W32/Sasan.A           26 November 2008

Virus “JeNGKol”

 

Bagaimana menghilangkan bau habis makan Pete ? Seperti anda ketahui, jika makan pete di ibaratkan merokok, maka yang menjadi korban paling parah adalah “perokok pasif” alias yang tidak makan pete tetapi dapat baunya saja. Ada lagi saran yang tidak kalah “maut” nya, kalau mau menghilangkan bau pete...... caranya ?

Makan Jengkol :P. Ini ibarat mengusir pak Ogah pakai jasa preman. Sebenarnya ada cara yang efektif untuk menghilangkan bau pete, benar manjur dan bukan pakai jengkol atau parfum CK. Caranya adalah menkonsumsi tablet vitamin B Kompleks. :) (Trims untuk JSer atas informasinya).

Tetapi vitamin B Kompleks hanya bermanfaat untuk menghadapi masalah yang timbul karena Jengkol / Pete beneran, kalau JeNGKol yang satu ini harus di hilangkan pakai Norman Security Suite.

Setelah sebelumnya digencarkan oleh virus arp spoofing dan virus Anjelina Jolie (Agent.GPKB) dengan dampak yang cukup besar khususnya untuk kalangan corporate (lihat web http://vaksin.com/2008/0608/microsoft/microsoft.html atau http://vaksin.com/2008/0608/microsoft2/arp-spoofing.html dan http://vaksin.com/2008/0708/anjelina-jolie/anjelina-jolie.html untuk informasi lebih detail).

Sampai saat ini kemunculan virus lokal masih terus berlanjut seperti tak mau surut di makan waktu selama masih ada komputer dan perangkatnya mereka (red.virus marker) tidak akan berhenti berkreasi untuk meluangkan sedikit bahkan banyak waktu untuk membuat program yang bernama virus.

Salah satu hasil kreasi yang ada saat ini adalah virus dengan nama JeNGKol. Untuk mengelabui user JeNGKol akan menggunakan icon Extractor yang di dalamnya terdapat file VBS dengan ukuran 14 KB dengan nama file JeNGKol.vbs. (lihat gambar 1 dan 2)

 

Gambar 1, File virus sebelum di ekstrak

Gambar 2, File virus setelah di ekstrak

 

Berikut ciri-ciri jika terinfeksi virus JeNGKol

  • Munculnya file dengan icon JPEG dengan ukuran 14 KB

  • Munculnya nama file JeNGKol.vb di setiap folder dan subfolder dengan ukuran file sekitar 14 KB

  • Komputer akan Logoff jika user menjalankan file yang mempunyai ekstensi .INF [Klik kanan file .inf | Install]

  • Komputer akan Logoff jika user edit file VBS

Target yang akan di incar oleh JeNGKol ini adalah file yang mempunyai ekstensi .DOC yakni dengan menyembunyikan file tersebut, selain itu ia juga akan membuat file duplikat di setiap folder/subfolder sesuai dengan nama file yang ada di folder/subfolder.

 

Dengan update terbaru 30-07-2008 Norman sudah dapat mendeteksi virus ini dengan nama JeNGKol.A (lihat gambar 3)

Gambar 3, Norman Security Suite mendeteksi virus JeNGKol sebarai Sasan.A sejak 30 Juli 2008

 

Jika komputer sudah terinfeksi, ia akan membuat beberapa file induk berikut:

  • %Drive%:\>JeNGKol.vbs

  • %DRive%:\>Autorun.inf

  • %Allfolder%:\>JeNGKol.vbs

  • C:\Documents and Settings\%user%\Favorites\JeNGKol.vbs

  • C:\Documents and Settings\%user%\Favorites\JeNGKol.lnk

  • C:\Windows\JeNGKol.vbs

Catatan:

%Drive% ini menunjukan Drive Hardisk (c:\ atau d:\)

%Allfolder% ini menunjukan folder/subfolder

%user% ini menunjukan user account yang sedang menggunakan komputer

 

Agar virus tersebut dapat aktif secara otomatis, ia akan membuat string pada registri berikut:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run

  • JeNGKol = C:\Documents and Settings\%user%\Favorites\JeNGKol.lnk

Tetapi file tersebut tidak dapat berjalan sempurna, karena terdapat error pada script yang ada pada file tersebut dengan memunculkan pesan error berikut : (lihat gambar 4)

 

Gambar 4, Error yang terdapat pada script virus.

 

Untuk mempertahankan diri, JeNGKol akan mencoba untuk memblok beberapa fungsi windows seperti : Run, Folder Options, Regedit, Search dan Task Manager. Untuk blok fungsi windows tersebut JeNGKol akan membuat string pada registry berikut:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer

- NoFileAssociate

- NOFInd

- NOFolderOptions

- NoRun

- NoDrives

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableCMD

- DisableRegedit

- RunLogonScriptSync

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

- NoDriveAutoRun = 03FFFFFF (hex)

- NoDrives

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

- DisableTaskMgr

- DisableRegedit

- RunLogonScriptSync

- EnableLUA

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp

- Disabled

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

- attrib.exe --> debugger = notepad.exe

- cmd.exe --> debugger = notepad.exe

- Install.exe --> debugger = notepad.exe

- msconfig.exe --> debugger = notepad.exe

- regedit.exe --> debugger = notepad.exe

- regedit32.exe --> debugger = notepad.exe

- setup.exe --> debugger = notepad.exe

- taskMgr.exe --> debugger = notepad.exe


Duplikat File

Virus ini akan mencoba untuk membuat file duplikat disetiap folder / subfolder dengan nama file sesuai dengan nama file yang ada pada folder / subfolder tersebut. Berikut ciri-ciri file duplikat yang akan dibuat oleh JeNGKol. (lihat gambar 5)

  • Icon JPEG

  • Ukuran 14 KB

  • Type File “JPEG Image”

Gambar 5, Duplikat file JeNGKol.

