Cara Hapus Virus 81u3f4nt45y (SURABAYA)

W32/VBWorm.MYE [81u3f4nt45y] 22 MAret 2007

Fantasi Biru merasuki komputer Indonesia

81u3f4nt45y - 24.01.2007 – Surabaya

Surabaya in my birthday

Don't kill me, i'm just send message from your computer

Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti

Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku

Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah

lamunan dalam sesal

Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0

Setelah virus Banjir menyebar dan melakukan aksi harakiri pada data komputer korbannya, yang secara tidak langsung menghambat penyebaran dirinya. Ada satu virus yang cara berpikirnya terbalik dibandingkan dengan virus Banjir, virus ini dapat dikatakan tidak jahat dan aksi yang dilakukannya “hanya” menyembunyikan file / folder di komputer yang menjadi korbannya dan membuat duplikat sebagai dirinya. Mungkin dampak aksi ini agak berbahaya jika korbannya memiliki penyakit jantung, melihat semua data di komputernya hilang dan terkejut tentunya “agak-agak” berbahaya bagi penderita jantung. Tetapi tentunya ini tidak bedanya dengan menonton film “Lewat Tengah Malam” atau “Terowongan Casablanca”. Padahal data komputer yang menjadi korban Blue Fantasy ini hanya di hidden dan dapat dikembalikan.

Jika virus Banjir (W32/PoisonIvy.NQ) menginfeksi komputer korbannya dan melakukan aksi bumi hangus pada data komputer korbannya, satu bulan belakangan ini muncul virus baru yang penyebarannya cukup merata / meluas di Indonesia, tetapi kabar baiknya, virus ini tidak menghancurkan data korbannya tetapi menyembunyikan data di komputer yang menjadi korbannya. Virus dengan ukuran 40 KB ini akan mengelabui korbannya dengan memalsukan dirinya sebagai icon folder dan memiliki kemampuan autorun (berjalan otomatis) menginfeksi komputer korban jika anda mencolokkan UFD (USB Flash Disk) yang sudah terinfeksi virus ini. Ciri khas virus ini adalah menampilkan pesan dengan header 81u3f4nt45y – 24.01.2007.

Setiap kali komputer login Blue Fantasy yang “mengaku” dari Surabaya ini akan menampilkan pesan (lihat gambar 1), selain itu ia juga akan mencoba untuk menyembunyikan file/folder yang ada di Flash Disk atau disetiap Drive dan untuk mengelabui user ia akan membuat file duplikat sesuai dengan folder yang disembunyikan.

Gambar 1, Pesan yang ditampilkan oleh VBWorm.MYE

Dengan update terakhir Norman Virus Control sudah dapat mengenali virus ini sebagai VBWorm.MYE (lihat gambar 2)

Gambar 2, Norman Virus Control mengenali Blue Fantasy sebagai W32/VBWorm.MYE

Jika VBworm.MYE sudah aktif pada komputer target ia akan membuat beberapa file yang akan dijalankan setiap kali jika komputer dinyalakan diantaranya:

• C:\Documents and Settings\%user%\Start Menu\Programs\Startup

  • Adobe Online.com

  • Adobe update.com

• C:\Documents and Settings\%user%\Autoexec.bat

• %Drive%:> autorun.inf

• %Drive%:> Thumbs.com

• %Drive%:> thumbs .db

Catatan: %Drive% ini menunjukan lokasi Drive [contoh Drive C:\ atau D:\]

Tidak Blok Fungsi Windows

Dilihat dari aksi yang dilakukan, VBWorm,MYE tidaklah terlalu membahayakan karena hanya sebatas menyembunyikan file/folder saja tidak seperti virus lain yang mencoba untuk menghapus file. Disamping itu untuk varian awalnya tidak akan melakukan blok terhadap fungsi Windows seperti Regedit, msconfig atau task manager serta beberapa tools security lainnya [HijackThis/killbox atau prosesxp]. Secara tidak langsung, virus ini menyebar meluas karena aksinya yang tidak terlalu jahat membuat virus ini “kurang” menjadi prioritas untuk diatasi dibandingkan dengan virus lain yang aksinya jahat seperti menghancurkan data atau memblok login.

Walaupun demikian VBWorm.MYE ini akan tetap mencoba untuk bermain-main dengan folder option dengan “selalu” mengaktifkan option “Do Not Show hidden files and folders” dan “Hide Extension for known files types” hal ini dimaksudkan agar user kesulitan untuk menampilkan file/folder yang sudah disembunyikan dan mempersulit user untuk mengetahui ekstensi dari file tersebut. Untuk melakukan hal tersebut ia akan merubah string pada registry berikut :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt

  • UncheckedValue = 1

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

  • CheckedValue = 0

  • DefaultValue = 2

Hati-hati dengan file berbentuk folder berukuran 40 KB

Seperti yang sudah dijelaskan sebelumnya bahwa VBWorm.MYE akan menyembunyikan file/folder dan mencoba untuk membuat file duplikat sesui dengan folder yang disembunyikan dimana file duplikat tersebut akan di buat disetiap folder dan subfolder dengan ciri-ciri:

• Menggunakan icon “Folder”

• Ukuran 40 KB

• Ekstensi .SCR

• Type file “File Folder”

Agar file duplikat tersebut tampak seolah-olah berupa folder maka VBWorm.MYE akan merubah type file duplikat tersebut dari “Screen saver” menjadi “File Folder” selain itu VBWorm.MYE juga akan menyembunyikan ekstensi dari file duplikat tersebut sehingga semakin sempurnalah penyeramaran yang dilakukan oleh virus tersebut dengan demikian user akan mudah terjebak untuk menjalankan file tersebut, jika anda selalu ingat bahwa suatu folder (ditektori) TIDAK akan mempunyai ukuran semakin memperkecil peluang virus tersebut untuk menyebar dan memperkecil kemungkinan komputer anda terinfeksi virus ini. Untuk melakukan hal tersebut diatas ia akan membuat string pada registry berikut : (lihat gambar 3)

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile

  • Default = File Folder

  • InfoTip

  • NeverShowExt

  • TileInfo

Gambar 3, VBWorm.MYE merubah type file bervirus “File Folder”

Menyebar secara Otomatis melalui Flash Disk

Sebagai media penyebarannya, VBWorm.MYE masih menggunakan Flash Disk dengan menyembunyikan file/folder yang ada dalam Flash Disk tersebut dan membuat file duplikat sesuai dengan file/folder yang disembunyikan dengan ukuran 40 KB dimana file tersebut akan menyamarkan dirinya dengan menggunakan icon “Folder”, selain itu VBWorm.MYE juga akan membuat 3 buah file utama sebagai file induk yang akan di aktifkan setiap kali user mencoba untuk akses Flash Disk yakni Autorun.inf, Thumbs.com dan thumbs .db, file Thumbs .db ini terdeteksi oleh Norman Virus Contol sebagai VBTroj.dam.

Agar virus ini dapat aktif secara otomatis setiap kali user akses Flash Disk tersebut tanpa harus menjalankan file yang terinfeksi secara manual, VBWorm.MYE akan membuat file Autorun.inf (lihat gambar 4) dimana script ini berisi perintah untuk menjalankan file Thumbs.com dan sebagai pendukung agar dirinya dapat aktif VBWorm.MYE juga akan membuat file Thumbs .db di direktori yang sama. Ke tiga file ini juga akan dibuat disetiap Drive sehingga setiap kali user akses terhadap drive tersebut maka secara tidak langsung akan mengaktifkan kembali VBWorm.MYE.

Gambar 4, Contoh script dari file Autorun.inf

VBWorm.MYE juga akan menampilkan pesan seperti gambar 1 setiap kali komputer login dengan terlebih dahulu melakukan perubahan pada registri berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

• LegalNoticeCaption = 81u3f4nt45y - 24.01.2007 – Surabaya

• LegalNoticeText = Surabaya in my birthday. Don't kill me, i'm just send message from your computer. Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti. Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah lamunan dalam sesal Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0.

Membuat File Duplikat

Sebagai penutup ia akan membuat file duplikat disetiap folder dan sub folder dengan terlebih dahulu menyembunyikan file/folder asli yang dijumpainya. File duplikat tersebut mempunyai ciri-ciri : (lihat gambar 5)

• Menggunakan icon “Folder”

• Ukuran 40 KB

• Ekstensi .SCR

• Type file “File Folder”

Gambar 5, File duplikat yang dibuat oleh VBWorm.MYE

Cara mengatasi VbWorm.MYE

1. Putuskan hubungan komputer dari jaringan.

2. Usahakan untuk memberishkan virus dari Safe Mode.

3. Jika menggunakan Windows ME/XP Disable “System restore” untuk sementara selama proses pembersihan

[http://www.norman.com/Virus/Articles/Articles_previous_years/25782/en-us]

4. Matikan proses virus yang aktif di memori, untuk mematikan proses virus tersebut anda dapat menggunakan tools CurrProcess (lihat gambar 6), tools ini dapat didownload di alamat http://www.nirsoft.net/utils/cprocess.html, kemudian matikan proses yang mempunyai nama :

1. Adobe Online.com

2. Adobe update.com

Gambar 6, Mematikan proses virus yang sedang aktif di memori

5. Hapus string registri yang sudah dibuat oleh virus, untuk mempercepat proses penghapusan registry tersebut salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara:

· Klik kanan repair.inf

· Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oye - Blue Fantasy

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0

HKLM, SOFTWARE\Classes\scrfile,,,"Screen Saver"

[del]

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaptio

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText

HKLM, SOFTWARE\Classes\scrfile, InfoTip

HKLM, SOFTWARE\Classes\scrfile, NeverShowExt

HKLM, SOFTWARE\Classes\scrfile, TileInfo

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

6. Hapus file duplikat yang sudah dibuat oleh virus dengan ciri-ciri:

· Menggunakan icon “Folder”

· Ukuran 40 KB

· Ekstensi SCR atau .Com

Catatan :

khusus file dengan ekstensi .Com hapus file berikut:

1. Adobe Online.com

2. Adobe update.com

3. Thumbs.com

Sebelum menghapus file tersebut sebaiknya anda tampilkan semua file/folder yang disembunyikan oleh VbWorm dengan memilih option “Show hidden files and folders” dan menghilangkan check list pada option “Hide extensions for known file types” dan “Hide protected operating system files (Recommended). Lihat gambar 7

Gambar 7, Menampilkan file/folder yang disembunyikan

Untuk mempercepat proses penghapusan file duplikat gunakan menu SEARCH WINDOWS dengan terlebih dahulu merubah setting berikut:

· All or part of the file name -à *.SCR

· What size is it? à Pilih Option “Specify size (in KB)

o At Most

o 41 KB

· More Advanced options

o Search system folder

o Search hidden files and folders

o Search subfolder

Hapus juga file berikut yang ada disetiap Drive

· Autorun.inf

· Thumbs .db

7. Tampilkan kembali file/folder yang sudah di sembunyikan oleh virus. Untuk menampilkan file folder yang disembunyikan oleh VbWorm.MYE anda dapat menggunakan perintah ATTRIB –s –h /s /d dengan memastikan posisi kursor berada di root masing-masing Drive yang file/foldernya akan ditampilkan. (lihat gambar 8)

Contoh:

C:\> ATTRIB –s –h /s /d

Menampilkan file/folder yang disembunyikan oleh VBWorm.MYE

8. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date dan sudah dapat mengenali virus ini dengan baik.