Trojan:Dloader.ERQB 3 Januari 2009

SEMANGAT !! Jangan sampai “tanpa harapan” di Tahun Baru

 

Jika anda pengguna komputer dan kebetulan “kepingin” menjadi hacker, harap berhati-hati jika menemui folder (palsu) dengan nama “Credit Card”, “Hack” dan “XXX” dan jangan sekali-kali dijalankan karena komputer anda akan menjadi “tanpa harapan” karena terinfeksi virus Hopeless 2008.

Jika penyebaran virus/trojan mancanegara sudah mencapai tingkat krusial, maka lain lagi dengan virus lokal. Tidak mau kalah, melanjutkan rekan-rekannya sesama virus lokal maka telah menyebar jenis virus “Hopeless” part II. Virus Hopeless sebenar-nya telah muncul pada akhir tahun 2007 lalu, dan kali ini melanjutkan pendahulunya yang kembali muncul pada akhir tahun 2008 ini.

Norman Security Suite mendeteksi varian “Hopeless” part II tsb dengan nama Dloader.ERQB. (lihat gambar 1)

Gambar 1. Norman Security Suite mendeteksi varian baru virus sebagai Dloader.ERQB.

 

Karakteristik Virus

Berbeda dengan pendahulunya, virus ini dibuat dengan script bahasa BASIC menggunakan software Autoit versi 3 yang kemudian di kompress dengan program UPX. Dengan program UPX, virus dapat di kompress sehingga ukurannya tidak terlalu besar dan dapat memudahkan dalam penyebaran. Tujuan mengkompres ukuran ini adalah karena makin kecil ukuran file suatu virus, akan makin mudah di sebarkan. (lihat gambar 2)

 

Gambar 2. Informasi script program virus “Hopeless”.

 

Setelah di kompress dengan UPX, virus memiliki ciri-ciri sebagai berikut : (lihat gambar 3)

  • Menggunakan icon folder

  • Ukuran file 247 kb

  • Extension file *.exe

  • Type file “Application”

Gambar 3. Contoh file virus “Hopeless

 

Jika sudah terinfeksi virus “Hopeless”, maka virus akan menimbulkan gejala berikut : (lihat gambar 4)

  • Blok beberapa fungsi windows seperti Task Manager, Command Prompt dan Registry Editor.

  • Menghilangkan fungsi windows seperti Run, Find, Folder Options dan Log Off

Gambar 4. Fungsi yang dihilangkan Hopeless

  • Membuka jendela IE tambahan (jika kita membuka jendela IE) dengan link URL http://wewe.helo_iam_hopeles_.com (lihat gambar 5)

Gambar 5. Jendela IE tambahan yang dibuka oleh virus “Hopeless

  • Duplikasi file virus pada seluruh drive dan folder (baik root maupun sub folder)

File virus dan penyebarannya

Jika virus “Hopeless” berhasil menginfeksi, maka virus akan membuat file virus diantaranya :

  • C:\WINDOWS\system32\find..exe

  • C:\WINDOWS\system32\spool\idle.exe

  • Credit Card.exe (Pada root drive lain seperti D:, E:, ataupun pada flashdisk)

  • Hack.exe (Pada root drive lain seperti D:, E:, ataupun pada flashdisk)

  • XXX ((Pada root drive lain seperti D:, E:, ataupun pada flashdisk)

  • Duplikasi file virus pada seluruh folder dan sub folder

Sama seperti virus lokal umumnya, virus “Hopeless” akan menyebar melalui media usb flash/external drive. Selain menyertakan 3 file utama virus, juga akan menduplikasi file virus pada semua folder. (lihat gambar 6)

Gambar 6. Virus menginfeksi usb flash/external drive

 

Manipulasi Registry Windows

Agar dapat aktif saat komputer dijalankan, virus akan membuat string registry sebagai berikut :

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Repair = C:\WINDOWS\system32\spool\Idle.exe

 

Untuk menghilangkan beberapa fungsi windows, virus membuat string berikut :

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer

NoFind = 1

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer

NoFolderOptions = 1

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer

NoRun = 1

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer

StartMenuLogoff = 1

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\Explorer

NoFolderOptions = 1

 

Untuk melakukan blok beberapa fungsi windows, virus membuat string berikut :

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System

DisableRegistryTools = 1

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System

DisableTaskMgr = 1

 

Cara pembersihan virus Dloader.ERQB

  • Putuskan hubungan komputer yang akan dibersihkan dari jaringan.

  • Sebaiknya lakukan pembersihan pada mode safe mode.

  • Matikan proses virus, gunakan tools pengganti task manager, seperti Itty Bitty Process Manager :

Gambar 7. Delete dan Unlock file yang inject proses di system

 

Lakukan kill process, pada file virus yang aktif yaitu :

  • C:\WINDOWS\system32\spool\idle.exe

  • Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, StartMenuLogoff

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Repair

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Repair

 

Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

 

Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

  • Hapuskan file induk serta file duplikat yang telah dibuat oleh virus “Hopeless”, dimana file tsb mempunyai ciri-ciri sebagai berikut :

    • Ukuran file 247 kb

    • Icon file folder

    • Extension file *.exe

    • Type file “Application”

Catatan : untuk mempermudah penghapusan dapat menggunakan fasilitas [search]

  • Untuk pembersihan yang optimal dan mencegah infeksi ulang, gunakan antivirus yang sudah dapat mengenali virus dengan baik.

Ad Sap

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 345 6850

Fx : 021 345 6851