W32/Dewi.161081.A       20 Februari 2008

Sang Perawan injeksi file JPEG

 

Dinda Dewi Sang Perawan

Untuk semua orang yang tak pernah menghargai aku

(Hati-hati dengan data gambar Anda )

 

Rupanya pembuat virus tidak mau kalah dengan Padi yang mempopulerkan Sang Penghibur. Selama bulan Januari – Februari 2008 komunitas komputer Indonesia dipusingkan oleh satu virus yang lebih dikenal dengan nama Sang Perawan. Virus ini sebenarnya merupakan virus lama yang pernah muncul pertengahan tahun 2007,tetapi pada awal tahun 2008 ini muncul beberapa variannya dan celakanya mayoritas antivirus mancanegara maupun antivirus lokal baik tidak mampu mendeteksi dengan baik sehingga Sang Perawan leluasa wara wiri sampai hari ini.

Satu hal yang memusingkan dari Sang Perawan adalah aksinya “mengerjai” file JPG dan file .exe komputer yang di infeksinya sehingga tidak bisa dibuka, kecuali di edit kembali satu per satu menggunakan Hex Editor.

Kabar baiknya, kembali Yayat dari Chanal Yogya beraksi membuatkan toolsnya untuk merepair file ini. Satu bukti bahwa program apapun di tangan orang yang baik akan dapat membantu dan menolong banyak orang http://chanal.biz/blog/?p=58 bagi anda yang terbantu dengan tools ini, jangan lupa untuk memberikan komentar di blog tersebut :).

 

Kita tentu tahu dengan kasus virus Zulanic (Delf.ZFA) yang akan enkrip file menjadi BMP sehingga file tersebut tidak dapat dibuka. Sayangnya AV yang ada saat ini masih belum bisa dekrip ulang file tersebut. Mujurnya banyak programer lokal yang sudah membuat tools yang dapat decript ulang file yang sudah diubah tersebut. BMP2DOC, Av-EL_v1.0_Setup atau TOOLS recovery merupakan tools-tools yang dapat digunakan untuk decript kembali file yang sudah diubah oleh virus ZulAnic (Delf.ZFA).

 

Klik link berikut untuk lebih detail mengenai virs Zulanic (Delf.ZFA) http://vaksin.com/2007/0707/zulanick.htm


Setelah ZulAnic pergi, kini giliran Dinda Dewi / Sang Perawan yang beraksi dengan kemampuan menginjeksi file. Memang virus ini berbeda dengan virus ZulAnic (Delf.ZFA) karena Sang Perawan ini tidak sampai enkrip file yang menjadi targetnya tetapi hanya menambahkan kode virus tersebut kedalam body virus, kode ini akan disisipkan di awal header file tersebut sehingga masih bisa di perbaiki. Sayangnya untuk saat ini masih belum ditemukan tools yang dapat memperbaiki sekaligus semua file yang di injeksi tersebut karena rata-rata antivirus yang di uji hanya dapat mengkarantina atau menghapus file tersebut. (lihat gambar 1)

 


Gambar 1, Contoh file yang sudah di injeksi oleh Sang Perawan / Dewi161081A atau VBTroj.GZH


Bagaimana caranya untuk mengembalikan file JPG yang sudah di injeksi tersebut?, silahkan baca point pembersihan pada artikel ini.


Sampai saat virus Dinda Dewi sudah menelurkan 2 varian. Untuk varian pertama Norman sudah mengenali virus ini sebagai W32/Dewi.161081A sedangkan untuk varian kedua dikenali sebagai VBTroj.GZH. (lihat gambar 2)


Gambar 2, Norman Virus Control mendeteksi Sang Perawan sebagai VB.Troj.GZH dan W32/Dewi


Kedua virus ini dibuat dengan menggunakan Visual Basic, untuk varian pertama akan mempunyai ukuran sebesar 301 KB sedangkan untuk varian kedua mempunyai ukuran 96 KB. Untuk mengelabui user kedua virus ini akan menggunakan icon gambar (JPG) seolah-olah merupakan file image, tetapi jika anda tampilkan file secara “Detail” (View – Detail) maka akan terlihat bahwa file ini mempunyai type sebagai “Application” bukan JPEG Image. (lihat gambar 3)


 

 

 

