| Virus Cuakep Yang Bikin Korbannya Pucat |
 |
 |
| Jumat, 25 Juni 2010 16:22 |
|
Bagi sebagian besar pengguna komputer, gambar atau foto digital merupakan salah satu bentuk data yang sangat berharga. Tidak hanya untuk anda yang berkecimpung dalam bidang usaha yang berhubungan dengan data digital seperti desainer grafis, tetapi pengguna komputer yang awam sekalipun dapat dipastikan memiliki data digital yang berharga seperti foto keluarga, kenangan jalan-jalan, foto kelahiran anak, pernikahan dan sunatan yang sekali hilang, tidak akan dapat tergantikan oleh uang berapapun besarnya.
Until this second.., until this minute.., and until today, I still love U. When everything's make me broken.. I just want you don't know who I am.. Maybe, you never be mine, and I always to lonely.. Such a lonely day.., the most loneliest day of my life. And if The time is coming.., I just want nobody know about me. Sometime.. I look in your direction, although you pay me no attention. You never know how much I need U, and also you never seen me. I'll always be waiting for U.., and always to Loving U.. Thanx for all the thing that make me sick.. F_Rom L4mpUN6 `with L0;v3 Hal ini diperkuat dengan trend penggunaan gambar dalam berbagai aktivitas jejaring sosial seperti Friendster, Facebook dan Twitter sudah umum digunakan. Bagi pengguna yang bergabung dalam forum dan milis (mailing list) pun juga dapat menyertakan foto atau gambar sebagai identitas. Jika dahulu semua dilakukan secara manual dengan menggambar di atas kertas, kini dapat dilakukan dengan komputer. Bahkan jika penggunaan foto harus dilakukan dengan cetak film, maka sekarang anda dapat melakukan transfer file via komputer atau internet. Jika anda sering menggunakan gambar atau foto digital tentu akan sangat khawatir jika terjadi kehilangan atau perubahan pada gambar atau foto digital yang anda miliki. Apalagi jika sebelumnya anda sering mendengar serangan virus lokal "amburadul" yang cukup populer bagi pengguna komputer di Indonesia. Virus yang ampuh dalam menyembunyikan gambar serta membuat file gambar palsu (padahal virus) ini cukup mampu membuat panik user yang memiliki gambar atau foto digital. Hal ini kemungkinan menjadi inspirasi bagi para pembuat virus lokal yang lain, yang membuat jenis virus yang memiliki kharakteristik yang sama. Dan bagi anda yang memiliki foto dan gambar digital, khususnya yang mudah jantungan harap siaga menjaga detak jantung anda karena telah menyebar salah satu varian virus yang memiliki kharakter yang sama yaitu dengan nama "Cuakep". Jika anda Dengan update terbaru Norman Security Suite mendeteksi varian virus lokal ini dengan nama W32/Obfuscated. A!genr. (lihat gambar 1)
Gambar 1. Norman Security Suite dengan fitur DNA Matching mendeteksi varian baru virus "Cuakep" GEJALA & EFEK VIRUS Beberapa gejala dan efek yang terjadi jika anda terinfeksi varian virus cuakep yaitu sebagai berikut : ü Duplikasi file JPEG Jika anda memiliki file gambar atau foto digital dengan format JPEG, maka file akan disembunyikan (hidden) dan yang akan muncul adalah file virus dengan nama yang sama tetapi ekstensi file yang berbeda. ü Membuka file gambar wanita cantik Jika kita secara tidak sengaja menjalankan file virus tersebut, tidak hanya file virus yang aktif melainkan akan membuka sebuah gambar wanita cantik untuk mengalihkan perhatian korbannya. File gambar inilah yang seolah-olah menggantikan file gambar kita yang sebelumnya. (lihat gambar 3)
Gambar 3. File gambar wanita cantik yang terbuka saat kita menjalankan file virus.
