» From Lampung With Love
W32/Obfuscated.A!genr
21 Juni 2010
Virus Cuakep yang bikin korbannya pucat
Until
this second.., until this minute.., and until today, I still
love U.
When
everything’s make me broken.. I just want you don’t know who
I am..
Maybe, you never be mine, and I always to lonely..
Such
a lonely day.., the most loneliest day of my life.
And
if The time is coming.., I just want nobody know about me.
Sometime.. I look in your direction, although you pay me no
attention.
You
never know how much I need U, and also you never seen me.
I’ll
always be waiting for U.., and always to Loving U..
Thanx
for all the thing that make me sick..
F_Rom
L4mpUN6 ‘with L0;v3
Bagi
sebagian besar
pengguna komputer, gambar atau foto digital merupakan
salah satu bentuk data yang sangat
berharga. Tidak hanya untuk anda yang berkecimpung dalam
bidang usaha yang berhubungan dengan data digital seperti
desainer grafis, tetapi pengguna komputer yang awam
sekalipun dapat dipastikan memiliki data digital yang
berharga seperti foto keluarga, kenangan jalan-jalan, foto
kelahiran anak, pernikahan dan sunatan yang sekali hilang,
tidak akan dapat tergantikan oleh uang berapapun besarnya.
Hal ini diperkuat dengan
trend
penggunaan gambar dalam berbagai aktivitas
jejaring sosial seperti
Friendster,
Facebook dan
Twitter sudah umum digunakan. Bagi pengguna yang bergabung dalam
forum dan milis (mailing list) pun juga dapat menyertakan
foto atau gambar sebagai identitas. Jika dahulu semua
dilakukan secara manual dengan menggambar di
atas kertas, kini dapat dilakukan dengan komputer. Bahkan
jika penggunaan foto harus dilakukan dengan cetak film, maka
sekarang anda dapat melakukan transfer file via komputer
atau internet.
Jika anda sering menggunakan gambar atau foto digital tentu
akan sangat khawatir jika terjadi kehilangan atau perubahan
pada gambar atau foto digital yang anda miliki. Apalagi jika
sebelumnya anda sering mendengar serangan virus lokal “amburadul”
yang cukup populer bagi pengguna komputer di Indonesia.
Virus yang ampuh dalam menyembunyikan gambar serta membuat
file gambar palsu (padahal virus) ini cukup mampu membuat
panik user yang memiliki gambar atau foto digital. Hal ini
kemungkinan menjadi inspirasi bagi para pembuat virus lokal
yang lain, yang membuat jenis virus yang memiliki
kharakteristik yang sama. Dan bagi anda yang memiliki foto
dan gambar digital,
khususnya yang mudah jantungan
harap
siaga menjaga detak jantung anda karena telah menyebar salah satu varian virus yang
memiliki kharakter yang sama yaitu dengan nama “Cuakep”.
Jika anda Dengan update terbaru
Norman Security Suite
mendeteksi varian virus lokal ini dengan nama
W32/Obfuscated.A!genr.
(lihat gambar 1)
Gambar 1. Norman Security Suite dengan fitur DNA Matching
mendeteksi varian baru virus “Cuakep”
GEJALA & EFEK VIRUS
Beberapa gejala dan efek yang terjadi jika anda terinfeksi
varian virus cuakep
yaitu sebagai berikut :
ü
Duplikasi file JPEG
Jika anda memiliki file gambar atau foto digital dengan
format JPEG, maka file akan disembunyikan (hidden)
dan yang akan muncul adalah file virus dengan nama yang sama
tetapi
ekstensi
file yang berbeda.
(lihat gambar 2)
Gambar 2. File virus menduplikasi file gambar atau foto
digital dengan format JPEG
ü
Membuka file gambar wanita cantik
Jika kita secara tidak sengaja menjalankan file virus
tersebut, tidak hanya file virus yang aktif melainkan akan
membuka sebuah gambar wanita cantik
untuk mengalihkan perhatian korbannya.
File gambar inilah yang seolah-olah menggantikan file gambar
kita yang sebelumnya.
(lihat gambar 3)
Gambar 3. File gambar wanita cantik yang terbuka saat kita
menjalankan file virus.
ü
Disable Folder Options
Untuk mencegah akses user agar dapat menampilkan file gambar
atau foto digital yang asli, virus melakukan blok dengan
cara menyembunyikan menu
Folder Options pada Windows
Explorer.
