Dloader.HDZD / Sohanad              15 Mei 2008

Virus Vietnam Yang Paling Sexy, tidak pakai Santet

Pengantar

Jika tahun-tahun lalu Vaksincom banyak menerima permintaan dari Vietnam karena penyebaran virus lokal sudah sampai ke pengguna komputer Vietnam. Tahun ini gantian para pengguna komputer Indonesia yang blingsatan karena serangan virus Vietnam yang merupakan varian Sohanad. Virus ini juga memiliki “hobi” yang mirip dengan virus lokal Indonesia, dimana ia akan melakukan blok atas beberapa fungsi utility windows seperti TaskManager, Registry Editor, Folder Options, MS Config dan Command Prompt sehingga cukup sulit untuk dibersihkan. Virus ini menggunakan YM (Yahoo Messenger) dalam menyebarkan dirinya dimana komputer yang terinfeksi secara otomatis akan mengaktifkan YM dan mengirimkan pesan-pesan dalam Bahasa Vietnam dengan link untuk mendownload dan menjalankan virus ke situs hosting gratis 0catch.com dengan alamat htt*://****quanglan1.*catch.com. Link tersebut sudah cukup lama dinonaktifkan oleh 0catch sehingga seharusnya virus ini sudah tamat riwayatnya dan tidak mungkin menyebar lagi. Tetapi lucunya (ini hanya kiasan, bukan beneran lucu ... yang ada bete) dalam beberapa minggu terakhir Vaksincom menerima konfirmasi ribuan insiden virus ini di Indonesia. Sebagai gambaran perwakilan Vaksincom di Manado terpaksa bergadang membantu membersihkan komputer yang terinfeksi virus ini.

Apakah yang menyebabkan virus Vietnam ini malah marak menyebar di Indonesia padahal website penyebaran dirinya sudah dimatikan ? Santet ? Radiasi Infra Merah ? Silahkan baca artikel ini untuk mengetahui apa sebenarnya yang terjadi.

-------

Jika anda membaca kembali artikel kilas balik penyebaran virus menjelang akhir tahun 2007 hingga memasuki awal tahun 2008 ini. http://vaksin.com/2008/0208/malware0108/Malware0108.html. Dimana anda bisa melihat bahwa salah satu virus asing yaitu “Sohanad” menggunakan Yahoo Messenger sebagai media penyebaran virus. Varian awal Sohanad sebenarnya sudah muncul sejak tahun 2006, tetapi karena kelihaiannya bermetamorfosis, sampai hari ini varian-varian Sohanad anyar yang berbasiskan Sohanad awal tersebut masih terus bermunculan dan merepotkan para vendor antivirus karena sulit terdeteksi.

Salah satu varian terbaru dari virus ini terdeteksi oleh Norman Security Suite sebagai Dloader.HDZD. (lihat gambar 1)

Gambar 1. Norman Security Suite mendeteksi Dloader.HDZD

Ciri File Virus

Ciri ciri file virus ini diantaranya sebagai berikut :

• Menggunakan icon folder

• Memiliki ukuran file 249 KB (254.464 Byte)

• Type file “application”

• Ekstensi “.exe”

Gambar 2. Contoh file virus Dloader.HDZD

Gejala / Efek Virus

Jika anda sudah terinfeksi oleh virus Dloader.HDZD, maka akan menimbulkan efek sebagai berikut :

• Melakukan blok beberapa fungsi windows seperti Task Manager, Registry Editor, Folder Options.

• Menutup/mematikan fungsi windows seperti System Configuration Utility / MSConfig, dan Command Prompt jika dijalankan.

• Membuat Schedule tasks pada Windows, dengan membuat 2 file job (at1.job & at2.job), yang kemudian akan mengeksekusi file virus pada setiap jam 9 pagi setiap hari.

Gambar 3. Job yang dibuat virus pada Schedule Task Windows

• Mengirimkan pesan dalam Bahasa Vietnam dengan link download file virus (sudah tidak aktif) kepada semua contact address yang ada pada Yahoo Messenger pada setiap waktu-waktu tertentu. (lihat gambar 4)

Gambar 4. Virus mengirim link pesan kepada seluruh contact address

Berikut beberapa bentuk pesan yang dikirim (dalam bahasa vietnam).

• E may, vao day coi co con nho nay ngon lam http:******quanglan*.0catch.com

• Vao day nghe bai nay di ban http:******quanglan*.0catch.com

• Biet tin gi chua, vao day coi di http:******quanglan*.0catch.com

• Trang Web nay coi cung hay, vao coi thu di http:******quanglan*.0catch.com

• Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau? http:******quanglan*.0catch.com

• Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa... http:******quanglan*.0catch.com

• Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi... http:******quanglan*.0catch.com

• Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo... http:******quanglan*.0catch.com

• Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon... http:******quanglan*.0catch.com

Pesan link yang dibuat virus, akan memancing user untuk mengklik link sebuah website. (Saat ini website tersebut sudah tidak bisa diakses / di banned oleh penyedia jasa web hosting gratis tersebut). Jika sudah masuk pada website tersebut dan masih aktif, maka secara otomatis akan mendownload file virus. (lihat gambar 5)

Gambar 5. Link website dari virus yang sudah di banned

Efektivitas Ban Website

Apakah ban website penyebar virus merupakan akhir dari penyebaran virus Sohanad ? Ban pada link download virus secara efektif akan mematikan varian virus yang bersangkutan, tetapi pembuat virus tinggal mengupload varian virus baru ke website lain dan mengarahkan korbannya untuk mendownload ke link tersebut. Karena itu pengguna YM harus berhati-hati, JANGAN pernah mengklik link apapun yang dikirimkan oleh teman anda sekalipun jika anda tidak benar-benar yakin bahwa link tersebut aman karena sebenarnya bukan teman / kontak YM anda yang mengirimkan link tersebut, tetapi virus yang menginfeksi komputernya yang melakukan hal tersebut.

