W32/VBDoor.HYI / CETiX                8 Mei 2008

Hello ! My Name is CETiX, Nice to Meet You ...

 

Virus Dasamuka dari Bali

 

Bali, merupakan salah satu tujuan wisata yang tak pernah bosan untuk dikunjungi. Selain karena panorama alamnya yang indah, Bali juga terkenal dengan keunikan budaya dan adat istiadat yang tidak dapat dijumpai di daerah wisata lainya.

Kali ini, kita akan membahas tentang salah satu virus komputer yang berasal dari Bali yang lumayan berbahaya, yaitu CETiX. Sejak tahun lalu, virus ini sudah memunculkan berbagai macam varian virus. Dan varian yang terbaru, yaitu dengan nama CETiX oleh Norman Virus Control release 7 teridentifikasi sebagai W32/VBDoor.HYI (lihat gambar 1). Seperti halnya sebuah racun/cetix, virus ini termasuk dalam kategori yang berbahaya, karena memiliki efek yang besar yaitu salah satunya dengan menghapus data/dokumen MS Office.

 

Gambar 1. Norman mendeteksi virus CETiX sebagai W32/VBDoor.HYI

 

Memiliki beberapa muka

Ciri-ciri dari file virus ini, diantaranya sebagai berikut :

  • Memiliki ukuran file sebesar “45 kb”.

  • Mempunyai type file “Application”.

  • Berekstensi file “exe”.

  • Memiliki icon yang berbeda-beda (dalam hal ini terjadi peningkatan dari pendahulunya, yang hanya ber-icon folder).

Jika dilihat dalam tampilan list/detail, maka virus akan ber-icon application. (gambar 2)

Gambar 2. Dalam tampilan detail (maupun list), ber-icon application

Jika dilihat dalam tampilan icon, maka virus akan ber-icon microsoft word. (gambar 3)

Gambar 3. Dalam tampilan icon, CETiX akan tampak seperti dokumen MS Word

Jika dilihat dalam tampilan tiles/thumbnails, maka virus akan ber-icon folder. (gambar 4)

Gambar 4. dalam tampilan tiles (maupun thumbnails), ber-icon folder

 

Gejala terinfeksi CETiX

Jika anda sudah terinfeksi oleh virus CETiX, maka akan menimbulkan gejala / efek sebagai berikut :

  • Melakukan blok beberapa fungsi windows seperti task manager, registry editor serta command prompt.

  • Melakukan blok beberapa program aplikasi yang dikenal virus tsb (seperti WinRAR, MSN Explorer, Total Commander, dll).

  • Tidak bisa melakukan copy file (menu paste akan di-disable).

  • Tidak bisa melakukan copy isi file ke dalam file yang lain, setiap melakukan paste isi file kedalam isi file yang lain akan muncul tulisan “Hello ! My Name is CETiX, nice to meet you...

  • Membuat duplikat file virus pada setiap file yang dieksekusi.

  • Membuat duplikat file virus pada setiap folder / drive yang diakses.

  • Membuat duplikat file virus pada setiap folder yang ada pada removable drive / usb.

  • Menghapus file MS office yang berekstensi *.doc, *.xls, *.ppt, *.mdb, *.pdf, *.xml, dan menggantinya dengan file duplikat virus pada setiap folder / drive yang diakses.

  • Menghapus file multimedia yang berekstensi *.mp3, *.3gp, *.dat, *.mov, *.wav, dan menggantinya dengan file duplikat virus pada setiap folder / drive yang diakses.

  • Menghapus file compress yang berekstensi *.zip, *.rar, dan menggantinya dengan file duplikat virus pada setiap folder / drive yang diakses.

  • Menghapus file gambar yang berekstensi *.jpg, *.bmp, *.gif dan menggantinya dengan file duplikat virus pada setiap folder / drive yang diakses.

  • Menghapus file eksekusi yang berekstensi *.bat, *.com, *.scr, dan menggantinya dengan file duplikat virus pada setiap folder / drive yang diakses.

  • Menghapus program aplikasi security yang dikenal oleh virus tsb (seperti program antivirus, program pengganti task manager), dan menggantinya dengan file duplikat virus pada setiap folder / drive yang diakses.

  • Memunculkan pesan jika ada program aplikasi security yang berusaha mematikan virus tsb. (lihat gambar 5)

Gambar 5. pesan virus jika ada program yang berusaha mematikannya

Melakukan restart komputer jika menjalankan program aplikasi security yang berusaha mematikan virus tsb (contohnya aplikasi process explorer).

  • Membatalkan proses instalasi program yang kita lakukan (seandainya kita ingin melakukan proses instalasi suatu program).

  • Membuat schedule task dengan subject ctxwarrior, pada saat kita menggunakan MS Outlook.

