Virus Bulletin news

Loading...

W32/VBWorm.NA (MyRose)

9 Agustus 2006

Katakan dengan Bunga (Mawar)

Kalau W32/VBWorm.NE mengangkat Dago sebagai topik dalam penyebaran virusnya, W32/VBWorm.NA (kita sebut MyRose) agak berbeda. Walaupun secara teknologi (karena variannya lebih anyar, dalam beberapa hal Dago lebih canggih dari MyRose, tetapi tetap ancaman MyRose cukup tinggi dengan ciri khas menampilkan gambar sekuntum Mawar Merah pada default page Internet Explorer dan System Properties [General] komputer).

Untuk mempertahankan eksistensinya virus biasanya akan mencoba untuk melumpuhkan berbagai software sekuriti termasuk antivirus, jika sebelumnya virus [lokal] hanya akan mematikan proses antivirus yang sedang aktif di memori, kini telah muncul satu virus baru yang akan mencoba untuk melumpuhkan antivirus sampai ke akar-akarnya dengan cara menghapus file pendukung dari antivirus itu sendiri, Norman mendeteksi virus ini sebagai W32/VBWorm.NA (lihat gambar 1), kita namakan virus tersebut MyRose.

Gambar 1, Norman Virus Control mendeteksi MyRose sebagai W32/VBWorm.NA

Virus ini dibuat menggunakan bahasa pemrograman Visual Basic dan seperti SOP (Standard Operating Procedur) virus lokal adalah mengganti icon dirinya dengan icon lain untuk mengelabui user, kali ini dan MyRose cukup cerdik memilih icon pengganti, yaitu icon “Folder” dengan ukuran 56 KB (lihat gambar 2). Jika anda memperhatikan virus Dago, terlihat bahwa MyRose masih “kalah” keren dari virus Dago karena walaupun memalsukan icon folder, tetapi File Type nya masih “application” sehingga pengguna komputer yang teliti akan langsung tahu kalau folder tersebut sebenarnya adalah file yang iconnya dipalsukan. Dalam artikel virus Dago http://www.vaksin.com/dago.htm kita ketahui bersama bahwa File Type dari virus Dago adalah “folder” dan bukan application.

Gambar 2, Virus MyRose memalsukan icon folder tetapi File Typenya masih “Application”

MyRose juga akan membuat file induk yang jika dijalankan (baik komputer lokal maupun dari jaringan) akan menyebabkan komputer terinfeksi virus ini :

  • C:\Documents and Settings\%User%\My Documents\myrose.html

  • C:\windows\system32\12053

    • lsass.exe

    • svchost.exe

    • Autoexec.bat

    • Data.exe

    • Data.zip, berisi file :

      • Data.exe

      • Rose.jpg

    • Lsass.exe

    • Rose.jpg

    • Msvbvm60.dll

    • Rose.dll

    • Svchost.exe

  • C:\rose.jpg

  • C:\private.zip [disetiap Drive], berisi file:

    • Data.exe

  • C:\New Folder.exe [disetiap Drive]

  • C:\Windows\system

    • Oeminfo.ini

    • OEMLOGO.BMP

Menyembunyikan Folder Windows

MyRose juga akan melakukan manipulasi terhadap direktori Windows dengan cara menyembunyikan folder [Windows] dan sebagai gantinya ia akan membuat file dengan nama [Windows] tetapi dengan ekstensi EXE, sehingga jika komputer yang terinfeksi mencoba masuk ke folder Windows, maka secara tidak langsung akan menjalankan MyRose, perhatikan gambar 3 dibawah:

Gambar 3, MyRose akan mencoba menyembunyikan folder Windows dan mengganti dengan dirinya

Guna menjalankan file virus yang telah tersedia pada komputer, MyRose akan membuat beberapa perubahan pada registri sehingga virus ini akan langsung aktif setiap kali komputer dinyalakan :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

