Virus Hampa W32/Agent.EAOI          30 Mei 2008

By Hampa : Salam Hangat buat orang Medan

 

Haroharo sodara-sodara hasibuan !!!

Adaambarita apa ni ?

BBM Naek L Tobing,

Baiknya tidaklah makan ayam sitanggang dahulu, apalagi sihombing gundaling, mahal bah!

Pake kayu bakar kayak zaman purba,

nantinya tarutung lah nasution kita.

 

Bangun rumapea jangan pake batubara,

pake batakO saja lah.

Siantar anak sakolah… naek Lubis Way saja lah.

 

Walo hujan dah lama tak manurung,

Simarmata sirait dan tanah jadi girsang dah, rumapea rumahorbo kana peranginangin ritonga,

(red. : rumah roboh kena angin ribut, weleh-weleh…..)

Kita horas sitorus simanjuntak, simatupang mundur !!!

 

Hidup sakarang simanungkalit

makan masti pakpahan,

Panuh dangan ka-simanggintir-an,

Banyak orang kana napitupulu,

Pangabean banyak didatangi orang,

Hidup sudah di ujung tanjung,

Tapi … kita harus tatap nababan banting!

 

Walo mataniari tarbit dari hutabarat,

banyak sijabat yang jadi tambunan karana korup dan salalu simorangkir masuk karja, cari parlindungan di balik hukum.

 

Tatapi kita……

Tatap hadapi hidup dangan hati yang aritonang, sitorus togatorop manatap ka dapan.

HORAS !!!

 

Jika komputer mulai bertingkah laku aneh, komputer mulai lambat, data/file tiba-tiba hilang/fungsi windows tiba-tiba disable bahkan aplikasi tertentu tidak dapat dijalankan ditambah dengan pesan-pesan aneh yang muncul tanpa di undang. Sebaiknya hati-hati karena kemungkinan komputer sudah terinfeksi oleh virus, segera update antivirus, lakukan scan dan cari informasi lebih banyak untuk mengatasi permasalahan tersebut jika perlu undang teman yang Anda anggap “jago” untuk membantu permasalah yang ada.


Jika sebelumnya kubu palangkaraya telah mengeluarkan virus dengan nama Agent.EQXM / virus Amburadul yang sempat menyebar beberapa waktu lalu. Virus ini mempunyai ciri khusus untuk menyembunyikan file gambar dan membuat file duplikat sesuai dengan file yang disembunyikan. File duplikat yang dibuat akan tetap menggunakan icon gambar (JPG) tetapi mempunyai ekstensi EXE. Lihat link berikut untuk lebih jelasnya.

http://vaksin.com/2008/0408/amburadul/amburadul.html

Tak mau kalah dengan kubu Palangkaraya, kini kubu Medan kembali meluncurkan virus baru yang cukup merepotkan untuk dibersihkan apalagi bagi mereka yang awam terhadap virus bisa-bisa langkah Pasopati alias “format” yang akan dilakukan untuk menyelesaikan masalah ini.


Ciri khas lain dari virus ini adalah akan menampilkan pesan dari sang pembuat virus setiap kali menjalankan program aplikasi tertentu, seperti terlihat pada gambar 1 di bawah ini:

Gambar 1, Pesan dari pembuat virus

 

Memanipulasi ekstensi file eksekusi dan proteksi diri dengan logoff

Dengan ukuran file sekitar 130 KB virus ini akan mencoba untuk blok aplikasi yang berhubungan dangan security bahkan tidak segan-segan menghapus file tersebut jika user eksekusi file tersebut. Redirect eksekusi file merupakan salah satu senjata yang ampuh yang akan digunakan oleh virus ini agar dirinya tetap aktif di dalam system. Ekstensi exe/com/bat/scr/pif/vbs dan inf merupakan beberapa ekstensi file yang akan di incar untuk melancarkan modus redirect eksekusi file tersebut, jadi setiap kali user menjalankan file yang mempunyai ekstensi di atas maka secara tidak langsung akan menjalankan dirinya secara otomatis.

 

Hati-hati !! Saat mematikan proses virus yang aktif di memory pun harus hati-hati, jika masih ada proses virus yang tersisa di memory maka komputer akan logoff sebelum sempat untuk membunuh virus tersebut.

