Pernahkan Anda mengalami semua folder yang ada di UFD tba-tiba berubah menjadi “shortcut”, harap berhati-hati dan scan komputer Anda dan berharap ini bukan ulah virus yang berbahaya.
Walaupun media penyebaran virus ini hanya sebatas UFD, tetapi pengalaman menunjukkan penyebarannya bisa meluas ke daerah-daerah yang lain dengan mudah, jadi tetap waspada dan pastikan antivirus anda selalu terupdate dengan baik agar dapat mengenali virus ini dengan baik.
Dengan update terbaru Norman Security Suite sudah dapat mendeteksi virus ini sebagai W32/VBWorm.BEUA, untuk file shortcut di kenali sebagai Trojan: LNK/CplLnk.A dan file .DLL dideteksi sebagai W32/Suspicious_Gen2.BTDDL dan sampai saat ini sudah melahirkan beberapa varian
GB 1
Dr.Web Anti-virus mendeteksi virus ini sebagai W32/HLLW.Autoruner.25850, untuk file shortcut di kenali sebagai Exploit.Cpllnk dan file .DLL dideteksi sebagai Win32.HLLW.VBNA.3
GB 2
Virus ini dibuat dengan mengunakan program bahasa Visual Basic dan mempunyai ukuran sekitar 128 KB (untuk varian lain nya akan mempunyai ukruan yang bervariasi). Virus ini akan mempunyai ekstensi EXE atau SCR serta menggunakan icon Microsoft Visual Basic Project.
GB 3
Pada saat virus ini menginfeksi komputer target, ia akan membuat beberapa file induk dengan nama file acak yang akan diaktifkan secara otomatis pada saat komputer dinyalakan
C:\Documents and Settings\%user%\%file%.exe
Catatan:
%user%, tergantung nama user yang digunakan oleh user pada saat login Windows
%file%, contohnya x.exe, alg.exe, smyeok.exe atau smyeokx.exe
Untuk meyakinkan agar dirinya dapat aktif secara otomatis pada saat komputer dinyalakan ia akan membuat string pada registri berikut dengan string yang berbeda-beda
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
%string% = C:\Documents and Settings\%user%\%string%.exe
Catatan:
%string%, berbeda-beda sesuai dengan nama file induk yang dibuat
%user%, berbeda-beda sesuai dengan nama user yang digunakan pada saat login Windows.
Agar file induk tidak mudah dihapus oleh user, ia akan menyembunyikan file tersebut dan mencegah agar user tidak dapat menampilkan file teersebut dengan cara merubah pada setting “Folder Options” dengan selalu memilih opsi “Hide protected operating system files (Recommended)” dengan merubah registri :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
GB 3
Proteksi Proses Virus dan blok software security
Virus ini mempunyai kemampuan untuk melindungi setiap proses virus yang aktif di memori. Jika user mencoba untuk mematikan proses virus tersebut dengan menggunakan aplikasi kill proses seperti Security Task Manager, process explorer atau tools/software security lainnya dengan cara mematikan aplikasi tersebut atau menyebabkan aplikasi tersebut menjadi hang/crash”.
GB 4
GB 5
Menyembunyikan Folder dan membuat file shortcut
Aksi lain yang akan dilakukan oleh virus ini adalah akan menyembunyikan folder “C:\Documents and Settings” dan akan menyembunyikan foder “C:\Documents and settings\%user% (%user%, ini berbeda-beda tergantung nama user yang digunakan pada saat login Windows). Untuk mengelabui user ia akan membuat file duplikat berupa file shortcut yang akan mengarah (pointing) ke salah satu file induk yang sudah dibuat, file ini akan mempunyai nama yang sama dengan folder yang disembunyikan dengan ciri-ciri:
- Menggunakan Icon Folder
- Mempunyai Ekstensi .LNK
- Type File “Shortcut”
- Ukuran file 1 KB
Selain itu ia juga akan membuat file shortcut lain seperti :
- Documents.lnk
- Music.lnk
- Pictures.lnk
- Video.lnk
- Password.lnk
- Serta beberapa file shortcut yang mempunyai icon dengan nama file acak seperti zbg.lnk atau zcu.lnk.
