| "Album Bokep" Yang Membuat Korbannya Jadi Warteg Boys |
 |
 |
| Selasa, 20 Juli 2010 10:40 |
|
Kalau virus "Mbah Surip" VBS/Cryf.A, yang sempat muncul beberapa bulan yang lalu cukup membuat pusing korbannya, maka virus lanjutannya yang tetap menampilkan pesan Shemale by Cry ini bisa dikatakan lebih membuat pusing korbannya lagi karena selain memblok tools utility Windows, ia juga memblok tools security lain dan juga memblok antivirus lokal yang biasa digunakan untuk membasminya. Kelihatannya pembuatnya ingin membuat korbannya menyerah sambil nyanyi ... Okelah khalau begitu.... Okelah kalau beg...beg..begitu. Virus made ini VBS ini cukup merepotkan karena mempunyai kemampuan yang patut diperhitungkan. Virus ini akan mencoba untuk memanipulasi file yang mempunyai ekstensi INF, REG dan VBS sehingga mempersulit pada saat melakukan pembenahan pada sejumlah registri yang sudah di manipulasi, langkah ini juga dilakukan sebagai salah satu upaya agar dirinya dapat aktif secara otomatis pada saat user mengakses file yang mempunyai ekstensi tersebut. Tak hanya a fungsi Windows seperti Task Manager, MSConfig, CMD dan Regedit yang akan diblok tetapi lebih dari itu ia akan blok beberapa tools security dan beberapa antivirus lokal dengan melakukan "debugger" untuk menjalankan salah satu file virus yang telah ditentukan pada saat user menjalankan fungsi Windows atau tools security tersebut. Salah satu ciri yang dapat kita temui adalah munculnya pesan SHEMALE By CRY pada saat screen saver Windows aktif atau menampilkan pesan "My World Welcome Shemale In To The World King Of The World" pada saat membuka jendela Internet Explorer. Ibarat pribahasa, sepandai-pandainya tupai melompat akhirnya jatuh juga, sehebat apapun yang dilakukan oleh virus ini tapi "tentu" masih mempunyai kelemahan.
SHEMALE Jilid 2 Setelah sekian lama tenggelam, kini muncul SHEMALE jilid 2 yang merupakan regenerasi dari virus sebelumnya dan belajar dari pendahulunya kini ia mencoba untuk menutup beberapa celah yang mungkin bisa dimanfaatkan oleh user untuk mematikan dirinya. Masih seperti pendahulunya, virus ini dibuat dengan menggunakan Visual Basic Script (VBS), ia akan mengenkripsi dirinya agar user tidak mudah membaca isi script dari virus tersebut, virus ini mempunyai ukuran sebesar 195 KB dengan icon VBS (lihat gambar 1)
Gambar 1, Gambar file virus
Berikut beberapa ciri-ciri yang dapat ditemui pada saat menginfeksi komputer user 1. Muncul folder dengan nama BOKEP (New Release), folder ini berisi beberapa file shortcut untuk menjalankan file induk yang telah ditentukan yang akan dibuat disemua Drive. (lihat gambar 2)
Gambar 2, File/folder yang akan di buat oleh VBS/Autorun. BO
2. Muncul file "Membership of Shemale Lover" yang akan dibuat disetiap drive dengan icon "Internet Explorer" 3. Tidak dapat mengakses Folder "C:\Windows" , jika user mengakses folder tersebut maka akan di membuka "My Computer" 4. Muncul pesan "SHEMALE Ver. 2.0.1 by CRY" pada saat screen saver Windows aktif (lihat gambar 3)
Gambar 3, Pesan yang akan mucnul saat screen saver Windows aktif
5. Muncul pesan error saat menjalankan tools security tertentu seperti terlihat pada gambar di bawah ini. (lihat gambar 4)
Gambar 4, Pesan error saat menjalankan fungsi Windows atau tools security yang diblok oleh VBS/Autorun
6. Terjadi perubahan pada nama pemilik Windows (lihat gambar 5)
Gambar 5, Informasi Registered to berubah menjadi CRY Shemale
7. Merubah type file "Shortcut" [.lnk] mejadi "Movie Clip
File Induk VBS/Autorun. BO Pada saat menginfeksi komputer, ia akan membuat cukup banyak file yang akan di simpan di direktori yang berbeda-beda.
