Gara-gara pengen tahu nomor HP BCL, komputer jadi terkunci di menu logon dan kenalan sama Nakula Sadewa. Apa hubungan BCL dengan Wayang ? Dua dunia yang berbeda ini disatukan oleh virus Wayang yang terdeteksi Norman Virus Control sebagai W32/VBWorm.NFA. Virus yang disinyalir berasal dari Surabaya ini cukup merepotkan karena mampu memblok komputer pada menu logon seperti kasus virus Flu Burung. Ibarat kisah Mahabarata, artikel virus ini sangat panjang (walaupun tidak sepanjang sinetron Tersanjung, yang mungkin selesai setelah saya punya cucu :P), karena itu Vaksincom memecahkan artikel virus ini ke dalam dua bagian. Bagian pertama akan memberikan informasi dan capture screen virus, bagian kedua yang akan menyusul akan memberikan informasi removal.
Harap berhati-hati, jika Desktop pada Windows anda secara tiba-tiba berubah digantikan dengan gambar sesosok kesatria masa silam yang hadir dalam dunia pewayangan begitupun jika setiap kali komputer dinyalakan yang hanya akan menampilkan desktop dengan gambar wayang tersebut dan “sialnya” komputer tersebut tidak dapat digunakan karena deskop Windows di blok, jangan coba-coba untuk boot komputer pada mode “safe mode” atau “safe mode with command prompt” karena pada kedua mode inipun komputer “tetap” tidak dapat digunakan. Anda tentu masih ingat dengan kasus virus W32/Oyoborus ? Bedanya jika pada kasus virus Oyoborus pada saat komputer booting hanya akan menampilkan layar dengan latar belakang berwarna biru saja
Gambar 1, Tampilan Desktop Windows saat komputer dinyalakan
Virus ini kemungkinan lahir di kota pahlawan, file yang terinfeksi VBWorm.NFA mempunyai ukuran sebesar 76 KB dengan icon “Microsoft Word Document”
Gambar 2, File induk VBWorm.NFA “menjanjikan” HP BCL bagi yang mengklik
Jika virus tersebut sudah menginfeksi komputer maka ia akan merubah type file yang sudah terinfeksi dari “Application” menjadi “Microsoft Word Document” (lihat gambar 3) sehingga semakin lengkaplah penyamaran yang dilakukan oleh VBWorm.NFA, untuk melakukan hal tersebut ia akan merubah string pada registry berikut:
• HKLM\Software\Classes\exefile
- Default = Microsoft Word Document
Gambar 3, File virus berubah dari type Application menjadi Microsoft Word Document untuk menyempurnakan penyamaran.
Virus ini sangat merepotkan karena begitu banyak file induk yang akan dibuat dengan seabreg-abreg string registry yang akan diubah, hal ini mengingatkan kita pada virus Oyoborus.A dan Gnurbulf.B, oleh karena itu jika komputer anda sudah terinfeksi VBWorm.NFA jangan lupa untuk membersihkan string yang sudah diubah jika anda masih menginginkan komputer tersebut dapat digunakan, karena jika registry yang dibuat oleh VBWorm.NFA tidak dibersihkan maka komputer tidak dapat digunakan dengan “selalu” meminta konfirmasi untuk mengisi “user name” dan “password” alias terkunci di menu logon. (lihat gambar 4)
Gambar 4, Pembersihan virus yang tanggung akan menyebabkan komputer terkunci di menu logon
Dengan update terakhir, Norman Virus Control sudah dapat mengenali virus ini sebagai VBWorm.NFA (lihat gambar 5)
Gambar 5, Norman Virus Control mendeteksi virus HP BCL sebagai W32/VBWorm.NFA
Membuat file induk untuk dijalankan setiap kali komputer booting
Jika file tersebut dijalankan ia akan membuat banyak sekali file induk yang akan di simpan di beberapa lokasi yang berbeda, berikut beberapa contoh file yang akan dibuat oleh VBWorm.NFA
• C:\HP Bunga Citra Lestari.exe
• C:\Tugas %user%.exe (contoh Tugas Administrator.exe)
• Membuat folder C:\w4y4n9
- Folder.htt
- Lo5tword.exe
• C:\Tugas systemprofile.exe
• C:\desktop.ini
• C:\Windows
- msvbvm60.dll
- Hanuman.exe
- About.htm
• C:\Windows\system32
- GatoTkaca.scr
- Oemlogo.bmp
- Oeminfo.ini
- wayangPaper.bmp
• C:\WINDOWS\Microsoft %user%
- Msvbvm60.dll
- Windows %angka%.exe
<%angka%, menunjukan angka acak, contohnya : Windows 744968116.exe>
• C:\WINDOWS\Microsoft systemprofile
- Msvbvm60.dll
- Windows %angka%.exe
<%angka% menunjukan angka acak, contohnya : Windows 744968116.exe>
• C:\WINDOWS\Software %user%
- Msvbvm60.dll
- w4y4n9.exe
• C:\WINDOWS\Software systemprofile
- msvbvm60.dll
- w4y4n9.exe
• C:\WINDOWS\nakula sadewa
- msvbvm60.dll
- services.exe
- spoolsv.exe
- svchost.exe
• C:\Documents and Settings\%user%\Local Settings
