Sapi Gila Bagi yang merasa gila hubungi SpongeBob Squerpant

Worm: W32/VBWorm.PXJ 18 Juni 2008

PeterPan dan Rossa menyebarkan "Sapi Gila"

Buka mata... buka telinga asal jangan buka celana...

Kenapa harus membenci ilmu pengetahuan???

Aku tidak jahat, kejahatan ku karena aku menuangkan

ilmu dalam bentuk program alias aku lebih pintar dari

pada kalian... Umurku baru 6 tahun lo..

Jika komputer anda menampilkan pesan seperti gambar 1, dan ada file dengan nama VM-Satria F150.htm yang menampilkan pesan seperti di atas. Kami sarankan anda tidak menghubungi SpongeBob di Bikini Bottom tetapi membersihkan komputer anda dari virus karena sudah terinfeksi virus Sapi Gila.

Maraknya penyebaran virus lokal tak menyurutkan sang VM untuk terus berkreasi, dari hanya sekedar iseng dengan alasan hanya “sekedar” menuangkan ide ke dalam program sampai dengan yang mempunyai tujuan tertentu. Apapun alasannya pembuatan virus ini sebaiknya tidak dilakukan apalagi sampai merugikan orang lain.

Baru-baru ini telah muncul virus lokal baru, kalau dilihat dari script yang ada dalam body virus tersebut terdapat 2 link, link pertama menunjukan website sebuah perkumpulan Club motor Yamaha Satria F150 sedang satu link menunjukan lokasi web porn Japan.

Gejala virus VBWorm.PXJ

Salah satu ciri khas yang membedakan virus ini adalah munculnya pesan sebelum komputer login Windows, perhatikan gambar 1 dibawah ini:

Gambar 1. Pesan VM “Bagi yang merasa gil hubungi Spongebob Squerpant”

Selain itu setiap kali menjalankan file / aplikasi MS. Office maka akan mucul pesan error agar user install ulang program tersebut (lihat gambar 2).

Gambar 2, Pesan error saat membuka aplikasi MS.Office

Dengan update terbaru Norman Virus Control sudah dapat mengenali virus ini sebagai Worm: W32/VBWorm.PXJ (lihat gambar 3)

Gambar 3, Norman Security Suite mendeteksi virus Sapi Gila sebagai VBWorm.PXJ

Ciri-ciri file VBWorm.PXJ

Virus ini dibuat dengan menggunakan program bahasa Visual Basic. Mempunyai ukuran file sebesar 69 KB. Untuk mengelabui user, ia akan menggunakan icon Winamp (Winamp Media File) dengan menyertakan nama file yang berhubungan dengan judul lagu seperti Klip_Rossa, klip_Peterpan_Menghapus_jejakmu atau R@dja-Patah hati sehingga user tidak mengetahui bahwa file tersebut sebenarnya bukan file lagu melainkan virus. File ini akan mempunyai ekstensi EXE, jika kita perhatikan lebih detail file ini mempunyai type sebagai “Application”. (lihat gambar 4)

Gambar 4, File induk VBWorm.PXJ, mengelabui user dengan icon Winamp

Pada saat user menjalankan file virus tersebut maka akan muncul layar konfirmasi bahwa VBWorm.PXJ telah merubah resolusi layar monitor menjadi 640 X 480 pixel seperti terlihat pada gambar 5 dibawah ini :

Gambar 5, VBWorm.PXJ mengubah resolusi layar monitor

File induk VBWorm.PXJ

Untuk mempertahankan dirinya, ia akan membuat beberapa file induk yang akan dijalankan secara otomatis setiap kali komputer dinyalakan. File yang dibuat ini akan menggunakan icon Winamp dengan ukuran yang samayakni 96 KB.

