Virus pembasmi antivirus
Anda tentu masih ingat dengan virus VBWorm.NA atau biasa kita menyebutnya dengan istilah virus “Dago”, virus keluaran kota kembang [Bandung] yang ikut menyemarakan kancah pepeperangan di dunia cyber, walaupun tidak sepopuler rontokbr• atau moonlight tapi virus ini patut diperhitungkan juga.
Untuk memperbaiki versi sebelumnya, kini VBWorm.NA sudah menelurkan varian teranyarnya, sebenarnya untuk varian terbaru ini tidaklah terlalu berbeda dengan varian pendahulunya, Norman mendeteksi varian baru tersebut dengan nama W32/KillAV (lihat gambar 1). Sesuai dengan namanya killav ia akan mencoba untuk membasmi program antivirus dengan cara menghapus file yang berada pada instalasi antivirus itu sendiri menggunakan perintah
Code: |
del /f /q /s C:\%" lokasi file instalasi antivirus"\*.* >nul |
Gambar 1, Norman Virus Control mendeteksi varian baru VBWorm sebagai KillAV
Berikut beberapa ciri khas yang akan muncul jika suatu komputer terinfeksi KillAV:
• KillAV akan memuncul “kata-kata mutiara” setiap kali komputer booting
• Selalu menampilkan sebuah gambar “bunga mawar” ketika membuka program Internet Explorer (lihat gambar 2)
Gambar 2, KillAV merubah default “Start Page” Internet Explorer menjadi gambar mawar merah
• Menyisipkan setangkai “bunga Mawar” pada tabulasi “General” pada System Properties komputer yang terinfeksi.
• Program antivirus yang terinstall menjadi tidak berfungsi sebagaimana mestinya
Untuk mengelabui pengguna komputer, KillAV juga akan memanipulasi setiap file yang yang sudah terinfeksi dengan ciri-ciri :
• Menggunakan icon “Folder”
• Ukuran 57 KB
• Mempunyai ekstensi .EXE
• Type file “Application” (lihat gambar 3)
Gambar 3, Contoh File induk KillAV
Jika menjalankan file yang sudah terinfeksi KillAV, maka ia akan mencoba untuk membuat beberapa file induk yang akan dijalankan setiap kali komputer booting. KillAV masih dibuat dengan menggunakan Bahasa VB [Visual Basic]. Seperti kita ketahui, virus yang dibuat dengan VB relatif lebih mudah untuk dihentikan yakni dengan cara merubah nama file MSVBVM60.dll yang terletak pada direktori [C:\Windows\System32]. Eit... jangan senang dulu, rupanya pembuat KillAV sudah memikirkan matang-matang sebelum merelease versi keduanya dimana untuk preventif [jaga-jaga] agar KillAV dapat tetap aktif walaupun file MSVBVM60.dll tersebut di ubah / dihapus ia akan membuat file yang sama [msvbvm60.dll] pada direktori C:\WINDOWS\system32\5810, berikut beberapa file induk yang akan dibuat diantaranya:
• C:\Windows\EXPLORER.EXE
• C:\Windows.exe
• C:\WINDOWS\system32\5810
- 5810.exe
Data.exe
Data.zip
Autoexec.bat
Rose.jpg
Rose.dll
Msvbvm60.dll
• C:\New Folder.exe [di setiap drive]
• C:\rose.jpg
• C:\Program Files\WinRAR\data.exe
• C:\Private.zip [di setiap Drive], berisi file data.exe
• C:\Documents and Settings\%User%\MyDocuments\myrose.html
• C:\Windows\system
Oeminfo.ini
Oemlogo.bmp
• Rose.icon [UFD]
Agar file induk yang telah dibuat tersebut dapat aktif secara “autorun”, maka ia akan membuat beberapa string pada registry editor diantaranya:
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- RsWin = C:\windows\system32\5810\lsass.exe /register
WinUp = C:\windows\system32\5810\svchost.exe /register
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = Explorer.exe ExpIorer.exe
System = C:\windows\system32\5810\lsass.exe,
Userinit = C:\windows\system32\userinit.exe,C:\windows\system32\5810\lsass.exe,
Dalam upaya untuk mempertahankan dirinya, KillAV akan mencoba untuk melakukan permblokiran terhadap beberapa fungsi Windows diantaranya:
• Disable Run
• Disable Search
• Disable file dengan extension .TXT
• Disable Registry Tools
• Disable Task Manager
• Disable msconfig
• Disable System Restore
• Disable CMD [Command.exe dan Command.com]
• Menyembunyikan beberapa menu pada Folder Option [menu Hidden File and Folder]
• Disable Tools Security
- HijackThis
Procexp
Poket KillBox.exe
Untuk melakukan pemblokan terhadap fungsi windows tersebut KillAV akan membuat string pada registry berikut:
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- DisableCurrentUserRun
NoFind
NoRun
Harap anda berhati-hati, jangan sekali-kali mencoba menjalankan fungsi regedit/msconfig/task manager atau system restore karena akan mengaktifkan virus itu sendiri, untuk melakukan hal tersebut KillAV akan membuat string pada registry berikut:
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe
- Debugger = C:\windows\system32\5810\lsass.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntvdm.exe
- Debugger = C:\windows\system32\5810\lsass.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe
- Debugger = C:\windows\system32\5810\lsass.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
- Debugger = C:\windows\system32\5810\lsass.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
- Debugger = C:\windows\system32\5810\lsass.exe
Seperti yang sudah dijelaskan sebelumnya bahwa KillAV juga akan menyembunyikan beberapa option dari “Folder option” [Hidden File and Folder], untuk melakukan hal tersebut KillAV akan merubah string pada registry berikut:
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
- Type = Empty
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
- Type = Empty
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
- Type = Empty
Gambar 4, KillAV merubah option Hidden file and folders pada “Folder option”
Manipulasi “Start Page” Internet Explorer
Salah satu ciri khas KillAV adalah akan merubah “Start Page” Internet Explorer dengan merubah lokasi start page sebelumnya, yakni akan diganti menjadi alamat C:\Documents and Settings\Supervisor\My Documents\myrose.html serta menambah caption text ::Orange:: pada Internet Explorer, sehingga jika anda membuka program “Interet Explorer” maka akan tampil sebuah gambar bunga merah dengan latar belakang warna “orange”, untuk melakukan hal tersebut ia akan membut string pada registry berikut:
• HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- start page = C:\docume~1\%user%\MyDocu~1\myrose.html
Jangan terkejut jika begitu komputer dinyalakan, Windows akan menampilkan sebuah layar yang berisi kata-kata mutiara, walaupun kata-kata mutiara tersebut bagus dan layak untuk di baca tapi tetap mengganggu juga. Untuk memunculkan kata-kata mutiara tersebut KillAv akan membuat string pada registry :
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon
- LegalNoticeCaption = Kata Mutiara
LegalNoticeText = %isi kata-kata mutiara%
KillAV juga akan menambahkan informasi pada Properties system Windows dengan menyisipkan sebuah mawar merah serta sebuah informasi yang berisi permintaan maaf si pembuat virus terhadap pemilik komputer yang terinfeksi, seperti yang terlihat pada gambar 5 dibawah ini
Gambar 5, Penambahan gambar mawar merah dan permintaan maaf pembuat KillAV
Membuat file duplikat dan menyembunyikan ext. File EXE
Jika komputer anda terinfeksi KillAV, ia akan menyembunyikan ekstensi dari file .EXE dengan tujuan supaya folder yang dipalsukan oleh file virus ini tidak mudah terdeteksi oleh pengguna komputer, sehingga anda tidak akan dapat menampilkan ekstensi tersebut walaupun anda sudah menghilangkan option “Hide extension for known file types” pada Folder Option, untuk melakukan hal tersebut, KillAV akan membuat string pada registry :
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
- NeverShowExt =1
Gambar 6, KillAV akan menyembunyikan ekstensi File EXE
Selain menyembunyikan ekstensi file EXE, KillAV juga akan membuat file duplikat disetiap folder sesuai dengan nama folder tersebut, dengan ciri-ciri :
• Icon “Folder”
• Ukuran 57 KB
• Type file “Application”
Selain itu KillAV juga akan mencoba untuk menghapus file eksekusi [file untuk menjalankan program yang telah terinstall] dari setiap program/aplikasi yang telah terinstal di komputer tersebut sehingga program/aplikasi tersebut tidak dapat di jalankan, jika hal ini terjadi install ulang program/aplikasi adalah jalan yang terbaik untuk memulihkan kembali program/aplikasi tersebut, setelah KillAV berhasil menghapus file eksekusi dari program/aplikasi tersebut sebagai gantinya ia akan membuat file duplikat sesuai dengan file yang dihapus dengan ciri-ciri:
• Icon “Folder”
• Ukuran 57 KB
• Type file “Application”
Dengan maksud untuk mengelabui pengguna komptuer, KillAV juga akan melakukan manipulasi terhadap direktori Windows dengan cara menyembunyikan folder [Windows] asli dan membuat file duplikat sesuai dengan nama folder yang disembunyikan tersebut [Windows], tetapi jangan terkecoh karena folder Windows buatan KillAV merupakan file virus jika dijalankan sama saja dengan menjalankan virus tersebut dan yang pasti folder tiruan tersebut akan mempunyai ukuran 57 KB dengan ekstensi .EXE dan sebagai file “Application”, perhatikan gambar 7 dibawah ini
Gambar 7, KillAV akan menyembunyikan folder Windows dan membuat file diplikat sesuai dengan nama foder yang disembunyikan
Aktif pada mode “safe mode” dan “safe mode with command prompt”
Seperti pada kebanyakan virus lokal yang menyebar, sudah menjadi tradisi dimana mereka [virus] akan aktif pada mode “safe mode” atau “safe mode with command prompt” begitupun KillAV dengan tujuan untuk mempersulit proses pembersihan, agar KillAV dapat aktif pada dua mode
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- Shell = Explorer.exe C:\windows\system32\12053\lsass.exe
System = C:\windows\system32\12053\lsass.exe,
Userinit = C:\windows\system32\userinit.exe,C:\windows\system32\12053\lsass.exe
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
- AlternateShell = C:\windows\system32\12053\lsass.exe
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002Control\SafeBoot
- AlternateShell = C:\windows\system32\12053\lsass.exe
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003Control\SafeBoot
- AlternateShell = C:\windows\system32\12053\lsass.exe
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
- AlternateShell = C:\windows\system32\12053\lsass.exe
Menghapus program antivirus
KillAV melakukan aksi berbahaya “membasmi” program antivirus sehingga menjadikan komputer korbannya sangat rentan terhadap serangan, apalagi jika korbannya tidak menyadari bahwa antivirus di komputernya sidah tidak berfungsi dan beranggapan bahwa komputernya terproteksi dengan baik oleh antivirus.
Jika sebelumnya “bisanya” virus lokal hanya menghentikan proses antivirus kini VBWorm.NA bukan saja akan menghentikan proses virus tersebut tetapi benar-benar akan menghancurkan program antivirus tersebut sampai ke akar-akarnya dengan cara menghapus file pendukung antivirus tersebut [khususnya file eksekusi].