GB 6
Jika file shortcut tersebut di jalankan, maka secara otomatis akan mengaktifkan salah satu file induk (acak) virus yang telah ditentukan
GB 7
Media penyebaran
Untuk menyebarkan dirinya, ia akan menggunakan media UFD dan drive/folder yang di share (dengan askes full) dengan cara membuat beberapa file induk acak (contoh: x.exe, xuris.exe, xurinx.exe) serta file “.dll” (contoh: ert.dll) dengan ciri-ciri:
- Menggunakan Icon “Visual Basic Project”
- Ukuran File 128 KB (untuk varian lain ukuran file acak)
- Ekstesi file “.EXE” atau “.SCR”
- Type File “Application” atau “Screen Saver”
GB 8
Selain membuat file induk tersebut, ia juga akan menyembunyikan folder yang ada di media UFD/Folder yang di share serta membuat file duplikat sesuai dengan nama folder yang disembunyikan berupa file shortcut serta beberapa file shorcut lainnya seperti:
- Documents.lnk
- Music.lnk
- Pictures.lnk
- Video.lnk
- Password.lnk
Agar virus ini dapat aktif secara otomatis pada saat user mengakses UFD/Folder yang di share, ia akan memanfaatkan fitur “Autoplay Windows” dengan membuat file “Autorun.inf”. File ini akan menjalankan sebuah file induk (acak) yang sudah di tanamkan di UFD/folder yang di share tersebut.
Eksploitasi celah keamanan yang terlupakan
Seperti yang sudah di jelaskan sebelumnya bahwa virus ini akan membuat beberapa file shortcut yang mempunyai icon di media removable disk (UFD) atau di folder/drive yang di share (dengan akses full), hal ini dilakukan untuk mengantisipasi jika fitur “autoplay” sudah di matikan oleh user yakni dengan memanfaatkan salah satu celah keamanan Windows (Microsoft Windows Shell shortcut handling remote code execution vulnerability-MS10-046) yang memungkinkan Windows untuk menjalankan secara otomatis
Kode jahat yang terdapat pada file shortcut (.lnk) tersebut pada saat user mengakses Drive/Folder/UFD hal ini di tandai komputer menjadi lambat (bahkan komputer terkesan hang) pada saat mengakses UFD /drive yang sudah di tanam file shortcut tersebut. Hal ini yang membedakan virus ini dari virus lokal lain yang kebanyakan mengandalkan rekayasa sosial dan penyebaran yang mengandalkan autorun saja tanpa mengeksploitasi celah keamanan.
Cara membersihkan VBWorm.BEUA (W32/HLLW.Autoruner.25850)
1- Nonaktifkan “System Restore” untuk sementara selama proses pembersihan
2- Putuskan komputer yang akan dibersihkan dari jaringan
3- Matikan proses virus yang aktif di memori dengan menggunakan tools “Ice Sword”. Setelah tools tersebut terinstal, pilih file yang mempunyai icon “Microsoft Visual Basic Project” kemudian klik “Terminate Process”. Bisa menggunakan Silahkan tools di alamat http://icesword.en.softonic.com/.
GB 10
4. Hapus registri yang sudah dibuat oleh virus dengan cara:
a. Klik menu [Start]
b. Klik [Run]
c. Ketik REGEDIT.exe, kemudian klik tombol [OK]
d. Pada aplikasi Registry Editor, telusuri key
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
e. Kemudian hapus key yang mempunyai data [C:\Document and Settings\%user%], seperti terlihat pada gambar 11.
