Perkembangan IT cepat atau lambat merambah seluruh Indonesia. Indonesia bagian Timur sekalipun yang dari sisi pembangunan agak tertinggal dari daerah lainnya, rupanya pelan tapi pasti mulai tersentuh oleh teknologi informasi. Terbukti dengan beredarnya virus iseng yang memalsukan diri sebagai file MP3.

Bagi Anda yang gemar mengkoleksi lagu-lagu terutama dalam format Winamp (mp3) sebaiknya mulai berhati-hati karena saat ini sedang menyebar virus yang akan memanfaatkan icon dari file winamp tersebut untuk mengelabui user dan disinyalir berasal dari Sorong. Virus ini akan blok program winamp serta program pengolah kata seperti MS Word, ia juga akan blok file instalasi yang mempunyai nama file setup.exe, berikut beberapa ciri-ciri umum yang dapat ditemui pada virus ini :

• Mucul file dengan nama Kohoin.txt di setiap drive, file ini berisi pesan dari sang pembuat virus kepada pengguna komputer yang telah terinfeksi
• Muncul pesan dibawah ini saat komputer pertama kali dihidupkan (lihat gambar 1)

Gambar 1, Pesan saat komputer pertama kali dinyalakan

• Tidak dapat menjalankan program utility Windows seperti msconfig, winamp, file instalasi yang mempunyai nama file setup.exe serta file pengolah kata MS Word, dengan memunculkan pesan error pada saat menjalankan file tersebut (lihat gambar 2)

Gambar 2, Pesan error saat menjalankan file yang di blok oleh virus

• Berusaha menjalankan file "Mixers.exe" setiap kali komputer dinyalakan. (lihat gambar 3)

Gambar 3, Virus berusaha menjalankan file dengan nama "Mixers.exe" saat komputer dihidupkan

File induk Virus

Gurita (eh salah) .. Virus ini dibuat dengan menggunakan program Visual Basic  dengan ukuran file skitar 68 KB. Agar mudah mengelabui user dan mudah menyebar, ia akan memanfaatkan program pemutar musik winamp dengan  menggunakan icon Winamp pada file yang menyertai virus tersebut dengan type file sebagai aplikasi. (lihat gambar 4)

Gambar 4, File induk virus

Dengan update terbaru Norman Security Suite dan Norman Security Siite PRO mendeteksi virus ini sebagai W32/Smallworm. GQK. (lihat gambar 5)

Gambar 5, Norman Security Suite medeteksi virus ini sebagai W32/Smallworm. GQK

Pada saat virus ini di aktifkan ia akan menampilkan pesan error seperti terlihat ada gambar 6 dibawah, kemudain ia akan membuat beberapa file induk yang akan dijalankan pada saat komputer dinyalakan diantaranya:

• C:\Sisboot.exe
• C:\Windows\Dell. bat
• C:\Windows\Mixers. exe
• C:\Windows\systems. ini
• C:\Windows\sys. exe
• C:\Windows\xpsys. exe
• C:\Windows\system32 \xpsys.exe
• C:\Documents and user\%user%\ Local settings\Temp\ xpsys.exe

Gambar 6, Pesan error saat menjalanan file virus

Agar file tersebut dapat dijalankan secara otomatis pada saat komputer dinyalakan, ia akan membuat string ada beberapa registry berikut

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Run

-          Fonts System = C:\WINDOWS\Sys. Exe

-          WinConfig = C:\WINDOWS\Mixers. Exe

-          Windows System0 = C:\Sisboot.Exe

-          Windows System1 = E:\Sisboot.Exe

-          Xpfrm = C:\WINDOWS\system32 \xpsys.exe

-          Xpfrx = C:\Document and Settings\%user% \Local Settings\Temp\ xpsys.exe

-          XpSys = C:\WINDOWS\xpsys. exe

• HKEY_CURRENT_ USER\Software\ Microsoft\ Windows NT\CurrentVersion\ Windows

-          load = C:\Windows\Dell. bat

File Dell.bat ini berisi perintah lain untuk merubah nama file C:\Windows\Systems. ini menjadi C:\Windows\Mixers. exe

Sebagai benteng pertahanan, ia akan melakukan blok terhadap beberapa fungsi utility Windows seperti Task Manager, MSConfig dengan memunculkan pesan error seperti terlihat pada gambar 2 di atas.

Untuk melakukan hal tersebut, ia akan membuat string berikut:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\policies\ Explorer

- NoFolderOptions

- NoTaskMgr

HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer\ DisallowRun

- 1 = msconfig.exe

HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\ System

- DisableRegistryTool s

- DisabletaskMgr

HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer

- DisallowRun

- NoFolderOptions

Blok program MS Word dan Wimamp

Selain blok fungsi Windows di atas ia juga akan melakukan blok terhadap  program pengolah kata Microsoft Word (MS Word) atau pada saat user menjalankan file pemutar musik (Winamp) atau saat menjalankan file MP3, untuk melakukan hal tersebut ia akan membuat string pada registry berikut :

HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer\ DisallowRun

- 1 = Winamp.exe

- 3 = Winword.exe

Pesan pembuat virus

Untuk mengabadikan dirinya, ia akan meninggalkan beberapa jejak dengan menampilkan pesan-pesan baik yang akan ditampilkan pada saat kompter booting atau dalam bentuk file dengan membua file kohoin.txt di setiap drive. (lihat gambar 1)

Untuk menampilkan pesan di atas ia akan membuat perubahan pada string registry berikut :

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\policies\ system
  • legalnoticecaption = Pesan dari Novi Montegarza
  • legalnoticetext = Salam kangen untuk Abang-abangku di Moncong Burung Abepura - Jayapura (lihat gambar 7)

Gambar 7, Pesan yang akan dituangkan dalanm bentuk file dengan nama Kohonin.txt

Media penyebaran

Untuk mempermudah penyebarannya, ia akan memanfaatkan media removable disk termasuk flash disk dengan membut file (acak) di setiap drive seperti anima bintang.exe, Kutak bisa.exe, Ungu-Demi waktu.exe, Once Dealova.Exe atau cenderawasih. exe, file ini mempunyai ukuran 68KB dengan menggunakan icon Winamp dengan tujuan untuk mengelabui user.

