Virus Flu burung

16 May

To:    jasakom-perjuangan@yahoogroups.com
From:    yahya@arc.itb.ac.id
Date:    Sat, 7 Oct 2006 13:35:11 +0700 (WIT)

Subject:    Re: [jasakom-perjuangan] tolong …………Virus Flu burung

sekedar info saja dari vaksin.com
———— ——— ——— —

W32/Gnurbulf. B 1 Oktober 2006

Varian Flu Burung yang memblok menu logon

Pertengahan September 2006, team Vaksincom dikejutkan oleh banyaknya laporan
dimana banyak komputer yang tidak bisa login ke komputernya. Awalnya,
Vaksincom mengira penyebab hal tersebut hanya masalah sepele seperti
pengguna komputer lupa / salah memasukkan “username” dan “password”. Tetapi
karena banyaknya keluhan yang datang dan para korban sangat yakin sudah
memasukkan username dan password dengan benar, Vaksincom mulai curiga ada
“sesuatu” yang menyebabkan hal ini. Setelah mengklik tombol [Ok] pada menu
login, komputer bereaksi sebentar, tetapi langsung kembali lagi ke menu
login. Begitupula jika dilakukan start pada “Safe Mode” ataupun “Safe Mode
with Command Prompt”, komputer tetap memaksa menampilkan login page. Karena
itu Vaksincom memperkirakan bahwa ini adalah aksi baru dari virus lokal
generasi terakhir. Yang menjadi masalah dalam membersihkan virus yang
“mengerjai” login page ini sebenarnya adalah bagaimana mengakses registri
dan file virus yang sudah “ngendon” di komputer, padahal kita tidak memiliki
akses ke dalam karena login page di blok. Terpaksa semua ilmu tenaga dalam
dikeluarkan dan dalam artikel ke dua, Vaksincom akan memberikan cara
bagaimana membenarkan login page yang sudah di manipulasi sedemikian rupa
oleh virus sehingga anda tidak bisa login. Celakanya, jika anda menginstal
OS anda dengan format NTFS dan bukan FAT, maka anda tidak bisa menggunakan
cara biasa untuk mengakses NTFS dan harus menggunakan NTFS for DOS (yang
bagi sebagian orang awam agak2 rumit), ada cara kedua yaitu menggunakan
Windows PE / Mini XP atau cara lebih simple jika anda memiliki 2 komputer
adalah mencopot harddisk komputer pertama yang terinfeksi virus dan
menjadikan sebagai harddisk data di komputer kedua untuk mebenahi registri
dan virus pada harddisk pertama. Asalkan hati-hati, jangan sampai malah
komputer kedua yang menjadi terinfeksi virus ini…. Nanti anda malah harus
mencari komputer ke tiga L. Kalaupun terpaksa, ada “aji pamungkas” yang
sering dijalankan oleh para pengguna komputer yang terinfeksi virus …. Tidak
lain dan tidak bukan adalah “format”. Cara ini cukup efektif, bagi Vaksincom
memformat komputer kami usahakan sebagai cara terakhir dan sampai saat ini
kami belum menyarankan anda menggunakan “aji pamungkas” ini karena jika
terjadi infeksi ulang, apakah anda harus memformat terus komputer anda ?

Anda pasti masih ingat dengan virus Flu Burung, untuk varian awalnya
penyebarannya tidaklah terlalu cepat dan tidak banyak mamakan korban [tidak
seperti virus Flu Burung dalam kehidupan nyata yang sampai saat ini menjadi
momok menakutkan di seluruh dunia dan sudah memakan banyak korban baik dari
hewan itu sendiri atau bahkan manusia]. Menyadari “hasil karyanya” tidak
terlalu sukses kini pembuat virus Flu Burung [W32/Gnurbulf] mengeluarkan
varian terbarunya dan hasilnya cukup menggemparkan.

Untuk varian kedua ini masih dibuat dengan menggunakan program bahasa VB
serta mempunyai ukuran 46 KB dan untuk mengelabui user ia akan menggunakan
icon “MS Word” dengan mempunyai ekstensi .EXE dengan type file sebagai
“Application” (lihat gambar 1)

Gabmar 1, File induk Gnurbulf.B

Memanipulasi file Screen Saver sebagai file MS Word dan ukuran file virus
yang berbeda-beda

Ciri utama dari virus ini salah satunya adalah kemampuanya untuk
menyembunyikan file MS Word dan membuat file duplikat sesuai dengan nama
file yang disembunyikan dengan ekstensi .scr. File yang terinfeksi akan
sulit untuk dikenali hal ini karena ekstensi dari file tersebut akan
disembunyikan (tidak diperlihatkan) , selain itu virus ini akan menggunakan
icon MS Word dan akan tetap menggunakan type file sebagai “Microsoft Word
Document” bukan sebagai “Screen Saver” dengan sedikit memanipulasi registry
string yang ada di lokasi :

