W32/Tabaru.A Riyani Jangkaru        28 Juli 2005

Terpesona membawa bencana

 

Kalau ditanya, lagu Indonesia apa yang paling ngetop di kalangan pembuat virus, jawabannya adalah Kangen. Sedangkan kalau ditanya siapa tokoh yang paling diidolakan di kalangan pembuat virus ? Ternyata bukan juara AFI atau Indonesia Idol yang berada di urutan atas, melainkan pembawa acara Jejak Petualang di TV7 http://jejakpetualang.tv7.co.id, Riyanni Djangkaru. Sayangnya pembuat virus yang ditengarai berasal dari kota Makassar ini kelihatannya kurang teliti dan tidak menuliskan nama idolanya dengan baik, dimana nama file bervirus yang digunakan untuk memancing penerima file mengklik file JPG "gadungan" tersebut adalah Riyani_Jangkaru.exe. Tapi apa artinya sebuah nama, terbukti virus ini berhasil menjadi "tamu" pada ratusan komputer Indonesia sejak 2 bulan yang lalu (meskipun keberadaannya ditengarai muncul sejak Januari 2005) dan paling banyak ditanyakan solusinya ke Vaksincom setelah Kangen. Setelah perburuan selama 1 bulan, baru pada minggu yang lalu Vaksincom berhasil mendapatkan sample Riyani Jangkaru ini (selamat kepada Bung Khafid dan Jimmy yang mengirimkan sample virus ini ke virus@vaksin.com, anda berhak mendapatkan "Gratis" Norman Virus Control Original + Update 1 tahun seharga Rp. 380.000,-) dan setelah di test pada beberapa platform / skenario yang berbeda pada virus test lab Vaksincom maka informasi lebih jauh mengenai virus ini berhasil di gali. Bagi anda yang terinfeksi virus RJ yang sudah terdeteksi Norman Virus Control (update 12 Juli 2005) sebagai W32/Tabaru.A, silahkan download Norman Virus Control di http://www.norman.com/Download/Trial_versions/en, jangan lupa masukkan alamat email anda untuk mendapatkan SN Trial yang berlaku satu bulan atau jika anda berencana membeli komputer / motherboard baru, kami informasikan bahwa Vaksincom bekerjasama dengan Motherboard MSI dimana setiap pembelian motherboard MSI di seluruh Indonesia berhak mendapatkan CD Original Norman Virus Control + Update Gratis 6 bulan. Informasi detail step by step membasmi virus RJ akan kami upload hari Selasa tanggal 19 Juli 2005, informasi detil membasmi virus ini juga bisa anda dapatkan pada Tabloid PC Plus edisi 233 yang akan terbit tanggal 18 Juli 2005.

 

salam,

AAT

 

Bila anda sering melihat salah satu acara televisi swasta (TV7) yaitu JEJAK PETUALANG, tentu Anda akan kenal dengan sosok pembawa acaranya, siapa lagi kalau bukan Riyani Jangkaru. Ketenaran pembawa acara ini rupanya telah membawa inspirasi tersendiri bagi sebagian orang “ISENG” untuk menggunakannya sebagai daya tarik bagi virus yang diciptakannya.

 

Virus Lokal yang menyebar dewasa ini sering luput dari intaian vendor antivirus yang ada, karena wilayah penyebarannya yang terbatas, hal ini sudah banyak dibuktikan mulai dari kasus virus Pesin sampai dengan kangen dan terakhir virus dengan mengusung nama pembawa acara jejak petualang “RIYANI JANGKARU”.

Dilihat dari script yang ada pada virus tersebut, kemungkinan besar dibuat oleh sekumpulan orang yang memang mengidolakan (fans) terhadap Riyani Jangkaru, di duga mereka berasal dari Makassar dan kemungkinan besar pula  virus ini sudah ada sejak Desember 2004

 

Berikut  script yang ada pada virus tersebut:

 

-----------------------------------------------------------------------------------------------------------------------------------

S e l a m a t   t a h u n   b a r u   2 0 0 5  

C o m p a n y N a m e     m a n O R b l a c k   

F i l e D e s c r i p t i o n     R i y a n i   J a n g k a r u   F a n s   C l u b   T .

