W32/Fujack.Q           1 April 2008

Ayat Ayat Virus baru dari Viking 

 

Kalau orang tua dulu waktu cari mantu menggunakan pedoman B3 (Bibit, Bebet dan Bobot) dimana oleh beberapa orang ditambahkan menjadi B5 (B3 + Baby Benz dan BMW). Maka di dalam dunia pervirusan, rupanya bibit memegang peranan penting. Hal ini terbukti dari satu virus baru mancanegara yang berasal dari Cina. Virus ini canggih karena disinyalir pembuatnya adalah pembuat virus Viking yang akan membuat stress administrator jaringan. Jika anda membaca artikel pada http://vaksin.com/2008/0208/malware0108/Malware0108.html, dimana virus mancanegara seperti Viking, mendominasi dan paling banyak beredar di Indonesia tahun 2007. Maka kali ini kita akan membahas generasi selanjutnya dari si pembuat virus Viking, kali ini dengan nama Fujack.

 

Virus dan worm yang berasal dari negeri China ini, hampir memiliki kesamaan dengan Viking. Dengan kemampuan menginfeksi file eksekusi, serta menyebar dengan cepat melalui jaringan, dapat dipastikan sangat merepotkan bagi pengguna yang menggunakan jaringan sebagai basis pertukaran file (karena ia pun dapat menembus password share default / standar dan melakukan bruteforce jika tidak berhasil menembus password standar tersebut). Selain itu, Fujack dapat juga menyebar melalui pertukaran USB removable drive.

 

Sejak muncul sekitar awal tahun 2007 sampai saat ini, sudah puluhan varian yang sudah menyebar ke seluruh penjuru dunia. Dan varian yang terbaru, oleh Norman Virus Control teridentifikasi sebagai W32/Fujack.Q. Sama seperti Viking yang memiliki kemampuan mengupgate dirinya ke internet dan sangat sulit di deteksi oleh antivirus, Fujack juga sulit di deteksi oleh antivirus. Norman virus Control mendeteksi sebagai W32/Fujack.Q (lihat gambar 1)

Gambar 1, Norman Virus Control W32/Fujack.Q

 

Ciri ciri file virus

Ciri ciri dari file virus Fujack.Q, diantaranya :

  • Menggunakan icon “Search”

  • Memiliki ukuran 10.960 kb

  • Type file “Application”

  • Berekstensi .exe (lihat gambar 2)

Gambar 2, Contoh file virus W32/Fujack.Q


Gejala / efek virus

Jika anda terinfeksi oleh virus Fujack.Q, maka akan menimbulkan gejala/efek sebagai berikut,

  • Menginjeksikan diri ke dalam file eksekusi / program aplikasi (lihat gambar 3)

Gambar 3, Ukuran file eksekusi berubah menjadi lebih besar (+ 10.960)

  • Disetiap file sharing akan muncul file virus dengan nama “GameSetup.exe” (lihat Gambar 2.)

  • Merubah icon aplikasi menjadi hidden.

  • Tidak dapat menampilkan file yang sudah di hidden. (walaupun folder options sudah di rubah ber-kali kali, lihat gambar 4).


Gambar 4, Show Hidden tidak bisa berubah


File file virus

Berbeda dengan beberapa virus lain yang menggunakan bahasa pemrograman Visual Basic / bahasa C++, virus Fujack.Q dibuat dengan menggunakan Borland Delphi. Beberapa file virus yang akan muncul jika dijalankan, yaitu :

  • C:\WINDOWS\system32\drivers\spoclsv.exe (berukuran 10.960 kb)

  • GameSetup.exe , (disetiap folder lokal yg di sharing, serta folder dalam jaringan yang full-sharing)

  • Desktop_.ini , (disetiap folder lokal yg sharing, serta folder dalam jaringan yang full-sharing) , serta pada setiap folder yang terdapat file/program aplikasi.