- DaLang MistiQ.exe
- W32 Wayang.exe
- Msvbvm60.dll
• C:\Documents and Settings\%user%\Local Settings\Application Data
- Kota P4hlawan.exe
- Majnun was H3re.exe
- SMA Negeri 4.exe
- msvbvm60.dll
• C:\Documents and Settings\%user%\My Documents
- majnun.txt
• C:\WINDOWS\system32\%user% durjana
- Msvbvm60.dll
- Csrss.exe
- Lsass.exe
- Smss.exe
• C:\Windows\system32\systemprofile durjana
- msvbvm60.dll
- csrss.exe
- lsass.exe
- smss.exe
• C:\WINDOWS\system32\config\systemprofile\Local Settings
- daLang MistiQ.exe
- w32 Wayang.exe
- msvbvm60.dll
• C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data
- msvbvm60.dll
- Kota P4hlawan.exe
- Majnun was H3re.exe
- SMA Negeri 4.exe
Membuat string registry
Agar file tersebut dapat dijalankan secara otomatis setiap kali komputer booting/dihidupkan, VBWorm.NFA akan membuat beberapa string pada registry berikut:
• HKLM\Software\microsoft\winodws\CurrentVersion\Run
- %user% Nakula = C:\WINDOWS\Microsoft %user%\Windows 477212131.exe /register
- %user% Sadewa = C:\WINDOWS\Software %user%\w4y4n9.exe /register
- systemprofile Nakula = C:\WINDOWS\Microsoft systemprofile\Windows 456178128.exe /register
- systemprofile Sadewa = C:\WINDOWS\Software systemprofile\w4y4n9.exe /register
• HKLM\SOftware\Microsoft\WInodws NT\CurrentVersion\Winlogon
- Shell = explorer.exe C:\WINDOWS\nakula sadewa\spoolsv.exe
- Userinit: C:\WINDOWS\nakula sadewa\svchost.exe,
- system = C:\WINDOWS\nakula sadewa\services.exe
• HKCU\Software\Microsoft\Windows\CurrentVersion\run
- %user% Nakula = C:\WINDOWS\Microsoft %user%Windows 477212131.exe /register
- %user% Sadewa = C:\WINDOWS\Software %user%\w4y4n9.exe /register
- mutiara = C:\Documents and Settings\%user%\My Documents\majnun.txt /register
• HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
- Load = C:\WINDOWS\Hanuman.exe
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\AeDebog
- debugger = C:\WINDOWS\system32\%user% durjana\csrss.exe
Aktif pada mode “safe mode” dan “safe mode with command prompt”
Virus ini juga akan tetap aktif walaupun komputer booting pada mode “safe mode” atau “safe mode with command prompt” dengan tetap akan melakukan blok terhadap Desktop Windows sehingga komputer tidak dapat digunakan, dengan membuat string pada registry berikut:
• HKLM\Software\Microsoft\WInodws NT\CurrentVersion\Winlogon
- Shell = explorer.exe C:\WINDOWS\nakula sadewa\spoolsv.exe
- Userinit: C:\WINDOWS\nakula sadewa\svchost.exe,
- system = C:\WINDOWS\nakula sadewa\services.exe
• HKLM\System\ControlSet001\control\SafeBoot
- AlternateShell = C:\Documents and Settings\%user%\Local Settings\Application Data\SMA Negeri 4.exe
• HKLM\System\ControlSet002\control\SafeBoot
- AlternateShell = C:\Documents and Settings\%user%\Local Settings\Application Data\Kota P4hlawan.exe
• HKLM\System\ControlSet003\control\SafeBoot
- AlternateShell = C:\Documents and Settings\%user%\Local Settings\Application Data\Majnun was H3re.exe
Disable Fungsi Windows dan tools security
Untuk melakukan pertahanan, VBWorm.NFA akan mencoba untuk melakukan blok terhadap beberapa fungsi windows dibawah ini:
• Disable registry editor
• Disabla task manager
• Disable msconfig
• Disable RUN
• Disable fungsi Klik kanan
• Disable CMD
• Disable Search
• Disable Drive
• Disable System Restore
• Disable MSI Installer
Untuk melakukan hal tersebut, ia akan membuat beberapa string pada registry berikut:
• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoControlPanel
- NoDrives
- NoFind
- NoRun
- NoTrayContextMenu
- NoViewContextMenu
• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
- DisableCMD
- DisableRegistryTools
- DisableTaskMgr
• HKCU\Software\policies\Microsoft\system
- DIsableCMD
• HKLM\Software\Policies\Microsoft\Windows\Installer
- DisableMSI
- LimitSystemRestoreCheckpointing
• HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore
- DisableConfig
- DisableSR
Selain itu VBWorm.NFA juga akan melakukan blok terhadap beberapa tools security seperti Pocket killbox/proceexp/security task manager/hijackthis serta program firewall dan antivirus.
- Tutorial Pemrograman
- Tutorial Jaringan
- Akhir dari li (bullet) menufs1 Induk
- ateonsoft
6.16.2008
Langganan:
Posting Komentar (Atom)
0 comments:
Posting Komentar