*
HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\scrfile

*
Default = Microsoft Word Document

Selain file duplikat yang telah dibuat, Gnurbulf.B akan mempunyai ukuran
sesuai dengan ukuran asli dari file tersebut ditambah sekitar 46 KB dari
ukuran semula [contohnya: jika file asli mempunyai ukuran 20 KB maka file
duplikat yang dibuat oleh virus akan mempunyai ukuran 66 KB] tidak seperti
virus lokal lainnya dimana semua file duplikat yang dibuatnya akan mempunyai
ukuran yang sama, sehingga anda tidak akan menyangka bahwa file tersebut
sebenarnya adalah file yang sudah terinfeksi virus, walaupun demikian virus
ini masih “berbaik hati” karena file duplikat yang dibuat olehnya masih
dapat dibuka dan di edit [isi file masih bisa di dibaca dan di edit] (lihat
gambar 2)

Gambar 2, File duplikat yang dibuat oleh Gnurbulf.B

Memblok Login Page

File induk virus Gnurbulf.B agak sulit untuk dihapus karena file induk dari
virus ini akan di simpan di lokasi C:\Recycled dimana folder ini akan diset
menjadi “Hidden dan System. Anda dapat merubah attribut dari folder tersebut
terlebih dahulu dengan menggunakan perintah Attrib –s –h C:\Recycled dari
Dos Prompt, selain itu Gnurbulf.B tidak akan melakukan blok terhadap fungsi
Windows seperti Regedit / Msconfig / Task Manager / Cmd atau tools security
lainnya [seperti: Pocket Killlbox/ProceeXP atau Hijack This]. Tetapi sebagai
gantinya, Gnurbulf akan memblok login page. Aksi yang lebih maut dan
merepotkan dari aksi-aksi di atas.

Jika file yang sudah terinfeksi tersebut dijalankan, Gnurbulf.B akan membuat
beberapa fle induk untuk dijalankan setiap kali komputer booting
diantaranya:

*
%Drive%:\Recycled

*
SVCHOST.EXE

*
SMSS.EXE

*
SPOOLSV.EXE

*
CTFMON.EXE

Catatan:

%Drive% menunjukan lokasi Hard Disk/Partisi Hard Disk, Contoh

*
C:\Recycled

*
D:\Recycled

*
C:\WINDOWS\Installe r\{90110409- 6000-11D3- 8CFE-0150048383C 9}

*
Docicon.exe

Agar file tersebut dapat di jalankan secara “Autorun”, Gnurbulf.B akan
membuat / merubah string pada regitry berikut:

*
HKEY_CURRENT_ USER\Software\ Microsoft\ Windows NT\CurrentVersion\ Winlogon

*
Shell = Explorer.exe “C:\recycled\ SVCHOST.exe”

*
HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\Word. Document. 8\DefaultIcon

*
Default =
C:\WINDOWS\Installe r\{90110409- 6000-11D3- 8CFE-0150048383C 9}\docicon. exe

*
HKEY_USERS\S- 1-5-21-145447116 5-1844237615- 725345543- 1003\Software\ Microsoft\
Windows NT\CurrentVersion\ Winlogon

*
Shell = Explorer.exe “C:\recycled\ SVCHOST.exe”

*
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Winlogon

*
Userinit = C:\recycled\ SVCHOST.exe,

*
HKEY_CLASSES_ ROOT\Word. Document. 8\DefaultIcon

*
Default =
C:\WINDOWS\Installe r\{90110409- 6000-11D3- 8CFE-0150048383C 9}\docicon. exe

Walaupun Gnurbulf.B tidak akan melakukan blok terhadap Regedit / MSConfig /
cmd maupun Task Manager, tetapi ia akan tetap bermain dengan “Folder Option”
dengan tujuan untuk menyembunyikan ekstensi file sehingga user akan
kesulitan untuk mengetahui ekstensi dari suatu file yang ingin di lihat,
tujuannya adalah agar user sulit membedakan file virus dengan file MS Word
sehingga menjalankannya secara tidak sadar. Untuk melakukan hal tersebut ia
akan membuat string pada registry key:

*
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanc
ed\Folder\HideFileE xt

*
CheckedValue = 1

*
DefaultValue = 1

*
UncheckedValue = 1

*
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanc
ed\Folder\SuperHidd en

*
CheckedValue = 0

*
DefaultValue = 0

*
UncheckedValue = 0 (lihat gambar 3)