- Asia - www.japanhot. com - Maria Ozawa.wmv.lnk - www.s1s1s1.com - Tina Yusuki.mpeg. lnk - www.tokyoundergroun d.com - sora aoi.dat/lnk - www.tokyoundergroun d.com - tokyo hot.wmv.lnk - Secret folder (file folder)
- Barat - my friends hot mom - Jennifer Miller.wmv.lnk - my friends hot mom - sativa rose.wmv/lnk - My Sister Hot Friend - Courtney Dani.wmv.lnk - Naughty America 2009 - Vicky Vette.Mpeg.lnk - Secret folder (file folder)
- appopen.dll - appsys.exe - desktop.ini - dvcdrv.msc - kernel32.dll - regedit.exe. lnk - speech.dll - temporary files.dll - welcomescreen. mht - Windows.html - winsock01.exe - Winupdt.tpx
- appsys.dll - cmd.exe.lnk - encryptor.dll - taskmgr.exe. lnk - vga812.sys - Corelsetup.dll - Dvcrnme.dll
- 1.cdr - desktop.ini - diskmgt.msc - open.dll - usrlogon.dll
Registri Windows VBS/Autorun. BO akan membuat beberapa perubahan pada registry Windows berikut dengan tujuan agar beberapa file induk yang telah dibuat tadi dapat diaktifkan secara otomatis setiap kali komputer dinyalakan aktifkan :
- Encryptor = C:\WINDOWS\system32 \wscript. exe //e:VBScript c:\windows\system32 \encryptor. dll Microsoft - socketwindrive = C:\WINDOWS\winsock0 1.exe - updtsystem = updtsystemC: \WINDOWS\ system32\ Winupdtsys. exe - VirCDTask = c:\program files\FarStone\ qbtask.exe
- shell = explorer.exe, C:\windows\system32 \wscript. exe "c:\windows\ WinUpdt.tpx" - userinit = C:\WINDOWS\system32 \userinit. exe, C:\windows\system32 \wscript. exe "c:\windows\ WinUpdt.tpx"
Agar file dengan ekstensi TPX tersebut dapat dijalankan ia akan memanfaatkan file "C:\Windows\ System32\ WSCript.exe" dengan terlebih dahulu membuat string pada registry berikut
- [Default] = %systemRoot% \system32\ wscript.exe %1
Aktif secara otomatis dengan memanfaatkan file [.reg / .inf / .vbs] VBS/Autorun. BO juga akan mencoba untuk mengaktifkan dirinya secara otomatis dengan menjalankan file [C:\windows\ system\svchost. exe atau C:\windows\system32 \appsys.dll] pada saat user menjalankan file yang mempunyai ekstensi berikut:
Untuk melakukan hal ini, ia akan membuat string pada registri berikut:
- [default] = C:\windows\system\ svchost.exe //e:VBScript c:\windows\system32 \appsys.dll Microsoft
- [default] = C:\windows\system\ svchost.exe //e:VBScript c:\windows\system32 \appsys.dll Microsoft
- [Default] = C:\windows\system\ svchost.exe //e:VBScript c:\windows\system32 \appsys.dll Microsoft
- [Default] = C:\windows\system\ svchost.exe //e:VBScript c:\windows\system32 \appsys.dll Microsoft
Blok Fungsi Windows Untuk mempermudah aksinya, ia akan melumpuhkan sejumlah fungsi Windows dengan membuat beberapa perubahan pada registry Windows berikut:
- NoChangingWallpaper
- nobandcustomize - nochangestartmenu - NoDriveAutoRun - NoDriveTypeAutorun = 95 - NoFileAssociate - NoFInd - NoRecycleFiles - NoRun - nosavesettings - NOTOOLBARCUSTOMIZE
- DisableCMD - DisableRegistryTool s - Disable TaskMgr - NoDispScrSavPage
- NoDriveAutoRun = 1 - NODriveTypeAutorun = 95
- ValueName = CRY
Selain dengan membuat perubahan pada registry tersebut, untuk blok akses terhadap fungsi Registry Editor, MSConfig, CMD dan Task Manager ia akan merubah registry berikut untuk menjalankan dirinya [c:\windows\ WinUpdt.tpx atau C:\Windows\appsys. exe]
- BootExecute = C:\WINDOWS\system32 \wscript. exe "c:\windows\ WinUpdt.tpx" "
- ComSpec = %SystemRoot% \system32\ cmd.exe, , C:\windows\system\ svchost.exe "c:\windows\ WinUpdt.tpx"
- BootExecute = C:\WINDOWS\system32 \wscript. exe "c:\windows\ WinUpdt.tpx" "
- ComSpec = %SystemRoot% \system32\ cmd.exe, , C:\windows\system\ svchost.exe "c:\windows\ WinUpdt.tpx"
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe -
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
Virus ini juga banyak melakukan blokir terhadap beberapa tools security serta beberapa antivirus lokal dengan melakukan debugger untuk menjalankan file [c:\windows\ WinUpdt.tpx atau C:\Windows\appsys. exe] dengan demikian, ia akan aktif setiap kali user menjalankan tools security tersebut.
