pacar ??
Kalau ada virus yang bisa sampai membuat korbannya berbicara seperti kalimat di atas, tentulah itu virus W32/Agent.QEYJ karena virus ini tanpa ampun
menghancurkan file video di komputer korbannya dengan tuntas.
Bagi Anda yang suka mengkoleksi film/video, mulai sekarang mulailah berhati-hati jika tidak ingin kehilangan data film/video, virus ini masih
cukup “baik” karena ia tidak akan menghapus file lagu dalam format mp3. Jika anda berfikir untuk menggunakan program recovery sebaiknya disurutkan saja
niat tersebut karena dari hasil pengujian yang dilakukan tools tersebut belum dapat mengembalikan file yang sudah di hapus, selidik punya selidik
ternyata virus ini tidak sekedar menghapus tapi lebih dari itu ia akan merubah isi file tersebut, sehingga walaupun software recovery berhasil
mendapatkan file tersebut tetapi file yang anda dapat adalah file yang sudah terinfeksi / diubah oleh virus
Virus ini dibuat dengan menggunakan program bahasa assembly dengan ukuran file induk sekitar 66 KB, untuk mengelabui user ia akan menggunakan icon
”Windows Media Player Classic” dengan type file sebagai “application” Sebenarnya tidak terlalu sulit untuk mengetahui apakah komputer sudah
terinfeksi virus ini salah satunya dengan munculnya file shortcut dengan ukuran 2KB disetiap drive, selain itu
munculnya file dengan icon ”Windows Media Player Classic” yang di simpan di direktori dimana anda menyimpan file film / video dengan ukuran file sebesar
66 KB atau 575 KB, tetapi file ini akan disembunyikan. (lihat gambar 1 dan 2)
Gambar 1, File induk W32/Agent.QEYJ
Gambar 2, File Shortcut virus
Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai
W32/Agent.QEYJ (lihat gambar 3)
Gambar 3, Hasil deteksi Norman Security Suite
File Induk
Pada saat file tersebut di jalankan oleh user, ia akan membuat beberapa file
induk berikut yang akan dijalankan secara otomatis pada saat komputer
dinyalakan:
C:\Program Files\Windows Media Player
Svchost.exe
Wmplayerc.exe
C:\Documents and Settings\client\My Documents\RÊCYCLÊR.com\RÊCYCLÊR
Autorun.inf (folder)
Registri Windows
Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat
string pada registry berikut
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Windows Media Player = C:\Program Files\Windows Media Player\wmplayerc.exe
Selain dengan membuat string pada registri di atas, ia juga akan membuat shortcut dengan ukuran 2 KB. File
shortcut ini mempunyai nama file yang sama dengan folder yang nantinya akan disembunyikan oleh virus tersebut, icon yang digunakannya pun akan
menyerupai icon folder, hal ini digunakan sebagai upaya untuk mengelabui user apalagi type yang tersebut adalah sebagai “File Folder” sungguh
penyamaran yang sempurna. File shortcut itu sendiri berisi script/link untuk menjalankan sebuah file virus yang berada di direktori “..\RÊCYCLÊR\ .com”
(lihat gambar 4)
Gambar 4, Link file shortcut yang dibuat oleh W32/Agent.QEYJ
Blok fungsi Windows
Virus ini tidak terlalu banyak melakukan blok terhadap tools / software
security, walaupun demikian ia akan merubah beberapa fungsi Windows seperti Windows Firewall atau Folder Options (tidak bisa menampilkan file yang
tersembunyi) dan beberapa fungsi Windows lainnya dengan membuat beberapa string pada registri berikut
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
EnableLUA = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DefaultValue = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = 1
