Sabtu, 28 Februari 2009

Tips Membasmi Virus W32/KillAV [MyRose-MyHeart-B]

W32/KillAV [MyRose-MyHeart-B]
Virus pembasmi antivirus

Anda tentu masih ingat dengan virus VBWorm.NA atau biasa kita menyebutnya dengan istilah virus “Dago”, virus keluaran kota kembang [Bandung] yang ikut menyemarakan kancah pepeperangan di dunia cyber, walaupun tidak sepopuler rontokbr• atau moonlight tapi virus ini patut diperhitungkan juga.

Untuk memperbaiki versi sebelumnya, kini VBWorm.NA sudah menelurkan varian teranyarnya, sebenarnya untuk varian terbaru ini tidaklah terlalu berbeda dengan varian pendahulunya, Norman mendeteksi varian baru tersebut dengan nama W32/KillAV (lihat gambar 1). Sesuai dengan namanya killav ia akan mencoba untuk membasmi program antivirus dengan cara menghapus file yang berada pada instalasi antivirus itu sendiri menggunakan perintah
Code:
del /f /q /s C:\%" lokasi file instalasi antivirus"\*.* >nul
sehingga antivirus tersebut tidak dapat berfungsi dengan baik. Hal ini sangat berbahaya karena tanpa perlindungan program antivirus yang memadai, komputer yang terhubung ke jaringan / internet sangat rentan terhadap ancaman sekuriti, terlebih kalau pengguna komputernya tidak sadar bahwa antivirus pelindung komputernya telah dilumpuhkan oleh preman (antivirus).



Gambar 1, Norman Virus Control mendeteksi varian baru VBWorm sebagai KillAV

Berikut beberapa ciri khas yang akan muncul jika suatu komputer terinfeksi KillAV:
• KillAV akan memuncul “kata-kata mutiara” setiap kali komputer booting
• Selalu menampilkan sebuah gambar “bunga mawar” ketika membuka program Internet Explorer (lihat gambar 2)


Gambar 2, KillAV merubah default “Start Page” Internet Explorer menjadi gambar mawar merah

• Menyisipkan setangkai “bunga Mawar” pada tabulasi “General” pada System Properties komputer yang terinfeksi.
• Program antivirus yang terinstall menjadi tidak berfungsi sebagaimana mestinya

Untuk mengelabui pengguna komputer, KillAV juga akan memanipulasi setiap file yang yang sudah terinfeksi dengan ciri-ciri :
• Menggunakan icon “Folder”
• Ukuran 57 KB
• Mempunyai ekstensi .EXE
• Type file “Application” (lihat gambar 3)


Gambar 3, Contoh File induk KillAV

Jika menjalankan file yang sudah terinfeksi KillAV, maka ia akan mencoba untuk membuat beberapa file induk yang akan dijalankan setiap kali komputer booting. KillAV masih dibuat dengan menggunakan Bahasa VB [Visual Basic]. Seperti kita ketahui, virus yang dibuat dengan VB relatif lebih mudah untuk dihentikan yakni dengan cara merubah nama file MSVBVM60.dll yang terletak pada direktori [C:\Windows\System32]. Eit... jangan senang dulu, rupanya pembuat KillAV sudah memikirkan matang-matang sebelum merelease versi keduanya dimana untuk preventif [jaga-jaga] agar KillAV dapat tetap aktif walaupun file MSVBVM60.dll tersebut di ubah / dihapus ia akan membuat file yang sama [msvbvm60.dll] pada direktori C:\WINDOWS\system32\5810, berikut beberapa file induk yang akan dibuat diantaranya:

• C:\Windows\EXPLORER.EXE
• C:\Windows.exe
• C:\WINDOWS\system32\5810
    5810.exe
    Data.exe
    Data.zip
    Autoexec.bat
    Rose.jpg
    Rose.dll
    Msvbvm60.dll

• C:\New Folder.exe [di setiap drive]
• C:\rose.jpg
• C:\Program Files\WinRAR\data.exe
• C:\Private.zip [di setiap Drive], berisi file data.exe
• C:\Documents and Settings\%User%\MyDocuments\myrose.html
• C:\Windows\system