  • Setup.exe , (pada media USB Flash/removable drive)

  • Autorun.inf , (pada media USB Flash/removable drive)

  • Serta akan mencoba menginfeksi seluruh file eksekusi program aplikasi yang terdapat pada komputer

Registri Windows

Agar dapat aktif saat komputer dijalankan, ia akan membuat string registri sebagai berikut :

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  • svcshare = C:\WINDOWS\system32\drivers\spoclsv.exe

Untuk mencegah perubahan file yang di-hidden pada folder options, pada string berikut :


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

  • CheckedValue = 0

Untuk mencegah dari proteksi antivirus, Fujack.Q menghapus beberapa entry dari antivirus, seperti :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • yassistse

  • YLive.exe

  • ShStateEXE

  • McAfeeUpdaterUI

  • KAVPersonal50

  • Kav

  • KvMonXP

  • RavTask

Matikan Services

Selain mengubah dari registri windows, Fujack.Q mematikan beberapa services, diantaranya sebagai berikut :

  • FireSvc

  • MskService

  • ccSetMgr

  • ccProxy

  • navapsvc

  • McTaskManager

  • McShield

  • McAfeeFramework

  • McTaskManager

  • McShield

  • McAfeeFramework

  • kavsvc

  • kavsvc

  • RsRavMon

  • RsCCenter

  • RsRavMon

  • RsCCenter

  • sharedaccess

  • Schedule

Menyebar menggunakan Autorun dari Flashdisk

Virus Fujack.Q , dapat menyebar dengan cepat melalui jaringan serta USB Flash / removable drive.

 

Pada USB Flash/removable drive, ia akan membuat 2 file, yaitu :

  • Autorun.inf, yang berisi sebagai berikut :

[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shell\Auto\command=setup.exe

  • Setup.exe, file virus yang berukuran 10.960 kb

Pada jaringan, ia akan membuat 2 file (pada folder lokal yg di sharing, serta masuk pada folder / drive dalam jaringan yang full-sharing), yaitu :

  • Desktop_ini, yang berisi tanggal virus masuk ke folder sharing tertentu. Contoh : 2008-3-10

  • GameSetup.exe, file virus yang berukuran 10.960 kb

Selain itu, Fujack.Q juga mencoba mengkopikan diri pada folder / drive yang berpassword default / standar dan mencoba bruteforce simple seperti :

  • Username : Root, admin, Guest, Administrator

  • Password :

mypass, love, Login, login, owner, home, qwer, asdf, temp, test, fuck, fuckyou, root, administrator, patrick, alpha, enable, godblessyou, ihavenopass, super, computer, server, sybase, abcd, database, passwd, pass, admin, letmein, baseball, qwerty, fish, shadow, mustang, pussy, golf, harley, password, admin


Cara pembersihan :

  1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan. Matikan “System Restore” selama proses pembersihan virus.

  2. Gunakan “Task Manager” untuk mematikan proses virus yang aktif. (kemungkinan besar dengan nama “spoclsv.exe”, lihat gambar 5)

Gambar 5, Gunakan Task Manager untuk mematikan proses virus (End Process)

Untuk membuka task manager, dapat dilakukan dengan menekan secara bersama Ctr+Alt+Del, atau dengan klik kanan pada taskbar windows.

  1. Hapus file utama dari virus Fujack.Q, yang terdapat pada C:\WINDOWS\system32\drivers, dengan nama spoclsv.exe, yang berukuran 10.960 kb.

Gunakan search/find, untuk mencari file virus duplikat yang lain, terutama pada media sharing (dengan nama GameSetup.exe) atau USB Flash/removable drive (dengan nama Setup.exe), keduanya juga berukuran 10.960 kb, berextension exe & ber type application. 

  1. Hapus string registry yang sudah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oye

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue,0x00000001,1

 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, svcshare

 

Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik kanan, kemudian pilih install.

  1. Untuk pembersihan secara optimal dan mencegah infeksi ulang virus W32/Fujack.Q, gunakan antivirus yang dapat mengenali virus ini dengan baik.

Ad Sap

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 345 6850

Fx : 021 345 6851