Rabu, 30 Januari 2008

VBS/Smalltroj. XSR 18 Desember 2007

Buka file inf (Regedit) langsung Log Off, buka MSConfig dapat Notepad

Salah satu virus yang cukup merepotkan dan saat ini sedang menyebar adalah jenis VBS/Smalltroj. XSR. Virus ini sebenarnya dibuat dengan menggunakan VBScript, suatu program sederhana tetapi mempunyai kemampuan yang patut diperhitungkan. Ukuran virus ini lumayan kecil sekitar 9 KB dan tetap mengusung icon VBS. Harap berhati-hati jika virus ini sudah mulai menginfeksi komputer maka ia akan melakukan serangkaian perubahan pada registry diantaranya akan merubah type file dari "VBScript Script file" menjadi "Microsoft Word Document" dan merubah icon "VBS" menjadi icon "MS Word", inilah salah satu rekayasa sosial yang akan digunakan oleh VBS/Smaltroj. XSR. Dilengkapi dengan kemampuan untuk membuat file duplikat disetiap folder dan subfolder, file duplikat ini akan dibuat jika di dalam folder tersebut terdapat file dengan ekstensi XLS/DOC/ZIP/ RAR/PDF atau file gambar, khusus untuk file dengan ekstensi DOC akan disembunyikan.

Dengan update terbaru Norman Virus Control sudah dapat mendeteksi virus ini dengan baik (lihat gambar 1)

Gambar 1, Norman Virus Control mendeteksi virus VBS/Smalltroj. XSR

Setelah virus tersebut menginfeksi komputer ia akan membuat beberapa file induk yang diantaranya akan dijalankan setiap kali komputer dinyalakan / restart, file ini akan dibuat secara acak disetiap Drive/folder/ subfolder. Berikut beberapa file induk yang akan di buat oleh VBS/Smalltroj. XSR :

  • Autorun.inf
  • Dataku.vbs
  • New File.vbs
  • Money.vbs
  • Hasil.vbs
  • Readme.vbs
  • C:\Windows\System. vbs
  • C:\Windows\readme. vbs
  • C:\Documents and Settings\%user% \My Documents\Cerita 17.txt.vbs
  • C:\Documents and Settings\%user% \Application Data\Adobe.vbs

Agar file tersebut dapat dijalankan secara otomatis setiap kali komputer dinyalakan / restart ia akan membuat string pada registry berikut:

  • HKCU\Software\ Microsoft\ Windows\CurrentV ersion\Run

Adobe = C:\Document and settings\%user% \Favorites\ adobe.lnk

Untuk mempertahankan dirinya, ia akan blok beberapa fungsi windows seperti:

  • Registry editor
  • Msconfig
  • Task manager
  • Cmd
  • Menu Run
  • Folder Options

Untuk melakukan hal tersebut ia akan membuat beberapa string pada registry berikut:

· HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer

§ NoFileAssociate

§ NoFind

§ NoFolderOptions

§ NoRun

· HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\ System

§ DisableCMD

§ DisableRegedit

· HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\policies\ system

§ DisableTaskmgr

· HKCU\Software\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced

§ HideFileExt = 1

· HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd en

§ CheckedValue = 2

§ DefaultValue = 2

Mengganti program maintenance komputer dengan Notepad.

Jangan kaget jika setiap kali mencoba untuk menjalankan regedit / msconfig / cmd / taskmanager bahkan saat anda mencoba untuk melakukan instalasi program / software yang akan muncul adalah program notepad, karena hal ini juga di lakukan untuk antisipasi agar dirinya susah untuk di bersihkan. Untuk melakukan hal tersebut ia akan membuat string pada registr berikut :

· HKLM\SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\cmd. exe

§ Debugger = Notepad.exe

· HKLM\SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\msconfig. exe

§ Debugger = Notepad.exe

· HKLM\SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\regedit. exe

§ Debugger = Notepad.exe

· HKLM\SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\regedt32. exe

§ Debugger = Notepad.exe

· HKLM\SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\TaskMgr. exe

§ Debugger = Notepad.exe

· HKLM\SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\attrib. exe

§ Debugger = Notepad.exe

· HKLM\SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\install. exe

§ Debugger = Notepad.exe

· HKLM\SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\setup. exe

§ Debugger = Notepad.exe

Logoff jika akses Regedit / VBS file

Dalam rangka melindungi dirinya dari pembasmian, virus ini menambahkan blok akses file INF/VBS dan Registry file sehingga jika user menjalankan file yang mempunyai ekstensi tersebut maka komputer akan langsung logoff. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:

· HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\VBSFile\ Shell\Edit\ Command

§ Default = logoff.exe

· HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\inffile\ Shell\Install\ Command

§ Default = logoff.exe

· HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\regfile\ Shell\open\ Command

§ Default = logoff.exe

· HKCR\inffile\ shell\Install\ command

§ Default = logoff.exe

· HKCR\regfile\ shell\open\ command

§ Default = logoff.exe

· HKCR\VBSFile\ Shell\Edit\ Command

§ Default = logoff.exe

Membuat file duplikat dengan ekstensi VBS

Sebagai penutup dan merupakan target utama adalah ia akan mencoba untuk menyembunyikan file MS Word (.DOC). Untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan tersebut dengan ciri-ciri (lihat gambar 2) :

  • Icon MS Word
  • Ukuran file 9 KB
  • Ekstensi DOC.VBS (ekstensi VBS ini akan disembunyikan)
  • Type file "Microsoft Word Document"

Gambar 2, File duplikat virus VBS/Smalltroj. XSR

Untuk merubah icon file / type file dan menyembunyikan ekstensi VBS ini, ia akan merubah string pada registry berikut:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\VBSFile
    • Default = Microsoft Word Document
    • NeverShowExt
    • FriendlyTypeName = Microsoft Word Document
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\VBSFile\ DefaultIcon
    • Default = C:\WINDOWS\Installe r\{90110409- 6000-11D3- 8CFE-0150048383C 9}\wordicon. exe,1

Selain itu VBS/Smalltroj. XSR juga akan membuat file duplikat disetiap folder / subfolder jika di dalam folder / subfolder tersebut terdapat file yang mempunyai ekstensi XLS/ZIP/RAR/ PDF atau file gambar (file aslinya tidak akan disembunyikan) dengan ciri-ciri (lihat gambar 3) :

  • Icon MS.Word
  • Ukuran file 9 KB
  • Ekstensi VBS (ekstensi VBS ini akan disembunyikan)
  • Type file "Microsoft Word Document"

Gambar 3, File duplikat VBS/Smalltroj. XSR

Sebagai media penyebaranya ia akan menggunakan flash disk (usb) dengan membuat file berikut dengan ukuran 9 kb dan menggunakan icon MS Word.

  • Autorun.inf
  • Dataku.vbs
  • New File.vbs
  • Money.vbs
  • Hasil.vbs

Serta membuat file duplikat disetiap folder/subfolder, file duplikat ini akan dibuat jika di dalam folder/subfolder tersebut terdapat file yang mempunyai ekstensi DOC/XLS/ZIP/ RAR/PDF atau file gambar.

Agar VBS/Smalltroj. XSR ini dapat aktif secara otomatis setiap kali user akses ke dalam Drive/Flash Disk, ia akan memanfaatkan file Autorun.inf dimana di dalam file tersebut akan terdapat script untuk menjalankan file virus (Dataku.vbs) , berikut script yang ada pada file Autorun.inf. (lihat gambar 4)

Gambar 4, Script AutoRun.inf VBS/Smalltroj. XSR

Cara membersihkan VBS/Smalltroj. XSR :

  1. Matikan proses virus yang aktif dimemori (file wscript.exe). Untuk mempermudah dalam mematikan proses tersebut Anda dapat menggunakan tools pengganti task manager seperti Proceexp

http://download. sysinternals. com/Files/ ProcessExplorer. zip

  1. Ubah kembali string INF file pada registry karena untuk menghapus sisa registry ini kita akan tetap menggunakan file repair.inf. Perubahan ini dilakukan karena virus ini akan blok akses ke file INF file registry maupun file vbs.

