Sunday, January 30, 2011

Virus Trojan:W32/SmallTroj.PUDN Hide MS word and open CDRom

 Trojan:W32/SmallTroj.PUDN Hide MS word and open CDRom

Ini kali ke dua virus yang akan mempermainkan CDROM setelah kemunculan virus lainnya yakni [SmallTroj.QFBU]. Perbedaan yang mencolok adalah pada script yang dibuat untuk membuka CDROM. Pada  virus SmallTroj.QFBU, script untuk membuka CDROM berada pada tubuh virus itu sendiri hal ini memberikan keuntungan yakni selama virus ini masih akif dimemori maka ia akan dengan leluasa untuk selalu membuka CD ROM tersebut, berbeda dengan virus SmallTroj.PUDN ini yang akan mengandalkan file lain dengan memanfaatkan file [C:\Windows\System32\WSCript.exe] dan tidak tergantung pada file induk untuk membuka CD ROM tersebut, tetapi dari hasil pengetesan hal ini tidak berjalan sesuai dengan yang diharapkan karena file script tersebut membutuhkan file pemicu lain untuk menjalankankan isi dari script tersebut, file pemicu inilah yang “mungkin” terlupakan atau dilupakan oleh sang pembuat virus. Apapun yang dilakukan oleh kedua virus ini yang jelas perbuatan ini sangat merugikan pengguna komputer apalagi bagi mereka yang awam. Ingin tahu apalagi yang akan dilakukan oleh virus SmallTroj.PUDN, mari kita ikuti penelurusan Laboratorium Virus Vaksincom.
 
Made in VB
Meskipun sekarang sudah jaman Blackberry, tetapi sebenarnya market leader tetap Nokia yang masih mendapatkan predikat ponsel sejuta umat. Sama dengan VB, siapa bilang VB sudah di tinggalkan, buktinya masih  banyak virus lokal yang dibuat dengan menggunakan bahasa pemrograman sejuta umat ini, selain mudah dipelajari banyak orang yang menguasai dan sudah banyak situs-situs yang membahas program VB ini, dengan sedikit modifikasi dari “tangan-tangan jahil” maka lahirkan sebuah program yang “mematikan” yang disebut virus, salah satu virus yang dibuat dengan menggunakan program bahasa VB adalah SmallTroj.PUDN. Untuk memperkecil ukuran dan mempersulit untuk membongkar isi body virusnya, pembuat virus akan mengkompres dengan menggunakan program UPX. File sebelum di kompres akan mempunyai ukuran sekitar 92 KB dan setelah di kompres akan menyusut menjadi sekiatr 41 KB. Untuk mengelabui user ia akan menggunakan icon notepad, tetapi jika kita tampilkan file tersebut secara detail, maka akan terlihat bahwa file tersebut mempuyai type file sebagai “Application” dengan ekstensi “EXE” (lihat gambar 1)
 
Gambar 1, File induk virus
 
Dengan update terbaru Norman Security Suite mendeteksi sebagai Trojan: W32/SmallTroj.PUDN (lihat gambar 2)
Gambar 2, Hasil deteksi Norman Security Suite
 
Apa yang akan dilakukan setelah menginfeksi?
Setelah user menjalankan file yang terinfeksi SmallTroj, maka pertama kali ia akan membuat file [wmdrtl32_.vbs] di folder dimana file virus tersebut dijalankan dengan atribut [system, hidden, read only, arsip], kemudian akan membuat beberapa file induk yang akan dijalankan pertama kali saat komputer dinyalakan yakni:
  • c:\Windows\wmdrtl32_.exe
  • c:\xMr. Jabluntz.exe [semua drive], x menunjukan karakter acak
  • c:\wmdrtl32_.vbs [semua drive]
  • C:\Autorun.inf
  • C:\ a_Video Hot.exe
  • C:\Windows\System32\wmdrtl32_.vbs
  • C:\Windows\System32\autorun.inf
 