Aksi lain dari virus ini adalah menyembunyikan folder/subfolder di setiap drive terutama Flash Disk dan membuat file duplikat dengan maksud untuk menipu user.

Metode penyebaran akan tetap mempertahankan tradisi yakni menggunakan Flash Disk dan memanfaatkan Autorun Windows agar dirinya aktif secar otomatis setiap kali user akses ke Drive / Flash Disk.

Virus ini dibuat dengan program bahasa Visual Basic dengan ukuran 130 KB dan mempunyai icon “Folder”. (lihat gambar 2)

Gambar 2, File induk Trojan: W32/Agent.EAOI


Dengan update terakhir, Norman Virus Control mendeteksi virus yang kita sebut sebagai virus Hampa ini sebagai Trojan : W32/Agent.EAOI. (lihat gambar 3)

Gambar 3, Norman mendeteksi Hampa sebagai W32.Agent.EAOI

 

Pada saat virus ini aktif, ia akan membuat beberapa file induk dibawah ini yang akan dijalankan secara otomatis setiap kali komputer di hidupkan/restart

  • C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Gamma Loader.pif

  • C:\WINDOWS\3D Flower.scr

  • C:\Windows\dllhost.exe

  • C:\Windows\rundll32.com

  • C:\WINDOWS\winspool.com

  • C:\WINDOWS\inf\taskman.exe

  • C:\WINDOWS\System32\wmiprvse.com

  • C:\WINDOWS\system32\dllcache\shell.pif

  • C:\TuGAS

    • TuGAS.exe

    • Folder.htt

  • C:\ Pesan Hampa.html

  • C:\Windows\tempx.tmp, dimana x menunjukan angka (contoh: temp1.tmp)

Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat string pada registry berikut:

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    • Kernel32 = C:\Windows\dllhost.exe /i

  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

    • Load = C:\WINDOWS\System32\wmiprvse.com

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

    • C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\System32\wmiprvse.com

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    • Debug = C:\WINDOWS\inf\taskman.exe

  • HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows

    • Load = C:\WINDOWS\inf\taskman.exe

Blok Fungsi Windows

Selain membuat registry di atas, ia juga akan membuat registry berikut dengan tujuan untuk blok beberapa fungsi Windows agar user tidak mudah untuk membasmi dirinya.

 

Berikut beberapa fungsi Windows yang akan di blok oleh Agent.EAOI :

  • Task Manager

  • Regedit

  • CMD

  • MSI

  • Folder Options

  • System Restore

  • Search File

  • Menyembunyikan ekstensi EXE dan SCR

  • Merubah file type dari “Application” menjadi “File Folder”

Berikut beberapa registry yang akan dibuat untuk blok fungsi Widows di atas:

  • HKEY_CURRENT_USER\Software\Policies\Microsoft\System

      • DisableCMD

  • HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows NT\SystemRestore

      • DisableConfig

      • DisableSR

  • HKLM\Software\Classes\exefile

      • Default = File Folder

      • NeverShowExt

  • HKLM\Software\Classes\scrfile

      • NeverShowExt

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

      • DisableRegistryTools

      • NoFolderOptions

      • NoFind

      • Run = C:\WINDOWS\rundll32.com

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

      • DisableRegistryTools

      • NoDispCPL

      • NoFind

      • DisableTaskMgr

      • DisableCMD

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

      • Hidden = 0

      • HideFileExt = 1

      • ShowSuperHidden =1

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

      • DisableRegistryTools

      • NoFind

      • NoFolderOptions

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\system

      • DisableRegistryTools

      • DisableTaskMgr

      • NoFind

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\AEDebug

      • Debugger = C:\WINDOWS\winspool.com

Pada saat screen saver Windows aktif, ia juga akan langsung menjalankan file C:\WINDOWS\3D Flower.scr secara otomatis dengan terlebih dahulu membuat string pada registry berikut:

  • HKCU\Control Panel\Desktop

      • scrnsave.exe, = C:\WINDOWS\3DFlow~1.scr

sebaiknya file yang mempunyai ekstensi exe/com/bat/pif/vbs/reg/inf/mmc karena setiap kali menjalankan file-file tersebut maka secara otomatis akan mengaktifkan virus. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:

  • HKLM\Software\Classes\batfile\shell\open\command

    • Default, "C:\WINDOWS\system32\dllcache\shell.pif" %1 %*

  • HKLM\Software\Classes\comfile\shell\open\command

    • Default, "C:\WINDOWS\system32\dllcache\shell.pif" %1 %*

  • HKLM\Software\Classes\exefile\shell\open\command

    • Default, "C:\WINDOWS\system32\dllcache\shell.pif" %1 %*

  • HKLM\Software\Classes\inffile\shell\open\command

    • Default, "C:\WINDOWS\system32\dllcache\shell.pif" %1 %*

  • HKLM\Software\Classes\MSCfile\shell\open\command

    • Default, "C:\WINDOWS\system32\dllcache\shell.pif" %1 %*

  • HKLM\Software\Classes\piffile\shell\open\command

    • Default = "C:\WINDOWS\system32\dllcache\shell.pif" %1 %*

  • HKLM\Software\Classes\regfile\shell\open\command

    • Default = "C:\WINDOWS\system32\dllcache\shell.pif" %1 %*

  • HKLM\Software\Classes\regedit\shell\open\command

    • Default = "C:\WINDOWS\system32\dllcache\shell.pif" %1 %*

  • HKLM\Software\Classes\scrfile\shell\open\command

    • Default = "C:\WINDOWS\system32\dllcache\shell.pif" %1 %*

  • HKLM\Software\Classes\vbsfile\shell\open\command

    • Default = "C:\WINDOWS\system32\dllcache\shell.pif" %1 %*

  • HKLM\Software\Classes\vbsfile\shell\open2\command

    • Default = "C:\WINDOWS\system32\dllcache\shell.pif" %1 %*

Aktif pada mode “safe mode” dan “safe mode with command prompt”

Agent.EAOI juga akan tetap aktif walaupun komputer booting pada mode “safe mode” atau “safe mode with command prompt”. Sehingga semakin sulit untuk dibersihkan. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:

  • HKLM\System\CurrentControlSet\Control\SafeBoot

    • Alternate Shell = C:\WINDOWS\System32\wmiprvse.com

  • HKLM\System\ControlSet001\Control\SafeBoot

    • Alternate Shell = C:\WINDOWS\System32\wmiprvse.com

  • HKLM\System\ControlSet002\Control\SafeBoot

    • Alternate Shell = C:\WINDOWS\System32\wmiprvse.com

  • HKLM\System\ControlSet003\Control\SafeBoot

    • Alternate Shell = C:\WINDOWS\System32\wmiprvse.com

Merubah Host File Windows

Salah satu hal yang cukup unik dilakukan oleh virus ini adalah merubah host file Windows yang ada di direktori C:\Windows\system32\drivers\etc\host. Tujuannya untuk mengarahkan akses komputer yang terinfeksi supaya browsernya tidak bisa mengakses situs-situs yang di blok dan semuanya diarahkan ke localhost / 127.0.0.1. Jika anda pengguna internet banking harap berhati-hati dan selalu mengecek host file komputer anda sebelum mengakses internet banking karena manipulasi atas host file ini sangat berpotensi mengalihkan akses internet banking anda ke situs internet banking yang telah dipalsukan.

 

127.0.0.1 localhost

 

# Host file has been infected by: Hampa.

# Powered by FM@2007

 

127.0.0.1 www.vaksin.com

127.0.0.1 vaksin.com

127.0.0.1 www.ansav.com

127.0.0.1 ansav.com

127.0.0.1 www.jasakom.com

127.0.0.1 jasakom.com

127.0.0.1 www.vbbego.com

127.0.0.1 vbbego.com

127.0.0.1 www.virologi.info

127.0.0.1 virologi.info

127.0.0.1 www.infokomputer.com

127.0.0.1 infokomputer.com

127.0.0.1 www.kaskus.com

127.0.0.1 kaskus.com

127.0.0.1 www.duniasex.com

127.0.0.1 duniasex.com

127.0.0.1 www.17tahun.com

127.0.0.1 17tahun.com

127.0.0.1 www.sysinternals.com

127.0.0.1 sysinternals.com

127.0.0.1 www.avast.com

127.0.0.1 avast.com

127.0.0.1 www.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 www.grisoft.com