GB 11
5. Disable Autoplay/autorun Windows. Copy script dibawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.INF, install file tersebut dengan cara:
a. Klik kanan REPAIR.INF
b. Klik INSTALL
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
6. Hapus File induk dan file duplikat yang dibuat oleh virus termasuk di UFD. Untuk mempercepat proses pencarian, Anda dapat menggunakan fungsi “Search”. Sebelum melakukan pencarian sebaiknya tampilkan semua file yang tersembunyi dengan merubah pada setting Folder Options.
GB 12
Jangan sampai terjadi kesalahan pada saat menghapus file induk maupun file duplikat yang telah dibuat oleh virus.
Hapus File induk virus (lihat gambar 13) yang mempunyai ciri-ciri:
- Icon “Microsoft Visual Basic Project”
- Ukuran File 128 KB (untuk varian lain akan mempunyai ukuran yang bervariasi)
- Ekstesi file “.EXE” atau “.SCR”
- Type File “Application” Satau “Screen Saver”
GB 13
Kemudian hapus File duplikat shortcut yang mempunyai ciri-ciri:
- Icon Folder atau icon
- Ekstensi .LNK
- Type File “Shortcut”
- Ukuran file 1 KB
GB 14
Hapus juga file yang .DLL (contoh: ert.dll) dan file Autorun.inf di UFD atau folder yang di share
Catatan:
Untuk menghindari virus tersebut aktif kembali, hapus file induk yang mempunyai ekstensi EXE atau SCR terlebih dahulu baru kemudian hapus file Shortcut (.LNK)
7. Tampilkan kembali folder yang telah disembunyikan oleh virus. Untuk mempercepat proses tersebut, silahkan download tools UnHide File and Folder. Silahkan download tools tersebut di alamat http://www.flashshare.com/bfu/download.html.
· Setelah di install, pilih direktori [C:\Documents and settings] dan Folder yang ada di UFD dengan cara menggeser ke kolom yang sudah tersedia
· Pada menu [Attributes] kosongkan semua pilihan yang ada
· Kemudian klik tombol [Change Attributes]
GB 15
8. Install security patch “Microsoft Windows Shell shortcut handling remote code execution vulnerability-MS10-046”. Security patch tersebut biosa di dapat di alamat berikut:
http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx
9. Untuk pembersihan secara optimal dan menecegah infeksi ulang, sebaiknya install dan scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini dengan baik.
Dengan update terbaru Norman Security Suite sudah dapat mendeteksi virus ini sebagai W32/VBWorm.BEUA, untuk file shortcut di kenali sebagai Trojan: LNK/CplLnk.A dan file .DLL dideteksi sebagai W32/Suspicious_Gen2.BTDDL dan sampai saat ini sudah melahirkan beberapa varian
GB 1
Dr.Web Anti-virus mendeteksi virus ini sebagai W32/HLLW.Autoruner.25850, untuk file shortcut di kenali sebagai Exploit.Cpllnk dan file .DLL dideteksi sebagai Win32.HLLW.VBNA.3
GB 2
Virus ini dibuat dengan mengunakan program bahasa Visual Basic dan mempunyai ukuran sekitar 128 KB (untuk varian lain nya akan mempunyai ukruan yang bervariasi). Virus ini akan mempunyai ekstensi EXE atau SCR serta menggunakan icon Microsoft Visual Basic Project.
GB 3
Pada saat virus ini menginfeksi komputer target, ia akan membuat beberapa file induk dengan nama file acak yang akan diaktifkan secara otomatis pada saat komputer dinyalakan
C:\Documents and Settings\%user%\%file%.exe
Catatan:
%user%, tergantung nama user yang digunakan oleh user pada saat login Windows
%file%, contohnya x.exe, alg.exe, smyeok.exe atau smyeokx.exe
Untuk meyakinkan agar dirinya dapat aktif secara otomatis pada saat komputer dinyalakan ia akan membuat string pada registri berikut dengan string yang berbeda-beda
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
%string% = C:\Documents and Settings\%user%\%string%.exe
Catatan:
%string%, berbeda-beda sesuai dengan nama file induk yang dibuat
%user%, berbeda-beda sesuai dengan nama user yang digunakan pada saat login Windows.