Cara mengatasi W32/Smallworm. GQK dengan Norman Security Suite PRO

Dalam artikel ini, Vaksincom memberikan satu trik baru membersihkan virus menggunakan fitur "Intrusion Guard" yang mampu mencegah injeksi file virus dan fitur "Advance System Reporter" yang memiliki fungsi dasar seperti Process Manager tetapi dengan fitur yang jauh lebih lengkap. Anda dapat mendownload Norman Security Suite Pro di http://www.norman. com/downloads/ special/nss80, untuk mendapatkan Kode Lisensi NSS Pro Gratis untuk 30 hari silahkan isi form di http://www.norman. com/downloads/ trial_registrati ons/58627/ ?utm_source= pressrelease&utm_medium=try_ link&utm_campaign= nsspro. Anda juga dapat menggunakan tools selain Intrusion Guard seperti Security Task Manager untuk menghentikan proses virus yang aktif.

1. Nonaktifkan "System Restore" selama proses pembersihan
2. Matikan proses virus yang sedang aktif di memori. Norman Security Suite PRO dengan fitur Intrusion Guard mempunyai kemampuan untuk memonitoring setiap file yang aktif dimemori serta mempunyai kemampuan untuk mematikan setiap proses yang kita inginkan sekaligus menghapus registri startup dari proses tersebut (jika ditemukan).

Untuk memanggil fitur ini, lakukan langkah bereikut

• Pada layar utama Norman Security Suite PRO, klik pada menu "Intrusion Guard"
• Klik "Advanced System Reporter" (lihat gambar 8)

Gambar 8, Menu utama Norman Security Suite Pro

• Klik "Go to View", pada menu "Processes" (lihat gambar 9)

Gambar 9, Klik "Go to view" untuk melihat proses virus

• Klik pada tabulasi "Auto Start", klik kanan  proses virus dengan icon "Winamp", kemudian klik menu "Terminate Process" untuk menghentikan proses file tersebut dan "Remove Autorun untuk menghapus string Autorun dari file tersebut agar tidak aktif kembali pada saat komputer di restart. Cek juga pada tabulasi "Other, matikan file proses dengan icon Winamp. (lihat gambar 10)

Gambar 10, Mematikan proses virus dengan menggunaakn Norman Intrusion Guard

3.  Repair registry, untuk memperludah proses penghapusan silahkan copy script dibawah ini kemudian simpan dengan mama repiar.inf, install file tersebut dengan cara: Klik kanan REPAIR.INF | Klik INSTALL

[Version]

Signature="$ Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\ batfile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ comfile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ exefile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ piffile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ regfile\shell\ open\command, ,,"regedit. exe "%1""

HKLM, Software\CLASSES\ scrfile\shell\ open\command, ,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Winlogon, Shell,0, "Explorer.exe"

HKCU, Software\Microsoft\ Windows NT\CurrentVersion\ Windows, load, 0,""

[del]

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System,DisableRe gistryTools

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System,DisableCM D

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFolderOptions

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System, DisableTaskMgr

HKLM, Software\Microsoft\ Windows\CurrentV ersion\Run, Microsoft System Info

HKCU, Software\Microsoft\ Internet Explorer\Main, Window Title

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, DisallowRun

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFolderOptions

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer\ DisallowRun

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System, DisableRegistryTool s

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System, DisabletaskMgr

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\policies\ Explorer, NoFolderOptions

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\policies\ Explorer, NoTaskMgr

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\policies\ system, legalnoticecaption

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\policies\ system, legalnoticetext

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Run, Fonts System

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Run, WinConfig

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Run, Windows System0

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Run, Windows System1

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Run, Xpfrm

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Run, Xpfrx

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Run, XpSys

4.  Hapus file induk, Untuk mempercepat proses penghapusan, silahkan salin script dibawah ini kemudian simpan dengan nama sembarang (contoh: DelVirus.bat) , jalankan file tersebut dengan  cara Klik 2x pada file yang tersebut.

---- awal code ----

cd\

attrib -s -h -r sisboot.exe

Del Anima-bintang. exe /f

Del Kohoin.txt /f

Del sisboot.exe /f

CD\

CD Windows

attrib -s -h -r Dell.bat /f

attrib -s -h -r Mixers.exe /f

attrib -s -h -r systems.ini /f

attrib -s -h -r sys.exe /f

attrib -s -h -r xpsys.exe /f

Del Dell.bat /f

Del Mixers.exe /f

Del systems.ini /f

Del sys.exe /f

del xpsys.exe /f

CD\

CD Documents and Settings\%username% \local settings\temp

attrib -s -h -r xpsys.exe

del xpsys.exe /f

cd\

msg %username% /time:30 /w /v "Hapus string copy C:\WINDOWS\systems. ini C:\WINDOWS\Mixers. Exe", pada file C:\AUTOEXEC. BAT

notepad.exe c:\autoexec. bat

msg %username% /time:30 /w /v "Proses penghapusan file induk virus telah selesai dilakukan, silahkan scan ulang dengan antivirus yang up-to-date"

---- akhir code ----

5.   Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang terupdate dan sudah dapat mendeteksi dan membasmi virus ini dengan baik.

Sumber : Vaksincom

---

Share on