    • Winlogon

      • LegalNoticeCaption = Kata Mutiara

      • LegalNoticeText = Mahkota kemanusiaan ialah rendah hati

    • Shell = Explorer.exe C:\windows\system32\12053\lsass.exe

    • System = C:\windows\system32\12053\lsass.exe,

    • Userinit = C:\windows\system32\userinit.exe,C:\windows\system32\12053\lsass.exe,

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • RsWin = C:\windows\system32\12053\lsass.exe /register

    • Winup = C:\windows\system32\12053\svchost.exe /register

Aktif pada mode “safe mode” dan “safe mode with command prompt”

MyRose juga akan tetap aktif walaupun komputer booting pada mode “safe mode” atau “safe mode with command prompt” sehingga hal ini akan akan mempersulit proses pembersihan [pelopor hal ini adalah Rontokbro dan banyak virus lain yang mengikuti jekanya]. Agar virus tersebut dapat aktif pada mode “safe mode” atau “safe mode with command prompt”, registri yang di “permak” adalah sebagai berikut :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

    • Shell = Explorer.exe C:\windows\system32\12053\lsass.exe

    • System = C:\windows\system32\12053\lsass.exe,

    • Userinit = C:\windows\system32\userinit.exe,C:\windows\system32\12053\lsass.exe,

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

    • AlternateShell = C:\windows\system32\12053\lsass.exe

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002Control\SafeBoot

    • AlternateShell = C:\windows\system32\12053\lsass.exe

    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003Control\SafeBoot

    • AlternateShell = C:\windows\system32\12053\lsass.exe

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

    • AlternateShell = C:\windows\system32\12053\lsass.exe

Disable fungsi WIndows

Untuk mempertahankan eksistensinya, MyRose akan mencoba untuk melakukan blok terhadap beberapa fungsi windows diantaranya:

  • Menu Search

  • Menu Run

  • Menghilangkan option [Hidden Files and Folders] pada [Folder Option]

Dengan membuat string pada registry editor berikut

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • DisableCurrentUserRun = 1

    • NoFind = 1

    • NoRun = 1

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

    • Type =

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt

    • Type =

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

    • Type =

Selain itu MyRose juga akan mencoba untuk melakukan blok terhadap beberapa fungsi windows lainnya, diantaranya:

  • Registry

  • Task manager

  • Msconfig

  • system restore

  • NTNDM

Dengan cara merubah link ke file [bervirus] yang sudah di buat oleh virus sehingga secara tidak langsung akan menjalankan virus itu sendiri, untuk melakukan hal tersebut ia akan membuat beberapa string pada registri berikut:

  • HKLM\softwARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe

    • Debugger = C:\Windows\system32\12053\lsass.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe

    • Debugger = C:\Windows\system32\12053\lsass.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

    • Debugger = C:\Windows\system32\12053\lsass.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntvdm.exe

    • Debugger = C:\Windows\system32\12053\lsass.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe

    • Debugger = C:\Windows\system32\12053\lsass.exe

  • HKLM\Software\Microsoft\Command Processor

    • Autorun =

Selain itu, MyRose juga mengerjakan “PR”nya dengan melakukan blok terhadap beberapa tools seperti :

  • CMD

  • Command.com

  • Command.exe

  • Notepad.exe

  • HijackThis

  • Proceexp

  • Pocket Killbox

  • Windows Update

Untuk menyebarkan dirinya MyRose mengandalkan media Disket / UFD (USB Flash Disk) dengan membuat file [Private.ZIP] dan [New Folder.exe], selain menyebar melalui Disket / UFD, MyRose juga menyebar dengan melalui file sharing dari jaringan.