(lihat gambar 4)
Gambar 4. Menu Folder Options yang disembunyikan
ü
Disable Registry, Command Prompt dan Task Manager
Untuk mencegah akses user agar
tidak dapat mematikan proses virus dan mengembalikan fungsi
Windows menjadi seperti semula, virus melakukan blok
beberapa fungsi administrasi komputer
agar tidak dapat dijalankan. Fungsi-fungsi tersebut tidak
dapat dijalankan dengan baik, hanya akan memunculkan sebuah
pesan bahwa telah dimatikan oleh “administrator”
komputer.
(lihat gambar 5)
Gambar 5. Salah satu fungsi Windows yang telah di blok oleh
virus
ü
Disable System Restore dan Disable MSI Installer
Pada umumnya jika komputer anda terinfeksi virus, anda dapat
mengembalikan ke semula dengan memanfaatkan fitur Windows
yaitu System Restore. Dengan fitur ini, kita dapat
mengembalikan pada waktu-waktu tertentu yang kita inginkan
sebelum terinfeksi virus. Virus “cuakep”
mencegah hal ini dengan mematikan fungsi
System Restore.
Selain itu virus juga mencegah user melakukan instalasi
program atau software
lain, dengan melakukan blok pada MSI Installer.
(lihat gambar 6)
Gambar 6. Fungsi MSI Installer yang di blok oleh virus.
ü
Rubah data Properties Computer
Virus “cuakep”
juga merubah data pada Properties Computer, dengan
menambahkan beberapa pesan cinta yang ditujukan untuk
seseorang.
(lihat gambar 7)
Gambar 7. Properties Computer yang ditambahkan sebuah pesan
ü
Membuat Jadwal (Schedule
task)
Virus “cuakep”
juga membuat jadwal atau
schedule task agar
setiap saat dapat tetap aktif dan berjalan pada proses
Windows walau
sudah dimatikan proses virus-nya.
(lihat gambar 8)
Gambar 8. Schedule Task yang dibuat oleh virus
ü
Rubah Wallpaper
Virus “cuakep”
juga merubah tampilan
wallpaper pada desktop menjadi gambar wanita cantik.
Dengan mematikan fungsi klik kanan pada desktop, virus
mencegah user merubah tampilan
wallpaper.
(lihat gambar 9)
Gambar
9.
Tampilan wallpaper yang dirubah dan tidak bisa diganti
ü
Pesan pada Welcome Screen
Virus “cuakep”
juga menampilkan sebuah pop-up pesan pada jendela
Welcome Screen.
Pesan ini juga muncul dengan
caption judul yang
berbeda jika waktu pada komputer tepat pada tanggal 21
September.
(lihat gambar 10)
Gambar
10. Pesan pada Welcome Screen
FILE VIRUS
Virus “Cuakep”
dibuat dengan menggunakan bahasa pemrograman Visual Basic
yang sudah di kompress menggunakan UPX. Jika virus berhasil
menginfeksi komputer, maka virus akan membuat beberapa file
utama sebagai berikut :
-
C:\
lvsys.sys
-
C:\WINDOWS\ckpexp.exe
-
C:\WINDOWS\ckpinfo.nfo
-
C:\WINDOWS\ckplog.log
-
C:\WINDOWS\system32\ckp.exe
-
C:\WINDOWS\system32\ckp.jpg
-
C:\WINDOWS\system32\ckpauto.inf
-
C:\WINDOWS\system32\ckpcmd.exe
-
C:\WINDOWS\system32\ckpexp.exe
-
C:\WINDOWS\system32\ckplog.log
-
C:\WINDOWS\system32\sched32.exe
-
C:\WINDOWS\system32\startup32.exe
-
C:\WINDOWS\system32\Windows.exe
-
C:\WINDOWS\system32\Windows.scr
-
C:\WINDOWS\system32\ lvsys.sys
Selain itu jika komputer memiliki partisi drive lain atau
memiliki mapping drive, maka virus “Cuakep”
akan membuat file virus yaitu
-
Autorun.inf
-
RECYCLER\S-1-5-21-1757981266-1326574676-839522115\lvsys.exe
Ciri-ciri file virus yaitu :
(lihat gambar 11)
-
Menggunakan icon gambar (JPEG)
-
Memiliki ukuran file 198 kb
-
Memiliki type file “application” (jika sudah terinfeksi
akan dirubah menjadi JPEG image)
Gambar 11. File virus cuakep
File pendukung lainnya yaitu :
-
C:\WINDOWS\system32\ckpcmd.jpg
-
C:\WINDOWS\system32\ckpexp.jpg
-
C:\WINDOWS\system32\startup32.jpg
-
C:\WINDOWS\system32\Windows.jpg
METODE PENYEBARAN
Sama seperti varian virus lokal yang lain, virus