FirewallDisableNotify = 1
UpdatesDisableNotify = 1
AntiVirusOverride = 1
FirewallOverride = 1
UacDisableNotify = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
AntiVirusDisableNotify = 1
FirewallDisableNotify = 1
UpdatesDisableNotify = 1
AntiVirusOverride = 1
FirewallOverride = 1
UacDisableNotify = 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
WaitToKillServiceTimeout = 1000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
WaitToKillServiceTimeout = 1000
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PropSummary
Advanced = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
NextId = 8193
{92780B25-18CC-41C8-B9BE-3C9C571A8263} =
8193
Babat abis file film / video
Bagi anda yang suka mengkoleksi film dengan berbagai format sebaiknya
berhati-hati karena virus ini akan mengincar sejumlah file yang mempunyai
ekstensi mpeg, avi, dat, atau mov. Virus ini tidak akan menghapus tetapi
lebih parah dari itu ia akan menulis ulang isi file tersebut, file yang
sudah di ubah akan mempunyai ukuran sebesar 66 KB tidak sampai disitu, file
duplikat ini akan di injeksi ulang dengan menambahkan kode virus sehingga
ukuran file virus membengkak menjadi 575 KB. Untuk mengelabui user ia akan
menggunakan rekayasa sosial yang cukup pintar yakni dengan menggunakan icon
“Windows Media Player Classic” dan akan menyembunyikan file tersebut, jika
diperhatikan saat ini jarang virus lokal yang akan menyembunyikan file
duplikat yang telah dibuat dan tetap di infeksi virus tetapi
justru trik ini sangat menarik dan
diluar dugaan karena biasanya user akan beranggapan file yang disembunyikan
oleh virus adalah file asli yang tidak terinfeksi virus.
Recovery file
dengan bantuan software recovery masih tidak mampu menolong banyak, karena
virus ini sudah merubah isi file tersebut maka file yang berhasil di
recovery pun adalah file-file yang sudah terinfeksi virus.
Hal lain yang akan dilakukan adalah akan menyembunyikan folder / sub folder
di setiap drive termasuk media flash disk atau removable disk, untuk
mengelabui user ia akan membuat file shortcut yang akan mempunyai nama file
yang sama dengan folder yang disembunyikan tersebut, file ini mempunyai
ukuran sekitar 2 KB dan berisi link untuk menjalankan file virus yang ada di
direktori “RÊCYCLÊR\ .com”.
Agar penyamarannya lebih
sempurna, ia juga akan memanipulasi type file dari file shortcut tersebut
menjadi “File Folder” dengan merubah string pada registry berikut : (lihat
gambar 5)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile
[Default] = File Folder
Gambar 5, File duplikat dan file shortcut yang dibuat oleh W32/Agent.QEYJ
Media Penyebaran
Untuk menyebarkan dirinya, ia akan menggunakan media Flash Disk dengan cara
menyembunyikan folder/subfolder yang ditemui dan membuat shortcut yang
mempunyai nama yang sama dengan nama folder yang disembunyikan dengan ukuran
sekitar 2 kb. File shortcut ini
berisi link untuk menjalankan file virus yang disimpan di direkori
“RÊCYCLÊR\ .com” (lihat gambar 6)
Gambar 6, Link shortcut yang dibuat oleh virus
Virus ini tidak akan aktif secara otomatis pada saat user akses ke drive /
flash disk, justru ia akan membuat folder kosong dengan nama “autorun.inf”
disetiap drive yang mempunyai atribut (system, hidden dan read only),
mungkin langkah ini dilakukan sebagai upaya agar virus lain tidak dapat
membuat script autorun virus sehingga virus tersebut tidak dapat aktif
secara otomatis pada saat user akses drive tersebut.
