Virus Bangkit INDONESIA !!!

 

Ikuti Seminar Akhir Tahun Vaksincom "Evaluasi Malware 2009, Trend 2010 dan Antisipasinya

 

W32/VBWorm.YDT         23 November 2009

Jangan tanya apa yang bisa negara berikan kepada kita,

tapi apa yang bisa kita berikan untuk negara,

Bangkit INDONESIA !!!

 

 

Kampus Ku……

  • Kampusku Rumahku……Kampusku Negeriku……Kampusku Kebebasanku……Kampusku Wahana Kami……

  • Disana Kami Dibina……Menjadi Manusia Dewasa……Tapi Kini Apa Yang Terjadi……Kami Ditindas Semena-mena……

  • Berjuga Rakyat Menanti Tanganmu……Mereka Lapar Dan Bau Keringat……

  • Ku Sampaikan Salam-Salam Perjuangan……Kami Semua Cinta XXXX

  • Kaumku Mahasiswa……Dimana Kini Kau Berada……Belenggu Disisi Kirimu……Penjara Disisi Kananmu……

  • Berjuta Rakyat Menanti Tanganmu……Mereka Lapar Dan Bau Keringat……

  • Ku Sampaikan Salam-Salam Perjuangan……Kami Semua Cinta-Cinta XXXX

 

Salam Pembebasan……

 

Architecture By:

=> T I N S <=

T I N S <=> XXXX

 

Pengantar

Siapa lagi yang dapat diharapkan selalu idealis dan kritis sepanjang masa selain mahasiswa. Pada saat peralihan Orde Baru tercatat mahasiswa salah satu pihak yang berani menentang penguasa dan memaksakan pergantian rezim walaupun terkadang terjadi dengan pengorbanan darah dan airmata. Umur manusia boleh bertambah dan yang dulunya mahasiswa sekarang sudah tidak mahasiswa lagi, tetapi mahasiswa yang lulus selalu akan digantikan dengan mahasiswa baru dengan idealisme dan kekritisannya. Tercatat juga dalam perseteruan dua lembaga negara (atau lebih) yang banyak dianalogikan sebagai pertempuran cicak lawan buaya, sampai-sampai ada lomba banting buaya (karet) dan lomba makan roti buaya yang diadakan oleh pendukung salah satu lembaga yang berseteru, mahasiswa juga terlibat secara aktif membela lembaga yang menurut hati nuraninya benar. Bukan hanya dalam masalah negara yang besar, tetapi dalam masalah sehari-hari, dimana terjadi pemadaman listrik bergilir sampai-sampai PLN disingkat menjadi Perusahaan Lilin Negara atau sindiran yang banyak menyebar melalui internet, baik Facebook, email maupun Blackberry Chat dimana dikatakan bahwa PLN akan menghilangkan sama sekali pemadaman bergilir dan sebagai gantinya akan dilakukan penyalaan bergilir, mahasiswa juga beraksi menuntut perbaikan http://www.detiknews.com/read/2009/10/27/174354/1229648/10/protes-pemadaman-ratusan-mahasiswa-demo-pln-wilayah-riau.

Mungkin karena ke kritisan tersebut, walaupun melakukan hal yang sebenarnya kurang terpuji (membuat virus) namun positifnya adalah virus yang di deteksi Norman Security Suite sebagai W32/VBWorm.YDT mengubah header dari Windows Media Player menjadi :

 

Windows Media Player provided by KORUPTOR PENGHIANAT BANGSA !!! (LIHAT GAMBAR 9 DI BAWAH)

 

Serta menampilkan pesan yang dikutip dari pidato John F. Kennedy

 

“Ask not what your country can do for you; Ask what you can do for your country”

 

IIngin tahu lebih jauh ? Silahkan simak artikel yang dibuat oleh Vaksinis Aj Tau dibawah ini.