ü Disable Folder Options Untuk mencegah akses user agar dapat menampilkan file gambar atau foto digital yang asli, virus melakukan blok dengan cara menyembunyikan menu Folder Options pada Windows Explorer. ü Disable Registry, Command Prompt dan Task Manager Untuk mencegah akses user agar tidak dapat mematikan proses virus dan mengembalikan fungsi Windows menjadi seperti semula, virus melakukan blok beberapa fungsi administrasi komputer agar tidak dapat dijalankan. Fungsi-fungsi tersebut tidak dapat dijalankan dengan baik, hanya akan memunculkan sebuah pesan bahwa telah dimatikan oleh "administrator" komputer. (lihat gambar 5)
Gambar 5. Salah satu fungsi Windows yang telah di blok oleh virus ü Disable System Restore dan Disable MSI Installer Pada umumnya jika komputer anda terinfeksi virus, anda dapat mengembalikan ke semula dengan memanfaatkan fitur Windows yaitu System Restore. Dengan fitur ini, kita dapat mengembalikan pada waktu-waktu tertentu yang kita inginkan sebelum terinfeksi virus. Virus "cuakep" mencegah hal ini dengan mematikan fungsi System Restore. Selain itu virus juga mencegah user melakukan instalasi program atau software lain, dengan melakukan blok pada MSI Installer. (lihat gambar 6)
Gambar 6. Fungsi MSI Installer yang di blok oleh virus. ü Rubah data Properties Computer Virus "cuakep" juga merubah data pada Properties Computer, dengan menambahkan beberapa pesan cinta yang ditujukan untuk seseorang. (lihat gambar 7)
Gambar 7. Properties Computer yang ditambahkan sebuah pesan
ü Membuat Jadwal (Schedule task) Virus "cuakep" juga membuat jadwal atau schedule task agar setiap saat dapat tetap aktif dan berjalan pada proses Windows walau sudah dimatikan proses virus-nya. (lihat gambar 8)
Gambar 8. Schedule Task yang dibuat oleh virus ü Rubah Wallpaper Virus "cuakep" juga merubah tampilan wallpaper pada desktop menjadi gambar wanita cantik. Dengan mematikan fungsi klik kanan pada desktop, virus mencegah user merubah tampilan wallpaper. (lihat gambar 9)
Gambar 9. Tampilan wallpaper yang dirubah dan tidak bisa diganti ü Pesan pada Welcome Screen Virus "cuakep" juga menampilkan sebuah pop-up pesan pada jendela Welcome Screen. Pesan ini juga muncul dengan caption judul yang berbeda jika waktu pada komputer tepat pada tanggal 21 September. (lihat gambar 10)
Gambar 10. Pesan pada Welcome Screen FILE VIRUS Virus "Cuakep" dibuat dengan menggunakan bahasa pemrograman Visual Basic yang sudah di kompress menggunakan UPX. Jika virus berhasil menginfeksi komputer, maka virus akan membuat beberapa file utama sebagai berikut : - C:\ lvsys.sys - C:\WINDOWS\ckpexp. exe - C:\WINDOWS\ckpinfo. nfo - C:\WINDOWS\ckplog. log - C:\WINDOWS\system32 \ckp.exe - C:\WINDOWS\system32 \ckp.jpg - C:\WINDOWS\system32 \ckpauto. inf - C:\WINDOWS\system32 \ckpcmd.exe - C:\WINDOWS\system32 \ckpexp.exe - C:\WINDOWS\system32 \ckplog.log - C:\WINDOWS\system32 \sched32. exe - C:\WINDOWS\system32 \startup32. exe - C:\WINDOWS\system32 \Windows. exe - C:\WINDOWS\system32 \Windows. scr - C:\WINDOWS\system32 \ lvsys.sys
Selain itu jika komputer memiliki partisi drive lain atau memiliki mapping drive, maka virus "Cuakep" akan membuat file virus yaitu - Autorun.inf - RECYCLER\S-1- 5-21-1757981266- 1326574676- 839522115\ lvsys.exe Ciri-ciri file virus yaitu : (lihat gambar 11) - Menggunakan icon gambar (JPEG) - Memiliki ukuran file 198 kb - Memiliki type file "application" (jika sudah terinfeksi akan dirubah menjadi JPEG image)
Gambar 11. File virus cuakep
File pendukung lainnya yaitu : - C:\WINDOWS\system32 \ckpcmd.jpg - C:\WINDOWS\system32 \ckpexp.jpg - C:\WINDOWS\system32 \startup32. jpg - C:\WINDOWS\system32 \Windows. jpg
