Virus Trojan:W32/SmallTroj.PUDN Hide MS word and open CDRom

 Trojan:W32/SmallTroj.PUDN Hide MS word and open CDRom

Ini kali ke dua virus yang akan mempermainkan CDROM setelah kemunculan virus lainnya yakni [SmallTroj.QFBU]. Perbedaan yang mencolok adalah pada script yang dibuat untuk membuka CDROM. Pada  virus SmallTroj.QFBU, script untuk membuka CDROM berada pada tubuh virus itu sendiri hal ini memberikan keuntungan yakni selama virus ini masih akif dimemori maka ia akan dengan leluasa untuk selalu membuka CD ROM tersebut, berbeda dengan virus SmallTroj.PUDN ini yang akan mengandalkan file lain dengan memanfaatkan file [C:\Windows\System32\WSCript.exe] dan tidak tergantung pada file induk untuk membuka CD ROM tersebut, tetapi dari hasil pengetesan hal ini tidak berjalan sesuai dengan yang diharapkan karena file script tersebut membutuhkan file pemicu lain untuk menjalankankan isi dari script tersebut, file pemicu inilah yang “mungkin” terlupakan atau dilupakan oleh sang pembuat virus. Apapun yang dilakukan oleh kedua virus ini yang jelas perbuatan ini sangat merugikan pengguna komputer apalagi bagi mereka yang awam. Ingin tahu apalagi yang akan dilakukan oleh virus SmallTroj.PUDN, mari kita ikuti penelurusan Laboratorium Virus Vaksincom.

 

Made in VB

Meskipun sekarang sudah jaman Blackberry, tetapi sebenarnya market leader tetap Nokia yang masih mendapatkan predikat ponsel sejuta umat. Sama dengan VB, siapa bilang VB sudah di tinggalkan, buktinya masih  banyak virus lokal yang dibuat dengan menggunakan bahasa pemrograman sejuta umat ini, selain mudah dipelajari banyak orang yang menguasai dan sudah banyak situs-situs yang membahas program VB ini, dengan sedikit modifikasi dari “tangan-tangan jahil” maka lahirkan sebuah program yang “mematikan” yang disebut virus, salah satu virus yang dibuat dengan menggunakan program bahasa VB adalah SmallTroj.PUDN. Untuk memperkecil ukuran dan mempersulit untuk membongkar isi body virusnya, pembuat virus akan mengkompres dengan menggunakan program UPX. File sebelum di kompres akan mempunyai ukuran sekitar 92 KB dan setelah di kompres akan menyusut menjadi sekiatr 41 KB. Untuk mengelabui user ia akan menggunakan icon notepad, tetapi jika kita tampilkan file tersebut secara detail, maka akan terlihat bahwa file tersebut mempuyai type file sebagai “Application” dengan ekstensi “EXE” (lihat gambar 1)

 

Gambar 1, File induk virus

 

Dengan update terbaru Norman Security Suite mendeteksi sebagai Trojan: W32/SmallTroj.PUDN (lihat gambar 2)

Gambar 2, Hasil deteksi Norman Security Suite

 

Apa yang akan dilakukan setelah menginfeksi?

Setelah user menjalankan file yang terinfeksi SmallTroj, maka pertama kali ia akan membuat file [wmdrtl32_.vbs] di folder dimana file virus tersebut dijalankan dengan atribut [system, hidden, read only, arsip], kemudian akan membuat beberapa file induk yang akan dijalankan pertama kali saat komputer dinyalakan yakni:

• c:\Windows\wmdrtl32_.exe
• c:\xMr. Jabluntz.exe [semua drive], x menunjukan karakter acak
• c:\wmdrtl32_.vbs [semua drive]
• C:\Autorun.inf
• C:\ a_Video Hot.exe
• C:\Windows\System32\wmdrtl32_.vbs
• C:\Windows\System32\autorun.inf

 

Agar file tersebut dapat dijalankan secara otomatis saat komputer dinyalakan, ia akan membuat string pada registry berikut:

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run\wmdrtl32_
  • c:\windows\wmdrtl32_.exe
• HKCU\software\microsoft\windows\shellnoroam\MUICache\wmdrtl32_
  • c:\windows\wmdrtl32_.exe

 

Virus ini juga akan aktif saat user mengakses setiap drive atau folder [C:\Windows\system32] dengan memanfaatkan fitur autorun windows dengan membuat file [autorun.inf] yang akan menjalankan file [a_VideoHot.exe]

 

Blok akses fungsi Windows

Agar dirinya tidak mudah di “basmi”, ia akan mencoba untuk blok beberapa fungsi windows “standar” seperti

• Task Manager
• Run
• Find [Search]
• Folder Options [Tidak dapat menampilkan file yang disembunyikan]
• CMD [Command]

 

Untuk melakukan hal tersebut ia akan membuat beberapa registry berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  • NoRun
  • NoFind
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • DisableRegedit
  • DisableRegistryTools
  • DisableTaskMgr
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • HideFileExt = 1
  • SuperHidden = 0
  • Show SuperHidden = 0
• HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
  • DisableCMD
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
  • NOHIDDEN = DefaultValue,0x00010001,2
  • SHOWALL = DefaultValue,0x00010001,1

