai bahwa sebenarnya virus ini telah aktif kembali. (lihat gambar 9)


Gambar 9, Windows Media Player aktif ketika menjalankan Regedit dan CMD


VBWorm.NTH sebenarnya tidak sampai disable atau menghilangkan menu Folder Option tetapi akan set agar user tidak dapat menampilkan file yang tersembunyi dan tidak dapat menampilkan ekstensi file. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

- Hidden = 0

- HideFileExt = 1

- ShowSuperHidden = 0

 

Blok virus Lokal (Kangen.A dan Riyani_Jangkaru (Tabaru)

VBWorm.NTH juga akan berusaha untuk mematikan proses virus lokal dan kali ini virus lokal yang menjadi targetnya adalah virus W32/Pesin.A dan Tabaru (Riyani_Jangkaru) dengan menjalankan perintah:

- taskkill /f /im xpshare.exe

- taskkill /f /im riyani_jangkaru.exe

- taskkill /f /im systray.exe


Pesan sang VM

Seperti yang sudah dijelaskan di atas bahwa pada tanggal-tanggal tertentu VBWorm.NTH akan menampilkan pesan pada tray menu yakni :

  • 14 Februari, Hari Valentine (lihat gambar 1)

  • 25 Desember, Natal (lihat gambar 10)

Gambar 10

  • 1 Januari, Tahun baru (lihat gambar 11)

Gambar 11

  • 24 April ulang tahun si Bandot (gambar 12)


Gambar 12, Bandot narsis

  • 17 Agustus Hari Kemerdekaan Indonesia (gambar 13)


Gambar 13, Bandot sok ngajar sejarah

Diluar tanggal tersebut, virus ini akan memunculkan pesan bahwa terdapat Hardware yang baru telah terinstal dan siap digunakan (Your new hardware is installed and ready to use), lihat gambar 14


Gambar 14


Media penyebaran

Sama seperti virus lokal lainnya, untuk menyebarkan dirinya VBWorm.NTH akan menggunakan Flash Disk dengan mengkopikan dirinya dengan nama Kupu malam.exe atau kupu-k~1.exe. File ini mempunyai ukuran 88 KB dengan icon Visual Basic.

 

Bagaimana cara membersihkan VBWorm.NTH ?

  1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan

  2. Disable “System Restore” selama proses bembersihan (jika menggunakan Windows ME/XP/Vista)

  3. Matikan proses virus yang aktif dimemori. Untuk mematikan proses virus tersebut Anda dapat menggunakan tools “Currprocess”.

Silahkan download tools Currprocess di alamat berikut:

http://www.nirsoft.net/utils/cprocess.zip

    Kemudian matikan proses virus yang mempunyai icon Visual Basic dengan nama file:

    • csrsc.exe

    • lsasc.exe

    • scvhost.exe

    • smsc.exe (lihat gambar 15)

Gambar 15, Mematikan proses virus

  1. Hapus registry yang dibuat oleh virus. Untuk mempercepat proses penghapusan salin script dibawah ini pada program "notepad" kemudian simpan dengan nama REPAIR.INF setelah itu jalankan file tersebut dengan cara

    1. Klik kanan REPAIR.INF

    2. Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oye

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, hidden

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, BandotOye

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, WindowsLogon

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, LocalServices

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, WinExblorerXX

HKLM, SOFTWARE\Classes\Folder\shell\Bandot

  1. Hapus file induk virus VBWorm.NTH. Sebelum menghapus file induk tersebut sebaiknya tampilkan file yang tersembunyi karena ada beberapa file induk virus yang disembunyikan.

Untuk menampilkan file yang tersebunyi, lakukan langkah dibawah ini:

    • Buka WIndows Explorer

    • Klik menu "Tools"

    • Klik "Folder Option"

    • Kli tabulasi "View"

    • Pada kolom "Advanced settings"

      • Pilih opsi "Hidden files and folders"

      • Hilangkan centang pada “Hide extensions for known file types”

      • Hiangkan centang pada “Hide protected operating system files (Recommended)”

  • Klik “OK”

Kemudian hapus file berikut:

  • C:\BACA!!!.txt

  • C:\Windows\temp\Video~1.mpg.exe

  • C:\Windows\BandotBrobot.exe

  • C:\Windows\system32\Exblorer.exe

  • C:\Windows\inf\84nd0t8r080t (hidden)

  • csrsc.exe

  • lsasc.exe

  • scvhost.exe

  • smsc.exe

  • C:\Windows\system32\drivers\Ble'e.exe

  • C:\WIndows\system32\oobe\blaut.exe

  • C:\Windows\system32\cmd.pif

  • C:\Windows\system32\regedit.pif

  1. Untuk pembersihan optimal dan mencegah infeksi ulang, silahkan scan dengan Norman Virus Control yang sudah dapat mendeteksi virus ini dengan baik.

Salam,

Aj Tau


info@vaksin.com


PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 345 6850

Fx : 021 345 6851

Greatest Love of All Midi