VBWorm.Gen16 (Hokage)          9 April 2008

Awas !!! Serangan Ninja dari Sampit

 

Gambar 1, Naruto Cartoon

Jika Anda penggemar film kartun (seperti kami :P) pasti anda kenal dengan sosok Naruto, salah satu ninja dari desa Konoha yang mempunyai ambisi untuk menjadi seorang Hokage. Hokage disini merupakan pemimpin tertinggi, kalau di Indonesia seperti pak Lurah (bukan Lurahnya Sukribo yang sering di kerjain :P). Untuk menjadi seorang Hokage tidaklah mudah karena harus memenuhi beberapa syarat diantaranya adalah mempunyai kemampuan untuk memimpin dan mempunyai kekuatan yang melebihi orang-orang yang ada di desa tersebut.


<<<OOT>>>

Untuk dapat menikmati artikel ini dengan baik, kami akan memberikan sedikit pembekalan kepada anda, tetapi janji .... jangan ada yang tidur yaaa.... :P

Hatake Kakashi dikenal luas sebagai ninja peniru. Kemampuan ini didapatnya dari sharingan yang ada di mata kirinya. Mata ini bisa membaca gerakan sampai tiga detik sebelum kejadian. Bisa juga sebagai media Doujutsu atau jutsu menggunakan mata. Kabarnya kakashi meniru 1000 jurus musuh dengan kemampuan ini. Dia juga memiliki kemampuan untuk manipulasi chakra, sebagai contohnya, dengan mengumpulkan chakra di tangannya, dia mampu membuat tangannya dialiri chakra yang berbentuk seperti petir untuk menyerang musuhnya. Teknik ini biasa disebut Chidori atau Raikiri. Chidori berarti "kicauan 1000 burung" karena bunyi-bunyian yang ditimbulkan oleh jutsu ini mirip seperti kicauan burung (sering dituliskan dengan kata "ckit.. ckit.."). Sedangkan raikiri berarti pemotong petir, karena konon Kakashi mampu memotong petir dengan jutsu ini. Belakangan, dia juga berhasil mengaktifkan mangekyou sharingan, yang digunakannya untuk melempar tangan deidara dan ledakan jutsu deidara ke dunia lain.

<<<end of OOT>>>


VBWorm.Gen16 atau lebih dikenal dengan sebutan virus Hokage ini mempunyai ukuran 42 KB dan untuk mengelabui user ia akan mengngunakan icon Winamp walaupun sebenarnya merupakan sebuah file aplikasi (exe). Virus ini dibuat menggunakan bahasa VB dan di kompresi dengan menggunakan UPX dan jika dilihat dari bodi virus ini kemungkinan virus ini berasal dari daerah sampit. Virus ini sebenarnya masih mudah untuk di basmi. Salah satu ciri yang menonjol dari virus ini adalah berubahnya icon Flash Disk menjadi icon Winamp. (lihat gambar 2 dan 3)

Gambar 2, VBWorm.gen16 merubah icon Flash Disk menjadi icon Winamp


Gambar 3 Salah satu file induk VBWorm.gen16

Dengan menggunakan update terakhir, Norman Virus Control sudah dapat mendeteksi virus ini sebagai VBWorm.gen16 (gambar 4)

Gambar 4, Norman mendeteksi Hokage sebagai VBWorm.gen16

 

Setelah virus ini berhasil menginfeksi komputer, ia akan membuat beberapa file yang akan dijalankan pertama kali setiap komputer dinyalakan. File ini akan di sembunyikan sehingga tidak mudah untuk di hapus, berikut beberapa file induk yang akan dibuat oleh VBWorm.gen16:

  • C:\Documents and settings\%user%\My DOcuments\KakashiHatake

    • HOKAGE4.EXE

    • HokageFile.exe

    • KakashiHatake.exe

    • Obito.exe

    • Rin.exe

  • Membuat file “Hokagefile.exe” di setiap folder/subfolder yang di akses.

Sebagai penunjang agar file tersebut dapat di jalankan, ia akan membuat beberapa string pada registri berikut:

  • HKLM\Software\Microsoft\Windows\CurrentVersion\run

    • Hokage4 = C:\Documents and settings\%user%\MY Documents\KakashiHatake\Hokage4.exe

  • HKLM\Software\Microsoft\Windows\CurrentVersion\run

    • Kakashi Hatake = C:\Documents and settings\%user%\MY Documents\KakashiHatake\KakashiHatake.exe

  • HKLM\Software\Microsoft\Windows\CurrentVersion\run

    • Obito Uchiha = C:\DOcuments and settings\%user%\My Documents\KakashiHatake\Obito.exe

  • HKLM\Software\Microsoft\Windows\CurrentVersion\run

    • Rin = C"\Documents and settings\%user%\My Documents\KakashiHatake\Rin.exe

Untuk varian awalnya tidak banyak fungsi Windows yang diblok, tetapi ia akan tetap bermain-main dengan Folder Options yakni dengan tidak mengijinkan user untuk menampilkan file yang tersembunyi. Untuk melakukan hal tersebut ia akan membuat string pada registri berikut : (lihat gambar 5)

  • HKCU\Software\Microsoft\WIndows\CurrenVersion\Explorer\Advanced

    • HIdden = 2

  • HKCU\Software\Microsoft\WIndows\CurrenVersion\Explorer\Advanced

    • HideFileExt = 1

  • HKCU\Software\Microsoft\WIndows\CurrenVersion\Explorer\Advanced

    • ShowSuperHidden = 0

  • HKCU\Software\Microsoft\WIndows\CurrenVersion\Explorer\Advanced

    • superhidden = 1

Gambar 5, VBworm.Gen16 tidak mengijinkan user untuk menampilkan file yang tersebunyi


Gambar 6, MizuBushinNoJutsu

 

MizuBushinNoJutsu

Bushin No Jutsu dalam serial Naruto berarti jurus jurus untuk memperbanyak diri. Lalu apa hubungan nya dengan virus ini ? Ini bukan pembekalan lagi, tetapi beneran ada hubungan. Sekarang coba anda buka sebuah Notepad dari komputer yang terinfeksi Hokage, kemudian tulis dengan sembarang kata setelah itu copy tulisan yang baru anda tulis tadi ke baris berikutknya, coba perhatikan apa yang akan terjadi. Ternyata tulisan yang anda baru copy tidak akan pernah berhasil di lakukan tetapi VBWorm.gen16 akan mengantikannya dengan tulisan MizuBushinNoJutsu.


Menyebar melalui Flash Disk

Untuk menyebarkan dirinya, ia akan menggunakan media “Flash Disk” ataupun “Disket” dengan membuat beberapa file induk dan beberapa file pendukung agar dirinya dapat aktif secara otomatis setiap kali user akses ke Flash Disk tersebut. Berikut beberapa file yang akan dibuat pada media Flash Disk atau Disket:

  • Hokagefile.exe

  • Autorun.inf

  • Desktop.ini

  • Folder.htt

  • Anbu.txt

Jika fitur Auto Play tidak dimatikan, maka secara otomatis virus ini akan aktif setiap kali user akses ke Flash Disk tersebut. Untuk melakukan hal ini VBWorm.gen16 tidak tanggung-tanggung, ia akan membuat 3 file pendukung yakni :

  • Autorun.inf yang berisi skrip untuk menjalankan file Hokagefile.exe (gambar 7)

Gambar 7, Skrip autorun.inf

  • Desktop.ini, berisi script untuk menjalankan file Folder.htt (gambar 8)

Gambar 8, Skrip file “desktop.ini” yang menjalankan “folder.htt”

  • Folder.htt, berisi script untuk menjalankan file Hokagefile.exe (gambar 9)

Gambar 9, “Foldet.htt” pada akhirnya yang akan menjalankan file virus “Hokagefile.exe”

 

Mengganti Icon Flash Disk menjadi icon Winamp

VBWorm.Gen16 juga akan berusaha untuk merubah icon Flash Disk anda menjadi icon Winamp seperti terlihat pada gambar 10 dibawah ini:

Gambar 10, VBWorm.gen16 merubah icon Flash Disk menjadi icon Winamp

 

Sebagai penutup, VBWorm.gen16 ini akan membuat file induknya dengan nama HokageFile.exe disetiap folder / subfolder yang di akses. File ini mempunyai ciri-ciri : (gambar 11)

  • Icon Winamp

  • Ukuran 42 KB

  • Ekstensi file EXE

  • Type file “Application"