• Jika komputer korban tidak menggunakan Yahoo Messenger, maka ia akan melakukan copy paste link pesan tsb diatas pada program aplikasi Office yang sedang aktif dengan harapan supaya link tersebut di klik. (lihat gambar 6)

Gambar 6. Virus copy paste link pesan pada Microsoft Word

• Mencoba melakukan login secara otomatis pada Yahoo Messenger (dengan catatan bahwa user telah set Yahoo Messenger login secara otomatis). Serta menampilkan status link pesan secara otomatis. (lihat gambar 7)

Gambar 7. Status pesan yang dibuat virus secara otomatis

File file virus

Virus Dloader.HDZD dibuat dengan menggunakan script bahasa BASIC dengan menggunakan software AutoIt versi 3. Jika virus berhasil menginfeksi, maka ia akan membuat beberapa file virus diantaranya :

• C:\WINDOWS\SSCVIIHOST.exe

• C:\WINDOWS\system32\autorun.ini

• C:\WINDOWS\system32\setting.ini

• C:\WINDOWS\system32\blastclnnn.exe

• C:\WINDOWS\system32\SSCVIIHOST.exe

• \autorun.inf (pada usb/removable drive)

• \New Folder.exe (pada usb/removable drive)

Registry Windows

Agar dapat aktif saat komputer dijalankan, virus akan membuat string registry sebagai berikut :

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Yahoo Messengger = C:\WINDOWS\system32\ SSCVIIHOST.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon

Shell = Explorer.exe SSCVIIHOST.exe

• HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

Yahoo Messengger = C:\WINDOWS\system32\ SSCVIIHOST.exe

Untuk melakukan blok terhadap fungsi windows, virus membuat string sebagai berikut :

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer

NoFolderOptions = 1

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System

DisableTaskMgr = 1

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System

DisableRegistryTools = 1

Agar dapat aktif dan memanfaatkan schedule task, virus membuat string berikut :

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule

AtTaskMaxHour = 0

Untuk mempermudah proses penyebaran dalam jaringan, virus membuat string berikut :

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ WorkgroupCrawler\Shares

Shares = \New Folder.exe

Menyebar melalui Flashdisk dan File Sharing

Selain mengandalkan YM, Dloader.HDZD juga memanfaatkan media “Flashdisk” ataupun “Disket”. Dan tidak kalah dengan virus lokal buatan Indonesia, ia juga memanfaatkan system autoplay windows agar dirinya dapat aktif secara otomatis setiap kali Flash Disk tersebut di colokkan ke komputer. File yang di buat yaitu : (lihat gambar 8)

• autorun.inf

• New Folder.exe

Gambar 8. File virus infect disket atau flashdisk

Selain itu, dalam jaringan intranet virus ini memanfaatkan file sharing (terutama folder yang di share full), virus juga menyebarkan diri dengan membuat file virus “New Folder.exe”. Rupanya dua hal ini yang menyebabkan virus yang harusnya sudah almarhum ini malahan sibuk mengamuk di Indonesia, karena penggunaan Flash Disk di Indonesia termasuk paling tinggi di dunia.

Virus ini juga akan menyebar melalui Yahoo Messenger. Dengan mengirim link pesan ke semua contact address, yang di arahkan ke sebuah website dan akan mendownload file virus. (lihat gambar 9)

Gambar 9. Link pesan yang dibuat virus.

Cara pembersihan virus Dloader.HDZD

• Sebaiknya lakukan pembersihan melalui mode safe mode.

• Matikan proses virus. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager

Gambar 10. Kill process virus dengan Process Manager Alternatif

Lakukan kill process, pada beberapa file virus yang aktif yaitu :

• C:\WINDOWS\system32\SSCVIIHOST.exe

• C:\WINDOWS\SSCVIIHOST.exe (jika aktif)

• C:\WINDOWS\system32\blastclnnn.exe (jika aktif)

• New Folder.exe (jika aktif)

• Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares, Shared

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, SYSTEM\CurrentControlSet\Services\Schedule, AtTaskMaskHour

HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger

Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

Berikut link “Repair.inf” untuk Dloader.HDZD :

http://www.4shared.com/file/47525698/d650cf29/Repair_Dloader-HDZD.html?dirPwdVerified=90ad42df

• Untuk membasmi virus Dloader.HDZD dan virus lain yang masih bercokol di komputer anda, gunakan Norman Malware Cleaner untuk scan komputer anda yang dapat di download dari (lihat gambar 12)

  http://download.norman.no/public/Norman_Malware_Cleaner.exe

Gambar 12. Norman Malware Cleaner membersihkan virus dengan tuntas

• Untuk pembersihan yang optimal dan mencegah infeksi ulang, gunakan Norman Virus Control yang terupdate dan sudah mengenali virus ini dengan baik.

Salam,

Ad Sap

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 6851