Berikut beberapa file induk yang akan didrop oleh VBWorm,MXJ:

C:\ Program Files.exe
C:\klip_Peterpan_Menghapus_Jejakmu.exe (file ini akan dibuat di semua drive)
C:\klip_Rossa.exe (file ini akan dibuat di semua drive dan akan disembunyikan)
C:\autorun.inf (file ini akan dibuat di semua drive)
C:\VM-Satria F150.htm (file ini akan dibuat di semua drive)
C:\Windows
- winlogon.exe
- R@DJA-PATAH_HATI.exe
C:\WINDOWS\system32
- KANGEN_BAND-Selingkuh.exe
C:\WINDOWS\system
- csrss.exe
C:\WINDOWS\system32\CatRoot
- SVHOST.exe
C:\WINDOWS\system32\CatRoot2
- SVHOST.exe
- smss.exe
C:\WINDOWS\system32\drivers
- VSD.dll (pengganti msvbvm60.dll)
C:\WINDOWS\Cursors
- VWC (pengganti msvbvm60.dll)
C:\Windows\media
- Satria_Ngebut.exe
C:\WINDOWS\Help
- LSASS.exe
C:\Documents and Settings\%user%
- PETERPAN-Menghapus_Jejakmu.exe
- VM-Satria F150.htm
C:\Documents and Settings\%user%\Local Settings\Temp
- SAMSONS-Kisah_Tak_Sempurna.exe
C:\Documents and Settings\%user%\My Documents
- THE_TITAN-Rasa_Ini.exe

Registry Auto Start

Agar file tersebut dapat dijalanakan secara otomatis, ia akan membuat string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

AutoStartADZ = C:\WINDOWS\system32\KANGEN_BAND-Selingkuh.exe
ayam jago = C:\WINDOWS\system\csrss.exe
ngebut = C:\WINDOWS\system32\CatRoot\SVHOST.exe
winl = C:\WINDOWS\winlogon.exe
Boros = C:\WINDOWS\system32\CatRoot2\SVHOST.exe
Gayo = C:\WINDOWS\system32\CatRoot2\smss.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = Explorer.exe C:\WINDOWS\R@DJA-PATAH_HATI.exe
Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Help\LSASS.exe

Blok Fungsi Windows (metode pertahanan)

Untuk langkah antisipasi agar dirinya tidak mudah untuk di lumpuhkan, ia akan blok beberapa fugsi Windows berikut:

Registry Editor
Searh Windows
Run
Msconfig
Task Manager
Folder Option
System Restore

Untuk melakukan hal di atas ia akan membuat string registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- DisableRegistryTools
- NoFolderOptions
- NoViewContextMenu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- DisableRegistryTools
- NoFolderOptions
- NoViewContextMenu
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

DisableSR

Catatan:

Jika user menjalankan “Search” atau “Run” maka VBWorm.PXJ akan logoff komputer tersebut.

Selain blok beberapa fungsi Windows di atas, ia juga akan mencoba untuk mematikan beberapa aplikasi Windows lainnya seperti

Windows Media Player
Microsoft Visual Basic
Media Player Classic
Group Policies
Microsoft Office Document

Pesan VBWorm.PXJ

Seperti yang sudah dijelaskan di atas bahwa VBWorm.PXJ akan membuat file VM-Satria F150.htm disetiap root Drive, jika file tersebut dijalankan maka terlihat jelas pesan yang disampaikan oleh sang VM, perhatkan gambar 6 berikut :

Gambar 6, Pesan dari Sang VM

Pada gambar di atas, pada layar paling bawah akan mucul satu alamat website www.ssfc.or.id yang merupakan website salah satu klub motor.

Selain pesan di atas, ia juga akan menampilkan pesan sebelum komputer login (lihat gambar 1 di atas).

Untuk melakukan hal tersebut, ia akan membuat string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

LegalNoticeCaption = VIRUS Sapi Gila
LegalNoticeText = Bagi yang merasa gila hubungi SpongeBob Squerpant..... :-P

Media Penyebaran

Untuk mempermudah penyebarannya, ia akan menggunakan media Disket atau Flash Disk dengan membuat 2 file induk yang menggunakan icon file MP3 dengan nama :

klip_Peterpan_Menghapus_Jejakmu.exe
klip_Rossa.exe

Serta 1 file autorun.inf yang berfungsi agar virus dapat aktif secara otomatis setiap kali user akses kedalam Flash Disk tersebut. File ini juga akan dibuat disemua root drive yang ada. File autorun.inf ini berisi script untuk menjalankan file klip_Rossa.exe.