Agar file tersebut dapat dijalankan secara otomatis saat komputer dinyalakan, ia akan membuat string pada registry berikut:
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\wmdrtl32_
    • c:\windows\wmdrtl32_.exe
  • HKCU\software\microsoft\windows\shellnoroam\MUICache\wmdrtl32_
    • c:\windows\wmdrtl32_.exe
 
Virus ini juga akan aktif saat user mengakses setiap drive atau folder [C:\Windows\system32] dengan memanfaatkan fitur autorun windows dengan membuat file [autorun.inf] yang akan menjalankan file [a_VideoHot.exe]
 
Blok akses fungsi Windows
Agar dirinya tidak mudah di “basmi”, ia akan mencoba untuk blok beberapa fungsi windows “standar” seperti
  • Task Manager
  • Run
  • Find [Search]
  • Folder Options [Tidak dapat menampilkan file yang disembunyikan]
  • CMD [Command]
 
Untuk melakukan hal tersebut ia akan membuat beberapa registry berikut:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • NoRun
    • NoFind
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    • DisableRegedit
    • DisableRegistryTools
    • DisableTaskMgr
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • HideFileExt = 1
    • SuperHidden = 0
    • Show SuperHidden = 0
  • HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
    • DisableCMD
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
    • NOHIDDEN = DefaultValue,0x00010001,2
    • SHOWALL = DefaultValue,0x00010001,1
 
Delete Antivirus
SmallTroj.PUDN juga akan mencoba untuk menghapus file yang ada di direktori instalasi antivirus [C:\Program Files], berikut beberapa antivirus yang menjadi incaran SmallTroj.PUDN
 
- C:\Program Files\Norton AntiVirus\*.*
- C:\Program Files\Kaspersky Lab\*.*
- C:\Program Files\Eset\*.*
- C:\Program Files\WinRAR\*.*
- C:\Program Files\Symantec\*.*
- C:\Program Files\Norman\*.*
- C:\Program Files\PCMAV\*.*
- C:\Program Files\AV\*.*
- C:\Norman\*.*
 
SmallTroj.PUDN akan mencoba untuk mematikan beberapa software tertentu dengan menjalankan perintah taskkill /f /im. Berikut beberapa  program yang akan di matikan oleh SmallTroj.PUDN
 
  • taskkill /f /im winamp.exe
  • taskkill /f /im taskmgr.exe
  • taskkill /f /im egui.exe [Eset Smart Security]
  • taskkill /f /im ekrn.exe [Eset Smart Security]
 
Selain itu SmallTroj.PUDN juga akan mencoba untuk melakukan koneksi ke sejumlah situs security khususnya anti virus dan beberapa situs porno berikut :
 
  • www.bitdefender.com
  • www.pcmedia.com
  • www.mcafee.com
  • www.kaspersky.com
  • www.symantec.com
  • www.norton.com
  • www.norman.com
  • www.nod32.com
  • www.vaksin.com
  • www.islamiah.com
  • www.kaskus.com
  • www.virologi.info
  • www.altavista.com
  • www.playboy.com
  • www.google.com
  • www.yahoo.com
  • www.yahoo.co.id
  • www.google.co.id

Merubah Jendela IE
Setiap kali user membuka program Internet Explorer, secara otomatis halaman utama akan di direct ke suatu halaman friendster yang telah ditentukan yakni [http://www.friendster.com/Ace270388?]. Halaman ini telah diset dengan merubah registry berikut (lihat gambar 3)
 
 
Gambar 3, Halaman IE yang sudah diganti oleh SmallTroj.PUDN
 
Sama seperti yang dilakukan oleh virus VBS/Cript.A, yang akan menyertakan link pembasmi virus ini dengan nama [Antivirus.exe], yang ternyata jika link [antivirus.exe] tersebut kita “klik” maka akan menampilkan alamat url [http://www.dinamikasolusi.co.nr] yang berisi informasi “bagaimana cara membuat antivirus dengan VB” ops promosi lagi nih J.
 
