 |
 |
 |
 |
 |
 |
 |
|||||||
 |
|
||||||||||||
 |
 |
 |
|
||||||||||
 |
|
||||||||||||
 |
|
||||||||||||
 |
 |
 |
 |
 |
 |
 |
 |
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
W32/VBWorm.QTT aka Koplaxz 11 Desember 2008
Mengacaukan Icon dan type file MS Office
Para pengguna komputer Indonesia, khususnya yang memiliki banyak file MS Office, harap berhati-hati karena saat ini sedang menyebar virus lokal dengan target file MS Office dengan cara mengganti icon file dan type file. Virus ini cukup merepotkan (setidaknya menyebabkan jantung anda dag dig dug) tetapi kabar baiknya pembuat virus ini tidak sejahat KEspo sehingga tidak menginjeksi atau menghancurkan file MS Office komputer korbannya.
Virus ini dibuat dengan menggunakan Visual Basic, dengan ukuran sekitar 31 KB. Untuk mengelabui user ia akan menggunakan icon “Windows Media Player Classic” dengan type file sebagai “Application”. (lihat gambar 1)
Gambar 1, File induk K0pL4xZ
Dengan update terbaru Norman Security Suite mendeteksi sebagai VBWorm.QTT
Gambar 2, Norman mendeteksi K0pL4xZ sebagai W32/VBWorm.QTT
Ciri-ciri Koplaxz
-
Merubah icon Windows dari icon “folder” menjadi icon “Control Panel “ serta merubah isi dari folder Windows tersebut menjadi isi yang ada pada menu “Control Panel”, perhatikan gambar 3 di bawah ini:
Gambar 3, K0pL4xZ merubah icon dan isi folder Windows
-
Merubah Type File serta icon shortcut aplikasi MS.Office (lihat gambar 4 dan 5)
-
Shortcut asli
Shortcut sesudah di ubah
Icon
Text Document
Catatan_KopLaxZ
Microsoft Excel WorkSheet
KopLaXz@KudoShop
Microsoft PowerPoint Presentation
KopLaXz@KudoShop
Microsoft Access Application
KopLaXz@KudoShop
Microsoft Word Document
Application
Gambar 4, Icon file yang diubah oleh K0pL4xZ
Gambar 5, Nama dan Icon Shortcut yang sudah diubah oleh K0pL4xZ
-
Merubah nama pemilik komputer menjadi KUDO_SHOP (lihat gambar 6)
Gambar 6, Nama registred to Windows dirubah menjadi KUDO_SHOP
-
Merubah “start page” dan “search page” Internet Explorer (lihat gambar 7)
Gambar 7, Halaman IE yang diubah oleh Koplaxz
-
Menampilkan pesan berikut saat menjalankan fungsi Windows
-
Search file/folder, akan menampilkan pesan HayOooO,,, mau Nyari Apaan Luuwh???Nyari WesWeWhH lah ??? Gak Boleh tau DOSA (lihat gambar 8)
Gambar 8, Pesan yang ditampilkan Koplaxz saat pengguna komputer menjalankan search.
-
Uncheck opsi Hide file extentions for known file types akan menampilkan pesan AduH,,,Lo jangan sok Tau dwEEh,,Luwh_Tuwh SombOng bGtz DasAr KopLaXz kurang KerJaan!!!! (lihat gambar 9)
Gambar 9, Pesan yang muncul saat uncheck opsi Hide File Extentions for known File Types dari Folder Options.
-
Uncheck opsi Hide protected operating system file (recommended) akan menampilkan pesan Hayooooo,,,Mo Ngapain Sih Loo ??? Ga Sopan Tau ,,Dasar KOPLAXZ !!!!biLangiN KeManAjer KUDO nIh Luwh_Tuwh SombOng bGtz PeCat Aja Si_JonGoz!!!! (lihat gambar 10)
Gambar 10, Pesan yang ditampilkan saat uncheck opsi “Hide protected operating system file (recommended) dari Folder Options.