Agar file induk tidak mudah dihapus oleh user, ia akan menyembunyikan file tersebut dan mencegah agar user tidak dapat menampilkan file teersebut dengan cara merubah pada setting “Folder Options” dengan selalu memilih opsi “Hide protected operating system files (Recommended)” dengan merubah registri :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
GB 3
Proteksi Proses Virus dan blok software security
Virus ini mempunyai kemampuan untuk melindungi setiap proses virus yang aktif di memori. Jika user mencoba untuk mematikan proses virus tersebut dengan menggunakan aplikasi kill proses seperti Security Task Manager, process explorer atau tools/software security lainnya dengan cara mematikan aplikasi tersebut atau menyebabkan aplikasi tersebut menjadi hang/crash”.
GB 4
GB 5
Menyembunyikan Folder dan membuat file shortcut
Aksi lain yang akan dilakukan oleh virus ini adalah akan menyembunyikan folder “C:\Documents and Settings” dan akan menyembunyikan foder “C:\Documents and settings\%user% (%user%, ini berbeda-beda tergantung nama user yang digunakan pada saat login Windows). Untuk mengelabui user ia akan membuat file duplikat berupa file shortcut yang akan mengarah (pointing) ke salah satu file induk yang sudah dibuat, file ini akan mempunyai nama yang sama dengan folder yang disembunyikan dengan ciri-ciri:
- Menggunakan Icon Folder
- Mempunyai Ekstensi .LNK
- Type File “Shortcut”
- Ukuran file 1 KB
Selain itu ia juga akan membuat file shortcut lain seperti :
- Documents.lnk
- Music.lnk
- Pictures.lnk
- Video.lnk
- Password.lnk
- Serta beberapa file shortcut yang mempunyai icon dengan nama file acak seperti zbg.lnk atau zcu.lnk.
GB 6
Jika file shortcut tersebut di jalankan, maka secara otomatis akan mengaktifkan salah satu file induk (acak) virus yang telah ditentukan
GB 7
Media penyebaran
Untuk menyebarkan dirinya, ia akan menggunakan media UFD dan drive/folder yang di share (dengan askes full) dengan cara membuat beberapa file induk acak (contoh: x.exe, xuris.exe, xurinx.exe) serta file “.dll” (contoh: ert.dll) dengan ciri-ciri:
- Menggunakan Icon “Visual Basic Project”
- Ukuran File 128 KB (untuk varian lain ukuran file acak)
- Ekstesi file “.EXE” atau “.SCR”
- Type File “Application” atau “Screen Saver”
GB 8
Selain membuat file induk tersebut, ia juga akan menyembunyikan folder yang ada di media UFD/Folder yang di share serta membuat file duplikat sesuai dengan nama folder yang disembunyikan berupa file shortcut serta beberapa file shorcut lainnya seperti:
- Documents.lnk
- Music.lnk
- Pictures.lnk
- Video.lnk
- Password.lnk
Agar virus ini dapat aktif secara otomatis pada saat user mengakses UFD/Folder yang di share, ia akan memanfaatkan fitur “Autoplay Windows” dengan membuat file “Autorun.inf”. File ini akan menjalankan sebuah file induk (acak) yang sudah di tanamkan di UFD/folder yang di share tersebut.
Eksploitasi celah keamanan yang terlupakan
Seperti yang sudah di jelaskan sebelumnya bahwa virus ini akan membuat beberapa file shortcut yang mempunyai icon di media removable disk (UFD) atau di folder/drive yang di share (dengan akses full), hal ini dilakukan untuk mengantisipasi jika fitur “autoplay” sudah di matikan oleh user yakni dengan memanfaatkan salah satu celah keamanan Windows (Microsoft Windows Shell shortcut handling remote code execution vulnerability-MS10-046) yang memungkinkan Windows untuk menjalankan secara otomatis
Kode jahat yang terdapat pada file shortcut (.lnk) tersebut pada saat user mengakses Drive/Folder/UFD hal ini di tandai komputer menjadi lambat (bahkan komputer terkesan hang) pada saat mengakses UFD /drive yang sudah di tanam file shortcut tersebut. Hal ini yang membedakan virus ini dari virus lokal lain yang kebanyakan mengandalkan rekayasa sosial dan penyebaran yang mengandalkan autorun saja tanpa mengeksploitasi celah keamanan.