Modifikasi Default page Internet Explorer

MyRose akan mencoba untuk merubah halaman pertama Internet Explorer dengan mengarahkan link ke direktori [C:\Documents and Settings\Virus_Labs\My Documents\myrose.html] sehingga jika Internet Explorer dijalankan maka akan menampilkan gambar bunga mawar merah, perhatikan gambar 4 di bawah ini:

Gambar 4, MyRose akan mengubah Default Page Internet Explorer dengan gambar sekuntum Mawar Merah


MyRose juga akan manampilkan beberapa kata-kata mutiara setiap kali komputer dinyalakan sebelum komputer logon ke Windows, dengan membuat string pada registry berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

    • Winlogon

      • LegalNoticeCaption = Kata Mutiara

      • LegalNoticeText = Mahkota kemanusiaan ialah rendah hati

Selain itu, MyRose juga akan mencoba untuk menyembunyikan ekstensi EXE dengan membuat string pada registry berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

      • NeverShowExt =1 (lihat gambar 5)

Gambar 5, MyRose menyembunyikan ekstensi .EXE sehingga mempersulit pengguna komputer mengidentifikasi file virus

Merubah General System Properties Windows

Sama seperti yang dilakukan oleh virus Codex, MyRose juga akan mencoba untuk mengubah General System Properties windows dengan menyertakan sebuah gambar bunga “mawar merah”, serta sebuah informasi tambahan yang berisi “permohonan maaf mengeani keberadaan dirinya yang sudah menginfeksi komputer tersebut” untuk melakukan hal tersebut ia akan membuat 2 file pada direktori berikut:

  • C:\Windows\system

    • Oeminfo.ini

    • OEMLOGO.BMP

Gambar 6, General Properties Windows berubah menjadi gambar Mawar Merah oleh MyRose

Menghapus program antivirus

Selain melakukan blok terhadap beberapa fungsi serta tools yang dimungkinkan dapat menghentikan menyebaran virus ini, MyRose juga akan mencoba untuk melakukan blok terhadap software security termasuk antivirus. Hal ini termasuk aksi yang sangat berbahaya karena dengan lumpuhnya program antivirus pada komputer yang terinfeksi, berarti komputer tersebut sama sekali rentan dan dapat terinfeksi virus yang paling umum sekalipun seperti Small.KL / Kamasutra yang berpotensi menghancurkan MS Office data komputer korbannya setiap tanggal 3.

Jika sebelumnya “bisanya” virus lokal hanya menghentikan proses antivirus kini MyRose mulai menabuh genderang perang dan tidak cukup dengan menghentikan proses virus tersebut tetapi menghancurkan program antivirus tersebut sampai ke akar-akarnya dengan cara menghapus file pendukung antivirus tersebut [khususnya file executable].

Untuk melakukan hal tersebut ia akan menjalankan file autoexec.bat yang telah dibuat di direktori [C:\windows\system32\12053] dimana file ini berisi perintah untuk manghapus file yang berhubungan dengan program antivirus tertentu diantaranya:

  • Norman Virus Control

  • McAffe

  • Symantec

  • ESET

  • Antivir

  • Norton

  • AVG

  • Kaspersky

  • Panda Antivirus

  • PCCilin

Gambar 7, W32/VBWorm.NA mencoba untuk menghapus beberapa program antivirus

Membuat file duplikat

Sebagai penutup, MyRose akan mencoba untuk membuat file duplikat disetiap folder sesuai dengan nama folder tersebut. Selain itu, MyRose juga memberikan bonus dengan menghapus file executable [file untuk menjalankan program/aplikasi] dari setiap program/aplikasi yang terinstall di komputer tersebut sehingga program/aplikasi tersebut tidak dapat di jalankan. Jika hal ini terjadi install ulang program/aplikasi adalah jalan yang terbaik untuk memulihkan kembali program/aplikasi tersebut. Adapun tujuan menghapus file executable dari program/aplikasi tersebut adalah supaya dirinya yang diaktifkan karena sebagai gantinya ia akan membuat file duplikat sesuai dengan file yang dihapus dengan ciri-ciri :

  • Icon “Folder”

  • ukuran 56 KB

  • Type file “Application”