    Oeminfo.ini
    Oemlogo.bmp

• Rose.icon [UFD]

Agar file induk yang telah dibuat tersebut dapat aktif secara “autorun”, maka ia akan membuat beberapa string pada registry editor diantaranya:
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    RsWin = C:\windows\system32\5810\lsass.exe /register
    WinUp = C:\windows\system32\5810\svchost.exe /register

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Shell = Explorer.exe ExpIorer.exe
    System = C:\windows\system32\5810\lsass.exe,
    Userinit = C:\windows\system32\userinit.exe,C:\windows\system32\5810\lsass.exe,

Dalam upaya untuk mempertahankan dirinya, KillAV akan mencoba untuk melakukan permblokiran terhadap beberapa fungsi Windows diantaranya:
• Disable Run
• Disable Search
• Disable file dengan extension .TXT
• Disable Registry Tools
• Disable Task Manager
• Disable msconfig
• Disable System Restore
• Disable CMD [Command.exe dan Command.com]
• Menyembunyikan beberapa menu pada Folder Option [menu Hidden File and Folder]
• Disable Tools Security
    HijackThis
    Procexp
    Poket KillBox.exe

Untuk melakukan pemblokan terhadap fungsi windows tersebut KillAV akan membuat string pada registry berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    DisableCurrentUserRun
    NoFind
    NoRun

Harap anda berhati-hati, jangan sekali-kali mencoba menjalankan fungsi regedit/msconfig/task manager atau system restore karena akan mengaktifkan virus itu sendiri, untuk melakukan hal tersebut KillAV akan membuat string pada registry berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe
    Debugger = C:\windows\system32\5810\lsass.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntvdm.exe
    Debugger = C:\windows\system32\5810\lsass.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe
    Debugger = C:\windows\system32\5810\lsass.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
    Debugger = C:\windows\system32\5810\lsass.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
    Debugger = C:\windows\system32\5810\lsass.exe

Seperti yang sudah dijelaskan sebelumnya bahwa KillAV juga akan menyembunyikan beberapa option dari “Folder option” [Hidden File and Folder], untuk melakukan hal tersebut KillAV akan merubah string pada registry berikut:
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
    Type = Empty

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
    Type = Empty

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
    Type = Empty


Gambar 4, KillAV merubah option Hidden file and folders pada “Folder option”
Manipulasi “Start Page” Internet Explorer

Salah satu ciri khas KillAV adalah akan merubah “Start Page” Internet Explorer dengan merubah lokasi start page sebelumnya, yakni akan diganti menjadi alamat C:\Documents and Settings\Supervisor\My Documents\myrose.html serta menambah caption text ::Orange:: pada Internet Explorer, sehingga jika anda membuka program “Interet Explorer” maka akan tampil sebuah gambar bunga merah dengan latar belakang warna “orange”, untuk melakukan hal tersebut ia akan membut string pada registry berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    start page = C:\docume~1\%user%\MyDocu~1\myrose.html

Jangan terkejut jika begitu komputer dinyalakan, Windows akan menampilkan sebuah layar yang berisi kata-kata mutiara, walaupun kata-kata mutiara tersebut bagus dan layak untuk di baca tapi tetap mengganggu juga. Untuk memunculkan kata-kata mutiara tersebut KillAv akan membuat string pada registry :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon
    LegalNoticeCaption = Kata Mutiara
    LegalNoticeText = %isi kata-kata mutiara%

KillAV juga akan menambahkan informasi pada Properties system Windows dengan menyisipkan sebuah mawar merah serta sebuah informasi yang berisi permintaan maaf si pembuat virus terhadap pemilik komputer yang terinfeksi, seperti yang terlihat pada gambar 5 dibawah ini