METODE PENYEBARAN Sama seperti varian virus lokal yang lain, virus cuakep masih memanfaatkan penggunaan removable drive seperti flashdisk, external harddisk, dll sebagai media penyebaran virus. (lihat gambar 12)
Gambar 12. Virus infeksi removable drive/flash disk MODIFIKASI REGISTRY Beberapa registry yang dilakukan perubahan yaitu sebagai berikut : - Menambah Registry
Agar virus dapat aktif pada saat start-up, maka virus membuat string berikut : Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Run Lvsystem = C:\WINDOWS\system32 \ckp.exe Avgnt = 0 Egui = 0 Mcagent_exe = 0
Agar virus melakukan blok pada fungsi Windows, maka virus membuat string berikut : Ø HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\ System DisableRegedit = 1 Ø HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\ System DisableTaskMgr = 1 Ø HKEY_CURRENT_ USER\Software\ Policies\ Microsoft\ Windows\System DisableCMD = 1 Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer NoFolderOptions = 1 Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer NoDriveAutoRun = 0 Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer NoViewContextMenu = 1 Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\SystemRestore DisableSR = 1 Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore DisableSR = 1 Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore DisableConfig = 1 Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows\System DisableGPO = 1 Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows\Installe r DisableMSI = 2
Agar virus melakukan perubahan pada desktop, maka virus membuat string berikut : Ø HKEY_CURRENT_ USER\Software\ Policies\ Microsoft\ Windows\Control Panel\ Desktop SCRNSAVE.EXE = C:\WINDOWS\system32 \Windows. scr Wallpaper = C:\WINDOWS\system32 \startup32. jpg
Agar virus melakukan perubahan pada extension file, maka virus membuat string berikut : Ø HKEY_CLASSES_ ROOT\exefile NeverShowExt
- Merubah Registry
Agar virus dapat memanipulasi pada fungsi Windows, maka virus merubah string berikut : Ø HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced FriendlyTree = 0
Agar virus dapat tetap aktif pada saat start-up Windows, maka virus merubah string berikut : Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Winlogon Shell = Explorer.exe "C:\WINDOWS\ ckpexp.exe" Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Winlogon LegalNoticeCaption = Welcome to 2010, the …
Agar virus dapat tetap aktif pada Safe Mode, maka virus merubah string berikut : Ø HKEY_CURRENT_ USER\Software\ Microsoft\ CommandProcessor Autorun = C:\WINDOWS\system32 \ckpcmd.exe Ø HKEY_LOCAL_MACHINE\ SYSTEM\CurrentCo ntrolSet\ Control\SafeBoot AlternateShell = C:\WINDOWS\system32 \ckp.exe Ø HKEY_LOCAL_MACHINE\ SYSTEM\ControlSe t001\Control\ SafeBoot AlternateShell = C:\WINDOWS\system32 \ckp.exe
Agar virus dapat tetap aktif pada saat menjalankan file dengan extension tertentu, maka virus merubah string berikut : Ø HKEY_CLASSES_ ROOT\.exe (Default) = cuakep.exe Ø HKEY_CLASSES_ ROOT\.reg (Default) = cuakep.reg Ø HKEY_CLASSES_ ROOT\.txt (Default) = cuakep.txt Ø HKEY_CLASSES_ ROOT\.VBS (Default) = cuakep.vbs Ø HKEY_CLASSES_ ROOT\exefile (Default) = JPEG Image
- Menghapus Registry
Agar virus dapat merubah isi dari Winlogon, maka virus menghapus string berikut : Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Winlogon LegalNoticeText
PEMBERSIHAN VIRUS Langkah-langkah yang harus dilakukan dalam melakukan pembersihan virus cuakep adalah sebagai berikut : - Putuskan koneksi jaringan/internet. - Matikan proses virus (menggunakan Advanced System Reporter). Bagi pengguna Norman Security Suite Pro dapat menggunakan fitur dari Intrusion Guard yaitu Advanced System Reporter.