File induk Koplaxz
Pada saat file tersebut dijalankan ia akan membuat banyak file yang salah satunya akan dijalankan pada saat komputer di aktifkan, berikut beberapa file induk yang akan dibuat oleh Koplaxz:
-
C:\Documents and Settings\%user%\Start Menu\Programs\Startup
-
Winhelp.exe
-
-
C:\Documents and Settings\%user%\Start Menu\Programs
-
Hellloo_Gheea.exe
-
-
C:\Documents and Settings\%user%\My Documents
-
Jangan_Dihapus_Apalagi_Dibuka.exe
-
-
C:\Documents and Settings\%user%\Start Menu
-
Koplaxz Kudo Shop.exe
-
-
C:\Documents and Settings\%user%\Start Menu\Programs
-
Hellloo_Gheea..exe
-
-
C:\Windows
-
TourWindowsXP.exe
-
svchost.exe
-
Kudo.com
-
command32.pif
-
KopLaXz@KudoShop.exe
-
-
C:\F4HM1_KudO_M4n4j3r.exe
-
C:\G0d3G.exe
-
C:\Ghe@_i_miss_u.3gp.exe (All Drive)
-
C:\K0pL4xZ.exe
-
c:\K 0 P L 4 X Z.exe
-
C:\KopLaXz@KudoShoP.exe (All Drive)
-
C:\R0n13G4N_G3Ndut_S3xY.exe
-
C:\R3eve5.exe
-
C:\K0pL4xZ@KudoShop (All Drive)
-
folder.htt
-
msvbvm60.dll
-
K0pL4xZ.exe
-
-
C:\K0pl4xZ@KudoShop\K0pL4xZ.exe
-
C:\[spasi] WINDOWS\System_FriendZ_KopLaXz32
-
F4HM1_KudO_M4n4j3r.exe
-
G0d3G.exe
-
K 0 P L 4 X Z.exe
-
R0n13G4N_G3Ndut_S3xY
-
R3eve5.exe
-
-
C:\ [spasi] Windows\Zx4Lp0K.html
-
c:\WIndows\system32\smkn2majalengka.scr
-
C:\Windows\system32\PCMAV.exe
-
C:\Windows\system32\Asholest.exe
-
C:\Documents and Settings\%user%\SendTo\KoPLaXzKudo(e-mail).exe
-
C:\Autorun.inf (semua Drive)
-
C:\Desktop.ini (semua Drive)
-
C:\A Letter 4 Ghe@.txt (semua Drive)
-
C:\K0pL4xZ@kUdO_5h0P.txt
-
C:\Documents and Settings\All Users\Desktop\A Letter 4 Ghe@.inf
-
C:\WIndows\desktop.ini (file untuk merubah icon windows menjadi icon control panel)
Autostart Registry
Untuk memastikan agar dirinya dapat aktif secara otomatis setiap kali komputer dinyalakan ia akan membuat string pada registrt berikut:
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-
System = C:\WINDOWS\System32\PCMAV.exe
-
Disable Fungsi Windows
Seperti yang banyak dilakukan oleh virus lokal lainnya, K0pL4xZ juga akan mencoba untuk melakukan blok fungsi windows seperti Regedit/msconfig/task manager/system restore atau Folder Option serta tools security sebagai bentuk pertahanan dirinya. Untuk blok fungsi Windows tersebut ia akan membuat string pada registry berikut:
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-
NoFolderOptions = 1
-
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-
DisableCMD
-
DisableRegistryTools
-
DisableTaskMgr
-
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
-
HIdden = 1
-
HideFileExt = 1
-
SuperHidden = 0
-
ShowSuperHidden = 1
-
-
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
-
DisableCMD = 2
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
-
DisableRegistryTools
-
DisableTaskMgr
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
-
DisableConfig
-
DisableSR
-
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
-
NoDeletingComponents = 1
-
NoEditingComponents = 1
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
-
UncheckedValue = 1
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
-
UncheckedValue = 0
-
K0pL4xZ juga akan mencoba untuk merubah pesan jika user mencoba untuk menjalankan fungsi Search Windows atau uncheck opsi “Hide file extentions for known file types” dan “Hide protected operating system file (recommended)”, lihat gambar 8, 9 dan 10 di atas.
Untuk melakukan hal tersebut ia akan merubah string pada registry berikut:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
-
UncheckedValue = 1
-
WarningIfNotDefault = AduH,,,Lo jangan sok Tau dwEEh,,Luwh_Tuwh SombOng bGtz DasAr KopLaXz kurang KerJaan!!!!
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
-
UncheckedValue = 0
-
WarningIfNotDefault = Hayooooo,,,Mo Ngapain Sih Loo ??? Ga Sopan Tau ,,Dasar KOPLAXZ !!!!biLangiN KeManAjer KUDO nIh Luwh_Tuwh SombOng bGtz PeCat Aja Si_JonGoz!!!!