Cara membersihkan VBWorm.BEUA (W32/HLLW.Autoruner.25850)
1- Nonaktifkan “System Restore” untuk sementara selama proses pembersihan
2- Putuskan komputer yang akan dibersihkan dari jaringan
3- Matikan proses virus yang aktif di memori dengan menggunakan tools “Ice Sword”. Setelah tools tersebut terinstal, pilih file yang mempunyai icon “Microsoft Visual Basic Project” kemudian klik “Terminate Process”. Bisa menggunakan Silahkan tools di alamat http://icesword.en.softonic.com/.
GB 10
4. Hapus registri yang sudah dibuat oleh virus dengan cara:
a. Klik menu [Start]
b. Klik [Run]
c. Ketik REGEDIT.exe, kemudian klik tombol [OK]
d. Pada aplikasi Registry Editor, telusuri key
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
e. Kemudian hapus key yang mempunyai data [C:\Document and Settings\%user%], seperti terlihat pada gambar 11.
GB 11
5. Disable Autoplay/autorun Windows. Copy script dibawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.INF, install file tersebut dengan cara:
a. Klik kanan REPAIR.INF
b. Klik INSTALL
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
6. Hapus File induk dan file duplikat yang dibuat oleh virus termasuk di UFD. Untuk mempercepat proses pencarian, Anda dapat menggunakan fungsi “Search”. Sebelum melakukan pencarian sebaiknya tampilkan semua file yang tersembunyi dengan merubah pada setting Folder Options.
GB 12
Jangan sampai terjadi kesalahan pada saat menghapus file induk maupun file duplikat yang telah dibuat oleh virus.
Hapus File induk virus (lihat gambar 13) yang mempunyai ciri-ciri:
- Icon “Microsoft Visual Basic Project”
- Ukuran File 128 KB (untuk varian lain akan mempunyai ukuran yang bervariasi)
- Ekstesi file “.EXE” atau “.SCR”
- Type File “Application” Satau “Screen Saver”
GB 13
Kemudian hapus File duplikat shortcut yang mempunyai ciri-ciri:
- Icon Folder atau icon
- Ekstensi .LNK
- Type File “Shortcut”
- Ukuran file 1 KB
GB 14
Hapus juga file yang .DLL (contoh: ert.dll) dan file Autorun.inf di UFD atau folder yang di share
Catatan:
Untuk menghindari virus tersebut aktif kembali, hapus file induk yang mempunyai ekstensi EXE atau SCR terlebih dahulu baru kemudian hapus file Shortcut (.LNK)
7. Tampilkan kembali folder yang telah disembunyikan oleh virus. Untuk mempercepat proses tersebut, silahkan download tools UnHide File and Folder. Silahkan download tools tersebut di alamat http://www.flashshare.com/bfu/download.html.
· Setelah di install, pilih direktori [C:\Documents and settings] dan Folder yang ada di UFD dengan cara menggeser ke kolom yang sudah tersedia
· Pada menu [Attributes] kosongkan semua pilihan yang ada
· Kemudian klik tombol [Change Attributes]
GB 15
8. Install security patch “Microsoft Windows Shell shortcut handling remote code execution vulnerability-MS10-046”. Security patch tersebut biosa di dapat di alamat berikut:
http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx
9. Untuk pembersihan secara optimal dan menecegah infeksi ulang, sebaiknya install dan scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini dengan baik.
sumber : http://komputekonline.net
0 komentar:
Posting Komentar