Cara pengatasi virus W32/VBWorm.NA :

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan

2. Jika menggunakan Windows ME/XP, matikan System Restore untuk sementara selama proses pembersihan

3. Matikan proses virus yang sedang aktif di memori, untuk mematikan proses tersebut anda dapat menggunakan tools pengganti Task Manager seperti “Security Task Manager”, kemudian matikan proses virus dengan nama

  • Rose-43A

  • Hapus file induk yang dibuat oleh virus, karena file induk yang dibuat oleh virus ini akan disembunyikan anda dapat menggunakan tools “Security Task Manager” agar dapat langsung menuju lokasi file induk tersebut, dengan cara:

o Klik kanan proses virus [Rose-43A]

o Klik [View this Folder] (lihat gambar 8)

Gambar 8, Security Task Manager dapat menemukan proses yang disembunyikan

Kemudian hapus file yang berada didirektori:

o C:\windows\system32\12053

§ lsass.exe

§ svchost.exe

§ Autoexec.bat

§ Data.exe

§ Data.zip

§ Lsass.exe

§ Rose.jpg

§ Msvbvm60.dll

§ Rose.dll

§ Svchost.exe

Hapus juga file berikut:

o C:\rose.jpg

o C:\private.zip [disetiap partisi Hard Disk]

o C:\New Folder.exe [disetiap partisi Hard Disk]

o C:\Windows.exe

o C:\Documents and Settings\%User%\MyDocuments\myrose.html

o C:\ Wndows\system

§ Oeminfo.ini

§ Oemlogo.bmp

4. Hapus string yang dibuat oleh virus pada registry editor, untuk mempercepat proses penghapusan kopi script di bawah ini pada program “notepad” kemudian simpan dengan nama “repair.inf” setelah itu jalankan file tersebut dengan cara:

o Klik kanan “repair.inf”

o klik “Install”

[Version]

Signature="$Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, system,0,

HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, type,0, "group"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, "checkbox"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, "checkbox"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableCurrentUserRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

HKLM, Software\Microsoft\Windows\CurrentVersion\Run,RsWin

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Winup

HKLM, softwARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntvdm.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe

HKLM, Software\Microsoft\Command Processor,Autorun

HKLM, SOFTWARE\Classes\exefile,NeverShowExt

Catatan:
setelah menjalankan repair.inf, sebaiknya cek kembali registry key berikut:

· Userinit = C:\windows\system32\userinit.exe,C:\windows\system32\12053\lsass.exe,

Kemudian hapus value C:\Windows\system32\12053\lsass.exe pada string Userinit

5. Hapus file duplikat yang dibuat oleh virus dengan cirri-ciri

o Ukuran 56 KB

o Icon “Folder”

o Type file “Application”

Catatan:

jika ada sebagian program/aplikasi tidak dapat dijalankan sebaiknya anda re-install program/aplikasi tersebut karena virus ini akan berusaha untuk menghapus file executable dari setiap program/apliaksi.

6. Tampilkan kembali folder Windows yang sudah disembunyikan oleh Virus dengan cara

o Klik [start]

o Klik [run]

o Ketik [cmd], kemudian tekan enter

o Setelah layar command prompt muncul, pastikan kursor berada pada direktori C:\, kemudian ketik perintah :

Attrib –s –h C:\Windows , kemudian tekan enter

Mengembalikan folder Windows yang disembunyikan oleh virus

7. Anda dapat mempermudah tugas anda dengan menggunakan Norman Virus Control yang sudah dapat mendeteksi MyRose sebagai W32/VBWorm.NA. Scan dan bersihkan semua file yang terdeteksi sebagai W32/VBWorm.NA. Selain itu, Norman juga dapat mencegah komputer anda terinfeksi ulang MyRose dan membersihkan virus ini dari UFD, disket maupun jaringan.

salam,

Adang Juhar Taufik

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@vaksin.com

Labels: ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

Last Post