L e g a l C o p y r i g h t   M a k a s s a r   D e s e m b e r   2 0 0 4    

@L e g a l T r a d e m a r k s     m a n O R b l a c k    

P r o d u c t N a m e     V e r s i   1 0 . 0 0 9   B e t a   8

F i l e V e r s i o n     1 7 . 1 0 . 0 0 9 6    

< P r o d u c t V e r s i o n   1 7 . 1 0 . 0 0 9 6     @ I n t e r n a l N a m e   r i y a n i _ j a n g k a r u   P (O r i g i n a l F i l e n a m e   r i y a n i _ j a n g k a r u . e x e

------------------------------------------------------------------------------------------------------------------------------------

Norman Virus Control mendeteksi dan menghapus virus tersebut pertanggal 12 Juli 2005, seperti terlihat pada gambar dibawah ini:

 

 

Virus ini datang dengan nama file riyani_jangkaru.exe, mempunyai ukuran file sebesar 40 kb. Untuk mengelabui pengguna komputer, virus ini secara cerdik akan megganti icon file tersebut dengan icon JPG, walaupun sebenarnya type dari file tersebut adalah application, seperti terlihat pada gambar 1:

 

 

Gambar 1

 

Seperti kita ketahui, setting default windows adalah tidak menampilkan ekstensi file, jadi file dengan nama riyani_jangkaru.exe akan terlihat sebagai riyani_jangkaru, apalagi dengan icon jpg tidak heran jika penerima file ini kemungkinan besar akan mengkliknya karena saat ini masih belum ada virus yang menyebarkan dirinya melalui jpg.

 

Jika  anda menjalankan file tersebut jangan terkejut jika gambar (Riyani Jangkaru) yang anda ingin lihat tidak kunjung datang : (, anda baru saja mengaktifkan virus tersebut.

Jika berhasil menginfeksi komputer, virus ini  akan membuat 2 buah file pada direktori %system% dengan nama file :

 

  • xpshare.exe  dengan ukuran file 40 kb (icon JPG) pada C:\!submit

  • riyani_jangkaru.exe dengan ukuran file 40 kb (icon JPG) pada C:\

 

Agar virus ini dapat langsung aktif begitu komputer dijalankan, ia akan membuat  value pada registry key dengan nama :

 

  • winloader

 

pada lokasi registri :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current_version\Run

 

Selain itu virus ini akan merubah nama pemilik Windows (Registered Organization) dengan merubah value registry

 

  • RegisteredOrganization = manORblack

 

Pada registry key :

 

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

 

Sehingga jika kita lihat username Windows akan  berubah menjadi (lihat Gambar 2)

 

Gambar2

 

Menyebar melalui Disket dan Removable Disk

Metode penyebaran virus ini masih memakai cara lama dan  terbukti  ampuh yaitu menyebar melalui Disket dan Removable Disk (USB), virus ini akan mengcopykan satu file application dengan nama riyani_jangkaru.exe dengan ukuran file 40 kb dan icon dipalsukan mirip dengan icon file JPG. Tujuannya adalah supaya penerima file mengira ia menerima file gambar riyani Jangkaru dan menjalankan file tersebut.

 

Disable Registry Editor , msconfig, Task Manager

Mengikuti trend Kangen, virus ini juga akan melakukan penonaktifan program registry editor, msconfig dan task manager, dimana seperti kita ketahui virus yang sedang berjalan dapat kita dimatikan menggunakan ke-3 program tersebut di atas. Karena itu proses pembersihan virus akan semakin susah dan merepotkan kecuali pembersihan tersebut dilakukan pada posisi “safe mode” atau dengan perintah “Taskkill” pada windows XP/Server 2003.

