W32/KillAV [MyRose-MyHeart-B]

26 September 2006

Virus pembasmi antivirus

Adalah kewajiban kita untuk saling memaafkan, jika ada rekan kita khilaf (http://id.wikipedia.org/wiki/Khilaf). Tetapi khilaf yang sedang beredar di antero pengguna internet Indonesia (khususnya pengguna USB) tidak perlu dimaafkan, karena ini ia bukan khilaf, tetapi KillAV alias pembunuh antivirus.

Anda tentu masih ingat dengan virus VBWorm.NA atau biasa kita menyebutnya dengan istilah virus “Dago”, virus keluaran kota kembang [Bandung] yang ikut menyemarakan kancah pepeperangan di dunia cyber, walaupun tidak sepopuler rontokbro atau moonlight tapi virus ini patut diperhitungkan juga.

Untuk memperbaiki versi sebelumnya, kini VBWorm.NA sudah menelurkan varian teranyarnya, sebenarnya untuk varian terbaru ini tidaklah terlalu berbeda dengan varian pendahulunya, Norman mendeteksi varian baru tersebut dengan nama W32/KillAV (lihat gambar 1). Sesuai dengan namanya killav ia akan mencoba untuk membasmi program antivirus dengan cara menghapus file yang berada pada instalasi antivirus itu sendiri menggunakan perintah “del /f /q /s C:\%lokasi file instalasi antivirus\*.* >nul” sehingga antivirus tersebut tidak dapat berfungsi dengan baik. Hal ini sangat berbahaya karena tanpa perlindungan program antivirus yang memadai, komputer yang terhubung ke jaringan / internet sangat rentan terhadap ancaman sekuriti, terlebih kalau pengguna komputernya tidak sadar bahwa antivirus pelindung komputernya telah dilumpuhkan oleh preman (antivirus).

Gambar 1, Norman Virus Control mendeteksi varian baru VBWorm sebagai KillAV

Berikut beberapa ciri khas yang akan muncul jika suatu komputer terinfeksi KillAV:

• KillAV akan memuncul “kata-kata mutiara” setiap kali komputer booting

• Selalu menampilkan sebuah gambar “bunga mawar” ketika membuka program Internet Explorer (lihat gambar 2)

Gambar 2, KillAV merubah default “Start Page” Internet Explorer menjadi gambar mawar merah

• Menyisipkan setangkai “bunga Mawar” pada tabulasi “General” pada System Properties komputer yang terinfeksi.

• Program antivirus yang terinstall menjadi tidak berfungsi sebagaimana mestinya

Untuk mengelabui pengguna komputer, KillAV juga akan memanipulasi setiap file yang yang sudah terinfeksi dengan ciri-ciri :

• Menggunakan icon “Folder”

• Ukuran 57 KB

• Mempunyai ekstensi .EXE

• Type file “Application” (lihat gambar 3)

Gambar 3, Contoh File induk KillAV

Jika menjalankan file yang sudah terinfeksi KillAV, maka ia akan mencoba untuk membuat beberapa file induk yang akan dijalankan setiap kali komputer booting. KillAV masih dibuat dengan menggunakan Bahasa VB [Visual Basic]. Seperti kita ketahui, virus yang dibuat dengan VB relatif lebih mudah untuk dihentikan yakni dengan cara merubah nama file MSVBVM60.dll yang terletak pada direktori [C:\Windows\System32]. Eit... jangan senang dulu, rupanya pembuat KillAV sudah memikirkan matang-matang sebelum merelease versi keduanya dimana untuk preventif [jaga-jaga] agar KillAV dapat tetap aktif walaupun file MSVBVM60.dll tersebut di ubah / dihapus ia akan membuat file yang sama [msvbvm60.dll] pada direktori C:\WINDOWS\system32\5810, berikut beberapa file induk yang akan dibuat diantaranya:

• C:\Windows\EXPLORER.EXE

• C:\Windows.exe

• C:\WINDOWS\system32\5810

- 5810.exe

- Data.exe

- Data.zip

- Autoexec.bat

- Rose.jpg

- Rose.dll

- Msvbvm60.dll

• C:\New Folder.exe [di setiap drive]

• C:\rose.jpg

• C:\Program Files\WinRAR\data.exe

• C:\Private.zip [di setiap Drive], berisi file data.exe

• C:\Documents and Settings\%User%\MyDocuments\myrose.html

• C:\ Wndows\system

- Oeminfo.ini

- Oemlogo.bmp

• Rose.icon [UFD]

Agar file induk yang telah dibuat tersebut dapat aktif secara “autorun”, maka ia akan membuat beberapa string pada registry editor diantaranya:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- RsWin = C:\windows\system32\5810\lsass.exe /register

- WinUp = C:\windows\system32\5810\svchost.exe /register

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

- Shell = Explorer.exe ExpIorer.exe

- System = C:\windows\system32\5810\lsass.exe,

- Userinit = C:\windows\system32\userinit.exe,C:\windows\system32\5810\lsass.exe,

Dalam upaya untuk mempertahankan dirinya, KillAV akan mencoba untuk melakukan permblokiran terhadap beberapa fungsi Windows diantaranya:

• Disable Run

• Disable Search

• Disable file dengan extension .TXT

• Disable Registry Tools

• Disable Task Manager

• Disable msconfig

• Disable System Restore

• Disable CMD [Command.exe dan Command.com]

• Menyembunyikan beberapa menu pada Folder Option [menu Hidden File and Folder]

• Disable Tools Security

o HijackThis

o Procexp

o Poket KillBox.exe

Untuk melakukan pemblokan terhadap fungsi windows tersebut KillAV akan membuat string pada registry berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

o DisableCurrentUserRun

o NoFind

o NoRun

Harap anda berhati-hati, jangan sekali-kali mencoba menjalankan fungsi regedit/msconfig/task manager atau system restore karena akan mengaktifkan virus itu sendiri, untuk melakukan hal tersebut KillAV akan membuat string pada registry berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe

o Debugger = C:\windows\system32\5810\lsass.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntvdm.exe

o Debugger = C:\windows\system32\5810\lsass.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe

o Debugger = C:\windows\system32\5810\lsass.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe

o Debugger = C:\windows\system32\5810\lsass.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

o Debugger = C:\windows\system32\5810\lsass.exe

Seperti yang sudah dijelaskan sebelumnya bahwa KillAV juga akan menyembunyikan beberapa option dari “Folder option” [Hidden File and Folder], untuk melakukan hal tersebut KillAV akan merubah string pada registry berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

o Type = Empty

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt

o Type = Empty

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

o Type = Empty

Gambar 4, KillAV merubah option Hidden file and folders pada “Folder option”

Manipulasi “Start Page” Internet Explorer

Salah satu ciri khas KillAV adalah akan merubah “Start Page” Internet Explorer dengan merubah lokasi start page sebelumnya, yakni akan diganti menjadi alamat C:\Documents and Settings\Supervisor\My Documents\myrose.html serta menambah caption text ::Orange:: pada Internet Explorer, sehingga jika anda membuka program “Interet Explorer” maka akan tampil sebuah gambar bunga merah dengan latar belakang warna “orange”, untuk melakukan hal tersebut ia akan membut string pada registry berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

- start page = C:\docume~1\%user%\MyDocu~1\myrose.html

Jangan terkejut jika begitu komputer dinyalakan, Windows akan menampilkan sebuah layar yang berisi kata-kata mutiara, walaupun kata-kata mutiara tersebut bagus dan layak untuk di baca tapi tetap mengganggu juga. Untuk memunculkan kata-kata mutiara tersebut KillAv akan membuat string pada registry :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon

- LegalNoticeCaption = Kata Mutiara

- LegalNoticeText = %isi kata-kata mutiara%

KillAV juga akan menambahkan informasi pada Properties system Windows dengan menyisipkan sebuah mawar merah serta sebuah informasi yang berisi permintaan maaf si pembuat virus terhadap pemilik komputer yang terinfeksi, seperti yang terlihat pada gambar 5 dibawah ini

Gambar 5, Penambahan gambar mawar merah dan permintaan maaf pembuat KillAV

Membuat file duplikat dan menyembunyikan ext. File EXE

Jika komputer anda terinfeksi KillAV, ia akan menyembunyikan ekstensi dari file .EXE dengan tujuan supaya folder yang dipalsukan oleh file virus ini tidak mudah terdeteksi oleh pengguna komputer, sehingga anda tidak akan dapat menampilkan ekstensi tersebut walaupun anda sudah menghilangkan option “Hide extension for known file types” pada Folder Option, untuk melakukan hal tersebut, KillAV akan membuat string pada registry :

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

- NeverShowExt =1

Gambar 6, KillAV akan menyembunyikan ekstensi File EXE

Selain menyembunyikan ekstensi file EXE, KillAV juga akan membuat file duplikat disetiap folder sesuai dengan nama folder tersebut, dengan ciri-ciri :

• Icon “Folder”

• ukuran 57 KB

• Type file “Application”

Selain itu KillAV juga akan mencoba untuk menghapus file eksekusi [file untuk menjalankan program yang telah terinstall] dari setiap program/aplikasi yang telah terinstal di komputer tersebut sehingga program/aplikasi tersebut tidak dapat di jalankan, jika hal ini terjadi install ulang program/aplikasi adalah jalan yang terbaik untuk memulihkan kembali program/aplikasi tersebut, setelah KillAV berhasil menghapus file eksekusi dari program/aplikasi tersebut sebagai gantinya ia akan membuat file duplikat sesuai dengan file yang dihapus dengan ciri-ciri:

• Icon “Folder”

• ukuran 57 KB

• Type file “Application”

Dengan maksud untuk mengelabui pengguna komptuer, KillAV juga akan melakukan manipulasi terhadap direktori Windows dengan cara menyembunyikan folder [Windows] asli dan membuat file duplikat sesuai dengan nama folder yang disembunyikan tersebut [Windows], tetapi jangan terkecoh karena folder Windows buatan KillAV merupakan file virus jika dijalankan sama saja dengan menjalankan virus tersebut dan yang pasti folder tiruan tersebut akan mempunyai ukuran 57 KB dengan ekstensi .EXE dan sebagai file “Application”, perhatikan gambar 7 dibawah ini

Gambar 7, KillAV akan menyembunyikan folder Windows dan membuat file diplikat sesuai dengan nama foder yang disembunyikan

Aktif pada mode “safe mode” dan “safe mode with command prompt”

Seperti pada kebanyakan virus lokal yang menyebar, sudah menjadi tradisi dimana mereka [virus] akan aktif pada mode “safe mode” atau “safe mode with command prompt” begitupun KillAV dengan tujuan untuk mempersulit proses pembersihan, agar KillAV dapat aktif pada dua mode tersebut ia akan membuat string pada regsitry berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

- Shell = Explorer.exe C:\windows\system32\12053\lsass.exe

- System = C:\windows\system32\12053\lsass.exe,

- Userinit = C:\windows\system32\userinit.exe,C:\windows\system32\12053\lsass.exe

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

- AlternateShell = C:\windows\system32\12053\lsass.exe

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002Control\SafeBoot

- AlternateShell = C:\windows\system32\12053\lsass.exe

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003Control\SafeBoot

- AlternateShell = C:\windows\system32\12053\lsass.exe

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

- AlternateShell = C:\windows\system32\12053\lsass.exe

Menghapus program antivirus

KillAV melakukan aksi berbahaya “membasmi” program antivirus sehingga menjadikan komputer korbannya sangat rentan terhadap serangan, apalagi jika korbannya tidak menyadari bahwa antivirus di komputernya sidah tidak berfungsi dan beranggapan bahwa komputernya terproteksi dengan baik oleh antivirus.

Jika sebelumnya “bisanya” virus lokal hanya menghentikan proses antivirus kini VBWorm.NA bukan saja akan menghentikan proses virus tersebut tetapi benar-benar akan menghancurkan program antivirus tersebut sampai ke akar-akarnya dengan cara menghapus file pendukung antivirus tersebut [khususnya file eksekusi].

Untuk melakukan hal tersebut ia akan menjalankan file autoexec.bat (lihat gambar 8) yang telah dibuat di direktori [C:\WINDOWS\system32\5810] dimana file ini berisi command [perintah] untuk manghapus file yang berhubungan dengan program antivirus tertentu diantaranya:

• Norman Virus Control

• McAffe

• Symantec

• ESET

• Antivir

• Norton

• AVG

• Kaspersky

• Panda Antivirus

• PCCilin

Gambar 8, KillAV mencoba untuk menghapus beberapa program antivirus

Untuk menyebarkan dirinya virus ini akan menggunakan media Disket/UFD dengan membuat file :

· Private.ZIP

· New Folder.exe

· Rose.ico

KillAV juga akan menambahkan icon “MSN Explorer” pada drive UFD (lihat gambar 9)

Gambar 9, UFD pada Windows Explorer akan mendapatkan icon MSN Explorer

Cara membersihkan virus KillAV

1. Putuskan komputer yang akan dibersihkan dari jaringan

2. Matikan “system restore” selama ;proses pembersihan [jika menggunakan Windows ME/XP]

3. Untuk mempermudah proses pembersihan, matikan proses virus yang sedang aktif di memori. Untuk mematikan proses tersebut gunakan tools “security task manager” karena tool ini selain dapat mematikan proses virus juga dapat menghapus file virus tersebut (cara lain untuk membasmi virus ini adalah menggunakan Norman Virus Control dengan update terakhir yang sudah dapat mendeteksi dan membasmi virus ini). Setelah menjalankan tools tersebut matikan proses virus yang mempunyai icon “Folder” dengan cara

o Klik proses virus

o Klik [remove]

o Agar file tesebut dapat lansung dihapus, pilih option [move to quarantine]

o Klik [ok] (lihat gambar 10)

Gambar 10, Gunakan Security Task Manager untuk membasmi virus KillAV

4. Hapus string yang dibuat oleh virus, untuk mempercepat proses pembersihan copy script dibawah ini pada program notepad kemudian simpan dengan nama “repair.inf” setelah itu jalankan tools tersebut dengan cara

   • Klik repair.inf

   • Klik install

[Version]

Signature="$Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, system,0,

HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, type,0, "group"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, "checkbox"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, "checkbox"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableCurrentUserRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

HKLM, Software\Microsoft\Windows\CurrentVersion\Run,RsWin

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Winup

HKLM, softwARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntvdm.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe

HKLM, Software\Microsoft\Command Processor,Autorun

HKLM, SOFTWARE\Classes\exefile,NeverShowExt

5. Hapus file induk yang telah dibuat oleh KillAV, sebelum menghapus file tersebut pastikan Anda sudah menampilkan file yang disembunyikan (lihat gambar 11)

Gambar 11, Menampilkan file yang disembunyikan

Setelah itu hapus file berikut:

· C:\Windows\EXPLORER.EXE

· C:\Windows.exe

· Hapus Foledr C:\WINDOWS\system32\5810

o C:\New Folder.exe [di setiap drive]

o C:\rose.jpg

o C:\Program Files\WinRAR

§ data.exe

§ rose.jpg

· C:\Private.zip [di setiap Drive]

· C:\Documents and Settings\%User%\MyDocuments\myrose.html

· C:\ Wndows\system

§ Oeminfo.ini

§ Oemlogo.bmp

6. Hapus juga file duplikat yang dibuat oleh virus dengan ciri-ciri (gambar 12) :

- Icon folder

- Ukuran 57 KB [sesuai kan dengan varian dari virus tersebut]

- Type Application

Gambar 12, File duplikat Windows

7. Tampilkan kembali folder Windows yang disembunyikan oleh virus, gunakan printah attrib –s –h c:\windows pada DOS PROMPT

8. Karena virus ini akan berusaha untuk menghapus program antivirus sebaiknya anda instal ulang antivirus yang sudah pernah terinstall sebelumnya.

9. Untuk pembersihan optimal dan mencegah agar komputer tersebut tidak terinfeksi kembali gunakan Norman Virus Control dengan update terakhir.

PS : Vaksincom Berduka Cita atas wafatnya Ayahanda dari Marcel Geminiman Latupeirissa pada hari Sabtu 23 September 2006. Semoga almarhum diterima disisiNya dan keluarga yang ditinggalkan diberikan kekuatan dan ketabahan.

Salam,

Adang Juhar Taufik

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Telp : 021 345 6850

Fax : 021 345 6851