Gambar 5, Penambahan gambar mawar merah dan permintaan maaf pembuat KillAV

Membuat file duplikat dan menyembunyikan ext. File EXE
Jika komputer anda terinfeksi KillAV, ia akan menyembunyikan ekstensi dari file .EXE dengan tujuan supaya folder yang dipalsukan oleh file virus ini tidak mudah terdeteksi oleh pengguna komputer, sehingga anda tidak akan dapat menampilkan ekstensi tersebut walaupun anda sudah menghilangkan option “Hide extension for known file types” pada Folder Option, untuk melakukan hal tersebut, KillAV akan membuat string pada registry :

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
    NeverShowExt =1



Gambar 6, KillAV akan menyembunyikan ekstensi File EXE

Selain menyembunyikan ekstensi file EXE, KillAV juga akan membuat file duplikat disetiap folder sesuai dengan nama folder tersebut, dengan ciri-ciri :
• Icon “Folder”
• Ukuran 57 KB
• Type file “Application”

Selain itu KillAV juga akan mencoba untuk menghapus file eksekusi [file untuk menjalankan program yang telah terinstall] dari setiap program/aplikasi yang telah terinstal di komputer tersebut sehingga program/aplikasi tersebut tidak dapat di jalankan, jika hal ini terjadi install ulang program/aplikasi adalah jalan yang terbaik untuk memulihkan kembali program/aplikasi tersebut, setelah KillAV berhasil menghapus file eksekusi dari program/aplikasi tersebut sebagai gantinya ia akan membuat file duplikat sesuai dengan file yang dihapus dengan ciri-ciri:
• Icon “Folder”
• Ukuran 57 KB
• Type file “Application”

Dengan maksud untuk mengelabui pengguna komptuer, KillAV juga akan melakukan manipulasi terhadap direktori Windows dengan cara menyembunyikan folder [Windows] asli dan membuat file duplikat sesuai dengan nama folder yang disembunyikan tersebut [Windows], tetapi jangan terkecoh karena folder Windows buatan KillAV merupakan file virus jika dijalankan sama saja dengan menjalankan virus tersebut dan yang pasti folder tiruan tersebut akan mempunyai ukuran 57 KB dengan ekstensi .EXE dan sebagai file “Application”, perhatikan gambar 7 dibawah ini

Gambar 7, KillAV akan menyembunyikan folder Windows dan membuat file diplikat sesuai dengan nama foder yang disembunyikan

Aktif pada mode “safe mode” dan “safe mode with command prompt”
Seperti pada kebanyakan virus lokal yang menyebar, sudah menjadi tradisi dimana mereka [virus] akan aktif pada mode “safe mode” atau “safe mode with command prompt” begitupun KillAV dengan tujuan untuk mempersulit proses pembersihan, agar KillAV dapat aktif pada dua mode

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
    Shell = Explorer.exe C:\windows\system32\12053\lsass.exe
    System = C:\windows\system32\12053\lsass.exe,
    Userinit = C:\windows\system32\userinit.exe,C:\windows\system32\12053\lsass.exe

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
    AlternateShell = C:\windows\system32\12053\lsass.exe

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002Control\SafeBoot
    AlternateShell = C:\windows\system32\12053\lsass.exe

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003Control\SafeBoot
    AlternateShell = C:\windows\system32\12053\lsass.exe

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
    AlternateShell = C:\windows\system32\12053\lsass.exe

Menghapus program antivirus

KillAV melakukan aksi berbahaya “membasmi” program antivirus sehingga menjadikan komputer korbannya sangat rentan terhadap serangan, apalagi jika korbannya tidak menyadari bahwa antivirus di komputernya sidah tidak berfungsi dan beranggapan bahwa komputernya terproteksi dengan baik oleh antivirus.
Jika sebelumnya “bisanya” virus lokal hanya menghentikan proses antivirus kini VBWorm.NA bukan saja akan menghentikan proses virus tersebut tetapi benar-benar akan menghancurkan program antivirus tersebut sampai ke akar-akarnya dengan cara menghapus file pendukung antivirus tersebut [khususnya file eksekusi].

