Kamis, 19 Februari 2009

Cara Membasmi Virus W32/VBWorm.QTT aka Koplaxz

W32/VBWorm.QTT aka Koplaxz
Mengacaukan Icon dan type file MS Office

Para pengguna komputer Indonesia, khususnya yang memiliki banyak file MS Office, harap berhati-hati karena saat ini sedang menyebar virus lokal dengan target file MS Office dengan cara mengganti icon file dan type file. Virus ini cukup merepotkan (setidaknya menyebabkan jantung anda dag dig dug) tetapi kabar baiknya pembuat virus ini tidak sejahat KEspo sehingga tidak menginjeksi atau menghancurkan file MS Office komputer korbannya.

Virus ini dibuat dengan menggunakan Visual Basic, dengan ukuran sekitar 31 KB. Untuk mengelabui user ia akan menggunakan icon “Windows Media Player Classic” dengan type file sebagai “Application”.

Ciri-ciri Koplaxz

  1. Merubah icon Windows dari icon “folder” menjadi icon “Control Panel “ serta merubah isi dari folder Windows tersebut menjadi isi yang ada pada menu “Control Panel”, perhatikan gambar 3 di bawah ini:

  2. Merubah Type File serta icon shortcut aplikasi MS.Office
  3. Merubah nama pemilik komputer menjadi KUDO_SHOP
  4. Merubah “start page” dan “search page” Internet Explorer
  5. Menampilkan pesan berikut saat menjalankan fungsi Windows

1. Search file/folder, akan menampilkan pesan HayOooO,,, mau Nyari Apaan Luuwh???Nyari WesWeWhH lah ??? Gak Boleh tau DOSA
2. Uncheck opsi Hide file extentions for known file types akan menampilkan pesan AduH,,,Lo jangan sok Tau dwEEh,,Luwh_Tuwh SombOng bGtz DasAr KopLaXz kurang KerJaan!!!!
3. Uncheck opsi Hide protected operating system file (recommended) akan menampilkan pesan Hayooooo,,,Mo Ngapain Sih Loo ??? Ga Sopan Tau ,,Dasar KOPLAXZ !!!!biLangiN KeManAjer KUDO nIh Luwh_Tuwh SombOng bGtz PeCat Aja Si_JonGoz!!!!

File induk Koplaxz

Pada saat file tersebut dijalankan ia akan membuat banyak file yang salah satunya akan dijalankan pada saat komputer di aktifkan, berikut beberapa file induk yang akan dibuat oleh Koplaxz:

  • C:\Documents and Settings\%user%\Start Menu\Programs\Startup

    • Winhelp.exe

  • C:\Documents and Settings\%user%\Start Menu\Programs

    • Hellloo_Gheea.exe

  • C:\Documents and Settings\%user%\My Documents

    • Jangan_Dihapus_Apalagi_Dibuka.exe

  • C:\Documents and Settings\%user%\Start Menu

    • Koplaxz Kudo Shop.exe

  • C:\Documents and Settings\%user%\Start Menu\Programs

    • Hellloo_Gheea..exe

  • C:\Windows

    • TourWindowsXP.exe

    • svchost.exe

    • Kudo.com

    • command32.pif

    • KopLaXz@KudoShop.exe

  • C:\F4HM1_KudO_M4n4j3r.exe

  • C:\G0d3G.exe

  • C:\Ghe@_i_miss_u.3gp.exe (All Drive)

  • C:\K0pL4xZ.exe

  • c:\K 0 P L 4 X Z.exe

  • C:\KopLaXz@KudoShoP.exe (All Drive)

  • C:\R0n13G4N_G3Ndut_S3xY.exe

  • C:\R3eve5.exe

  • C:\K0pL4xZ@KudoShop (All Drive)