 

Secara umum virus ini tidak akan merusak data pada komputer yang terinfeksi, walaupun demikian ia akan menghilangkan beberapa fungsi windows seperti Disable /span> Registry Editor, menghilangkan menu Folder Options, Disable Task Manager dan fungsi Windows lainnya dengan tujuan agar user kesulitan untuk menghapus keberadaan virus tersebut. Virus ini mempunyai misi sosial dengan menampilkan sejumlah pesan baik pada saat komputer dinyalakan, saat user menjalankan aplikasi Internet Explorer atau pada saat screen saver Windows aktif. Virus ini juga akan mengganti halaman utama dari internet explorer dengan alamat web salah satu universitas sains yang cukup top di Jakarta. Apakah yang membuat adalah mahasiswa dari universitas ini dari bagian TINS … (Teknik Industri ??) …… walahualam.

 

Ciri-ciri komputer terinfeksi VVBworm YDT

  • Menampilkan pesan pada browser Internet Explorer. (lihat gambar 1)

    Gambar 1, Pesan yang akan di tampilkan pada saat Internet Explorer dijalankan

  • Mengganti halaman utama Internet Explorer dengan alamat  web http://istn.ac.id (lihat gambar 2)

    Gambar 2, Halaman utama yang akan ditampilan saat menjalankan IE

  • Menampilkan pesan sosial pada saat sreen saver Windows aktif. Screen saver ini akan aktif setiap 1 menit. (lihat gambar 3)

    Gambar 3, Pesan yang akan tampil saat Screen Saver Windows aktif

  • Menambahkan kata =>TINS<= pada format jam windows (lihat gambar 4)

    Gambar 4, Tulisan =>TINS<= yang diselipkan di sebelah jam.

 

  • Menampilkan pesan error berikut pada saat komputer dinyalakan/span> (lihat gambar 5)

    Gambar 5, Pesan error saat komputer di jalankan

 

Virus VB/span> dengan icon Winrar

Virus ini dibuat dengan menggunakan program bahasa Visual Basic dengan ukuran file mencapai 536 KB. Untuk mengelabui user ia akan menggunakan icon WINRAR (Winrar Self Extractor) dan menggunakan nama file [SOFWARE.EXE] sehingga user beranggapan bahwa file tersebut adalah kumpulan file software yang di kompres. File tersebut akan mempunyai type file sebagai “Application” sehingga jika dijalankan bukannya akan mengekstrak file tetapi langsung mengaktifkan virus. (lihat gambar 6)

 

Gambar 6, File induk VBWorm.YDT

 

Dengan update terakhir Norman Security Suite mengenali sebagai VBWorm.YDT. (lihat gambar 7)

 

Gambar 7, Norman Security Suite mendeteksi virus ini sebagai Worm:W32/VBWorm.YDT

 

Pada saat file virus di jalankan ia akan menampilkan layar berikut dan menjalankan file [C:\ C:\Program Files\Outlook Express\wab.exe], diperkirakan pesan ini dimunculkan supaya korbannya tidak curiga kalau komputernya sebenarnya sudah di infeksi virus (lihat gambar 7 dan 8)

 

GGambar 7, Dialog box pertama yang dimunculkan ketika virus dijalankan

 

Gambar 8, Dialog Box kedua yang dijalankan ketika virus diaktifkano:p>

 

Kemudian akan membuat beberapa file induk yang akan di jalankan pada saat komputer dinyalakan

  • %Drive%\:>software.exe

  • %Drive%\:>autorun.inf

  • C:\Windows\system32\explorer.exe

  • C:\Windows\atn.htm

  • C:\Windows\master.exe

  • C:\Documents and Settings\%user%\NetHood\software.exe

 

Catatan: %Drive%, menunjukan lokasi Drive [Contoh: C:\ atau D:\]

 

Agar salah satu file tersebut dapat dijalankan ia akan membuat string pada registry berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • explorer = C:\WINDOWS\system32\explorer.exe

 

Disable Aplikasi Utility Windows

Untuk mempersulit proses penghapusan, ia akan mencoba untuk mematikan beberapa aplikasi utility windows seperti Task Manager, CMD, Registry Editor atau Folder Options dan fungsi windows lainnya dengan membuat string pada registry berikut

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

    • NoDevMgrPage

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • NoFInd

    • NoRun

    • NoFolderOptions

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

    • DisableRegistryTools

    • DisableTaskMgr

    • DisableCMD

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

    • NeverShowExt

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

    • DisableCurrentUserRun

    • NoSaveSettings

 

Koruptor Penghianat Bangsa !!!