Berikut isi script yang ada pada file autorun.inf (gambar 7).

Gambar 7, Autorun.inf, memungkinkan virus dapat aktif secara otomatis

Berikut ciri-ciri file induk yang akan dibuat di Flash Disk:

Icon Winamp
Ukuran 96 KB
Ext. EXE
Type File "Application"

Langkah pembersihan VBWorm.PXJ :

Sebaiknya putuskan komputer yang akan dibersihan dari jaringan (jika terkoneksi ke LAN / internet)
Matikan proses virus VBWorm.PXJ yang aktif di memori.

Untuk mematikan proses virus, silahkan gunakan tools currproses, tools ini

dapat di download di alamat :

http://www.nirsoft.net/utils/cprocess.zip

Setelah tools tersebut berhasil di download, jalankan tools tersebut kemudian cari dan matikan proses yang mempunyai icon Winamp, seperti terlihat pada gambar 8 dibawah ini:

Gambar 8, Mematikan proses virus VBWorm.PJX

Hapus string registry yang dibuat oleh virus

Untuk mempermudah proses penghapusan registry, silahkan salin script dibawah ini pada notepad kemudian simpan dengan nama repair.vbs.

Dim oWSH: Set oWSH = CreateObject("WScript.Shell")

on error resume Next

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\lnkfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command\","regedit.exe %1"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit","C:\Windows\system32\userinit.exe,"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AutoStartADZ")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ayam jago")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ngebut")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winl")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Boros")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Gayo")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisableRegistryTools")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer\DisableRegistryTools")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\DisableMSI")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windws\Installer\LimitSystemRestoreCheckpointing")

Silahkan download repair.vbs di alamat berikut:

http://www.4shared.com/file/47544752/ac0e91c9/repairVBWormPXJ.html?dirPwdVerified=7a224f27

Hapus file induk virus

Sebelum mencari file virus, sebaiknya tampilkan file yang tersebunyi terlebih dahulu dengan konfigurasi pada Folder Option dengan cara sebagai berikut:

Buka Windows Explorer
Klik menu [Tools] [Folder Options] [View]
Pada kolom "Advanced settings", lakukan konfigurasi berikut:

check opsi "Show hidden files and folders”
uncheck opsi "Hide extensions for known file types
uncheck opsi “Hide protected operating system file (recommanded)

Klik "Apply"
Klik "Ok"

Setelah menampilkan file yang tersebunyi, lakukan pencarian dengan menggunakan "Search Results Windows". Untuk mempermudah pencarian sebaiknya cari berdasarkan eksensi EXE dengan ukuran file 96 KB, dengan cara sebagai berikut:

Pada kolom “All or part of the file name” isi dengan ekstensi *.exe
Pada kolom “Look in” isi drive C atau D atau lokasi Flash Disk
Klik menu “What size is it”, pilih opsi “Specify size (in KB)
- Pilih “At most”
- Isi dengan ukuran file 97
Klik menu “More advanced opstions”
- Pilih opsi “Search system folders”
- Pilih opsi “Search hidden files and folders”
- Pilih opsi “Search sub folder”
Kemudian pilih tombol “Search” untuk memuali proses pencarian

Setelah proses pencarian selesai, hapus file yang mempunyai ciri-ciri:

Icon Winamp (Winamp Media File)
Ukuran 96 KB
Ekstensi EXE
Type File "Application"

Hapus juga file virus yang ada di Flash Disk dengan ciri-ciri sama seperti di atas.

Untuk pembersihan optimal dan mencegah infeksi ulang, instal komputer anda dengan antivirus yang dapat mendeteksi dan membasmi virus ini.

Salam,

Aj Tau

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 3456850

Fx : 021 3456851