Gambar 3, File induk VBTroj.GZH dan W32/Dewi.161081.A


Pada saat virus ini aktif kedua varian ini akan membuat beberapa file yang akan dijalankan setiap kali komputer dinyalakan. Berikut beberapa file yang akan dibuat :

  • C:\Sang Perawan.exe (file ini akan dibuat disetiap ROOT Drive termasuk di Flash Disk)

  • C:\Documents and Settings\%User%\Start Menu\Programs\Startup

    • Startup.exe

  • C:\Documents and Settings\All Users\StartMenu\Programs\Startup

    • Startup.exe

  • C:\Windows\OLD8.tmp

  • C\WINDOWS\LastGood\regedit.exe

  • C:\WINDOWS\LastGood\pchealth\helpctr\binaries\msconfig.exe

  • C:\WINDOWS\LastGood\system32\taskmgr.exe

  • C:\WINDOWS\PCHealth\HelpCtr\Binaries\OLD5.tmp

  • C:\WINDOWS\system

    • spoolsv.exe

    • svchost.exe

Blok Fungsi Windows

Tidak seperti kebanyakan virus yang menyebar, W32/Dewi.161081.A tidak akan melakukan blok terhadap fungsi Windows sehingga lebih mudah untuk menghentikan proses virus tersebut.

W32/Dewi.161081.A juga tidak membuat string pada registri Windows. Untuk memastikan agar dirinya dapat aktif ia akan membuat file duplikat pada “Startup” folder.

  • C:\Documents and Settings\%User%\Start Menu\Programs\Startup

    • Startup.exe

  • C:\Documents and Settings\All Users\StartMenu\Programs\Startup

    • Startup.exe

Berbeda dengan varian pertama, untuk varian kedua tetap akan melakukan blok terhadap beberapa fungsi Windows seperti :

  • Task Manager

  • Regedit

  • Folder Option

  • Run

  • Find

Registri Windows

Untuk blok fungsi Windows di atas, VBTroj.GZH akan membuat string pada registri berikut :

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- NoFind

- NoFolderOption

- NoRun

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced

- Hidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableRegistryTools

- DisableTaskMgr

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

- NoFind

- NoFolderOptions

- NoRun

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

- DisableRegistryTools

- DisableTaskmgr

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group PolicyObjects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableRegistryTools

- DisableTaskmgr

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\GroupPolicy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableRegistryTools

- DisableTaskmgr

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

- ShowSuperHidden = 0

- SuperHidden = 1

- HideFileExt = 1

- Hidden = 2


Untuk memastikan agar dirinya aktif setiap kali komputer dijalankan selain dengan membuat file duplikat di folder “Startup”, VBTroj.GZH juga akan membuat beberapa string pada registri berikut :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • spoolsv.exe =C:\WINDOWS\system\spoolsv.exe

    • svchost.exe = C:\WINDOWS\system\svchost.exe

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • spoolsv.exe = C:\WINDOWS\system\spoolsv.exe

    • svchost.exe = C:\WINDOWS\system\svchost.exe

Injeksi file gambar (JPG)

Sasaran utama virus ini adalah akan mencoba untuk menginjeksi file gambar, tetapi tidak semua file gambar akan di serang. File yang menjadi target untuk saat ini adalah file yang gambar yang mempunyai format JPG (JPEG Image) saja dengan menambahkan kode virus ke dalam body file yang akan disisipkan di awal header file tersebut. Ukuran file yang sudah di injeksi tersebut akan bertambah sebesar 301 KB atau 96 KB dari ukuran semula tergantung dari varian yang menginfeksi komputer.

Selain menginjeksi file JPG tersebut, kedua varian virus ini juga akan membuat file diuplikat disetiap folder dan sub folder. Proses pembuatan file duplikat dan injeksi file JPG inilah yang menyebabkan komputer yang sudah terinfeksi menjadi berat karena alokasi memori digunakan oleh virus ini.

File duplikat yang dibuat tersebut akan mempunyai ciri-ciri:

  • Menggunakan icon JPEG Image (JPG)

  • Ukuran file 301 KB atau 96 KB (tergantung varian virus)

  • Type File “Application”

  • Mempunyai nama file yang sama dengan folder / sub folder tempat file duplikat tersebut dibuat. (lihat gambar 4)


Gambar 4, File duplikat yang dibuat oleh W32/Dewi161081.A

Salah satu cara yang dapat anda lakukan untuk memastikan apakah file JPG anda sudah di injeksi adalah dengan menampilkan file menjadi “Thumbnail” atau dengan membuka file JPG tersebut.

