6.16.2008

W32/VBWorm.NFA - virus KeLaz Tinggi

. 6.16.2008

Gara-gara pengen tahu nomor HP BCL, komputer jadi terkunci di menu logon dan kenalan sama Nakula Sadewa. Apa hubungan BCL dengan Wayang ? Dua dunia yang berbeda ini disatukan oleh virus Wayang yang terdeteksi Norman Virus Control sebagai W32/VBWorm.NFA. Virus yang disinyalir berasal dari Surabaya ini cukup merepotkan karena mampu memblok komputer pada menu logon seperti kasus virus Flu Burung. Ibarat kisah Mahabarata, artikel virus ini sangat panjang (walaupun tidak sepanjang sinetron Tersanjung, yang mungkin selesai setelah saya punya cucu :P), karena itu Vaksincom memecahkan artikel virus ini ke dalam dua bagian. Bagian pertama akan memberikan informasi dan capture screen virus, bagian kedua yang akan menyusul akan memberikan informasi removal.

Harap berhati-hati, jika Desktop pada Windows anda secara tiba-tiba berubah digantikan dengan gambar sesosok kesatria masa silam yang hadir dalam dunia pewayangan begitupun jika setiap kali komputer dinyalakan yang hanya akan menampilkan desktop dengan gambar wayang tersebut dan “sialnya” komputer tersebut tidak dapat digunakan karena deskop Windows di blok, jangan coba-coba untuk boot komputer pada mode “safe mode” atau “safe mode with command prompt” karena pada kedua mode inipun komputer “tetap” tidak dapat digunakan. Anda tentu masih ingat dengan kasus virus W32/Oyoborus ? Bedanya jika pada kasus virus Oyoborus pada saat komputer booting hanya akan menampilkan layar dengan latar belakang berwarna biru saja , sedangkan pada kasus VBWorm.NFA akan menampilkan desktop dengan gambar satria pewayangan , perhatikan gambar 1 dibawah ini.



Gambar 1, Tampilan Desktop Windows saat komputer dinyalakan



Virus ini kemungkinan lahir di kota pahlawan, file yang terinfeksi VBWorm.NFA mempunyai ukuran sebesar 76 KB dengan icon “Microsoft Word Document” dengan type file sebagai “Application”, sehingga diharapkan user akan mudah terkecoh untuk menjalankan file tersebut apalagi salah satu file induk tersebut mendompleng nama “sakti” :P HP BCL (Bunga Citra Lestari) (lihat gambar 2).







Gambar 2, File induk VBWorm.NFA “menjanjikan” HP BCL bagi yang mengklik



Jika virus tersebut sudah menginfeksi komputer maka ia akan merubah type file yang sudah terinfeksi dari “Application” menjadi “Microsoft Word Document” (lihat gambar 3) sehingga semakin lengkaplah penyamaran yang dilakukan oleh VBWorm.NFA, untuk melakukan hal tersebut ia akan merubah string pada registry berikut:



• HKLM\Software\Classes\exefile

- Default = Microsoft Word Document



Gambar 3, File virus berubah dari type Application menjadi Microsoft Word Document untuk menyempurnakan penyamaran.



Virus ini sangat merepotkan karena begitu banyak file induk yang akan dibuat dengan seabreg-abreg string registry yang akan diubah, hal ini mengingatkan kita pada virus Oyoborus.A dan Gnurbulf.B, oleh karena itu jika komputer anda sudah terinfeksi VBWorm.NFA jangan lupa untuk membersihkan string yang sudah diubah jika anda masih menginginkan komputer tersebut dapat digunakan, karena jika registry yang dibuat oleh VBWorm.NFA tidak dibersihkan maka komputer tidak dapat digunakan dengan “selalu” meminta konfirmasi untuk mengisi “user name” dan “password” alias terkunci di menu logon. (lihat gambar 4)





Gambar 4, Pembersihan virus yang tanggung akan menyebabkan komputer terkunci di menu logon



Dengan update terakhir, Norman Virus Control sudah dapat mengenali virus ini sebagai VBWorm.NFA (lihat gambar 5)



Gambar 5, Norman Virus Control mendeteksi virus HP BCL sebagai W32/VBWorm.NFA



Membuat file induk untuk dijalankan setiap kali komputer booting

Jika file tersebut dijalankan ia akan membuat banyak sekali file induk yang akan di simpan di beberapa lokasi yang berbeda, berikut beberapa contoh file yang akan dibuat oleh VBWorm.NFA



• C:\HP Bunga Citra Lestari.exe

• C:\Tugas %user%.exe (contoh Tugas Administrator.exe)

• Membuat folder C:\w4y4n9 , berisi 2 file yakni:

- Folder.htt

- Lo5tword.exe



• C:\Tugas systemprofile.exe

• C:\desktop.ini <>

• C:\Windows

- msvbvm60.dll

- Hanuman.exe

- About.htm

• C:\Windows\system32

- GatoTkaca.scr

- Oemlogo.bmp

- Oeminfo.ini

- wayangPaper.bmp

• C:\WINDOWS\Microsoft %user%

- Msvbvm60.dll

- Windows %angka%.exe

<%angka%, menunjukan angka acak, contohnya : Windows 744968116.exe>

• C:\WINDOWS\Microsoft systemprofile

- Msvbvm60.dll

- Windows %angka%.exe

<%angka% menunjukan angka acak, contohnya : Windows 744968116.exe>

• C:\WINDOWS\Software %user%

- Msvbvm60.dll

- w4y4n9.exe

• C:\WINDOWS\Software systemprofile

- msvbvm60.dll

- w4y4n9.exe

• C:\WINDOWS\nakula sadewa

- msvbvm60.dll

- services.exe

- spoolsv.exe

- svchost.exe

• C:\Documents and Settings\%user%\Local Settings

- DaLang MistiQ.exe

- W32 Wayang.exe

- Msvbvm60.dll

• C:\Documents and Settings\%user%\Local Settings\Application Data

- Kota P4hlawan.exe

- Majnun was H3re.exe

- SMA Negeri 4.exe

- msvbvm60.dll

• C:\Documents and Settings\%user%\My Documents

- majnun.txt

• C:\WINDOWS\system32\%user% durjana

- Msvbvm60.dll

- Csrss.exe

- Lsass.exe

- Smss.exe

• C:\Windows\system32\systemprofile durjana

- msvbvm60.dll

- csrss.exe

- lsass.exe

- smss.exe

• C:\WINDOWS\system32\config\systemprofile\Local Settings

- daLang MistiQ.exe

- w32 Wayang.exe

- msvbvm60.dll

• C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

- msvbvm60.dll

- Kota P4hlawan.exe

- Majnun was H3re.exe

- SMA Negeri 4.exe



Membuat string registry

Agar file tersebut dapat dijalankan secara otomatis setiap kali komputer booting/dihidupkan, VBWorm.NFA akan membuat beberapa string pada registry berikut:



• HKLM\Software\microsoft\winodws\CurrentVersion\Run

- %user% Nakula = C:\WINDOWS\Microsoft %user%\Windows 477212131.exe /register

- %user% Sadewa = C:\WINDOWS\Software %user%\w4y4n9.exe /register

- systemprofile Nakula = C:\WINDOWS\Microsoft systemprofile\Windows 456178128.exe /register

- systemprofile Sadewa = C:\WINDOWS\Software systemprofile\w4y4n9.exe /register

• HKLM\SOftware\Microsoft\WInodws NT\CurrentVersion\Winlogon

- Shell = explorer.exe C:\WINDOWS\nakula sadewa\spoolsv.exe

- Userinit: C:\WINDOWS\nakula sadewa\svchost.exe,

- system = C:\WINDOWS\nakula sadewa\services.exe

• HKCU\Software\Microsoft\Windows\CurrentVersion\run

- %user% Nakula = C:\WINDOWS\Microsoft %user%Windows 477212131.exe /register

- %user% Sadewa = C:\WINDOWS\Software %user%\w4y4n9.exe /register

- mutiara = C:\Documents and Settings\%user%\My Documents\majnun.txt /register

• HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows

- Load = C:\WINDOWS\Hanuman.exe

• HKLM\Software\Microsoft\Windows NT\CurrentVersion\AeDebog

- debugger = C:\WINDOWS\system32\%user% durjana\csrss.exe



Aktif pada mode “safe mode” dan “safe mode with command prompt”

Virus ini juga akan tetap aktif walaupun komputer booting pada mode “safe mode” atau “safe mode with command prompt” dengan tetap akan melakukan blok terhadap Desktop Windows sehingga komputer tidak dapat digunakan, dengan membuat string pada registry berikut:



• HKLM\Software\Microsoft\WInodws NT\CurrentVersion\Winlogon

- Shell = explorer.exe C:\WINDOWS\nakula sadewa\spoolsv.exe

- Userinit: C:\WINDOWS\nakula sadewa\svchost.exe,

- system = C:\WINDOWS\nakula sadewa\services.exe

• HKLM\System\ControlSet001\control\SafeBoot

- AlternateShell = C:\Documents and Settings\%user%\Local Settings\Application Data\SMA Negeri 4.exe

• HKLM\System\ControlSet002\control\SafeBoot

- AlternateShell = C:\Documents and Settings\%user%\Local Settings\Application Data\Kota P4hlawan.exe

• HKLM\System\ControlSet003\control\SafeBoot

- AlternateShell = C:\Documents and Settings\%user%\Local Settings\Application Data\Majnun was H3re.exe



Disable Fungsi Windows dan tools security

Untuk melakukan pertahanan, VBWorm.NFA akan mencoba untuk melakukan blok terhadap beberapa fungsi windows dibawah ini:

• Disable registry editor

• Disabla task manager

• Disable msconfig

• Disable RUN

• Disable fungsi Klik kanan

• Disable CMD

• Disable Search

• Disable Drive

• Disable System Restore

• Disable MSI Installer



Untuk melakukan hal tersebut, ia akan membuat beberapa string pada registry berikut:



• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- NoControlPanel

- NoDrives

- NoFind

- NoRun

- NoTrayContextMenu

- NoViewContextMenu

• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system

- DisableCMD

- DisableRegistryTools

- DisableTaskMgr

• HKCU\Software\policies\Microsoft\system

- DIsableCMD

• HKLM\Software\Policies\Microsoft\Windows\Installer

- DisableMSI

- LimitSystemRestoreCheckpointing

• HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore

- DisableConfig

- DisableSR



Selain itu VBWorm.NFA juga akan melakukan blok terhadap beberapa tools security seperti Pocket killbox/proceexp/security task manager/hijackthis serta program firewall dan antivirus.

0 comments:

:)) ;)) ;;) :D ;) :p :(( :) :( :X =(( :-o :-/ :-* :| 8-} :)] ~x( :-t b-( :-L x( =))

Poskan Komentar

 

My Yahoo Messanger



ID :r.ibnu

My FrIenDstEr

f4bregaz.blogspot.com is proudly powered by Blogger.com | Template by o-om.com