cuakep masih
memanfaatkan penggunaan removable drive seperti flashdisk,
external harddisk, dll sebagai media penyebaran virus. (lihat gambar 12)
Gambar 12. Virus infeksi removable drive/flash disk
MODIFIKASI REGISTRY
Beberapa registry yang dilakukan perubahan yaitu sebagai
berikut :
-
Menambah Registry
·
Start-Up
Agar virus dapat aktif pada saat start-up, maka virus
membuat string berikut :
Ø
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Lvsystem = C:\WINDOWS\system32\ckp.exe
Avgnt = 0
Egui = 0
Mcagent_exe = 0
·
Disable Fungsi Windows
Agar virus melakukan blok pada fungsi Windows, maka
virus membuat string berikut :
Ø
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
System
DisableRegedit = 1
Ø
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1
Ø
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
DisableCMD = 1
Ø
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = 1
Ø
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
Explorer
NoDriveAutoRun = 0
Ø
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
Explorer
NoViewContextMenu = 1
Ø
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\SystemRestore
DisableSR = 1
Ø
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\
SystemRestore
DisableSR = 1
Ø
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\
SystemRestore
DisableConfig = 1
Ø
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System
DisableGPO = 1
Ø
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
DisableMSI = 2
·
Wallpaper dan Screensaver
Agar virus melakukan perubahan pada desktop, maka virus
membuat string berikut :
Ø
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control
Panel\ Desktop
SCRNSAVE.EXE = C:\WINDOWS\system32\Windows.scr
Wallpaper = C:\WINDOWS\system32\startup32.jpg
·
Extension File
Agar virus melakukan perubahan pada extension file,
maka virus membuat string berikut :
Ø
HKEY_CLASSES_ROOT\exefile
NeverShowExt
-
Merubah Registry
·
Folder Options
Agar virus dapat memanipulasi pada fungsi Windows, maka
virus merubah string berikut :
Ø
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced
FriendlyTree = 0
·
Winlogon
Agar virus dapat tetap aktif pada saat start-up
Windows, maka virus merubah string berikut :
Ø
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\ Winlogon
Shell = Explorer.exe "C:\WINDOWS\ckpexp.exe"
Ø
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\ Winlogon
LegalNoticeCaption = Welcome to 2010, the …
·
Safe Mode
Agar virus dapat tetap aktif pada Safe Mode, maka virus
merubah string berikut :
Ø
HKEY_CURRENT_USER\Software\Microsoft\CommandProcessor
Autorun = C:\WINDOWS\system32\ckpcmd.exe
Ø
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
AlternateShell = C:\WINDOWS\system32\ckp.exe
Ø
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
AlternateShell = C:\WINDOWS\system32\ckp.exe
·
Extension File
Agar virus dapat tetap aktif pada saat menjalankan file
dengan extension tertentu, maka virus merubah string berikut
:
Ø
HKEY_CLASSES_ROOT\.exe
(Default) = cuakep.exe
Ø
HKEY_CLASSES_ROOT\.reg
(Default) = cuakep.reg
Ø
HKEY_CLASSES_ROOT\.txt
(Default) = cuakep.txt
Ø
HKEY_CLASSES_ROOT\.VBS
(Default) = cuakep.vbs
Ø
HKEY_CLASSES_ROOT\exefile
(Default) = JPEG Image
-
Menghapus Registry
·
Winlogon
Agar virus dapat merubah isi dari Winlogon, maka virus
menghapus string berikut :
Ø
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\ Winlogon
LegalNoticeText
PEMBERSIHAN VIRUS
Langkah-langkah yang harus dilakukan dalam melakukan
pembersihan virus cuakep adalah sebagai berikut :
-
Putuskan koneksi jaringan/internet.