Untuk melakukan hal ini ia akan membuat file di direktori [C:\Windows\help.html] dan merubah string pada registry berikut : (lihat gambar 4 dan 5)
 
  • HKCU\Software\Microsoft\Internet Explorer\Main\Local Page
    • Local page = C:\Windows\help.htm
 
Gambar 4, Alamat “gadungan” untuk mengelabui user
 
Gambar 5, Alamat promosi yang akan ditampilkan oleh Virus
 
 
Membuka CD/DVD ROM
Smalltroj.PUDN juga akan melakukan hal serupa seperti yang pernah dilakukan oleh virus  SmalTroj.QFBU, yakni akan membuka CD ROM dengan membuat [wmdrtl32_.vbs], file ini akan dibuat di setiap drive dan di direktori [C:\Windows\System32] dengan atribut [System, Hidden, Read Only dan Arsip]. Agar script tersebut dapat dijalankan ia membutuhkan file pendukung lain yakni [C:\Windows\System32\WSCript.exe]. Tetapi script ini tidak berjalan dengan baik  mungkin karena tidak file pemicu [contoh: autorun.inf] untuk menjalankan script ini sehingga CD ROM anda akan aman. (lihat gambar 6)
 
Gambar 6, Script yang berisi perintah untuk membuka CD ROM
 
Menyembunyikan file TXT dan DOC [Ms.Word]
Tujuan akhir dari virus ini adalah akan mencari file yang mempunyai ekstensi TXT dan DOC disemua drive dan menyembunyikannya inilah yang menyebabkan perfomance komputer akan terasa lebih lambat dibandingkan sebelumnya. Untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan dengan ciri-ciri : (lihat gambar 7)
 
  • Menggunakan icon TXT, sehingga user beranggapan bahwa file asli telah di hapus
  • Mempunyai ekstensi TXT.exe [jika file yang disembunyikan adalah TXT] dan DOC.exe [jika file yang disembunyikan adalah file DOC, ekstensi EXE ini akan disembunyikan
  • Mempunyai ukuran 41 KB
 
Gambar 7, File duplikat Virus
 
Untuk menyempurnakan aksi ini dan untuk mempermudah dalam mengelabui user, ia akan menyembunyikan ekstensi kedua dari file duplikat ini [EXE] dengan membuat string pada registry berikut : (lihat gambar 8)
 
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • HideFileExt = 1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
    • NOHIDDEN = DefaultValue,0x00010001,2
    • SHOWALL = DefaultValue,0x00010001,1
 
Gambar 8, Ekstensi file yang disembunyikan
 
Aksi lain yang akan dilakukan oleh SmallTroj.PUDN adalah akan menyebabkan file explorer menjadi crash pada saat user melakukan pengkopian file / folder dengan memunculkan pesan error berikut : (lihat gambar 9)
 
Gambar 9, Pesan error saat kopi  file / folder
 
Media Penyebaran
Flash Disk masih menjadi “primadona” untuk menyebarkan dirinya, begitupun yang dilakukan oleh SmallTroj dengan cara menyembunyikan file yang mempunyai ekstensi TXT dan DOC dan membuat file duplikat dengan ciri-ciri:
 
  • Menggunakan icon TXT, sehingga user beranggapan bahwa file asli telah di hapus
  • Mempunyai ekstensi TXT.exe [jika file yang disembunyikan mempunyai ekstensi TXT] dan DOC.exe [jika file yang disembunyikan mempunyai ekstensi DOC], ekstensi EXE ini akan disembunyikan
  • Mempunyai ukuran 41 KB
 
Cara membasmi SmallTroj.PUDN
  1. Nontaktifkan “System Restore” selama proses pembersihan
  2. Matikan proses virus yang aktif dimemori, untuk mempermudah dalam mematikan proses virus tersebut gunakan tools pengganti task manager seperti ProceeXP atau CurrProses.
 