Untuk merubah string tersebut dapat menggunakan tools pengganti registry editor seperti RegAlizer, silahkan download di alamat

http://www.safer- networking. org/files/ regalyz.exe

Setelah program tersebut berhasil di install dan dijalankan kemudian telusuri lokasi HKEY_CLASSES_ ROOT\inffile\ shell\Install\ command dan HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\inffile\ shell\Install\ command kemudian ganti string default menjadi C:\Windows\System32 \rundll32. exe setupapi,InstallHin fSection DefaultInstall 132 %1

Catatan:
Jika komputer anda terinstall Windows NT/2000 ganti script Windows menjadi Winnt

  1. Hapus sisa string registry yang dibuat virus. Untuk mempercepat proses penghapusan silahkan copy script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:

· Klik kanan repair.inf

· Klik Install

Berikut script yang harus Anda copy:

[Version]

Signature="$ Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\ batfile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ comfile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ exefile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ piffile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ regfile\shell\ open\command, ,,"regedit. exe "%1""

HKLM, Software\CLASSES\ scrfile\shell\ open\command, ,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet00 1\Control\ SafeBoot, AlternateShell, 0, "cmd.exe"

HKLM, SYSTEM\ControlSet00 2\Control\ SafeBoot, AlternateShell, 0, "cmd.exe"

HKLM, SYSTEM\CurrentContr olSet\Control\ SafeBoot, AlternateShell, 0, "cmd.exe"

HKLM, SOFTWARE\Classes\ exefile\DefaultI con,,,"%1"

HKLM, SOFTWARE\Classes\ VBSFile,, ,"VBScript Script file"

HKLM, SOFTWARE\Classes\ VBSFile\DefaultI con,,,"C: \WIndows\ System32\ WScript.exe, 2"

HKLM, SOFTWARE\Classes\ VBSFile\Shell\ Edit\Command, ,,"C:\WIndows\ system32\ notepad.exe %1"

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd en,UncheckedValu e,0x00010001, 1

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd en,CheckedValue, 0x00010001, 0

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd en,DefaultValue, 0x00010001, 0

HKLM, SOFTWARE\Classes\ VBSFile, FriendlyTypeName, 0,"@C:\Windows\ System32\ wshext.dll, -4802"

[del]

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFolderOptions

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Run, Adobe

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoDesktop

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFileAssociate

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFolderoptions

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoRun

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFind

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System, DisableCMD

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System, DisableRegistryTool s

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System, DisableRegedit

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System, DisableTaskMgr

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\policies\ system, DisableTaskmgr

HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\cmd. exe

HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\msconfig. exe

HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\regedit. exe

HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\regedt32. exe

HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\TaskMgr. exe

HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\attrib. exe

HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\install. exe, Debugger

HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\setup. exe, Debugger

HKLM, SOFTWARE\Classes\ VBSFile, NeverShowExt

  1. Hapus file duplikat maupun file induk virus termasuk di Flash Disk dengan ciri-ciri:

· Icon VBS

· Ekstensi .DOC.VBS dan VBS

· Ukuran 9 KB

Untuk mempercepat proses pencarian dan penghapusan tersebut, Anda dapat menggunakan fungsi Search Windows dengan terlebih dahulu menampilkan file/folder yang disembunyikan (gunakan Folder Options).

Jika setelah menjalankan repair.inf tetapi Folder Option belum tampil, sebaiknya Logoff komputer terlebih dahulu setelah itu baru tampilkan file/folder yang disembunyikan, setelah semua file/folder berhasil ditampilkan kemudian cari dan hapus file virus dengan menggunakan Search Windows seperti terlihat pada gambar 5 di bawah ini:

Gambar 5, Hasil pencarian file virus

Hapus juga file AutoRun.inf disetiap Drive termasuk di Flash Disk.

  1. Tampilkan file MS.Word (DOC) yang disembunyikan dengan menggunakan perintah attrib -s -h *.doc /s pada dos prompt dengan terlebih dahulu menempatkan posisi kursor dilokasi folder/drive yang akan di periksa.

  1. Untuk pembersihan optimal dan mencegah infeksi ulang, silahkan scan dengan menggunakan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini dengan baik.
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)