Untuk melakukan hal tersebut ia akan menjalankan file autoexec.bat ( lihat gambar 8 ) yang telah dibuat di direktori [C:\WINDOWS\system32\5810] dimana file ini berisi command [perintah] untuk manghapus file yang berhubungan dengan program antivirus tertentu diantaranya:
• Norman Virus Control
• McAffe
• Symantec
• ESET
• Antivir
• Norton
• AVG
• Kaspersky
• Panda Antivirus
• PCCilin


Gambar 8, KillAV mencoba untuk menghapus beberapa program antivirus

Untuk menyebarkan dirinya virus ini akan menggunakan media Disket/UFD dengan membuat file :
• Private.ZIP
• New Folder.exe
• Rose.ico

KillAV juga akan menambahkan icon “MSN Explorer” pada drive UFD (lihat gambar 9)


Gambar 9, UFD pada Windows Explorer akan mendapatkan icon MSN Explorer

Cara membersihkan virus KillAV
1. Putuskan komputer yang akan dibersihkan dari jaringan
2. Matikan “system restore” selama ;proses pembersihan [jika menggunakan Windows ME/XP]
3. Untuk mempermudah proses pembersihan, matikan proses virus yang sedang aktif di memori. Untuk mematikan proses tersebut gunakan tools “security task manager” karena tool ini selain dapat mematikan proses virus juga dapat menghapus file virus tersebut (cara lain untuk membasmi virus ini adalah menggunakan Norman Virus Control dengan update terakhir yang sudah dapat mendeteksi dan membasmi virus ini). Setelah menjalankan tools tersebut matikan proses virus yang mempunyai icon “Folder” dengan cara
• Klik proses virus
• Klik [remove]
• Agar file tesebut dapat lansung dihapus, pilih option [move t• quarantine]
• Klik [ok] (lihat gambar 10)


Gambar 10, Gunakan Security Task Manager untuk membasmi virus KillAV

4. Hapus string yang dibuat oleh virus, untuk mempercepat proses pembersihan copy script dibawah ini pada program notepad kemudian simpan dengan nama “repair.inf” setelah itu jalankan tools tersebut dengan cara
• Klik repair.inf
• Klik install

[Version]
Signature="$Chicago$"
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, system,0,
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, type,0, "group"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, "checkbox"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, "checkbox"

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableCurrentUserRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKLM, Software\Microsoft\Windows\CurrentVersion\Run,RsWin
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Winup
HKLM, softwARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntvdm.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
HKLM, Software\Microsoft\Command Processor,Autorun
HKLM, SOFTWARE\Classes\exefile,NeverShowExt
5. Hapus file induk yang telah dibuat oleh KillAV, sebelum menghapus file tersebut pastikan Anda sudah menampilkan file yang disembunyikan (lihat gambar 11)


Gambar 11, Menampilkan file yang disembunyikan

Setelah itu hapus file berikut:
• C:\Windows\EXPLORER.EXE
• C:\Windows.exe
• Hapus Folder C:\WINDOWS\system32\5810
    C:\New Folder.exe [di setiap drive]
    C:\rose.jpg
    C:\Program Files\WinRAR

• data.exe
• rose.jpg
• C:\Private.zip [di setiap Drive]
• C:\Documents and Settings\%User%\MyDocuments\myrose.html
• C:\Windows\system
• Oeminfo.ini
• Oemlogo.bmp

6. Hapus juga file duplikat yang dibuat oleh virus dengan ciri-ciri (gambar 12) :
- Icon folder
- Ukuran 57 KB [sesuai kan dengan varian dari virus tersebut]
- Type Application


Gambar 12, File duplikat Windows

7. Tampilkan kembali folder Windows yang disembunyikan oleh virus, gunakan printah attrib –s –h c:\windows pada DOS PROMPT
8. Karena virus ini akan berusaha untuk menghapus program antivirus sebaiknya anda instal ulang antivirus yang sudah pernah terinstall sebelumnya.
9. Untuk pembersihan optimal dan mencegah agar komputer tersebut tidak terinfeksi kembali gunakan Norman Virus Control dengan update terakhir.

Salam,

Adang Juhar Taufik
info@vaksin.com
Diposting oleh Aries
Label:

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)
Aries Bontang © 2008 Template by:
SkinCorner