-
Menguasai Internet Explorer
Untuk menunjukan eksitensinya VBorm.QTT juga akan merubah judul Internet Explorer menjadi “KOPLAXZ_KUDO_SHOP_LUUPH_CLASS_MILD” serta merubah halaman utama setiap kali user membuka program “Internet Explorer” dengan menampilkan pesan dari sang pembuat virus serta merubah “Search Page” dengan terlebih dahulu merubah string pada registry berikut : (lihat gambar 7 di atas)
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Window Title = KOPLAXZ_KUDO_SHOP_LUUPH_CLASS_MILD
- Start Page = C:\ WINDOWS\Zx4Lp0K.htm
- Search Page = http://profiles.friendster.com/kopl4xzcyb3ruch1h4
Menguasai komputer korban
Selain merubah judul “Internet Explorer” K0pL4xZ juga akan merubah nama pemilik Windows menjadi KUDO_SHOP. Untuk melakukan hal tersebut ia membuat string pada registry berikut : (lihat gmbar 6)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- RegisteredOrganization = 4r1_KopLaxZ
- RegisteredOwner = KUDO_SHOP
Pesan dari K0pL4xZ
Ibarat
kata pepatah (orang IT) “Cinta di tolak, Virus bertindak”,
kelihatannya pembuat virus ini sedang patah hati dan berumur pendek
(karena suka merokok), karena tak ketinggalan K0pL4xZ juga akan
meninggalkan pesan untuk sang kekasih. Pesan ini akan di simpan dalam
sebah file yang di dibuat di Root Drive (c:\ atau D:\) serta di
“Flash Disk” dengan nama file “A Letter 4
Ghe@.txt”
, “K0pL4xZ@kUdO_5h0P.txt” , “C:\[spasi]
Windows\Zx4Lp0K.html” (lihat gambar 11, 12 dan 13)
Gambar 11, Pesan patah hati A letter 4 Ghe@ yang di sampaikan K0pL4xZ
Gambar 12, Pesan dari file K0pL4xZ@kUd0_5h0P.txt
Gambar 13, Apakah pembuat virus ini juga jualan rokok ?
Merubah icon dan type file MS.Office
K0pL4xZ akan membuat file Office seperti MS. Word/Ms.Excel/MS. Power Point/Ms.Access/txt file serta EXE File manjadi kacau dengan merubah icon serta type file walaupun sebenarnya file tersebut masih bisa di buka. (lihat gambar 4 dan 5 di atas)
Untuk melakukan hal tersebut, K0pL4xZ akan merubah beberapa string pada registry berikut:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile
-
FriendlyTypeName = Catatan_KopLaxZ
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Word.Document.8
-
[default] = Application
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Word.Document.8\DefaultIcon
-
[default] = C:\WINDOWS\system32\cmd.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PowerPoint.Show.8
-
default = KopLaXz@KudoShop
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PowerPoint.Show.8\DefaultIcon
-
default = C:\WINDOWS\NOTEPAD.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.8
-
Default = KopLaXz@KudoShop
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.8\DefaultIcon
-
Default = C:\WINDOWS\regedit.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Access.Application.11
-
Default = KopLaXz@KudoShop
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Access.Application.11\DefaultIcon
-
C:\WINDOWS\KopLaXz@KudoShoP.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
-
FriendlyTypeName = 3GP File
-
Tak Cuma itu saja, K0pL4xZ juga akan merubah icon serta isi folder “Windows” manjadi icon “Control Panel” seperti terlihat pada gambar 14 dibawah ini:
Gambar 14, Icon dan isi folder Windows yang sudah oleh K0pL4xZ
Untuk merubah icon dan isi dari folder “Windows” tersebut, K0pL4xZ akan menanamkan file dengan nama “Desktop.ini” di direktori “C:\Windows”
Sebagai langkah terakhir ia akan menyembunyikan isi semua file yang ada di drive selain drive master (contoh Drive D:\), lihat gambar 15
Gambar 15, K0pL4xZ menyembunyikan file di drive selain drive master
Media Penyebaran (Flash Disk) dan memiliki copy backup MSVBVM60.dll
Untuk mempermudah
penyebarannya ia akan menggunakan media “Flash Disk”
dengan memanfaatkan fitur autorun Windows dengan cara membuat file
autorun.inf, Desktop.ini dan Folder.htt sehingga virus ini akan
langsung aktif ketika Flash Disk dihubungkan ke komputer atau saat
user akses ke Flash Disk.
Jika diperhatikan lebih detail file [autorun.inf] akan menjalankan file KopLaXz@KudoShoP.exe. Sedangkan file [Desktop.ini] akan menjalankan file [Folder.htt] yang ada di direktori [%FlashDisk%:\>K0pL4xZ@KudoShop]. Folder.htt ini akan menjalankan file [%FlashDisk%:\> K0pL4xZ@KudoShop\K0pL4xZ.exe], agar file ini dapat dijalankan tanpa ketergantungan dengan file “msvbvm60.dll” yang ada di direktori [C:\Windows\system32] K0pL4xZ akan copy file msvbvm60.dll ke direktori [%FlashDisk%:\>K0pL4xZ@KudoShop] (lihat gambar 16, 17 dan 18 dibawah ini).