    • folder.htt

    • msvbvm60.dll

    • K0pL4xZ.exe

  • C:\K0pl4xZ@KudoShop\K0pL4xZ.exe

  • C:\[spasi] WINDOWS\System_FriendZ_KopLaXz32

    • F4HM1_KudO_M4n4j3r.exe

    • G0d3G.exe

    • K 0 P L 4 X Z.exe

    • R0n13G4N_G3Ndut_S3xY

    • R3eve5.exe

  • C:\ [spasi] Windows\Zx4Lp0K.html

  • c:\WIndows\system32\smkn2majalengka.scr

  • C:\Windows\system32\PCMAV.exe

  • C:\Windows\system32\Asholest.exe

  • C:\Documents and Settings\%user%\SendTo\KoPLaXzKudo(e-mail).exe

  • C:\Autorun.inf (semua Drive)

  • C:\Desktop.ini (semua Drive)

  • C:\A Letter 4 Ghe@.txt (semua Drive)

  • C:\K0pL4xZ@kUdO_5h0P.txt

  • C:\Documents and Settings\All Users\Desktop\A Letter 4 Ghe@.inf

  • C:\WIndows\desktop.ini (file untuk merubah icon windows menjadi icon control panel)

Autostart Registry

Untuk memastikan agar dirinya dapat aktif secara otomatis setiap kali komputer dinyalakan ia akan membuat string pada registrt berikut:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • System = C:\WINDOWS\System32\PCMAV.exe

Disable Fungsi Windows

Seperti yang banyak dilakukan oleh virus lokal lainnya, K0pL4xZ juga akan mencoba untuk melakukan blok fungsi windows seperti Regedit/msconfig/task manager/system restore atau Folder Option serta tools security sebagai bentuk pertahanan dirinya. Untuk blok fungsi Windows tersebut ia akan membuat string pada registry berikut:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • NoFolderOptions = 1

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

    • DisableCMD

    • DisableRegistryTools

    • DisableTaskMgr

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

    • HIdden = 1

    • HideFileExt = 1

    • SuperHidden = 0

    • ShowSuperHidden = 1

  • HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System

    • DisableCMD = 2

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System

    • DisableRegistryTools

    • DisableTaskMgr

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

    • DisableConfig

    • DisableSR

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop

    • NoDeletingComponents = 1

    • NoEditingComponents = 1

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt

    • UncheckedValue = 1

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

    • UncheckedValue = 0

K0pL4xZ juga akan mencoba untuk merubah pesan jika user mencoba untuk menjalankan fungsi Search Windows atau uncheck opsi “Hide file extentions for known file types” dan “Hide protected operating system file (recommended)”, lihat gambar 8, 9 dan 10 di atas.

Untuk melakukan hal tersebut ia akan merubah string pada registry berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt

    • UncheckedValue = 1

    • WarningIfNotDefault = AduH,,,Lo jangan sok Tau dwEEh,,Luwh_Tuwh SombOng bGtz DasAr KopLaXz kurang KerJaan!!!!

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

    • UncheckedValue = 0

    • WarningIfNotDefault = Hayooooo,,,Mo Ngapain Sih Loo ??? Ga Sopan Tau ,,Dasar KOPLAXZ !!!!biLangiN KeManAjer KUDO nIh Luwh_Tuwh SombOng bGtz PeCat Aja Si_JonGoz!!!!

Menguasai Internet Explorer

Untuk menunjukan eksitensinya VBorm.QTT juga akan merubah judul Internet Explorer menjadi “KOPLAXZ_KUDO_SHOP_LUUPH_CLASS_MILD” serta merubah halaman utama setiap kali user membuka program “Internet Explorer” dengan menampilkan pesan dari sang pembuat virus serta merubah “Search Page” dengan terlebih dahulu merubah string pada registry berikut : (lihat gambar 7 di atas)

