Giliran Donal Bebek yang menyerang komputer Indonesia
File Induk
Pada saat virus ini aktif ia akan membuat sejumlah file yang akan dijalankan pertama kali pada saat komputer dinyalakan serta membuat file autorun.inf agar virus tersebut dapat aktif secara otomatis setiap kali user akses folder. Berikut beberapa file induk yang akan dibuat oleh VBWorm.QXE
-
C:\Windows\Script.exe
-
C:\Windows\LSASS.exe
-
C:\Documents and Settings\%user%\autorun.inf
-
C:\Documents and Settings\%user%\bulubebek.ini
-
C:\bulubebek.ini
-
c:\autorun.inf
Auto start registry
Untuk memastikan agar file tersebut dapat dijalankan, ia akan membuat string pada registry berikut:
-
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
-
Shell = explorer.exe script.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
-
Shell = explorer.exe script.exe
-
Blok Fungsi Windows
Sebagai bentuk pertahanan ia akan mencoba untuk blok beberapa fungsi Windows seperti Task Manager, Folder Option atau CMD. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\HideFileExt
- CheckedValue=2
- DefaultValue = 2
- UncheckedValue = 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
- CheckedValue= 0
- DefaultValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
- CheckedValue= 2
- DefaultValue = 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPath
- CheckedValue= 0
- DefaultValue = 0
- UncheckedValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPathAddress
- CheckedValue= 0
- DefaultValue = 0
- UncheckedValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden
- CheckedValue= 2
- DefaultValue = 2
- UncheckedValue = 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
- CheckedValue= 1
- DefaultValue = 1
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden
- CheckedValue= 0
- DefaultValue = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFolderOptions
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- Hidden = 2
- HideFileExt = 1
- ShowSuperHidden = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
-
AutoRun = exit
HKEY_CURRENT_USER\Software\Microsoft\Command Processor
-
AutoRun = exit
Ia juga akan mencoba blok eksekusi file “Microsoft Visual Studio Spy Debugging Tools” yang mempunyai nama file SPYXX.exe dengan menampilkan pesan berikut saat file tersebut di eksekusi dengan terlebih dahulu membuat string pada registry berikut : (lihat gambar 3)
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPYXX.EXE
-
debugger = TAI BEBEK
-
Penyebaran otomatis
Hidden folder dan membuat duplikat folder
Tidak seperti virus lain yang jahat menginjeksi atau menghancurkan file komputer korbannya, pembuat Bulu Bebek ini kelihatannya tidak memiliki niat jahat menghancurkan data komputer korbannya. Bulubebek akan mencoba untuk menyembunyikan folder/subfolder pada flash disk, untuk mengelabui user ia akan membuat file duplikat disetiap folder/subfolder sesuai dengan nama older/subfolder tersebut. File duplikat ini mempunyai ciri-ciri : (lihat gambar 5)
-
Menggunakan icon Folder
-
Ukuran file 53 KB
-
Ekstensi EXE
-
Type File “Application
Membersihkan virus Bulubebek
-
Sebaiknya putuskan komputer yang akan dibersihkan dari jaringan (jika terhubung ke LAN)
-
Disable “System Restore” untuk sementara selama proses pembersihan berlangsung (jika menggunakan Windows ME/XP)
-
Matikan proses virus yang sedang aktif di memori, untuk mematikan proses virus ini gunakan tools penggganti taks manager seperti procexp, kemudian matikan proses virus yang mempunayi icon “Folder”.
-
Repair registry Windows yang sudah di ubah oleh virus. Untuk mempercepat proses tersebut salin script dibawah ini pada program notepad kemdian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:
-
Klik kanan repair.inf
-
Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Command Processor, AutoRun,0,
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue, 0x00010001,2
HKCU, Software\Microsoft\Command Processor, AutoRun,0,
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAYXX.exe
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\HideFileExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPath
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPathAddress
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
Jika Folder Option belum muncul sebaiknya LogOff komputer terlebih dahulu kemudian tampilkan file yang tersebunyi.
Setelah file duplikat ditemukan, hapus file yang mempunyai ciri-ciri : (lihat gambar 8)
-
Menggunakan icon Folder
-
Ukuran file 53 KB
-
Ekstensi EXE
-
Type File “Application
-
Tampilkan kembali file/folder pada Flash Disk yang sudah disembunyikan. Untuk menampilkan file yang disembunyikan anda dapat menggunakan bebarapa tools alternatif seperti Batch File Utility atau dengan menggunakan perintah ATTRIB
Berikut cara menampilkan file/folder yang disembunyikan dengan menggunakan ATTRIB (lihat gambar 9)
-
Klik “Start”
-
Klik “Run”
-
Ketik “CMD”, kemudian tekan tombol “Enter”
-
Pindahkan posisi kursor ke drive Flash Disk
-
Kemudian ketik perintah ATTRIB –s –h –r /s /d kemudian tekan tombol “enter”
Postingan
Tidak ada komentar:
Posting Komentar