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\windows\system32 \wscript. exe //e:VBScript c:\windows\system32 \appsys.dll Microsoft
- debugger = ntsd -d
- debugger = ntsd -d
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- Debugger = ntsd -d
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = ntsd -d
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- Sebugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\Windows\appsys. exe
- debugger = C:\windows\system32 \wscript. exe //e:VBScript c:\windows\system32 \dvcrnme. dll Microsoft
- debugger = C:\windows\system\ svchost.exe //e:VBScript c:\windows\kernel32 .dll Microsoft
Jika user mencoba untuk memanggil salah satu fungsi Windows atau tools security tersebut maka akan muncul pesan error berikut (lihat gambar 6 dan 7)
Gambar 6, Pesan error yang muncul saat menjalankan tools sekuriti
Gambar 7, Pesan error saat memanggil salah satu tools security
VBS/Autorun. BO juga akan menghapus string registry berikut dengan tujuan untuk melumpuhkan system proteksi realtime "On-ccess Scaner" antivirus Norman.
- NVCOAS - NvcMFlt
- NVCOAS - NvcMFlt
Babat file Regedit.exe, MSConfig.exe, CMD.exe dan TaskMgr.exe Cara lain agar user tidak dapat menjalankan fungsi Regedit/Task Manager/CMD atau MSConfig, ia akan menghapus file "regedit.exe, msconfig.exe, cmd.exe dan taskmgr.exe" , untuk mengelabui user ia akan copy file "C:\Windows\ system32\ notepad.exe" ke direktori [C:\Windows, C:\Windows\system32 dan C:\Windows\system32 \dllchace] , kemudian ia akan merubah nama file tersebut menjadi Regedit.exe, MSConfig.exe, CMD.exe dan TaskMgr.exe, sehingga jika user mengakses file tersebut maka akan muncul program Notepad. (lihat gambar 8 dan 9)
Gambar 8, Program yang muncul saat user memanggil regedit.exe, msconfig.exe, cmd.exe dan taskmgr.exe
Gambar 9, File gadungan yang dibuat oleh virus
Rekayasa sosial "Album BOKEP (New Release)" Untuk mempermudah dalam mengelabui user, ia akan menggunakan rekayasa sosial dengan membuat sebuah folder dengan nama [Album BOKEP (New Release)] disetiap Drive termasuk di Flash Disk. Dengan nama folder tersebut di harapkan dapat menarik user untuk menjalankan salah satu dari file shortcut yang berada di dalam nya. File shortcut yang dibuat oleh virus ini akan mempunyai ekstensi Mpeg.lnk.