Gambar 3, Folder Options yang dirubah oleh Flu Burung

Untuk menyebarkan dirinya, Gnurbulf.B masih menggunakan media Disket/UFD
atau media file sharing yakni dengan cara menyembunyikan file MS Word dan
membuat file duplikat sesuai dengan file yang disembunyikan tersebut dengan
ciri-ciri :

*
Menggunakan icon “MS Word”

*
Ekstensi .SCR [ekstensinya akan disembunyikan]

*
Type file “Microsoft Word Document”

*
Ukuran file “acak” sesuai dengan file asli [file asli tersebut akan ditambah
sekitar 46 KB dari ukuran semula]

Selain aktif pada mode “Normal” Gnurbulf juga akan aktif walaupun komputer
di boot melalui “safe mode” atau “safe mode with command prompt”

Pembuat Gnurbulf cukup pintar melakukan rekayasa sosial

Satu hal yang dilakukan dan menjadi tujuan utama dari virus ini adalah
mencoba untuk menyembunyikan file MS Word [.doc] dan membuat file duplikat
sesuai dengan nama file yang disembunyikan. Gnurbulf.B ini hanya akan
menyembunyikan file MS Word jika file tersebut pernah dibukan atau dengan
kata lain selama anda tidak membuka file MS Word yang asli maka file
tersebut tidak akan disembunyikan. Dua hal ini, yang pertama ukuran virusnya
bervariasi dan tidak mengubah semua file MS Word akan mengurangi kecurigaan
korban virus dan membuat virus ini makin lama ditemukan. Hal ini menunjukkan
bahwa pembuat virus ini cukup pintar dan memeprhitungkan aksi virusnya
dengan baik dan efektif. (lihat gambar 4)

Gambar 4, File duplikat yang dibuat oleh Gnurbulf.B

Merubah type file .SCR menjadi “Microsoft Word Documents”

Seperti yang sudah dijelaskan sebelumnya bahwa file duplikat yang dibuat
oleh Gnurbulf.B akan mempunyai type file sebagai “Microsoft Word Document”
walaupun sebenarnya merupakan file “Screen Saver” [karena file duplikat
tersebut akan mempunyai ekstensi .SCR] sehingga akan menyulitkan user untuk
membedakan file asli dan file duplikat hal ini juga dikarenakan file
duplikat yang dibuat akan mempunyai ukuran yang sesuai dengan file aslinya
ditambah sekitar 46 KB dari ukuran semula [contohnya: jika file asli
mempunyai ukuran 20 KB maka file duplikat yang dibuat oleh virus akan
mempunyai ukuran 66 KB], untuk merubah type file dari “Screen Saver” menjadi
“Microsoft Word Documents”, Gnurbulf.B akan membuat string pada registry
berikut:

*
HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\scrfile

*
Default = Microsoft Word Document

Gambar 5, Type file yang diubah oleh Gnurbulf.B

Cara mengatasinya Gnurbulf.B

1.
Putuskan hubungan komputer yang akan dibersihkan dari jaringan.

2.
Jika mengunakan Windows ME / XP, matikan “system restore” untuk sementara
selama proses pembersihan.

3.
Matikan proses virus yang sedang aktif di memori, anda dapat menggunakan
tools “Security Task Manager”, kemudian matikan proses virus yang
menggunakan icon “MS Word”, seperti yang terlihat pada gambar 6 dibawah ini:

Gambar 6, Mematikan proses virus yang aktif di memori

4.
Setelah proses virus tersebut berhasil dimatikan, hapus file induk yang
dibuat oleh virus yang berlokasi di direktori:

*
%Drive%:\recycled

*
SVSHOST.exe

*
SMSS.exe

*
SPOOLSV.EXE

*
CTFMON.exe

Catatan:

%Drive%, menunjukan lokasi Hard Disk/Partisi Hard Disk, contoh

*
C:\Recycled

*
D:\Recycled

§ C:\WINDOWS\Installe r\{90110409- 6000-11D3- 8CFE-0150048383C 9}

*
Docicon.exe

Penghapusan file induk tersebut memang sedikit menyulitkan karena attribut
folder Recycled tersebut akan diset menjadi “Hidden dan System” oleh karena
itu anda harus menghapus attribut tersebut agar dapat menghapus file induk
tersebut dengan cara:

*
Klik tombol [Start]

*
Klik tombol [Run]

*
Ketik perintah CMD, kemudian klik tombol [OK]

*
Setelah jendela Dos Prompt muncul, ketik baris perintah

ATTRIB –S –H C:\RECYCLED\ *.* /s

Gnurbulf.B juga akan membuat file induk di drive lain dengan nama folder
yang sama [contoh: D:\Recycled] dengan nama file yang sama, oleh karena itu
hapus juga file induk yang ada di Drive yang lain dengan terlebih dahulu
menghilangkan attribut “Hidden dan System” dari file tersebut dengan
menggunakan perintah yang sama seperti di atas.