127.0.0.1 grisoft.com

127.0.0.1 www.symantec.com

127.0.0.1 symantec.com

127.0.0.1 www.norman.com

127.0.0.1 norman.com

127.0.0.1 www.trendmicro.com

127.0.0.1 trendmicro.com

127.0.0.1 www.secunia.com

127.0.0.1 secunia.com

127.0.0.1 www.zonelabs.com

127.0.0.1 zonelabs.com

127.0.0.1 www.pandasoftware.com

127.0.0.1 pandasoftware.com

127.0.0.1 www.f-secure.com

127.0.0.1 f-secure.com

127.0.0.1 www.sophos.com

127.0.0.1 sophos.com

127.0.0.1 www.free-av.com

127.0.0.1 free-av.com

127.0.0.1 www.neuber.com

127.0.0.1 neuber.com

127.0.0.1 www.bleepingcomputer.com

127.0.0.1 bleepingcomputer.com

127.0.0.1 www.iknowprocess.com

127.0.0.1 iknowprocess.com

127.0.0.1 www.kaspersky.com

127.0.0.1 kaspersky.com

127.0.0.1 www.virustotal.com

127.0.0.1 virustotal.com

127.0.0.1 www.friendster.com

127.0.0.1 friendster.com

127.0.0.1 www.winguides.com

127.0.0.1 winguides.com

127.0.0.1 www.microsoft.com

127.0.0.1 microsoft.com

# Salam hangat buat orang medan.


Pesan untuk orang Medan

Satu ciri yang mudah di ingat dari virus ini adalah munculnya pesan dari pembuat virus. Pesan ini (lihat gambar 1) biasanya muncul jika user menjalankan file eksekusi tertentu.

 

Selain menampilkan pesan tersebut, Agent.EAOI juga akan menampilkan pesan lain dalam bentuk HTML yang ditujukan untuk seseorang. File HTML ini biasanya akan di simpan di direktori “C:\Pesan hampa.html” seperti terlihat pada gambar 4 dibawah ini:

 

Gambar 4, Pesan patah hati dari sang pembuat virus

 

Agent.EAOI juga akan merubah Registered Owner dan Registered Organization Windows dengan terlebih dahulu membuat string pada registry berikut (lihat gambar 5) :

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion

  • RegisteredOrganization = FM@2007

  • RegisteredOwner = Hampa

Gambar 5, Agent.EAOI merubah registered owner dan Organization Windows


Menyembuyikan folder/subfolder

Salah satu akibat yang ditimbulkan dari virus ini adalah sistem komputer menjadi lambat. Selain itu ia juga akan mencoba untuk menyembunyikan folder/subfolder disetiap drive khususnya Flash Disk dan membuat duplikat disetiap folder dan subfolder sesuai dengan nama folder/subfolder yang disembunyikan tersebut.


Berikut ciri-ciri file duplikat yang akan dibuat oleh Agent.EAOI

  • Ukuran 130 KB

  • Ekstensi EXE

  • Icon “folder”

  • Type file “Application”

Media Penyebaran

Untuk mempermudah proses penyebaran dirinya, Hampa akan menggunakan media Flash Disk dengan cara membuat file induk dan membuat file duplikat. Selain itu, virus ini juga akan memanfaatkan autorun Windows agar dirinya dapat aktif secara otomatis setiap kali user akes ke Flash Disk tersebut :

  • Autorun.inf

  • Desktop.ini

  • %USB%:\Tugas (%usb%, menunjukan lokasi Flash Disk)

    • tugas.exe

    • folder.htt

  • Data kemarin.exe

Berikut ciri-ciri file induk dan file duplikat yang akan dibuat di Flash Disk:

  • Ukuran 130 KB

  • Ekstensi EXE

  • Type “Application”

  • Icon “Folder”

Cara membersihkan Hampa :

  • Putuskan hubungan komputer yang akan dibersihkan dari jaringan

  • Matikan proses virus yang aktif di memory. Untuk mematikan proses virus ini Anda dapat menggunakan tools IceSword.

http://mail.ustc.edu.cn/%7Ejfpan/download/IceSword122en.zip

Setelah tools tersebut dijalankan cari dan matikan proses virus yang mempunyai nama berikut (lihat gambar 6) :

      • Taskman.exe --- > icon Folder

      • Dllhost.exe --- > icon Folder

      • Rundll32.com -- > icon “Application”

      • wmiprvse.com - > icon “Application”

Gambar 6, Gunakan IceSword untuk mematikan proses virus

Catatan:

Sebaiknya matikan secara bersamaan proses virus tersebut karena jika masih ada 1 proses virus yang aktif maka komputer akan “logoff”

  • Hapus registry yang sudah diubah oleh virus.

Karena virus ini akan mencoba untuk blok file inf/vbs/reg bahkan file dengan ekstensi exe/com/bat/com/mmc dan scr maka sebaiknya ubah terlebih dahulu file assosisasi exe agar dapat menjalankan file yang mepunyai ekstensi EXE. Setelah registry file assosiasi exe diubah untuk menghapus string registry yang lain kita akan menggunakan tools khusus dengan tujuan agar proses penghapusan lebih cepat.

 

Untuk merubah registry file asosiasi EXE, Anda dapat menggunakan tools iceSword yang baru Anda download tadi, caranya:

    • Pada aplikasi IceSword, klik menu “Registry”

    • Kemudian telusuri registry berikut:

HKLM\Software\Classes\exefile\shell\open\command

 

Pada string default yang ada di kolom kanan ubah value atau data yang ada menjadi "%1" %* (lihat gambar 7)

Gambar 7, Merubah registry file asosiasi exe

 

Setelah berhasil, untuk hapus sisa registry lainnya silahkan gunakan tools “FixRegistry” berikut:

http://www.4shared.com/file/46098361/5ddfda62/_3__FixRegistry.html?dirPwdVerified=7a224f27

 

Hapus file induk virus dengan mengunakan “Search File”.

Sebelum mencari file tersebut sebaiknya tampilkan file yang tersembunyi agar pencarian lebih optimal.

Untuk menampilkan file yang tersebunyi lakukan langkah berikut:

    • Buka Windows Explorer

    • Klik “Tools”

    • Klik “Folder Options”

    • Klik tabulasi “View”

    • Pada kolom “Advanced settings”

      • Pilih opsi “Show hidden files and folders”

      • Uncheck opsi “Hide extsnsion for known file types”

      • Uncheck opsi “Hide protected operating system files (recommended)

    • Klik “Apply”

    • Klik “Ok”

Setelah file berhasil di tampilkan, langkah selanjutnya mencari file yang induk dan file duplikat yang dibuat virus.

Catatan:

Jangan sampai terjadi kesalahan pada saat penghapusan, hapus file yang mempunyai ciri-ciri:

      • Ukuran 130 KB

      • Ext exe dengan icon “Folder”

      • Ext. COM dengan Icon “Application”

  • Restore Host file Windows yang sudah di ubah oleh virus

untuk merestore ke Original Host file Windows Anda dapat menggunakan tools Host’s Xpert, silahkan download tools tersebut di alamat berikut:

http://www.funkytoad.com/download/HostsXpert.zip

Setelah berhasil di download, jalankan tools tersebut dan klik tombol “Restore MS Host file” (lihat gambar 8)

Gambar 8, HostXpert mampu mengembalikan Host File Windows yang sudah diubah oleh virus.

  • Tampilkan file yang disembunyikan dengan cara sebagai berikut:

    • Klik “Start”

    • Klik “Run”

    • Ketik “CMD” kemudian tekan tombol enter

    • Pindahkan posisi kursor ke drive atau folder yang akan dicek

    • Kemudian ketik perintah attrib -s -h /s /d

  • Untuk pembersihan optimal dan mencegah infeksi ulang, gunakan antivirus seperti Norman Virus Control atau NSS( Norman Security Suite) yang dapat mendeteksi dan membasmi virus ini.

Catatan:

untuk mempercepat proses pembersihan silahkan gunakan tools “Agent Malware Cleaner” (tools ini berfungsi untuk mematikan proses virus, menghapus string registry dan menghapus file virus).

http://www.4shared.com/file/47540077/647f8616/_2__AgentMalwareCleaner.html

 

salam,

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III/19E

Jakarta 10160

 

Ph : 021 345 6850

Fx : 021 345 6851