Untuk menampilkan file menjadi “Thumbnail” lakukan langkah dibawah ini (lihat gambar 5 dan 6) :

  • Buka Windows Explorer

  • Klik menu “File”

  • Klik “Thumbnails”



Gambar 5, Menampilkan file secara “Thumbnail” (file sudah di injeksi virus)



Gambar 6, Menampilkan file secara “Thumbnail” (file sebelum di injeksi virus)

 

Cara membersihkan virus VBTroj.GZH dan W32/Dewi.161081.A

  1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan

  2. Disable “System Restore” selama proses pembersihan.

  3. Matikan proses virus yang aktif di memori. Untuk mematikan proses virus ini anda dapat menggunakan tools “Process Explorer”, silahkan download di alamat berikut :

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Kemudian matikan proses virus yang mempunyai nama file berikut dengan icon JPEG Image (JPG), lihat gambar 7.

  • Startup.exe

  • Svchost.exe

  • Spoolsv.exe


Gambar 7, Mematikan proses virus Sang Perawan di memori

  1. Hapus registri yang sudah dibuat oleh virus. Untuk mempermudah proses penghapusan silahkan copy script berikut pada Notepad kemudian simpan dengan nama REPAIR.INF. Jalankan file tersebut dengan cara:

    1. Klik kanan REPAIR.INF

    2. Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

 

[del]

 

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, spoolsv.exe

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, svchost.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, spoolsv.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, svchost.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp

HKCU, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKLM, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Network, NOPrintSharing

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, Hidden

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp

  1. Hapus file induk dan file duplikat yang dibuat oleh VBTroj.GYH atau dengan ciri-ciri:

  • Menggunakan icon JPEG Image (JPG)

  • Ukuran file 301 KB atau 96 (tergantung varian)

  • Type File “Application”

Untuk mempermudah proses pencarian file tersebut, sebaiknya gunakan fungsi “Search” .

  • Klik “Start” menu

  • Klik “Search”

  • Klik “for files or folders”

  • Pada layar “Search Results” klik “All files and Folders”

  • Pada kolom “All or part of the file nameisi dengan *.EXE

  • Pada kolom Look in :, pastikan sudah di set ke fix drive hard Disk Anda

  • Klik What Size is it?”

    • Pilih opsi “Specify size (in KB)

    • Isi At Most

    • Isi 302

  • KlikSearch”

  • Jika ditemukan hapus file duplikat dan file induk yang mempunyai ciri-ciri di atas. (lihat gambar 8)


Gambar 8, Mencari file duplikat virus


Catatan:

Sesuaikan ukuran yang ada pada menu “What size is it” dengan ukuran file virus yang menginfeksi komputer Anda.

  1. Untuk mengembalikan file JPG yang sudah di injeksi oleh virus Anda dapat menggunakan tools Hex Editor yang berfungsi untuk menghapus script yang sudah dibuat oleh virus tersebut. Langkah ini memang akan memakan waktu yang cukup lama karena Anda harus menghapus script tersebut perfile karena saat ini masih belum ada tools yang dapat merepair file yang sudah di injeksi tersebut secara keseluruhan.

Silahkan download tools Hex Editor pada link dibawah ini :

http://www.topshareware.com/Free-Hex-Editor-transfer-38240.htm

 

Setelah program tersebut berhasil di install kemudian jalankan program tersebut dan lakukan langkah berikut : (lihat gambar 9 - 11)

  • Klik menu “File”

  • Klik “Open”

  • Kemudian pilih salah satu file JPG yang akan di perbaiki


Gambar 9, Aplikasi Hex Editor

  • Blok Script yang dimulai dari baris 00000000 – 00027530


Gambar 10, Blok script yang akan di hapus

  • Setelah script tersebut diblok, klik kanan dan pilih “CUT”

  • Setelah menghapus script tersebut pastikan pada baris 00000000 dimulai dengan huruf FF (ÿ).


Gambar 11, File JPG yang sudah di perbaiki

  1. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan Norman Virus Control yang sudah dapat mendeteksi  virus ini dengan baik.

 

Aj Tau

 

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Fax : 021 345 6851