  • Membuat file pesan pada root drive C:\, yaitu “infoBali.txt”. (lihat gambar 6)

Gambar 6. pesan pada file “infoBali.txt

  • Membuat file pesan “aboutCetix.html”, pada desktop dan root drive C:\. (gambar 7)

Gambar 7. pesan “aboutCetix.html

File file virus

Virus CETiX dibuat dengan menggunakan bahasa pemrograman visual basic. Jika virus berhasil menginfeksi, maka ia akan membuat segambreng file virus di :

  • C:\autorun.inf (pada semua root drive)

  • C:\%User%’s Files.exe (pada semua root drive)

  • C:\Untitled.exe (pada semua root drive)

  • C:\xz.exe (pada semua root drive)

  • C:\Documents and Settings\%User%\Start Menu\Programs\Startup\vserve.exe

  • C:\WINDOWS\cetix.exe

  • C:\WINDOWS\racun.exe

  • C:\WINDOWS\system32\poison.exe

  • C:\WINDOWS\system32\toxic.exe

  • Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb.

Registry windows

Agar dapat aktif saat komputer dijalankan, virus akan membuat string registry sebagai berikut :

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Cetix = C:\WINDOWS\cetix.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Poison = C:\WINDOWS\system32\poison.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = Explorer.exe “C:\WINDOWS\system32\poison.exe”

Userinit = C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\poison.exe

 

Agar dapat aktif pada mode safe mode, virus akan membuat string registry sebagai berikut :

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

AlternateShell = C:\WINDOWS\cetix.exe

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

AlternateShell = C:\WINDOWS\cetix.exe

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

AlternateShell = C:\WINDOWS\cetix.exe

Agar dapat memunculkan nama virus disamping jam komputer, maka akan dibuat string sebagai berikut :

  • HKEY_CURRENT_USER\Control Panel\International. (gambar 8)

s1159 = AM | CETiX

s2359 = PM | CETiX

Gambar 8. Ciri Khas CETiX

Selain itu, virus membuat string registry untuk merubah owner pada system properties (gambar 9), yaitu :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

RegisteredOrganization = CETiX BALi

RegisteredOwner = xz

Gambar 9. merubah owner pada system properties

Walaupun Folder Options tidak di blok, virus mencegah untuk menampilkan file yang tersembunyi. Untuk itu, ia memanfaatkan Super Hidden dengan merubah string registry sebagai berikut :

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

ShowSuperHidden = 0

SuperHidden = 0

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

UncheckedValue = 0

Agar dapat aktif setiap saat, virus mencoba mengalihkan beberapa file eksekusi dengan menjalankan file virus, untuk itu ia membuat string sebagai berikut :

  • HKEY_CLASSES_ROOT\batfile\shell\open\command

Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

  • HKEY_CLASSES_ROOT\comfile\shell\open\command

Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

  • HKEY_CLASSES_ROOT\exefile\shell\open\command

Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

  • HKEY_CLASSES_ROOT\lnkfile\shell\open\command

Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

  • HKEY_CLASSES_ROOT\piffile\shell\open\command

Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

Metode Penyebaran

Dengan memanfaatkan autorun untuk menjadikan dirinya memiliki kemampuan worm, virus ini menggunakan removable drive / usb sebagai sarana penyebaran dirinya. Beberapa file yang akan di buat virus yaitu :

  • autorun.inf

  • %User%’s Files.exe

  • Untitled.exe

  • xz.exe

  • serta membuat file virus dan menggandakan diri pada setiap folder yang ada

Cara pembersihan virus CETiX

  • Sebaiknya lakukan pembersihan pada mode safe mode.

  • Matikan proses virus. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager (dapat anda download pada alamat berikut)

http://majorgeeks.com/Itty_Bitty_Process_Manager_d4690.html

Lakukan kill process, pada beberapa file virus yang aktif yaitu :

  • C:\Documents and Settings\%User%\Start Menu\Programs\Startup\vserve.exe

  • C:\WINDOWS\cetix.exe

  • C:\WINDOWS\system32\poison.exe (lihat gambar 10)

Gambar 10. Kill process virus yang aktif

  • Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCR, batfile\shell\open\command,,,"""%1"" %*"

HKCR, comfile\shell\open\command,,,"""%1"" %*"

HKCR, exefile\shell\open\command,,,"""%1"" %*"

HKCR, piffile\shell\open\command,,,"""%1"" %*"

HKCR, lnkfile\shell\open\command,,,"""%1"" %*"

HKCR, scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, ProductName,0, "Windows"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, userinit,0, "C:\WINDOWS\system32\userinit.exe,"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

HKCU, Control Panel\International, s1159,0, "AM"

HKCU, Control Panel\International, s2359,0, "PM"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run,cetix

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,poison

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableSR

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig

 

Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

 

Jalankan repair.inf dengan klik kanan, kemudian pilih install.

 

Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

 

Hapus file virus yang mempunyai ciri-ciri sebagai berikut :

  • Icon application/folder/word

  • Ext. exe

  • Ukuran 45 kb

Catatan

  • Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.

  • Untuk mempermudah proses pencarian sebaiknya gunakan "Search Windows" dengan filter file *.exe yang mempunyai ukuran 45 KB. (gambar 11)

Gambar 11. Hapus file virus melalui fitur search windows

  • Untuk pembersihan yang optimal dan mencegah infeksi ulang, kami sarankan anda menggunakan Norman Virus control yang terupdate dan dapat mendeteksi virus ini dengan baik.

Catatan :

File yang sudah dihapus tidak dapat dikembalikan kecuali harus di recovery dengan prosentase keberhasilan yang tidak terlalu besar.

 

Salam,

Ad Sap

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 345 6850

Fx : 021 345 6851