Untuk melakukan hal tersebut ia akan menjalankan file autoexec.bat ( lihat gambar 8 ) yang telah dibuat di direktori [C:\WINDOWS\system32\5810] dimana file ini berisi command [perintah] untuk manghapus file yang berhubungan dengan program antivirus tertentu diantaranya:
• Norman Virus Control
• McAffe
• Symantec
• ESET
• Antivir
• Norton
• AVG
• Kaspersky
• Panda Antivirus
• PCCilin
Gambar 8, KillAV mencoba untuk menghapus beberapa program antivirus
Untuk menyebarkan dirinya virus ini akan menggunakan media Disket/UFD dengan membuat file :
• Private.ZIP
• New Folder.exe
• Rose.ico
KillAV juga akan menambahkan icon “MSN Explorer” pada drive UFD (lihat gambar 9)
Gambar 9, UFD pada Windows Explorer akan mendapatkan icon MSN Explorer
Cara membersihkan virus KillAV
1. Putuskan komputer yang akan dibersihkan dari jaringan
2. Matikan “system restore” selama ;proses pembersihan [jika menggunakan Windows ME/XP]
3. Untuk mempermudah proses pembersihan, matikan proses virus yang sedang aktif di memori. Untuk mematikan proses tersebut gunakan tools “security task manager” karena tool ini selain dapat mematikan proses virus juga dapat menghapus file virus tersebut (cara lain untuk membasmi virus ini adalah menggunakan Norman Virus Control dengan update terakhir yang sudah dapat mendeteksi dan membasmi virus ini). Setelah menjalankan tools tersebut matikan proses virus yang mempunyai icon “Folder” dengan cara
• Klik proses virus
• Klik [remove]
• Agar file tesebut dapat lansung dihapus, pilih option [move t• quarantine]
• Klik [ok] (lihat gambar 10)
Gambar 10, Gunakan Security Task Manager untuk membasmi virus KillAV
4. Hapus string yang dibuat oleh virus, untuk mempercepat proses pembersihan copy script dibawah ini pada program notepad kemudian simpan dengan nama “repair.inf” setelah itu jalankan tools tersebut dengan cara
• Klik repair.inf
• Klik install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, system,0,
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, type,0, "group"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, "checkbox"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, "checkbox"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableCurrentUserRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKLM, Software\Microsoft\Windows\CurrentVersion\Run,RsWin
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Winup
HKLM, softwARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntvdm.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
HKLM, Software\Microsoft\Command Processor,Autorun
HKLM, SOFTWARE\Classes\exefile,NeverShowExt
5. Hapus file induk yang telah dibuat oleh KillAV, sebelum menghapus file tersebut pastikan Anda sudah menampilkan file yang disembunyikan (lihat gambar 11)
Gambar 11, Menampilkan file yang disembunyikan
Setelah itu hapus file berikut:
• C:\Windows\EXPLORER.EXE
• C:\Windows.exe
• Hapus Folder C:\WINDOWS\system32\5810
- C:\New Folder.exe [di setiap drive]
C:\rose.jpg
C:\Program Files\WinRAR
• data.exe
• rose.jpg
• C:\Private.zip [di setiap Drive]
• C:\Documents and Settings\%User%\MyDocuments\myrose.html
• C:\Windows\system
• Oeminfo.ini
• Oemlogo.bmp
6. Hapus juga file duplikat yang dibuat oleh virus dengan ciri-ciri (gambar 12) :
- Icon folder
- Ukuran 57 KB [sesuai kan dengan varian dari virus tersebut]
- Type Application
Gambar 12, File duplikat Windows
7. Tampilkan kembali folder Windows yang disembunyikan oleh virus, gunakan printah attrib –s –h c:\windows pada DOS PROMPT
8. Karena virus ini akan berusaha untuk menghapus program antivirus sebaiknya anda instal ulang antivirus yang sudah pernah terinstall sebelumnya.
9. Untuk pembersihan optimal dan mencegah agar komputer tersebut tidak terinfeksi kembali gunakan Norman Virus Control dengan update terakhir.
Salam,
Adang Juhar Taufik
info@vaksin.com
Tidak ada komentar:
Posting Komentar