-
Matikan proses virus (menggunakan
Advanced System Reporter). Bagi pengguna
Norman Security Suite Pro dapat menggunakan fitur dari
Intrusion Guard
yaitu Advanced System
Reporter.
·
Klik kanan logo/icon Norman, pilin Norman Security
Suite.
(lihat gambar 13)
Gambar 13. Logo/Icon Norman
·
Pada Norman Security Suite, klik Intrusion Guard
kemudian klik Advanced System Reporter.
(lihat gambar 14)
Gambar 14.
Menu Norman Security Suite Pro
·
Pada Menu Advanced System Reporter, klik link Processes
Go to view.
(lihat gambar 15)
Gambar 15. Menu Advanced System Reporter
·
Pada tab Other,
matikan proses virus yang aktif/berjalan.
(lihat gambar 16)
Gambar 16. Menu Proses pada Advanced System Reporter
ü
Pilih file virus dengan icon gambar
ü
Klik kanan, dan klik Terminate Process
-
Matikan proses virus (dengan CurrProcess). Download
tools CurrProcess pada link berikut :
(lihat gambar 17)
http://www.nirsoft.net/utils/cprocess.zip
Gambar 17.
Matikan proses virus CurrProcess
Sebelum menjalankan tools, sebaiknya rename terlebih dahulu
extension menjadi cmd (CProcess.cmd). Jalankan file,
kemudian blok seluruh file virus yang aktif. Klik kanan
seluruh file tersebut, kemudian klik
Kill Selected Processes.
-
Perbaiki registry Windows. Salin script dibawah ini
untuk memperbaiki registry dengan menggunakan Notepad.
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCR, .exe,,,”exefile”
HKCR, .txt,,,”txtfile”
HKCR, .reg,,,”regfile”
HKCR, .vbs,,,”VBSFile”
HKCR, exefile,,,”Application”
HKCU,
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
FriendlyTree,
0x00010001,1
HKCU, Software\Microsoft\CommandProcessor, Autorun,0,0
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1""
%*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1""
%*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1""
%*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1""
%*"
HKLM,
Software\CLASSES\regfile\shell\open\command,,,"regedit.exe
"%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1""
%*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
LegalNoticeCaption,0,0
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
LegalNoticeText,0,0
HKLM, SYSTEM\ControlSet001\Control\SafeBoot,
AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot,
AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Classes\exefile\DefaultIcon,,,""%1" %"
[del]
HKCR, exefile, NeverShowExt
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegedit
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableTaskMgr
HKCU, Software\Policies\Microsoft\Windows\System, DisableCMD
HKCU, Software\Policies\Microsoft\Windows\Control
Panel\Desktop
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoFolderOptions
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoDriveAutoRun
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoViewContextMenu
HKLM, SOFTWARE\Microsoft\Windows NT\SystemRestore, DisableSR
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,
DisableSR
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,
DisableConfig
HKLM, SOFTWARE\Policies\Microsoft\Windows\System, DisableGPO
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer,
DisableMSI
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
lvsystem
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, avgnt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, egui
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
mcagent_exe
Gunakan notepad, simpan dengan nama “repair.inf”
(gunakan pilihan Save As Type menjadi All Files agar tidak
terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih
install
-
Hapus file virus yang mempunyai ciri-ciri sebagai
berikut :
·
Icon JPEG (gambar)
·
Extension exe
·
Ukuran 198 kb
·
Type Application
Catatan :
ü
Sebaiknya tampilkan file yang tersembunyi agar mempermudah
dalam proses pencarian file virus.
ü
Untuk mempermudah proses pencarian sebaiknya gunakan "Search
Windows" dengan filter file *.exe yang mempunyai ukuran 198
KB.
ü
Hapus file virus yang biasanya mempunyai date modified yang
sama.
(lihat gambar 18)
Gambar 18. Search File virus
-
Hapus schedule
task yang dibuat oleh virus.
·
Klik menu [START]
à [All Programs]
à [Accessories]
à [System Tools]
à Scheduled Tasks.
·
Hapus seluruh isi file yang dibuat oleh virus dengan
nama seperti “AT1.job, AT2.job….”.
-
Untuk pembersihan yang optimal dan mencegah infeksi
ulang, sebaiknya menggunakan antivirus yang ter-update dan
mengenali virus ini dengan baik.
Salam,
Ad Sap
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 3456850
Fx : 021 3456851