Setelah berhasil menghilangkan atribut tersebut hapus file induk tersebut
dengan menggunakan perintah berikut pada Dos Prompt

DEL C:\Recycled\ *.*

Anda juga dapat menghapus file induk di drive lain [contoh: D:\Recycled]
dengan menggunakan perintah yang sama dengan hanya mengganti lokasi drive
yang dituju. (lhat gambar 7)

Gambar 7, Menghapus attribut dan menghapus file induk Gnurbulf.B

5.
Setelah berhasil menghapus file induk tersebut, hapus string registry yang
sudah dibuat oleh Gnurbulf.B, untuk mempercepat proses penghapusan copy
script dibawah ini pada program “notepad” kemudian simpan dengan nama
“repair.inf” dan jalankan file tersebut dengan cara:

*
Klik kanan “repair.inf”

*
Klik “Install”

[Version]

Signature=”$ Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\ batfile\shell\ open\command, ,,”””%1″” %*”

HKLM, Software\CLASSES\ comfile\shell\ open\command, ,,”””%1″” %*”

HKLM, Software\CLASSES\ exefile\shell\ open\command, ,,”””%1″” %*”

HKLM, Software\CLASSES\ piffile\shell\ open\command, ,,”””%1″” %*”

HKLM, Software\CLASSES\ regfile\shell\ open\command, ,,”regedit. exe “%1″”

HKLM, Software\CLASSES\ scrfile\shell\ open\command, ,,”””%1″” %*”

HKLM, SOFTWARE\Classes\ scrfile,, ,”Screen Saver”

HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Winlogon, Shell,0,
“Explorer.exe”

HKLM,
SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\HideFileE
xt, UncheckedValue, 0x00010001, 0

HKLM,
SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd
en, UncheckedValue, 0x00010001, 1

HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Winlogon, Userinit,0,
“C:\Windows\ system32\ userinit. exe,”

HKLM,
SOFTWARE\Classes\ Word.Document. 8\DefaultIcon, ,,”C:\WINDOWS\ Installer\ {901104
09-6000-11D3- 8CFE-0150048383C 9}\wordicon. exe”

HCR,
Word.Document. 8\DefaultIcon, ,,”C:\WINDOWS\ Installer\ {90110409- 6000-11D3- 8CFE
-0150048383C9} \wordicon. exe”

[del]

HKCU, Software\Microsoft\ Windows NT\CurrentVersion\ Winlogon, shell

HKU,
S-1-5-21-1454471165 -1844237615- 725345543- 1003\Software\ Microsoft\ Windows
NT\CurrentVersion\ Winlogon, shell

6.
Hapus file duplikat yang telah dibut oleh virus dengan ciri-ciri

*
Menggunakan icon MS.Word

*
Ekstensi .SCR

*
Type file “Microsoft Word Document”

Catatan:

Sebelum menghapus file duplikat tersebut, pastikan anda sudah menampilkan
semua file yang disembunyikan dan menampilkan ext. dari file tersebut, hal
ini di maksudkan untuk mempermudah proses penghapusan. (lihat gambar 8 dan
9). Untuk mempermudah proses penghapusan virus dan mencegah infeksi ulang,
kami sarankan anda menggunakan antivirus yang dapat mendeteksi Gnurbulf.B
dengan baik. Norman Virus Control dengan update terakhir mampu mendeteksi
dan membasmi file yang terinfeksi oleh W32/Gnurbulf. B.

Gambar 8, Menampilkan file yang disembunyikan dan menampilkan ekstensi file

Gambar 9, File duplikat yang dibuat oleh Gnurbulf.B

Hapus juga file yang berada didirektori:

· C:\WINDOWS\Installe r\{90110409- 6000-11D3- 8CFE-0150048383C 9}

· Docicon.exe

7.
Tampilkan kembali file MS Word yang sudah disembunyikan oleh virus dengan
menggunakan perintah ATTRIB –s –h C:\*.doc /s pada Dos Prompt, untuk
menampilkan file yang disembunyikan di drive lain [contoh : D:\] gunakan
perintah tersebut di atas dengan mengganti lokasi drive yang di tuju [contoh
: ATTRIB –s –h D:\*doc /s] (lihat gambar 10)

Gambar 10, Menampilkan file MS Word yang disembunyikan oleh Gnurbulf.B

8.
Untuk pembersihan optimal dan agar komputer tersebut tidak terinfeksi
kembali gunakan antivirus yang sudah dapat mengenali virus ini dengan baik.

2 Responses to “Virus Flu burung”

  1. the_mock August 1, 2007 at 2:43 pm #

    mentep bossss…

  2. pemuda jawa barat August 21, 2009 at 10:25 am #

    oke aja

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: