Virus Lokal yang memiliki backup msvbvm60.dll
Pertempuran pembuat virus dengan antivirus ini ibarat Tom and Jerry, setiap kali pembuat virus mengeluarkan satu varian baru, pembuat antivirus mengeluarkan cara membasmi virus tersebut dan cara mencegahnya dan sebaliknya setiap kali pembuat antivirus mengeluarkan cara untuk menghambat penyebaran virus, pembuat virus selalu menemukan cara lain untuk menyebarkannya. Hal ini juga terjadi pada penyebaran virus lokal yang karena mayoritas dibuat menggunakan Visual Basic (VB), maka banyak pengguna komputer yang menonaktifkan MSVBVM60.dll yang merupakan file yang dibutuhkan oleh semua program VB (termasuk virus) untuk dapat aktif di komputer. Tetapi lihat virus yang satu ini, sekalipun anda sudah mendhapus MSVBVM60.dll dari komputer anda dan secara teori virus VB tidak akan mampu menginfeksi komputer anda, virus ini memiliki backup MSVBVM60.dll yang ditempatkan di direktori lain sehingga tetap dapat menginfeksi komputer anda.
FreE_MiNe ini dibuat dengan menggunakan program bahasa Visual Basic tanpa di kompresi dengan ukuran 68 KB, file ini mempunyai ekstensi EXE dengan type file “Application”.
Jika file tersebut dijalankan, ia akan membuat file induk dibawah ini yang akan dijalankan secara otomatis setiap kali komputer di nyalakan/restart:
- C:\FreE_MiNe.exe (semua drive)
- C:\WINDOWS\system32\LoLOxz
o smss.exe
o msvbvm60.dll
File msvbvm60.dll yang dijalankan dari direktori C:\Windows\System32\LoLOxz\ di atas dimaksudkan sebagai backup untuk mengantisipasi kalau komputer korbannya memblok MSVBVM60.dll (MSVBVM60 = Microsoft Visual Basic Virtual Machine versi 6.0) yang merupakan syarat mutlak untuk menjalankan aplikasi Visual Basic di OS Microsoft (termasuk virus). Jadi sekalipun komputer korban berusaha mencegah infeksi virus VB dengan memblok msvbvm60.dll dari direktori C:\Windows\System32, virus ini tetap akan bisa aktif karena memiliki backup msvbvm60.dll.
Untuk memastikan agar file virus dijalankakn secara otomatis, FreE_MiNe akan membuat string pada registry berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- shell = explorer.exe C:\WINDOWS\system32\LoLOxz\smss.exe
- system = C:\WINDOWS\system32\LoLOxz\smss.exe
- userinit = userinit,C:\WINDOWS\system32\LoLOxz\smss.exe
Untuk mengelabui user, pada waktu yang telah ditentukan FreE_MiNe ini akan menghapus string C:\WINDOWS\system32\LoLOxz\smss.exe untuk kemudian akan membuatnya lagi sehingga user beranggapan bahwa virus ini tidak akan membuat string pada registry tersebut.
Untuk memperlancar aksinya, FreE_MiNe juga akan mencoba blok beberapa fungsi Windows tetapi virus ini hanya akan blok fungsi “Find/Search dan CMD serta Folder Option” saja.
Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:
HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced
- HideFileExt
- ShowSuperHidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFind = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD =1
Walaupun virus ini tidak akan aktif pada mode “safe mode with command prompt” tetapi virus ini akan mencoba untuk blok akses ke mode tersebut dengan cara blok file “cmd.exe”.
Pesan dari sang pembuat virus
Pembuat virus juga akan meninggalkan pesan yang di simpan pada body virus tersebut, berikut pesan yang akan disampailan oleh sang VM
FreE_MiNe From Picture Village
Pesan dari Dunia lain
Sunyinya malam yang kian larut
Bagaikan awan putih dilangit
Menambah sesak dadaku yang menahan nafas
Nafas rindu, nafas Cinta dan nafas sepi
Tiap waktu dan tiap saat tak pernah berhenti
Seperti juga darahku yang selalu
Setia pada tubuh
Seperti juga keinginanku
yang semakin ingin ku jangkau
tetapi semua itu NIHIL
Picture Worms Vill
Messange me,, Attention Please ..
Ne Buat temen
temen New Bie TI
Tenang Ulet Ne ga berbahaya buat your PC.
Yang Penting lo ga Macem
Kalo lo mow kasar ntar q juga bisa..wee
Membuat duplikat File dan menyembunyikan MS.Word
Sebagai tujuan akhir dari petualangannya, ia akan membuat duplikat file di setiap folder/subfolder yang terdapat file MS.Word dengan ukuran file sekitar 68 KB dengan ekstensi EXE sesuai dengan nama file asli dan untuk mengelabui user ia akan menyamarkan type file dari “application” menjadi “Microsoft Word Document” sehingga user beranggapan bahwa file tersebut adalah file asli. Jika file tersebut dijalankan maka secara otomatis akan mengaktifkan dirinya sedangkan isi dari file asli tersebut tidak akan dapat di buka. Lalu kemana file aslinya apakah dihapus? Kelihatannya pembuat virus ini memang tidak beritikad merusak / menghancurkan file komputer korbannya, jadi file asli kita tidak dihapus tetapi disembunyikan di folder yang sama.
Untuk merubah type dari file duplikat tersebut ia akan merubah string pada registry berikut : (lihat gambar 3)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
Selain itu ia juga akan merubah string infotip dan tileinfo dari file exe pada registry berikut :
HKEY_CLASSES_ROOT\exefile
- infotip = prop:FileDescription;Size
- TileInfo = prop:FileDescription;Size
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
- infotip = prop:FileDescription;Size
Agar ia dapat aktif secara otomatis pada saat user mengakses Drive atau Flash Disk, FreE_MiNe akan memanfaatkan fitur autorun Windows dengan membuat file autorun.inf di setiap root drive seperti drive C:\ atau D:\ serta pada Flash Disk. File autorun.inf ini berisi script untuk menjalankan file FreE_Mine.exe.
FreE_MiNe juga akan menambahkan script @echo off pada file C:\autoexec.bat dengan tujuan supaya komputer tidak menampilkan pesan pada layar.
Media Penyebaran
Untuk menyebarkan dirinya FreE_MiNe memanfaatkan media Flash Disk dengan membuat file berikut:
- Autorun.inf (berisi script untuk menjalankan file FreE_MiNe.exe) secara otomatis saat user akses Flash Disk.
- FreE_MiNe.exe
Selain itu ia juga akan menyembunyikan file MS.Word disetiap folder/subfolder dan untuk mengelabui user ia akan membuat duplikat disetiap folder/subfolder yang terdapat file MS.Word sesuai dengan nama file yang disembunyikan.
Bagaimana cara membasmi FreE_MiNe
- Nonaktifkan “System Restore” selama proses pembersihan
- Matikan proses virus yang aktif di memori. Gunakan tools “Security task Manager” untuk mematikan proses virus tersebut. Matikan proses virus yang mempunyai icon MS.Word dengan cara : (lihat gambar 8 dan 9)
- Pilih proses virus yang akan di matikan
- Klik kanan pada proses tersebut
- Pilih “Remove”
- Pada layar “Remove”, pilih opsi “Move file to quarantine” agar file langsung di hapus.
- Klik tombol “Ok”
Security Task Manager dapat di download dari :
http://www.neuber.com/taskmanager/download.html
- Fix registry yang sudah diubah atau dibuat oleh virus. Untuk mempercepat proses perbaikan registry ini salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, userinit,0, "userinit.exe,"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, system,0, ""
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x00010001,255
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x00010001,255
HKLM, SOFTWARE\Classes\exefile,,,"Application"
HKLM, SOFTWARE\Classes\exefile,InfoTip,0,"prop:FileDescription;Company;FileVersion;Create;Size"
HKLM, SOFTWARE\Classes\exefile,TileInfo,0,"prop:FileDescription;Company;FileVersion;Create;Size"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD
kemudian cari dan hapus file yang mempunyai ciri-ciri :
- Icon MS.Word
- Ukuran 68 KB
- Type File “Application”
Anda juga dapat menggunakan Norman Malware Cleaner untuk membasmi virus Freemine di komputer anda yang dapat di download secara gratis dari http://download.norman.no/public/Norman_Malware_Cleaner.exe
- Hapus juga file “Autorun.inf” disemua drive dan file C:\msvbvm60.dll”
- Hapus script @echo off pada file C:\Autoexec.bat, caranya:
- Klik kanan file C:\Autoexec.bat
- Klik menu “Edit”
- Hapus script @echo Off
- Klik menu “File”
- Klik “save”
Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya install antivirus yang up-to-date dan dapat mendeteksi dan mengenali virus ini.
Postingan
Tidak ada komentar:
Posting Komentar