Win32.HLLW.Autoruner.based
3 Desember 2010
Worm font, folder cinta part 2
Bagi para pengguna komputer, font
merupakan salah satu bagian penting yang ada
pada sistem komputer yang digunakan. Tanpa
adanya font, kita tidak bisa membaca apapun
yang ada di komputer. Selain itu, variasi
font juga berguna untuk mempercantik sebuah
tulisan. Sehingga, banyak pengguna komputer
yang suka mengkoleksi font.
Bagi anda yang suka mengkoleksi font, harap
berhati-hati jika anda memiliki sekumpulan
font, karena bisa saja anda justru
dikunjungi salah satu worm yang menggunakan
logo/icon font. Alih-alih ingin memperbarui
komputer anda, justru membuat komputer anda
terinfeksi dan menyebarkan worm font.
Varian worm font ini merupakan kelanjutan
dari worm folder cinta pada tahun lalu. Anda
dapat melihat review worm folder cinta pada
link berikut :
http://www.vaksin.com/2009/0709/cinta/virus_cinta.htm.
Jika worm folder cinta menggunakan file
kosong "khq", maka worm font menggunakan
juga file kosong yaitu "khy". Jadi jika pada
komputer anda atau komputer server anda
terdapat file “khy”, maka anda baru saja
dikunjungi oleh worm ini dan bahkan sudah
menyebar worm “font”
ini pada jaringan komputer anda.
Untuk varian worm ini, Dr.Web Scanner
mendeteksi sebagai Win32.
HLLW.Autoruner.based. (lihat gambar 1)
Gambar 1, Dr.Web Scanner mendeteksi varian
worm font.
Ciri-ciri file worm
Ciri-ciri file worm font yaitu sebagai
berikut :
-
Menggunakan icon/logo font
-
Memiliki ukuran 494 kb
-
Type file "application"
-
Memiliki ekstensi file "exe" (lihat gambar
2)
Gambar 2, File worm font.
Gejala/efek worm
Jika anda telah terinfeksi worm font, maka
akan menimbulkan gejala/efek sebagai berikut
:
·
Disetiap file sharing akan muncul file worm
dengan nama “[namaacak].exe” dan file system
yang kosong dengan nama “khq”. (lihat Gambar
3) File khq ini juga akan berada pada setiap
root drive.
Gambar 3, File worm font pada sharing file.
·
File worm aktif di memori komputer dengan
nama “csrcs.exe” (mirip dengan proses
"csrss.exe" milik system Windows) pada
proses dengan username lokal. Anda dapat
melihat dengan menggunakan task manager pada
tab processes. (lihat gambar 4)
Gambar 4, Worm font aktif dan berjalan
menggunakan nama csrcs.exe.
·
Tidak dapat menampilkan file yang sudah di
hidden. (walaupun “folder options” sudah di
rubah ber-kali kali, akan kembali hidden).
Dengan melakukan hal ini, pengguna komputer
tidak akan mudah tahu jika komputer sudah
terinfeksi worm. (lihat gambar 5)
Gambar 5, Key Show hidden yang dirubah worm.
·
Melakukan koneksi ke internet untuk
berkomunikasi dengan server worm. (lihat
gambar 6)
Gambar 6, Worm melakukan koneksi internet.
·
Setelah melakukan koneksi, worm akan
mendownload file malware lain-nya. (lihat
gambar 7)
Gambar 7, Worm melakukan download file
malware lain.
File file virus
Sama seperti halnya worm folder cinta,
worm font juga dibuat dengan
menggunakan bahasa script Autoit dan di
kompress menggunakan UPX Unpacker. Beberapa
file virus yang akan muncul jika dijalankan,
yaitu :
ü
C:\WINDOWS\system32\csrcs.exe (berukuran 494
kb)
ü
[namaacak].exe , (disetiap root folder lokal
yg sharing, serta folder dalam jaringan yang
full-sharing)
ü
khq, (disetiap root folder lokal yg sharing,
serta folder dalam jaringan yang
full-sharing) , serta pada setiap root
drive.
