Read Me
Ilmu pengetahuan pada hari ini akan menjadi teknologi pada hari esok. Your Link Here

Jumat, 09 April 2010

P3K Virus

Hello, kali ini saya menemukan sebuah virus yang aneh + unik. Sederhana tetapi cukup bisa membuat bulu kuduk berdiri (bagi pengguna komputer yang awam dan penakut). Bagaimana tidak komputer kita diancam oleh “seseorang” yang mengaku dirinya sebagai THE JOKER. Bersamaan dengan Joker saya juga mendapat virus Pendekar Blank 2. Tapi saya lebih memilih untuk menganalisis Joker terlebih dahulu. Soalnya asyik nih….

VIRUS “THE JOKER”
Size = 60Kb
Icon = Seperti program Installer
CRC32 = 69B40418
MD5 = 34FC52D152F08EDBFE811C494B605B1A
RIPEMD-160 = 009CCA95993F90C10EB73F7805608BA7BF58B8C1

Jika kita bongkar dengan BinText atau semacamnya akan terlihat bahwa virus ini di-compress dengan UPX dan nickname pembuatnya bernama N16HT.M4R3 (Night.Mare)
Seperti yang sudah dikatakan virus ini sederhana. Virus ini menyebar ke Removable Disk dengan teknik Autorun. Yaitu membuat Autorun.inf dan menyalinkan dirinya dengan nama : harvey.exe. Isi Autorun.inf tersebut adalah :
[autorun]
shellexecute=harvey.exe

Rupanya pembuat virus Joker tahu kalau sekarang ini sedang marak-maranya menghidari infeksi virus dengan men-disable Autorun. Maka dari itu Joker juga membuat file virus lain dengan nama : Luna Maya.exe beserta file readme.txt yang isinya :

Tolong nitip bentar file saya ya...
Pokoknya filenya gak penting
Nanti saya ambil, awas kalau filenya dibuka...

Cukup membuat penasaran bukan? Begitu dibuka maka Joker akan meneror komputer kita layaknya “Gotham City” dalam film Batman.


Joker akan membuat 3 file induk, yaitu :
~ %Systemdir%\Fun.exe (Contoh : “C:\Windows\System32\Fun.exe”)
~ %Systemdir%\Alfred.exe
~ %Windowsdir%\kjoker.exe (Contoh : “ C:\Windows\kjoker.exe”)
Untuk membuat file virus aktif saat startup Joker akan memanipulasi Registry di alamat :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Dengan value bernama Fun House yang isinya lokasi file induk Fun.exe



Selain itu Joker juga akan memanipulasi registry di alamat :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Value yang dimanipulasi adalah String bernama Shell yang value data-nya diganti menjadi : explorer.exe, %Windowsdir%\kjoker.exe. Contoh : explorer.exe, C:\Windows\kjoker.exe

Juga di alamat :
HKLM\SYSTEM\ControlSet001\Control\SafeBoot
Value AlternateShell yang isinya lokasi file induk kjoker.exe

Dengan begitu selain virus aktif saat startup maka virus juga akan aktif pada modus Safe Mode dan Safe Mode With Command Prompt.

Sudah-sudah tinggalkan dulu masalah manipulasi registry. Sekarang coba kita lihat “mimpi buruk” yang akan diciptakan oleh THE JOKER. Coba kita buka file document atau game Hearts, Freecell, dan Solitaire. Apa yang terjadi?

Captionnya akan berubah menjadi JOKER FUN CARD HOUSE. Kemudian beberapa detik setelahnya berubah lagi menjadi I’M JOKER, CHANGE YOUR COMPUTER TIME TO 12:12:12 NOW!







Lalu apa yang terjadi jika jam diubah menjadi 12:12:12 (sebenarnya saya ubah ke detik 10 biar pas munculnya)? Ternyata muncul pesan seperti yang sudah saya katakan, cukup membuat bulu kuduk berdiri (bagi user yang awam dan penakut). Seperti gambar dibawah ini.




Baiklah, THE JOKER sudah mengancam akan mengoprek sistem komputer kita. Apa yang dilakukannya? Coba intip drive-drive kita. Label Drive C:\, D:\, dan E:\ akan berubah menjadi JOKER FUN HOUSE.



Dari segi pertahanan virus ini memang cukup hebat + jahil. Namanya juga Joker. Selain memblokir menu Run via registry, Joker juga akan memblokir beberapa window dan program. Jahil apanya? Coba saja deh kalau komputer Anda terinfeksi virus Joker, buka folder System atau System32, MSCONFIG, dan Regedit. Astala Vista, window akan ditutup dan keluar pesan seperti ini :



Beberapa detik kemudian komputer akan di-restart olehnya.
Selain utility yang disebutkan Joker juga akan menutup program PCMAV-CLN.exe (nama default program antivirus portable Indonesia yang populer) dan saya kaget ketika pesan yang muncul adalah :