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

- Window Title = KOPLAXZ_KUDO_SHOP_LUUPH_CLASS_MILD

- Start Page = C:\ WINDOWS\Zx4Lp0K.htm

- Search Page = http://profiles.friendster.com/kopl4xzcyb3ruch1h4

Menguasai komputer korban

Selain merubah judul “Internet Explorer” K0pL4xZ juga akan merubah nama pemilik Windows menjadi KUDO_SHOP. Untuk melakukan hal tersebut ia membuat string pada registry berikut : (lihat gmbar 6)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

- RegisteredOrganization = 4r1_KopLaxZ

- RegisteredOwner = KUDO_SHOP

Pesan dari K0pL4xZ

Ibarat kata pepatah (orang IT) “Cinta di tolak, Virus bertindak”, kelihatannya pembuat virus ini sedang patah hati dan berumur pendek (karena suka merokok), karena tak ketinggalan K0pL4xZ juga akan meninggalkan pesan untuk sang kekasih. Pesan ini akan di simpan dalam sebah file yang di dibuat di Root Drive (c:\ atau D:\) serta di “Flash Disk” dengan nama file “A Letter 4 Ghe@.txt” , “K0pL4xZ@kUdO_5h0P.txt” , “C:\[spasi] Windows\Zx4Lp0K.html”

Merubah icon dan type file MS.Office

K0pL4xZ akan membuat file Office seperti MS. Word/Ms.Excel/MS. Power Point/Ms.Access/txt file serta EXE File manjadi kacau dengan merubah icon serta type file walaupun sebenarnya file tersebut masih bisa di buka. (lihat gambar 4 dan 5 di atas)

Untuk melakukan hal tersebut, K0pL4xZ akan merubah beberapa string pada registry berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile

    • FriendlyTypeName = Catatan_KopLaxZ

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Word.Document.8

    • [default] = Application

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Word.Document.8\DefaultIcon

    • [default] = C:\WINDOWS\system32\cmd.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PowerPoint.Show.8

    • default = KopLaXz@KudoShop

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PowerPoint.Show.8\DefaultIcon

    • default = C:\WINDOWS\NOTEPAD.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.8

    • Default = KopLaXz@KudoShop

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.8\DefaultIcon

    • Default = C:\WINDOWS\regedit.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Access.Application.11

    • Default = KopLaXz@KudoShop

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Access.Application.11\DefaultIcon

    • C:\WINDOWS\KopLaXz@KudoShoP.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

    • FriendlyTypeName = 3GP File

Untuk merubah icon dan isi dari folder “Windows” tersebut, K0pL4xZ akan menanamkan file dengan nama “Desktop.ini” di direktori “C:\Windows”

Media Penyebaran (Flash Disk) dan memiliki copy backup MSVBVM60.dll

Untuk mempermudah penyebarannya ia akan menggunakan media “Flash Disk” dengan memanfaatkan fitur autorun Windows dengan cara membuat file autorun.inf, Desktop.ini dan Folder.htt sehingga virus ini akan langsung aktif ketika Flash Disk dihubungkan ke komputer atau saat user akses ke Flash Disk.

Jika diperhatikan lebih detail file [autorun.inf] akan menjalankan file KopLaXz@KudoShoP.exe. Sedangkan file [Desktop.ini] akan menjalankan file [Folder.htt] yang ada di direktori [%FlashDisk%:\>K0pL4xZ@KudoShop]. Folder.htt ini akan menjalankan file [%FlashDisk%:\> K0pL4xZ@KudoShop\K0pL4xZ.exe], agar file ini dapat dijalankan tanpa ketergantungan dengan file “msvbvm60.dll” yang ada di direktori [C:\Windows\system32] K0pL4xZ akan copy file msvbvm60.dll ke direktori [%FlashDisk%:\>K0pL4xZ@KudoShop] (lihat gambar 16, 17 dan 18 dibawah ini).

Selain itu K0pL4xZ juga akan membuat file [Ghe@_i_miss_u.3gp.exe] dan meninggalkan sebuah pesan yang dituangkan dalam sebuah file dengan nama [A Letter 4 Ghe@.txt].