Walaupun melumpuhkan beberapa fungsi windows di atas, tetapi kelihatannya pembuat vvirus ini tidak melakukan perusakan terhadap data user. Virus ini akan lebih banyak menampilkan pesan sosial baik pada saat komputer dinyalakan atau pada saat screen saver Windows aktif,

  • Pesan sosial saat Screen Saver aktif yang akan di aktifkan setiap 1 (satu) menit sekali, dengan membuat string pada registry berikut:

 

HKEY_CURRENT_USER\Control Panel\Desktopo:p>

-          SCRNSAVE.EXE = C:\WINDOWS\system32\\ssmarque.scr

 

HKEY_CURRENT_USER\Control Panel\Screen Saver.Marquee

-          Text = Jangan tanya apa yang bisa negara berikan kepada kita, tapi apa yang bisa kita berikan untuk negara, Bangkit INDONESIA !!! (lihat gambar 3 di atas)

 

  Mengubah Header Windows Media Player (lihat gambar 9) dengan terlebih dahulu membuat string pada registry berikut

 

HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsMediaPlayer

            - TitleBar = KORUPTOR PENGHIANAT BANGSA !!!

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsMediaPlayer

-          TitleBar = KORUPTOR PENGHIANAT BANGSA !!!

 

Gambar 9, Header Windows Media Player akan ditambahi tulisan “provided by KORUPTOR PENGHIANAT BANGSA !!!

 

  Virus ini juga akan merubah format tampilan jam seperti yang terlihat pada gambar 4 di atas dengan terlebih dahulu merubah string pada registry berikut

 

HKCU\Control Panel\International

            - s1159= =>TINS<=

            - s2359= =>TINS<=

 

  Menampilkan pesan pada sebuah file html dengan nama [atn.htm] yang akan ditampilkan pada saat komputer dinyalakan (lihat gambar 1 di atas)

 

VBWorm.YDT juga akan meninggalkan jejak lain dengan merubah nama pemilik windows menjadi =>TINS<= (lihat gambar 10) dengan merubah string pada registry berikut

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

            - RegisteredOrganization =""

            - RegisteredOwner = =>TINS<=

 

Gambar 10, Nama pemilik Windows yang telah di ubah oleh VBWorm.YDT

 

Kampus ISTN

Sebagai penutup ia akan merubah halaman awal pada Internet Explorer dengan mempromosikan alamat sebuah kampus sains (lihat gambar 2 di atas) dengan terlebih dahulu merubah string pada registry berikut :

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

-          Start Page = http://istn.ac.id

 

Dengar MP3 malah menjalankan virus

Virus ini memiliki cara yang unik tetapi cukup cerdik dalam menyebarkan dirinya, dimana setiap kali user mengjalankan file MP3, malahan akan mengaktifkan file C:\Windows\master.exe yang sebenarnya adalah file virus.

Untuk melakukan hal tersebut ia akan merubah string pada registry berikut:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp3file

            - DEFAULT = STOP PEMBAJAKAN

            - ""  =  STOP PEMBAJAKAN

            - MPlayer2.BAK = STOP PEMBAJAKAN

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp3file\DefaultIcon

            - Default = C:\WINDOWS\master.exe,1

 

HKEY_CLASSES_ROOT\mp3file

            - DEFAULT = STOP PEMBAJAKAN

            - ""  =  STOP PEMBAJAKAN

            - MPlayer2.BAK = STOP PEMBAJAKAN

 

HKEY_CLASSES_ROOT\mp3file\DefaultIcon

            - Default = C:\WINDOWS\master.exe,1

 