 

Delete Antivirus

SmallTroj.PUDN juga akan mencoba untuk menghapus file yang ada di direktori instalasi antivirus [C:\Program Files], berikut beberapa antivirus yang menjadi incaran SmallTroj.PUDN

 

- C:\Program Files\Norton AntiVirus\*.*

- C:\Program Files\Kaspersky Lab\*.*

- C:\Program Files\Eset\*.*

- C:\Program Files\WinRAR\*.*

- C:\Program Files\Symantec\*.*

- C:\Program Files\Norman\*.*

- C:\Program Files\PCMAV\*.*

- C:\Program Files\AV\*.*

- C:\Norman\*.*

 

SmallTroj.PUDN akan mencoba untuk mematikan beberapa software tertentu dengan menjalankan perintah taskkill /f /im. Berikut beberapa  program yang akan di matikan oleh SmallTroj.PUDN

 

• taskkill /f /im winamp.exe
• taskkill /f /im taskmgr.exe
• taskkill /f /im egui.exe [Eset Smart Security]
• taskkill /f /im ekrn.exe [Eset Smart Security]

 

Selain itu SmallTroj.PUDN juga akan mencoba untuk melakukan koneksi ke sejumlah situs security khususnya anti virus dan beberapa situs porno berikut :

 

• www.bitdefender.com
• www.pcmedia.com
• www.mcafee.com
• www.kaspersky.com
• www.symantec.com
• www.norton.com
• www.norman.com
• www.nod32.com
• www.vaksin.com
• www.islamiah.com
• www.kaskus.com
• www.virologi.info
• www.altavista.com
• www.playboy.com
• www.google.com
• www.yahoo.com
• www.yahoo.co.id
• www.google.co.id

Merubah Jendela IE

Setiap kali user membuka program Internet Explorer, secara otomatis halaman utama akan di direct ke suatu halaman friendster yang telah ditentukan yakni [http://www.friendster.com/Ace270388?]. Halaman ini telah diset dengan merubah registry berikut (lihat gambar 3)

 

• HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
  • Start page = http://www.friendster.com/Ace270388?

 

Gambar 3, Halaman IE yang sudah diganti oleh SmallTroj.PUDN

 

Sama seperti yang dilakukan oleh virus VBS/Cript.A, yang akan menyertakan link pembasmi virus ini dengan nama [Antivirus.exe], yang ternyata jika link [antivirus.exe] tersebut kita “klik” maka akan menampilkan alamat url [http://www.dinamikasolusi.co.nr] yang berisi informasi “bagaimana cara membuat antivirus dengan VB” ops promosi lagi nih J.

 

Untuk melakukan hal ini ia akan membuat file di direktori [C:\Windows\help.html] dan merubah string pada registry berikut : (lihat gambar 4 dan 5)

 

• HKCU\Software\Microsoft\Internet Explorer\Main\Local Page
  • Local page = C:\Windows\help.htm

 

Gambar 4, Alamat “gadungan” untuk mengelabui user

 

Gambar 5, Alamat promosi yang akan ditampilkan oleh Virus

 

 

Membuka CD/DVD ROM

Smalltroj.PUDN juga akan melakukan hal serupa seperti yang pernah dilakukan oleh virus  SmalTroj.QFBU, yakni akan membuka CD ROM dengan membuat [wmdrtl32_.vbs], file ini akan dibuat di setiap drive dan di direktori [C:\Windows\System32] dengan atribut [System, Hidden, Read Only dan Arsip]. Agar script tersebut dapat dijalankan ia membutuhkan file pendukung lain yakni [C:\Windows\System32\WSCript.exe]. Tetapi script ini tidak berjalan dengan baik  mungkin karena tidak file pemicu [contoh: autorun.inf] untuk menjalankan script ini sehingga CD ROM anda akan aman. (lihat gambar 6)

 

Gambar 6, Script yang berisi perintah untuk membuka CD ROM

 

Menyembunyikan file TXT dan DOC [Ms.Word]

Tujuan akhir dari virus ini adalah akan mencari file yang mempunyai ekstensi TXT dan DOC disemua drive dan menyembunyikannya inilah yang menyebabkan perfomance komputer akan terasa lebih lambat dibandingkan sebelumnya. Untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan dengan ciri-ciri : (lihat gambar 7)

 

• Menggunakan icon TXT, sehingga user beranggapan bahwa file asli telah di hapus
• Mempunyai ekstensi TXT.exe [jika file yang disembunyikan adalah TXT] dan DOC.exe [jika file yang disembunyikan adalah file DOC, ekstensi EXE ini akan disembunyikan
• Mempunyai ukuran 41 KB

 

Gambar 7, File duplikat Virus

 

Untuk menyempurnakan aksi ini dan untuk mempermudah dalam mengelabui user, ia akan menyembunyikan ekstensi kedua dari file duplikat ini [EXE] dengan membuat string pada registry berikut : (lihat gambar 8)