Catatan:

%FlashDisk% adalah lokasi Flash Disk, contohnya drive [F:\]

Cara membasmi K0pL4xZ

  1. Putuskan komputer yang akan dibersihkan dari jaringan (LAN)

  2. Matikan "System Restore" selama proses pembersihan.

  3. Matikan proses virus yang aktif di memory. Gunakan tools KillVB untuk mematikan proses di memory.

Silahkan downlod tools tersebut di alamat berikut: (lihat gambar 18)

http://www.compactbyte.com/brontok/killvb.zip

  1. Fix registry yang sudah di ubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program “notepad” kemudian simpan dengan nama "Repair.inf". Jalankan file tersebut dengan cara:

- Klik kanan repair.inf

- Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Classes\exefile,,,application

HKCU, Software\Microsoft\Internet Explorer\Main, start page,0, "about:blank"

HKCU, Software\Microsoft\Internet Explorer\Main, Search Page,0, "about:blank"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner"

HKLM, SOFTWARE\Classes\txtfile, FriendlyTypeName,0, "@C:\Windows\system32\notepad.exe,-469"

HKLM, SOFTWARE\Classes\Word.Document.8,,,"Microsoft Word Document"

HKLM, SOFTWARE\Classes\Word.Document.8\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe,1"

HKLM, SOFTWARE\Classes\PowerPoint.Show.8,,, "Microsoft PowerPoint Presentation"

HKLM, SOFTWARE\Classes\PowerPoint.Show.8\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\pptico.exe,1"

HKLM, SOFTWARE\Classes\Excel.Sheet.8,,,"Microsoft Excel Worksheet"

HKLM, SOFTWARE\Classes\Excel.Sheet.8\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\xlicons.exe,1"

HKLM, SOFTWARE\Classes\Access.Application.11,,,"Microsoft Office Access Application"

HKLM, SOFTWARE\Classes\Access.Application.11\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\accicons.exe,1"

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt, 0x00010001,0

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden, 0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,WarningIfNotDefault,0,"@shell32.dll,-28964"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DIsablecmd

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableRegistryTools

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableTaskMgr

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, System

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop

HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell

HKCU, Software\Policies\Microsoft\Windows\System, DisableCMD

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, WarningIfNotDefault

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run, cintaku

HKLM, SOFTWARE\Classes\exefile, FriendlyTypeName

  1. Hapus file “C:\Windows\desktop.ini” (file yang berfungsi untuk merubah icon Windows menjadi icon Control Panel). Gunakan dos prompt untuk menghapus file tersebut.

  1. Cari dan hapus file induk virus di Hard Disk dan Flash Disk dengan terlebih dahulu menampilkan file yang tersembunyi. Untuk mempcepan pencarian gunakan fungsi “Search Windows”.

Kemudian hapus file induk virus yang mempunyai ciri-ciri:

    • Icon "Windows Media Player" clasic / 3GP Video Format

    • Ukuran 31 KB

    • Ekstensi EXE, PIF, COM dan SCR

    • Type file "Application"

Hapus juga file berikut

  • C:\Autorun.inf (setiap root drive: c:\ atau D:\)

  • C:\Desktop.ini (setiap root drive: c:\ atau D:\)

  • c:\A Letter 4 Ghe@.txt (setiap root drive: c:\ atau D:\)

  • C:\K0pL4xZ@kUdO_5h0P.txt (setiap root drive: c:\ atau D:\)

  • C:\K0pL4xZ@KudoShop (disetiap root drive dan Flash Disk)

  • C:\Documents and Settings\All Users\Desktop\A Letter 4 Ghe@.inf

  • C:\[spasi] WINDOWS

  • C:\[spasi] WIndows\Zx4Lp0K.html

  1. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan menggunakan Antivirus yang up-to-date seperti Norman Security Suite.

    Jika anda ingin mencoba Norman Security Suite, silahkan download di url

    http://www.norman.com/Download/Trial_versions/




Tidak ada komentar:

Posting Komentar