Media Penyebaran

Untuk menyebarkan dirinya, ia akan memanfaatkan fungsi autorun Windows sehingga ia akan aktif secara otomatis saat user mengakses drive dengan terlebih dahulu membuat file [autorun.inf] dan [software.exe] disetiap drive termasuk di Flash Disk. Script [autorun.inf] ini akan menjalankan file virus yang yang di simpan di drive yang sama dengan nama [software.exe] (lihat gambar 11)

 

Gambar 11, Script autorun yang akan menjalankan virus secara otomatis

 

Cara membasmi VBWorm.YDT

  1. Disable System Restore saat proses pembersihan dilakukan

  2. Matikan proses yang aktif di memori dengan menggunakan tools pengganti Task Manager seperti Security Task Manager, silahkan download tools tersebut di alamat berikut: http://www.neuber.com/taskmanager/download.html

 

Kemudian matikan proses yang mempunyai icon [WINRAR Self Extractor]. (lihat gambar 12)

 

Gambar 12, Mematikan proses virus dengan menggunakan Security Task Manager

 

  1. Fix registry yang telah di ubah oleh virus, untuk mempercepat proses perbaikan registry, salin script dibawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.INF. Jalankan file  tersebut dengan cara:

-          Klik kanan REPAIR.INF

-          Klik Install

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, Software\Microsoft\Internet Explorer\Main, tart Page,0, "about:blank"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner"

HKCU, Control Panel\International, s1159,0 "AM"

HKCU, Control Panel\International, s2359,0, "PM"

HKCU, Control Panel\Desktop, SCRNSAVE.EXE,0, ""

HKCU, Control Panel\Screen Saver.Marquee, text,0, "Your text goes here."

HKLM, SOFTWARE\Classes\mp3file,,,"MP3 Format Sound"

HKLM, SOFTWARE\Classes\mp3file\DefaultIcon,,,"C:\PROGRA~1\WINDOW~3\wmplayer.exe,-120"

HKCR, mp3file\DefaultIcon,,,"C:\PROGRA~1\WINDOW~3\wmplayer.exe,-120"

 

 

bb[del]

HKLM, SOFTWARE\Classes\mp3file,""

HKLM, SOFTWARE\Classes\mp3file,MPlayer2.BAK

HKCR, mp3file,""

HKCR, mp3file,MPlayer2.BAK

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies, NoDevMgrPage

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFInd

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, DisableCurrentUserRun

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoSaveSettings

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, DisableTaskMgr

HKLM, SOFTWARE\Classes\exefile, NeverShowExt

HKCU, Software\Policies\Microsoft\WindowsMediaPlayer, TitleBar

HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsMediaPlayer, TitleBar

 

  1. Hapus file virus yang berada di ditektori

-          %Drive%\:>software.exe

-          %Drive%\:>autorun.inf

-          C:\Windows\system32\explorer.exe

-          C:\Windows\atn.htm

-          C:\Windows\system.exebbbbb

-          C:\Documents and Settings\%user%\NetHood\software.exe

 

Sebelum menghapus file tersebut, tampilkan terlebih dahulu file yang tersembunyi dengan merubah setting pada Folder Options dengan cara (lihat gambar 13) :

-          Buka Windows Explorer

-          Klik menu [Tools]

-          Klik menu [Folder Options]

-          Klik tabulasi [View]

-          Pilih opsi [Show hidden files and folders]

-          Hilangkan tanda centang pada opsi [Hide protected operating system files (recommended)]

-          Klik tombol [Apply]

-          Klik tombol [Ok]

 

Gambar 13, Menampilkan file yang tersembunyi

 

  1. Untuk pembersihan optimal dan mecegah infeksi ulang, silahkan scan dengan antivirus yang sudah dapat mendeteksi virus ini dengan baik

 

Silahkan download Norman Securit Suite di alamat berikut

http://www.norman.com/downloads/home/58573/en-us

 

Atau download Norman Malware Cleaner di alamat berikut

http://www.norman.com/support/support_tools/58732/en-us

 

 

 

salam,

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 3456850

Fx : 021 3456851