Silahkan download tools CurrProses di alamat  berikut:
http://www.brothersoft.com/currprocess-download-32083.html
 
Setelah di download jalankan tools tersebut kemudian cari dan matikan proses virus yang aktif di memori. Matikan proses virus yang mempunyai icon TXT (lihat gambar 10)
 
Gambar 10, Mematikan proses virus
 
  1. Fix registry Windows yang telah diubah/dibuat oleh SmallTroj.PUDN. Untuk mempercepat proses perbaikan ini silahkan salin script dibawah ini pada program Notepad kemudian simpan dengan nama [repair.inf]. Jalankan file tersebut dengan cara:
 
    1. Klik kanan [repair.inf]
    2. Klik [Install]
 
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
 
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
 
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, CheckedValue,0x00010001,2
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, DefaultValue,0x00010001,2
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue,0x00010001,2
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,1
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0x00010001,0
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0x00010001,0
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
 
 
[del]
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page
HKCU, Software\Microsoft\Internet Explorer\Main, Local Page
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, wmdrtl32_
HKCU, software\microsoft\windows\shellnoroam\MUICache, wmdrtl32_
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegedit
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,ShowSuperHidden
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, NOHIDDEN
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, SHOWALL
 
  1. Hapus file virus yang mempunyai ciri-ciri
    1. Icon TXT
    2. Ukuran file 41 KB
    3. Ekstensi .TXT.EXE dan DOC.exe
 
Sebelum menghapus file tersebut, sebaiknya tampilkan terlebih dahulu file yang tersembunyi dengan melakukan perubahan pada Folder Options, seperti yang terlihat pada gambar 11 dibawah ini :
 
Gambar 11, Menampilkan file yang tersembunyi

Untuk mempermudah proses pencarian, silahkan gunakan fitur Find [Search] kemudian cari dan hapus file dengan ciri-ciri di atas. (lihat gambar 12)
 
Gambar 12, Mencari dan menghapus file virus
 
Hapus juga file berikut:
    • c:\windows\wmdrtl32_.exe
    • c:\xMr. Jabluntz.exe [semua drive], x menunjukan karakter acak
    • c:\wmdrtl32_.vbs [semua drive]
    • C:\Windows\system32\wmdrtl32_.vbs
    • C:\autorun.inf [semua drive]
    • C:\Windows\System32\autorun.inf
    • C:\a_Video Hot.exe [semua drive]
 
  1. Tampilkan file dengan ekstensi TXT dan DOC yang disembunyikan dengan cara : (lihat gambar 13)
    1. Klik menu [Start]
    2. Klik menu [Run]
    3. Pada dialog box RUN, ketik CMD
    4. Pada dos prompt, pindahkan kursor ke lokasi yang akan periksa, contohnya [C:\]
    5. Kemudian ketik perintah ATTRIB –s –h –r *.TXT /s /d [untuk menampilkan file txt] dan  ATTRIB –s –h –r *.DOC /s /d [Untuk menampilkan file dengan ekstensi *.DOC]
 
Gambar 13, Menampilkan file yang disembunyikan
 
  1. Untuk pembersihan optimal dan mencegah infeksi ulang, silahkan instal dan scan dengan antivirus yang up-to-date.
 
Anda juga dapat menggunakan removal tools Norman Malware Cleaner dengan mendownload di alamat berikut : (lihat gambar 14)
 
http://www.norman.com/support/support_tools/58732/en-us
 


 


Sumber :
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160

No comments:

Post a Comment

10 Cara Dapatkan Penghasilan Pasif dari Aset Kripto

  Semua pecinta aset kripto nampaknya paham bahwa cara paling umum dalam mendulang cuan di aset kripto adalah dengan   trading . Hanya saja,...