 

Virus ini akan memblok akses ke Registry Editor (regedit) dan Task Manager dengan menambahkan 2 string :

 

  • DisableRegistryTools

  • DisableTaskMgr

 

pada registry key dibawah ini dan :

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

 

Disable Program WINAMP dan NOTEPAD

Berbeda dengan Kangen, virus ini akan menonaktifkan program Winamp dan notepad, sehingga jika anda mencoba membuka file Notepad akan langsung ditutup lagi oleh virus.

Dari hasil pengetesan yang kami lakukan, Riyani Jangakaru termasuk virus yang "baik hati" karena tidak menunjukan gejala yang membahayakan seperti menghapus atau membuat duplikasi file (yang dilakukan oleh virus kangen), atau menghapus direktori C:\windows dan C:\program files (pada virus Pesin), virus ini “hanya” akan mematikan program notepad dan winamp.

 

Cara mengatasinya

Bila anda terinfeksi virus RJ, scan komputer anda dengan antivirus yang dapat mendeteksi virus ini dan bersihkan semua file yang terdeteksi sebagai W32/Tabaru.A. Bagi pengguna Norman Virus Control, pastikan update antivirus anda tanggal 12 Juli 2005.

 

Berikut cara untuk menghilangkan virus riyani_jangkaru secara manual

  1. Jika menggunakan windows ME/XP, matikan system restore untuk sementara selama proses pembersihan.

  2. Matikan proses xpshare.exe pada Task Manager

Anda dapat mematikan proses xpshare.exe  melalui Windows normal (tanpa melalui ”safe mode”), cara ini hanya bisa  dilakukan pada Windows XP/Server 2003, caranya :

  • Klik [Start] [Run] Ketik [cmd]

  • Pada jendela command prompt, pastikan Anda telah berada pada direktori system windows dengan mengetik ”CD [spasi] C:\windows\system

  • Matikan proses ”xpshare.exe” dengan menggunakan perintah Taskkill dengan mengetikkan [taskkill /f /im xpshare.exe] dan tekan enter (gambar 3)

    Gambar3

Selain menggunakan perintah Taskkill untuk mematikan proses dari virus tersebut, Anda dapat menggunakan tools freeware yaitu KilllBox. Tools ini dapat di download di alamat http://www.bleepingcomputer.com/files/killbox.php

Tools ini bisa digunakan pada versi semua OS (win 95/98/ME/NT/2000/XP/Server 2003)

Cara menggunakannya:

  • Jalankan Killbox.exe  pada komputer yang terinfeksi virus

  • Cari proses xpshare.exe pada kolom [system prosess]

  • Kemudian isi lokasi file tersebut pada kolom [Full path file of file to delete]

  • C:\Windows\system32 (XP/Server 2003)

  • C:\Windows\system (9X/ME)
    Setelah itu klik [delete file] pada tanda gambar silang

    Gambar4

  1. Matikan opsi xpshare  pada msconfig
    Klik [Start]

    [Run], kemudian ketik [msconfig]

    pada layar [System configuration editor], klik tab [Startup] hilangkan option xpshare (Lihat Gambar 5)

    Gambar 5

    Klik [Apply] kemudian klik [OK]

  1. Cari dan hapus file dibawah ini pada folder %SYSTEM%
    Xpshare.exe dengan ukuran file 40 kb (icon JPG)

    Riyani_jangkaru.exe dengan ukuran file 40 kb (icon JPG)

  1. Hapus file riyani_jangkaru.exe pada direktori C:\

  1. Hapus file dengan nama xpshare.exe pada direktori :
    C:\!Submit

  1. Hapus registry key
    winloader
    Pada registry key

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current_version\Run

  1. Untuk merubah kembali nama pemilik Windows (Registered Organization), ubah kembali value registry
    RegisteredOrganization =
    manORblack

    Ubah nama manORblack ke nama asal (jika anda mengetahuinya) pada registry key :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

     

salam,

Adang Juhar Taufik (AJT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@vaksin.com