 

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • HideFileExt = 1
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
  • NOHIDDEN = DefaultValue,0x00010001,2
  • SHOWALL = DefaultValue,0x00010001,1

 

Gambar 8, Ekstensi file yang disembunyikan

 

Aksi lain yang akan dilakukan oleh SmallTroj.PUDN adalah akan menyebabkan file explorer menjadi crash pada saat user melakukan pengkopian file / folder dengan memunculkan pesan error berikut : (lihat gambar 9)

 

Gambar 9, Pesan error saat kopi  file / folder

 

Media Penyebaran

Flash Disk masih menjadi “primadona” untuk menyebarkan dirinya, begitupun yang dilakukan oleh SmallTroj dengan cara menyembunyikan file yang mempunyai ekstensi TXT dan DOC dan membuat file duplikat dengan ciri-ciri:

 

• Menggunakan icon TXT, sehingga user beranggapan bahwa file asli telah di hapus
• Mempunyai ekstensi TXT.exe [jika file yang disembunyikan mempunyai ekstensi TXT] dan DOC.exe [jika file yang disembunyikan mempunyai ekstensi DOC], ekstensi EXE ini akan disembunyikan
• Mempunyai ukuran 41 KB

 

Cara membasmi SmallTroj.PUDN

1. Nontaktifkan “System Restore” selama proses pembersihan
2. Matikan proses virus yang aktif dimemori, untuk mempermudah dalam mematikan proses virus tersebut gunakan tools pengganti task manager seperti ProceeXP atau CurrProses.

 

Silahkan download tools CurrProses di alamat  berikut:

http://www.brothersoft.com/currprocess-download-32083.html

 

Setelah di download jalankan tools tersebut kemudian cari dan matikan proses virus yang aktif di memori. Matikan proses virus yang mempunyai icon TXT (lihat gambar 10)

 

Gambar 10, Mematikan proses virus

 

3. Fix registry Windows yang telah diubah/dibuat oleh SmallTroj.PUDN. Untuk mempercepat proses perbaikan ini silahkan salin script dibawah ini pada program Notepad kemudian simpan dengan nama [repair.inf]. Jalankan file tersebut dengan cara:

 

1. Klik kanan [repair.inf]
2. Klik [Install]

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, CheckedValue,0x00010001,2

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, DefaultValue,0x00010001,2

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue,0x00010001,2

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,1

HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0x00010001,0

HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0x00010001,0

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

 

 

[del]

HKCU, Software\Microsoft\Internet Explorer\Main, Start Page

HKCU, Software\Microsoft\Internet Explorer\Main, Local Page

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, wmdrtl32_

HKCU, software\microsoft\windows\shellnoroam\MUICache, wmdrtl32_

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegedit

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,ShowSuperHidden

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, NOHIDDEN

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, SHOWALL

 

4. Hapus file virus yang mempunyai ciri-ciri
   1. Icon TXT
   2. Ukuran file 41 KB
   3. Ekstensi .TXT.EXE dan DOC.exe

 

Sebelum menghapus file tersebut, sebaiknya tampilkan terlebih dahulu file yang tersembunyi dengan melakukan perubahan pada Folder Options, seperti yang terlihat pada gambar 11 dibawah ini :

 

Gambar 11, Menampilkan file yang tersembunyi

Untuk mempermudah proses pencarian, silahkan gunakan fitur Find [Search] kemudian cari dan hapus file dengan ciri-ciri di atas. (lihat gambar 12)

 

Gambar 12, Mencari dan menghapus file virus

 

Hapus juga file berikut:

• c:\windows\wmdrtl32_.exe
• c:\xMr. Jabluntz.exe [semua drive], x menunjukan karakter acak
• c:\wmdrtl32_.vbs [semua drive]
• C:\Windows\system32\wmdrtl32_.vbs
• C:\autorun.inf [semua drive]
• C:\Windows\System32\autorun.inf
• C:\a_Video Hot.exe [semua drive]

 

5. Tampilkan file dengan ekstensi TXT dan DOC yang disembunyikan dengan cara : (lihat gambar 13)
   1. Klik menu [Start]
   2. Klik menu [Run]
   3. Pada dialog box RUN, ketik CMD
   4. Pada dos prompt, pindahkan kursor ke lokasi yang akan periksa, contohnya [C:\]
   5. Kemudian ketik perintah ATTRIB –s –h –r *.TXT /s /d [untuk menampilkan file txt] dan  ATTRIB –s –h –r *.DOC /s /d [Untuk menampilkan file dengan ekstensi *.DOC]

 

Gambar 13, Menampilkan file yang disembunyikan

 

6. Untuk pembersihan optimal dan mencegah infeksi ulang, silahkan instal dan scan dengan antivirus yang up-to-date.

 

Anda juga dapat menggunakan removal tools Norman Malware Cleaner dengan mendownload di alamat berikut : (lihat gambar 14)

 

http://www.norman.com/support/support_tools/58732/en-us

 

 


Sumber :

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160