Gambar 11, File induk yang akan dibuat di setiap folder / subfolder yang di akses

 

Cara membersihkan VBWorm.Gen16

  1. Matikan “System Restore” selama proses pembersihan (jika menggunakan Windows XP)

  2. Matikan proses virus (gunakan currprocess).

Setelah menjalankan tools “Currprocess”, pilih file semua file yang mempuyai icon winamp (Rin.exe, Obito.exe, KakashiHatake.exe dan Hokage4.exe) seperti yang terlohat pada gambar 12 dibawah ini:

Gambar 12, Mematikan proses virus VBWorm.gen16

  1. Hapus registri yang dibuat oleh VBWorm.gen16. Untuk mempermudah proses penghapusan silahkan salin script dibawah ini pada program Notepad kemudian simpan dengan nama repair.inf. Jalankan file repair..inf dengan cara:

    1. Klik kanan repair.inf

    2. Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Naruto

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Hokage 4

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Kakashi Hatake

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Obito Uchiha

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Rin

  1. Cari dan hapus file yang sudah dibuat oleh virus. Untuk mempercepat proses pencarian penghapusan dapat menggunakan “Search Windows”. Sebelum melakukan pencarian dan penghapusan file virus tampilkan terlebih dahulu file yang tersembunyi agar pencarian lebih maksimal.

Untuk menampilkan file yang tersembunyi lakukan langkah berkut:

    • Buka Windows Explorer

    • Klik menu “Tools”, kemudian klik “Folder Options”

    • Pada layar “Folder Options”, klik tabulasi “View

    • Pada folder “Hidden files and folders”, hilangkan tanda centang pada opsi “Hide extensions for known file types” dan “Hide protected operating system files (recomended) (lihat gambar 13)

Gambar 13, Menampilkan file / folder yang disembunyikan

    • Klik tombol “Ok”

Untuk mencari dan menghapus file virus, lakukan langkah berikut:

    • klik “Start” menu

    • Klik “Search”, kemudian klik “For Files or Folders”

    • Setelah muncul layar “Search Result”, klik menu “All files and folders”

    • Kemudian pada kolom “All or part of the file name” isi dengan ekstensi *.EXE

    • Pada kolom “Look in” pastikan sudah menuju ke lokasi Drive yang akan di periksa termasuk ke lokasi Flash Disk.

    • Klik menu “What size is it”, kemudian pilih opsi “Specify size (in KB)

      • Pilih “at most”

      • Isi dengan ukuran “42”

    • Klik menu “More Advanced option”, kemudian pilih opsi

      • Searh system folders

      • Search hidden files and folders

      • Search subfolders

    • Kemudian klik tombol “Search” untuk memulai proses pencarian

    • Hapus file virus disemua drive termasuk flash disk yang mempunyai ciri-ciri:

      • Icon winamp

      • Ukuran 42 KB

      • Type file "Application"

      • Ekstensi .EXE

  1. Hapus juga file desktop.ini, folder.htt, Autorun.inf dan anbu.txt di flash disk.

  2. Untuk pembersihan maksimal dan mencegah infeksi ulang, scan dengan anti virus yang up-to-date dan sudah dapat mengenali virus ini dengan baik.

  3. Untuk mencegah agar virus tidak otomatis aktif pada saat akses ke suatu drive sebaiknya Anda matikan fungsi autoplay.

  4. Untuk antisipasi agar virus ini tidak kembali menginfeksi komputer anda selain dengan menginstall antivirus yang up-to-date, juga dapat membuat script sederhana untuk mematikan proses virus ini jika berusaha aktif di memori caranya, salin script dibawah ini pada program notepad kemudian simpan dengan nama RemoveHokage.reg. Kemudian jalankan file tersebut (klik 2x), klik “Yes” jika terdapat konfirmasi untuk menambahkan registri tersebut.

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe]
"Debugger"="cmd.exe /c del"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe]
"Debugger"="cmd.exe /c del"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe]
"Debugger"="cmd.exe /c del"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe]
"Debugger"="cmd.exe /c del"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe]
"Debugger"="cmd.exe /c del"

 

Aj Tau

PT. Vaksincom

info@vaksin.com

 

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 345 6850

Fx : 021 345 6851