Cukup hebat juga. Selain PCMAV-CLN.exe, PCMAV.exe dan PCMAV-RTP.exe juga diblokir via registry di Image File Execution. Untuk mencegahnya cukup dengan me-rename-nya.
Setelah dianalisis lebih lanjut Joker juga akan menutup semua window yang caption-nya mengandung kata : process, proses, kill, sysinternals, hijack, av, vir, anti, hex, detect, clean, removal, remover, dan tool-kit.
Tidak menutup kemungkinan kata-kata lain juga ikut diblokir. Saya males meriksa satu-satu :)
Oh, iya khusus untuk caption process, Joker juga akan mengeluarkan pesan Catch me if you can kemudian komputer di-restart.
Baiklah kembali ke masalah manipulasi registry. Registry yang dimanipulasi tidak mudah diperbaiki. Oh, iya sebelumnya saya ingin kasih tahu Joker memakai teknik Watcher Method dimana 3 file induk tadi saling memantau proses-nya. Jika salah satu tidak ditemukan maka yang lain akan mengeksekusinya kembali.
Walaupun begitu virus ini juga cukup “baik” dimana Folder Options tidak diblokir. Tetapi rasanya percuma saja. Karena jika opsi HIDE OPERATING SYSTEM FILES (RECOMMENDED) di-non aktifkan maka Joker akan mengaktifkannya kembali.
Sama dengan registry yang dimanipulasi. Jika valuenya dihapus atau dirubah maka Joker akan membuatnya kembali atau memperbaikinya.
Aduh, yang ini sampai lupa. Joker juga akan memanipulasi alamat registry lain untuk :
~ Mengubah Internet Explorer Title menjadi : Joker Fun Browser
~ Menukar fungsi mouse (klik kanan <> Klik Kiri)
~ Memblokir file induk virus Pendekar Blank (sisi baiknya Joker?!)

Karena dibuat dengan bahasa Visual Basic 6.0 maka Joker akan membuat cadangan msvbvm60.dll di %Windowsdir%. Lalu di-set attribute-nya menjadi Hidden + System.

PENANGGULANGAN VIRUS JOKER :

Karena Joker tidak memblokir Task Manager maka kita bisa menggunakannya untuk memantau proses file induk Joker. Proses yang dimiliki Joker : Fun.exe, Alfred.exe, dan kjoker.exe. Tapi, Joker memakai teknik Watcher Method yang akan memantau proses satu sama lain. Apa yang kita butuhkan?
Tool seperti Show Kill Process, ProceXP, A-Squared Hijackfree, dan lain-lain juga tidak bisa karena program tersebut meng-kill proses satu persatu. Lagipula program juga akan ditutup oleh Joker sebelum Anda sempat menggunakannya.
Kalau begitu kita butuh tool yang mempunyai kemampuan Multi-Killer. Salah satu tool Multi-Process Killer favorit saya adalah CurrProcess namun karena caption-nya mengandung kata “process” maka Joker akan menutupnya. Kalau Viremoval CRC32 1.03 yang mempunyai fitur Multi-Killer? Juga tak bisa karena window caption-nya mengandung kata “Vir” (juga akan ditutup).
Untuk itu silahkan download software PROXESS yang saya rancang dengan Visual Basic 6.0 di ……….. Bagaimana menggunakannya? Cukup klik 2 kali proses-proses program yang mempunyai lokasi-lokasi file induk virus. Untuk Joker adalah lokasi Fun.exe, Alfred.exe, dan kjoker.exe. Lihat di penjelasan saya pertama-tama.




Setelah itu klik Stop. Kemudian Refresh. Cek apakah masih ada proses dari ketiga file induk Joker. Jika sudah hilang berarti kita bisa mengakses Registry dengan aman. Tunggu saya lihat Joker membuat value DisableRegistryTools di HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Sysem. Tapi, oh.. ternyata gak ada efeknya. Ya bagus lah. Sekarang coba ke alamat Registry ini :
-------
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Value Shell isinya diubah menjadi explorer.exe
HKLM\SYSTEM\ControlSet001\Control\SafeBoot
Value AlternateShell isinya diubah menjadi cmd.exe
HKCU\Software\Microsoft\Internet Explorer\Main
Value Window Title isinya diubah menjadi Internet Explorer
-------
Setelah itu hapus value Registry di alamat :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun
HKCU\Control Panel\Mouse\SwapMouseButtons
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Fun House
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV.exe\Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe\Debugger
-------
Lalu terserah Anda apakah file induk virus Pendekar Blank ingin tetap diblokir atau tidak. (Blokir aja bleh… biar agak membantu). Tapi jika Anda memaksa untuk tidak memblokirnya maka hapus value Registry di alamat :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Hole.zip\Debugger", "TRAP
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Unoccupied.reg\Debugger", "TRAP
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Zero.txt\Debugger", "TRAP
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Blank.doc\Debugger", "TRAP
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Empty.jpg\Debugger", "TRAP
-------
Baiklah setealah itu ganti Label Drive C:\, D:\, dan E:\ (Jika ada) sesuai yang Anda inginkan. Satu lagi, non-aktifkan opsi HIDE OPERATING SYSTEM FILES (RECOMMENDED) dan aktifkan opsi SHOW HIDDEN FILES AND FOLDERS di Folder Options. Kemudian hapus file induk Joker di :
~ %Systemdir%\Fun.exe (Contoh : “C:\Windows\System32\Fun.exe”)
~ %Systemdir%\Alfred.exe
~ %Windowsdir%\kjoker.exe (Contoh : “ C:\Windows\kjoker.exe”)

Semoga bermanfaat!

|

Tidak ada komentar:

Posting Komentar

Sponsors : Best Themes | New WP Themes | Best Blogger Themes
Copyright © 2013. Android Jelly Bean - All Rights Reserved
Template Design | Published New Blog Themes
Powered by Blogger
Blogger Widgets