Cara mengatasi Trojan:W32/Agent.QEYJ
- Nonaktifkan “System Restore”, selama proses pembersihan
- Matikan proses virus yang aktif di memory, anda dapat menggunakan tools“Security Task Manager” dengan mendownload di alamat
http://www.neuber.com/taskmanager/download.html (lihat gambar 7)
Gambar 7, Mematikan proses virus yang aktif di memori
Matikan proses virus yang mempunyai nama “svchost.exe” dan Multimedia Video
File” atau file yang mengarah ke direktori “..\Program Files\Windows Media
Player\”
- Fix registry Windows yang sudah diubah oleh virus,untuk mempercepat proses
perbaikan salin script dibawah ini pada program “notepad” kemudian
simpan dengan nama “repainr.inf”. Jalankan file tersebut dengan
cara, klik kanan “repair.inf” |
klik “install”
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
“Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control, WaitToKillServiceTimeout,0, “2000″
HKLM, SYSTEM\CurrentControlSet\Control, WaitToKillServiceTimeout,0, “2000″
HKCU, Software\Microsoft\Internet Explorer\Extensions\CmdMapping,NextId,0,
“8194″
HKCU, Software\Microsoft\Internet
Explorer\Extensions\CmdMapping,{92780B25-18CC-41C8-B9BE-3C9C571A8263},0,
“8194″
HKLM, SOFTWARE\Classes\lnkfile,,,”Shortcut”
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusDisableNotify,0×00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallDisableNotify,0×00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,UpdatesDisableNotify,0×00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusOverride,0×00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallOverride,0×00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,UacDisableNotify,0×00010001,0
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Windows Media Player
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, EnableLUA
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,
DefaultValue
HKLM, SOFTWARE\Microsoft\Security Center\Svc
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\PropSummary
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
- Hapus file induk yang dibuat oleh virus dengan terlebih dahulu
menampilkan file yang disembunyikan terlebih dahulu, caranya : (lihat
gambar
ü
Buka Windows Explorer
ü
Klik menu “Tools”
Klik menu “View”
Klik “Folder Options”
Klik tabulasi “View”
Centang option “Show hidden files and folders”
Hilangkan tanda centang pada opsi “Hide extensions for known files types”
Hilangkan tanda centang pada opsi “Hide protected operating system
files (Recommended)”
Klik “OK”
Gambar 8, Setting Folder Optoins untuk menampilkan file yang disembunyikan
Kemudian hapus file berikut:
C:\Program Files\Windows Media Player
Svchost.exe
Wmplayerc.exe
C:\Documents and Settings\client\My Documents\RÊCYCLÊR
RÊCYCLÊR
(hapus di setia drive termasuk Flash Disk)
Hapus file shortcut yang dibuat
oleh virus yang berada di disetiap drive termasuk flash disk
dengan ciri-ciri : (lihat gambar
9)
- Ukuran 2 KB (file shortcut)
- Icon “Folder” (file shortcut)
Gambar 9, Contoh file shortcut yang dibuat oleh virus
- Hapus juga file duplikat yang dibuat oleh virus dengan ciri-ciri
- Ukuran 66 KB dan 575 KB
- Icon “Windows Media Player Classic”
- Type file “Application”
Lokasi file ini acak tergantung dimana anda menyimpan file film/video,
karena file duplikat ini akan dibuat di direktori yang sama dengan
penyimpanan file film/video tersebut. Oleh karena itu untuk mempercepat
proses pencarian dan penghapusan sebaiknya anda gunakan fungsi “Search
Windows”, seperti terlihat pada gambar di bawah ini : (lihat gambar 10)
Gambar 10, Mencari dan menghapus file duplikat virus
- Tampilkan folder/subfolder yang disemunyikan,dengan cara : (lihat gambar
11)
Klik menu “start”
Klik “Run”
Ketik CMD, kemudian klik tombol “OK”
Pindahkan posisi kursor ke lokasi drive yang akan di cek, kemudian ketik
perintah
ATTRIB
–S –H
–R
/S /D
Gambar 11, Menampilkan folder/sub folder yang disembunyikan
- Untuk pembersihan optimal dan mencegah infeksi ulang install dan scandengan menggunakan antivirus yang
up-to-date. Anda juga dapat mendwnload Norman Malware Cleaner di alamat
berikut:
http://www.norman.com/support/support_tools/58732/en
Tidak ada komentar:
Posting Komentar