ü
[namaacak].exe , (pada media USB
Flash/removable drive)
ü
Autorun.inf , (pada media USB
Flash/removable drive)
Apabila terkoneksi internet, worm akan
mendownload beberapa file yaitu :
ü
C:\Documents and Settings\%user%\Local
Settings\Temp\www3.tmp
ü
C:\WINDOWS\system32\RegShellSM.exe
(berukuran 524 kb)
ü
C:\WINDOWS\system32\autorun.i
ü
C:\WINDOWS\system32\autorun.in
Registri Windows
Walau tidak banyak aksi yang dilakukan,
Autorun.QBP juga membuat beberapa perubahan
pada registry yaitu diantaranya :
Ø
Agar dapat aktif saat komputer dijalankan,
ia akan membuat string registry sebagai
berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
csrcs
=
C:\WINDOWS\system32\csrcs.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
csrcs
=
C:\WINDOWS\system32\csrcs.exe
Ø
Untuk memproteksi dan tetap aktif pada
windows, ia akan membuat string berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
Shell
=
Explorer.exe csrcs.exe
Media Penyebaran
Worm font melakukan penyebaran melalui media
USB/Removable drive dan juga melalui
jaringan (file sharing).
Pada USB/Removable drive, worm font akan
membuat 2 file yang disembunyikan. Kedua
file tersebut memiliki attribut RHSA (Read,
Hidden, System, Archive), yaitu :
-
autorun.inf, file pemicu agar worm dapat
aktif jika komputer masih mengaktifkan
system autoplay (autorun) windows.
-
[namaacak.exe], file worm yang berukuran 494
kb. (lihat gambar 8)
Gambar 8, Worm melakukan penyebaran pada
USB/Remobale drive.
Dalam jaringan, worm akan melakukan
penyebaran menggunakan media file sharing.
Jika pada server folder yang dibuat sharing
FULL akses, maka worm akan dengan mudah
menyebarkan file worm, yaitu :
-
khy,
file kosong yang seolah menjadi jejak
persinggahan dari worm font
-
[namaacak.exe], file worm yang berukuran 494
kb. (lihat gambar 9)
Gambar 9, Worm melakukan penyebaran pada
jaringan.
Cara pembersihan worm
Beberapa cara yang dilakukan untuk
membersihkan komputer dari worm font yaitu
sebagai berikut :
1.
Putuskan koneksi komputer dari
jaringan/internet.
2.
Matikan System Restore Windows,
selama proses pembersihan (XP/ME).
- Klik kanan My Computer, pilih Properties.
- Setelah muncul jendela System Properties,
pilih tab System Restore.
- Centang pada pilihan "Turn off System
Restore"
- Jika sudah, klik Apply dan OK. (lihat
gambar 10)
Gambar 10, Matikan system restore
3.
Matikan dan hapus proses worm yang aktif dan
berjalan. Gunakan tools dari Dr.Web
CureIt untuk membersihkan dengan mudah.
Download tools pada link berikut :
http://www.freedrweb.com/download+cureit
(lihat gambar 11)
Gambar 11, Scan dengan Dr.Web CureIt!
Klik 2x file yang telah anda download,
hingga muncul pesan komputer yang sedang
berjalan pada mode EPM (Enhanced Protection
Mode), dan klik OK.
Klik OK jika muncul notifikasi untuk
menjalankan, kemudian klik START pada menu
yang ditampilkan dan klik “Yes” pada
notifikasi Start scan now?.
Maka Dr.Web akan melakukan proses scanning
pada komputer anda dan akan memunculkan
pesan jika terdapat malware, klik Move.
Biarkan hingga selesai.
Restart komputer, jika diperlukan.
4.
Hapus registry yang telah dibuat oleh worm.
Untuk mempermudah, dapat menggunakan script
registry di bawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM,
SOFTWARE\Classes\batfile\shell\open\command,,,
"""%1"" %*"
HKLM, SOFTWARE\ Classes
\comfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes
\exefile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes
\scrfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes
\piffile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes
\regfile\shell\open\command,,, "regedit.exe
"%1"
HKLM, SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon, Shell, 0,
Explorer.exe
[del]
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Gunakan notepad, kemudian simpan dengan nama
“repair.inf” (gunakan pilihan Save As Type
menjadi All Files agar tidak terjadi
kesalahan).
Jalankan repair.inf dengan klik kanan,
kemudian pilih [install].
5.
Untuk pembersihan yang optimal dan mencegah
infeksi ulang dari worm, sebaiknya gunakan
antivirus yang terupdate dan dapat
mendeteksi worm ini dengan baik.
Salam,
Ad Sap
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 345 6850
Fx : 021 345 6851