 

Selain itu virus ini akan mencoba untuk menyembunyikan file yang mempunyai ekstensi DOC, untuk mengelabui use ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan dengan ciri-ciri:

  • Icon JPEG

  • Ukuran 14 KB

  • Type File “JPEG Image”

Aksi lain yang dilakukan JeNGKol adalah, ia akan logoff jika user menjalankan file .INF (klik kanan INF file | klik Install) dan saat user edit file VBS. Virus ini juga akan merubah type file dari VBScript Script Files manjadi JPEG Image. (lihat gambar 6)

 

Gambar 6, JeNGKol merubah type file VBS menjadi JPEG Image

 

Windows File Protection

JeNGKol juga akan selalu memunculkan pesan “Windows File Protection” setiap saat seolah-olah Windows error atau terdapat file System Windows yang dihapus, sehingga user akan mengira bahwa komputer mengalami kerusakan. (lihat gambar 7)

 

Gambar 7, Error “Windows File Protection” yang diakibatkan oleh JeNGKol.

 

Media Penyebaran

Untuk menyebarkan dirinya, JeNGKol masih menggunakan Flash Disk / Disket dengan membuat file JeNGKol.vbs disetiap folder dan subfolder serta membuat file duplikat disetiap folder / subfolder sesuai dengan nama file yang ada di foldeer/subfolder tersebut.

 

Agar file ini dapat aktif secara otomatis tanpa bantuan manusia, JeNGKol akan memanfaatkan celah autoplay / autorun dari system operasi Windows dengan membuat file autorun.inf (lihat gambar 8). Script yang ada pada file ini akan menjalankan file dengan nama JeNGKol.vbs secara otomatis setiap kali flash disk dicolokkan ke komputer.

 

Gambar 8, Script Autorun.inf yang menjalankan virus secara otomatis ketika Flahs Disk di colokkan

 

Cara membersihkan JeNGKol :

  1. Putuskan komputer yang akan dibersihkan dari jaringan (LAN)

  2. Nonaktifkan "System Restore" selama proses pembersihan (Windows XP)

  3. Matikan proses virus. Untuk mematikan proses virus ini dapat menggunakan tools pengganti task manager seprti "Process explorer".

Silahkan downlod tools tersebut di alamat berikut:

http://download.sysinternals.com/Files/ProcessExplorer.zip (lihat gambar 10)

 

Gambar 10, Gunakan Process Explorer untuk mematikan proses virus JeNGKol.

  1. Hapus registri yang dibuat oleh virus. Untuk mempermudah proses penghapusan silahkan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.vbs, kemudiai Jalankan file tersebut (klik 2x)

Dim oWSH: Set oWSH = CreateObject("WScript.Shell")

on error resume Next

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Edit\Command\","C:\Windows\System32\notepad.exe %1"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\DefaultIcon\","C:\Windows\System32\WScript.exe,2"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command\","C:\windows\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\RunLogonScriptSync")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\HideLegacyLogonScripts")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\HideLogoffScripts")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\HideStartupScripts")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\RunStartupScriptSync")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run\JeNGKoL")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\NeverShowExt")

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\","VBScript Script File"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\FriendlyTypeName","VBScript Script File"

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\RunLogonScriptSync")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NOFind")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NORun")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\command.com\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe\debugger")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe\debugger")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer\DisallowRun\")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer\Run\")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\")

  1. Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri:

    • Menggunakan icon JPEG atau VBS

    • ukuran 14 KB

    • Type file JPEG Image atau VbScript Script File

Untuk mempermudah proses pencarian virus, silahkan gunakan fungsi Search windows. Jika fungsi Search masih belum muncul sebaiinya logoff komputer terlebih dahulu. Setelah itu tampilkan semua file yang tersebunyi dengan merubah setting Folder Option. perhatikan gambar berikut : (lihat gambar 11)

 

Gambar 11, Menampilkan file yang disembunyikan

 

Setelah menu Search muncul kemudian cari file duplikat virus. Untuk mempermudah dalam mencari file duplikat virus lakukan setting berikut pada layar Search Results

    • All or part of the file name = *.vbs

    • Looks in = lokasi drive (C:\ atau D:\)

    • What size is it = Specify size (in KB)

                1. At Most

                2. 15

Seteah semua file duplikat virus berhasil ditemukan hapus file yang mempunyai ciri-ciri seperti di atas.

  1. Untuk pembersihan optimal dan mencegah infeksi ulang, lindungi komputer anda dengan Norman Security Suite yang sudah dapat mendeteksi dan membasmi virus ini.

Salam,

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 3456850

Fx : 021 3456851