Selain itu K0pL4xZ juga akan membuat file [Ghe@_i_miss_u.3gp.exe] dan meninggalkan sebuah pesan yang dituangkan dalam sebuah file dengan nama [A Letter 4 Ghe@.txt]. (lihat gambar 11 di atas)
Gambar 16, Script Autorun.inf
Gambar 17, Script Desktop.ini
Gambar 18, Script Folder.htt
Catatan:
%FlashDisk% adalah lokasi Flash Disk, contohnya drive [F:\]
Cara membasmi K0pL4xZ
-
Putuskan komputer yang akan dibersihkan dari jaringan (LAN)
-
Matikan "System Restore" selama proses pembersihan.
-
Matikan proses virus yang aktif di memory. Gunakan tools KillVB untuk mematikan proses di memory.
Silahkan downlod tools tersebut di alamat berikut: (lihat gambar 18)
http://www.compactbyte.com/brontok/killvb.zip
Gambar 18, Mematikan proses virus menggunakan KillVB
-
Fix registry yang sudah di ubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program “notepad” kemudian simpan dengan nama "Repair.inf". Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Classes\exefile,,,application
HKCU, Software\Microsoft\Internet Explorer\Main, start page,0, "about:blank"
HKCU, Software\Microsoft\Internet Explorer\Main, Search Page,0, "about:blank"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner"
HKLM, SOFTWARE\Classes\txtfile, FriendlyTypeName,0, "@C:\Windows\system32\notepad.exe,-469"
HKLM, SOFTWARE\Classes\Word.Document.8,,,"Microsoft Word Document"
HKLM, SOFTWARE\Classes\Word.Document.8\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe,1"
HKLM, SOFTWARE\Classes\PowerPoint.Show.8,,, "Microsoft PowerPoint Presentation"
HKLM, SOFTWARE\Classes\PowerPoint.Show.8\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\pptico.exe,1"
HKLM, SOFTWARE\Classes\Excel.Sheet.8,,,"Microsoft Excel Worksheet"
HKLM, SOFTWARE\Classes\Excel.Sheet.8\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\xlicons.exe,1"
HKLM, SOFTWARE\Classes\Access.Application.11,,,"Microsoft Office Access Application"
HKLM, SOFTWARE\Classes\Access.Application.11\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\accicons.exe,1"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt, 0x00010001,0
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden, 0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,WarningIfNotDefault,0,"@shell32.dll,-28964"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DIsablecmd
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableTaskMgr
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, System
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
HKCU, Software\Policies\Microsoft\Windows\System, DisableCMD
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, WarningIfNotDefault
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run, cintaku
HKLM, SOFTWARE\Classes\exefile, FriendlyTypeName
-
Hapus file “C:\Windows\desktop.ini” (file yang berfungsi untuk merubah icon Windows menjadi icon Control Panel). Gunakan dos prompt untuk menghapus file tersebut.
-
Cari dan hapus file induk virus di Hard Disk dan Flash Disk dengan terlebih dahulu menampilkan file yang tersembunyi. Untuk mempcepan pencarian gunakan fungsi “Search Windows”.
Kemudian hapus file induk virus yang mempunyai ciri-ciri:
-
Icon "Windows Media Player" clasic / 3GP Video Format
-
Ukuran 31 KB
-
Ekstensi EXE, PIF, COM dan SCR
-
Type file "Application"
Hapus juga file berikut
-
C:\Autorun.inf (setiap root drive: c:\ atau D:\)
-
C:\Desktop.ini (setiap root drive: c:\ atau D:\)
-
c:\A Letter 4 Ghe@.txt (setiap root drive: c:\ atau D:\)
-
C:\K0pL4xZ@kUdO_5h0P.txt (setiap root drive: c:\ atau D:\)
-
C:\K0pL4xZ@KudoShop (disetiap root drive dan Flash Disk)
-
C:\Documents and Settings\All Users\Desktop\A Letter 4 Ghe@.inf
-
C:\[spasi] WINDOWS
-
C:\[spasi] WIndows\Zx4Lp0K.html
-
Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan menggunakan Antivirus yang up-to-date seperti Norman Security Suite.
Jika anda ingin mencoba Norman Security Suite, silahkan download di url
http://www.norman.com/Download/Trial_versions/
salam,
Aj Tau
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 345 6850
Fx : 021 345 6851