Kamis, 19 Februari 2009

Cara Membasmi Virus Trojan:W32/VBTroj.NYH

Trojan:W32/VBTroj.NYH
(^_^)NITA_WORM was here

Saat ini penyebaran virus mancanegara mulai menggeser keberadaan virus lokal, dimulai dengan kasus virus arp spoofing yang akan memalsukan Mac Address gateway dalam LAN serta dapat melakukan update secara otomatis guna memperbaharui dirinya kemudian dilanjutkan dengan spyware yang menyamarkan sebagai antivirus atau anti spyware seperti Antivirus XP 2008 atau Antivirus XP 2009 serta XP Antispayware dan masih banyak varian lainnya. Lalu terakhir Vaksincom menerima banyak laporan komputer yang mengalami masalah Generic Host Process (GHP) Error yang disinyalir merupakan serangan terhadap port RPC Dcom, Vaksincom mengirimkan artikel “Napak Tilas RPC Dcom” yang dapat anda temukan pada edisi terbaru PC Plus yang akan terbit minggu depan.

Maraknya penyebaran virus mancanegara bukan indikasi menurunnya pembuat virus lokal, karena dalam kenyataannya kuantitas pembuat virus lokal tidak mengalami penurunan dan malahan menurut virus statistik virus yang diterima oleh Vaksincom rata-rata setiap bulan ditemukan 100 virus lokal baru.


Walaupun demikian, dengan dengan tetap mengusung semangat Hari Pahlawan :P para VM seakan tak putus untukterus berkreasi guna menghasilkan virus baru.

Kali ini giliran virus VBTroj.NYH atau biasa disebut dengan virus Tati yang disebarkan untuk turut menyemarakan dunia maya.

Ciri Umum VBTroj.NYH

Berikut beberapa ciri yang dapat dijumpai jika komputer terinfeksi VBTroj.NYH diantaranya:

  1. Muncul pesan error saat membuka file dengan menggunakan program “notepad” seperti *.txt, *.ini, *.log, *.inf. (lihat gambar 1)

  2. Muncul header tambahan pada jendela internet explorer dengan menambahkan pesan “(^_^)NITA_WORM ==> Infected Your PC ..again..!!!”

  3. Muncul 3 menu palsu pada menu “send to” yakni “Image, My Picture dan Send to”. Ke tiga menu palsu tersebut jika di klik maka secara otomatis akan menjalankan file virus.
  4. Muncul pesan error saat menjalankan fungsi windows tertentu atau saat menjalankan removal tools seperti regedit, msconfig, cmd, ansav atau avigen antivirus sehingga membuat file tersebut tidak dapat di jalankan.
  5. Membuat folder “NITA_WORM was here.exe” sebagai default install pada saat menginstall suatu program atau aplikasi.
  6. Munculnya file duplikat di setiap folder termasuk di media penyimpanan “Flash Disk” yang mempunyai ukuran file 108 KB dengan icon “Folder”.

File induk VBTroj.NYH

Virus ini dibuat dengan menggunakan program bahasa Visual Basic dengan ukuran file sebesar 108 KB, untuk mengelabui user ia akan menggunakan icon Folder.

Pada saat virus ini dijalankan ia akan membuat beberapa file induk di bawah ini yang akan dijalankan pertama kali pada saat komputer di hidupkan:

  • C:\New Folder.exe (akan di buat disemua Drive)

  • C:\Documents and Settings\%user%\Start Menu\Programs\Startup

    • Startup.exe

    • New Folder

    • New Folder(x), dimana x menunjukan angka (1-19)

  • Copy file C:\Windows\system32\msvbvm60.dll ke direktori berikut:

    • %Flash Disk%>:\msvbvm60.dll

    • C:\Documents and Settings\All Users\Documents\My Videos\msvbvm60.dll

    • C:\Documents and Settings\All Users\Documents\My Videos\msvbvm60.dll

Untuk memastikan agar file tersebut dapat dijalankan setiap kali komputer dinyalakan, ia juga akan membuat string pada registry berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • loader = \WinSys.exe

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • loader = \shell.exe

Sebagai pelengkap ia juga akan blok beberapa fungsi windows seperti regedit/msconfig/task manager/folder option termasuk beberapa tools virus lokal seperti Ansav atau Avigen dengan memunculkan pesan error berikut saat menjalankan fungsi atau tools tersebut.

Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VIGen32.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VSafeRun.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2HIJACKFREE.EXE

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMD.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dxdiag.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Notepad.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProMo.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit32.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VB6.EXE

    • debugger = explorer.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2HIJACKFREE.EXE

    • debugger = explorer.exe

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

    • Hidden = 0

    • HideFileExt = 1

    • ShowSuperHidden = 0

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

    • DisableThumbnailCache = 1

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

    • ShowDriveLettersFirst = 4

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt"

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden"

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden"

VBTroj.NYH juga akan blok fungsi klik kanan dengan membuat string pada registry berikut:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • NoViewContextMenu

Ubah Header Internet Explorer

Untuk menunjukan keberadaannya ia akan merubah judul pada program internet explorer dengan menambahkan pesan “(^_^)NITA_WORM ==> Infected Your PC ..again..!!!”. Untuk merubah judul IE ini VBTroj.NYH akan membuat string pada regsitry berikut:

  • HKCU\Software\Microsoft\Internet Explorer\Main

    • Window Title = (^_^)NITA_WORM ==> Infected Your PC ..again..!!!

Selain merubah judul internet explorer untuk menunjukan ekstensinya VBTroj.NYH juga akan mencoba untuk merubah type file “setup information” (inf) dan “System file“ (sys) menjadi NITA_WORM dengan terlebih dahulu merubah string pada registry berikut: (lihat gambar 2 di atas)

HKLM\SOFTWARE\Classes

- sysfile = NITA_WORM

HKLM\SOFTWARE\Classes\inffile

- FriendlyTypeName = NITA_WORM

Ubah default folder installasi program

VBTroj.NYH juga akan merubah default folder program installer dari “..\Program Files” menjadi “...\NITA_WORM was here.exe”. Untuk melakukan hal ini ia akan membuat string pada registry berikut: (lihat gambar 5 di atas)

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

    • ProgramFilesDir = NITA_WORM was here.exe

Untuk mengelabui user, VBTroj.NYH juga akan membuat menu palsu (icon Folder) pada menu utama “send to” setiap kali user melakukan klik kanan pada suatu file yakni “Send to / My Picture dan Image”, untuk melakukan hal ini ia akan membuat file virus di direktori : (lihat gambar 3 di atas)

  • C:\Documents and Settings\%user%\SendTo

    • Image.xe

    • My Picture.exe

    • Send to.exe

Membuat file diplikat dan media penyebaran

Sebagai tujuan akhir dari VBTroj.NYH ini adalah membuat file duplikat disetiap folder/subfolder termasuk di media Flash Disk dengan ciri-ciri:

  • Menggunakan icon Folder

  • Ukuran 108 KB

  • Ekstensi EXE

  • Type File “Application”

Membuat duplikati di media penyimpanan “Flash Disk” adalah salah satu upaya yang akan di lakukan oleh VBTroj.NYH untuk menyebarkan dirinya.

Cara membersihkan VBTroj.NYH

  1. Putuskan hubungan komputer yang akan dibersihkan dari LAN

  2. Matikan “system restore” selama proses pembersihan.

  3. Matikan proses virus yang mempunyai icon folder dengan menggunakan tools pengganti task manager seperi tools Ice sword. Silahkan download tools tersebut di alamat berikut: (lihat gambar 9)

http://202.38.64.10/%7Ejfpan/download/IceSword120_en.zip


  1. Hapus registry yang sudah di buat oleh virus. Untuk mempercepat proses penghapusan salin script dibawah ini pada program notepad kemudian simpan dengan nama “repair.vbs” kemudian jalankan file tersebut (klik 2x file repair.vbs)

------- awal script -------

Dim oWSH: Set oWSH = CreateObject("WScript.Shell")

on error resume Next

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command\","""%1"" /S"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\loader")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\loader")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSaveSettings")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Nofind")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title")

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\FriendlyTypeName","C:\Windows\System32\setupapi.dll,-2000"

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VIGen32.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VSafeRun.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMD.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dxdiag.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Notepad.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProMo.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit32.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VB6.EXE\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2HIJACKFREE.EXE\")

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir","C:\Program Files"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\Info Tip","prop:FIleDescription;Company;FileVersion;Create;Size"

oWSH.RegDelete("HKEY_CLASSES_ROOT\sysfile")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\sysfile")

oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Desktop\CursorBlinkRate","530"

------- akhir script -------

  1. Hapus file duplikat yang dibuat oleh VBTroj.NYH termasuk ke media Flash Disk. Untuk mempercepat proses mencarian sebaiknya gunakan fungsi “Search windows”. Jangan sampai terjadi kesalahan dalam penghapusan file duplikat tersebut, hapus file yang mempunyai ciri-ciri:

    • Menggunakan icon folder

    • Ukuran 108 KB

    • Type File “Application”

    • Ekstensi EXE

  1. Untuk Pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus Norman Virus Control yang sudah dapat mendeteksi dan membasmi virus ini. Jika anda menggunakan antivirus lain, silahkan gunakan removal tools Noman Malware Cleaner (Gratis).

Silahkan download antivirus Norman Virus Control trial di alamat berikut :

http://www.norman.com/Download/Trial_versions/

Silahkan download removal tools Norman Virus Control di alamat berikut :

http://download.norman.no/public/Norman_Malware_Cleaner.exe



Diposting oleh di
Label:

1 komentar:

Langganan: Posting Komentar (Atom)