Gambar 13. Logo/Icon Norman
Gambar 14. Menu Norman Security Suite Pro
Gambar 15. Menu Advanced System Reporter
Gambar 16. Menu Proses pada Advanced System Reporter ü Pilih file virus dengan icon gambar ü Klik kanan, dan klik Terminate Process
- Matikan proses virus (dengan CurrProcess) . Download tools CurrProcess pada link berikut : (lihat gambar 17) http://www.nirsoft.net/utils/cprocess. zip
Gambar 17. Matikan proses virus CurrProcess Sebelum menjalankan tools, sebaiknya rename terlebih dahulu extension menjadi cmd (CProcess.cmd) . Jalankan file, kemudian blok seluruh file virus yang aktif. Klik kanan seluruh file tersebut, kemudian klik Kill Selected Processes.
- Perbaiki registry Windows. Salin script dibawah ini untuk memperbaiki registry dengan menggunakan Notepad. [Version] Signature="$ Chicago$" Provider=Vaksincom [DefaultInstall] AddReg=UnhookRegKey DelReg=del
[UnhookRegKey] HKCR, .exe,,,"exefile" HKCR, .txt,,,"txtfile" HKCR, .reg,,,"regfile" HKCR, .vbs,,,"VBSFile" HKCR, exefile,,,"Applicat ion" HKCU, Software\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced, FriendlyTree, 0x00010001,1 HKCU, Software\Microsoft\ CommandProcessor , Autorun,0,0 HKLM, Software\CLASSES\ batfile\shell\ open\command, ,,"""%1"" %*" HKLM, Software\CLASSES\ comfile\shell\ open\command, ,,"""%1"" %*" HKLM, Software\CLASSES\ exefile\shell\ open\command, ,,"""%1"" %*" HKLM, Software\CLASSES\ piffile\shell\ open\command, ,,"""%1"" %*" HKLM, Software\CLASSES\ regfile\shell\ open\command, ,,"regedit. exe "%1"" HKLM, Software\CLASSES\ scrfile\shell\ open\command, ,,"""%1"" %*" HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Winlogon, Shell,0, "Explorer.exe" HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Winlogon, LegalNoticeCaption, 0,0 HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Winlogon, LegalNoticeText, 0,0 HKLM, SYSTEM\ControlSet00 1\Control\ SafeBoot, AlternateShell, 0, "cmd.exe" HKLM, SYSTEM\CurrentContr olSet\Control\ SafeBoot, AlternateShell, 0, "cmd.exe" HKLM, SOFTWARE\Classes\ exefile\DefaultI con,,,""% 1" %"
[del] HKCR, exefile, NeverShowExt HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System, DisableRegedit HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System, DisableTaskMgr HKCU, Software\Policies\ Microsoft\ Windows\System, DisableCMD HKCU, Software\Policies\ Microsoft\ Windows\Control Panel\Desktop HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFolderOptions HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoDriveAutoRun HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoViewContextMenu HKLM, SOFTWARE\Microsoft\ Windows NT\SystemRestore, DisableSR HKLM, SOFTWARE\Policies\ Microsoft\ Windows NT\SystemRestore, DisableSR HKLM, SOFTWARE\Policies\ Microsoft\ Windows NT\SystemRestore, DisableConfig HKLM, SOFTWARE\Policies\ Microsoft\ Windows\System, DisableGPO HKLM, SOFTWARE\Policies\ Microsoft\ Windows\Installe r, DisableMSI HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Run, lvsystem HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Run, avgnt HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Run, egui HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Run, mcagent_exe
Gunakan notepad, simpan dengan nama "repair.inf" (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan). Jalankan repair.inf dengan klik kanan, kemudian pilih install - Hapus file virus yang mempunyai ciri-ciri sebagai berikut :
Catatan : ü Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus. ü Untuk mempermudah proses pencarian sebaiknya gunakan "Search Windows" dengan filter file *.exe yang mempunyai ukuran 198 KB. ü Hapus file virus yang biasanya mempunyai date modified yang sama. - Hapus schedule task yang dibuat oleh virus.
- Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik. Sumber : Vaksincom Share on 
  |