File dengan icon "Windows Media Player" ini seolah-olah merupakan file Video "Mesum" yang jika dijalankan maka akan mengaktifkan dirinya dengan menjalankan file [%Drive%:\C: \WINDOWS\ system32\ wscript.exe //e:VBScript \Recycled\S- 1-5-21-343818398 -18970151121- 842a92511246- 500\nortonAv\ -\usrlogon. dll Microsoft]. (lihat gambar 10)
Gambar 10, File shortcut virus yang akan mengaktifkan file virus [usrlogon.dll]
Selain itu agar penyamarannya lebih sempurna ia akan merubah type file LNK (shortcut) tersebut menjadi "Movie Clip" sehingga seolah-olah merupakan file Video, untuk lebih meyakinkan ia akan menyembunyikan ekstensi yang kedua dari file tersebut [.LNK] dengan membuat string pada registry berikut
- [Default] = Movie Clip - NeverShowExt
VBS/Autorun/ BO juga akan merubah type file dari "VBScript Script File" menjadi "Application" serta merubah icon VBS menjadi icon Application serta menyembunyikan ekstensi dari file tersebut dengan merubah string registry berikut:
- FriendlyTypeName = Application - NeverShowExt
- [Default] = %SystemRoot% \system32\ SHELL32.dll, 2 (lihat gambar 11)
Aktif pada mode "safe mode" dan "safe mode with command prompt" Virus ini tidak hanya aktif pada mode Normal, tetapi akan aktf pada mode "safe mode" dan "safe mode" with command prompt dengan membuat string pada registry berikut
- shell = explorer.exe, C:\windows\system32 \wscript. exe "c:\windows\ WinUpdt.tpx" - userinit = C:\WINDOWS\system32 \userinit. exe, C:\windows\system32 \wscript. exe "c:\windows\ WinUpdt.tpx"
- AlternateShell = C:\WINDOWS\system32 \wscript. exe "c:\windows\ WinUpdt.tpx"
- AlternateShell = C:\WINDOWS\system32 \wscript. exe "c:\windows\ WinUpdt.tpx"
- AlternateShell = C:\WINDOWS\system32 \wscript. exe "c:\windows\ WinUpdt.tpx"
Registry lain VBS/Autorun juga akan membuat registry berikut:
o Logon User Name = Shemale
o AltDefaultUserName = Shemale o DefaultUserName = Shemale
o ImagePath = %SystemRoot% \system32\ services. exe, C:\windows\system\ svchost.exe "c:\windows\ WinUpdt.tpx"
o ImagePath = %SystemRoot% \system32\ services. exe, C:\windows\system\ svchost.exe "c:\windows\ WinUpdt.tpx"
Jejak virus Seperti kebanyakan virus lokal, salah satu aksi yang dilakukan adalah meninggalkan jejak berupa pesan di komputer target. VBS/Autorun juga akan meningalkan beberepa pesan yang dikemas dalam sejumlah file diantara pesan terebut akan di tampilan secara otomatis saat komputer di nyalakan dan saat menjalankan program Internet Explorer atau saat screen saver Windows aktif.
Berikut beberapa pesan yang dibuat oleh VBS/Autorun
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion § RegisteredOrganizat ion = Shemale § RegisteredOwner = CRY (lihat gambar 5 di atas)
- HKEY_CURRENT_ USER\Software\ Microsoft\ Internet Explorer\Main § Start Page = C:\WINDOWS\welcomes creen.mht (lihat gambar 12)
Gambar 12, Gambar yang tampil saat menjalankan file "welcomecreen. mht
Catatan: Walaupuan ia sudah merubah registry pada string "Start Page", tetapi pada saat user membuka program Internet Explorer gambar di atas tidak akan dapat ditampilkan melainkan akan mucul pesan error berikut seolah-olah file "welcomescreen. mht" tidak ditemukan, gambar di atas akan tampil jika user menjalankan file "welcomescreen. mht" secara manual. (lihat gambar 13)
Gambar 13, Pesan error saat menjalankan program IE
Gambar 14, Pesan King Of The World yang akan di tampilkan oleh VBS/Autorun
o HKEY_CURRENT_ USER\Control Panel\Desktop § SCRNSAVE.EXE = C:\WINDOWS\system32 \ssmarque. scr (lihat gambar 3 di atas)
Blok askes Website Security Selain itu VBS/Autorun juga akan mencoba untuk blok akses terhadap beberapa website security seperti
Untuk melakukan hal tersebut ia akan melakukan perubahan pada file "C:\Windows\ System32\ Drivers\Etc\ HOST" (lihat gambar 15)
Gambar 15, Host File Windows yang telah dibah oleh VBS/Autorun
Blok akses Folder "C:\WINDOWS" Untuk memepersulit penghapusan fiile induk yang telah di buat di direktori "C:\Windows" dengan cerdik ia akan blok akses terhadap folder tersebut dengan memanipulasi folder tersebut agar selalu mengakses "MY Computer" setiap kali user mencoba untuk akses folder tersebut (lihat gambar 16)
Gambar 16, VBS/Autorun blok akses folder "C:\Windows" Media Penyebaran Untuk menenyebarkan dirinya, ia akan memanfaatkan Flash Disk dengan cara membuat file folder berikut:
- locked folder (folder) - desktop.ini - my friends hot mom - Jennifer Miller.wmv.lnk - my friends hot mom - sativa rose.wmv.lnk - My Sister Hot Friend - Courtney Dani.wmv.lnk - Naughty America 2009 - Vicky Vette.Mpeg.lnk
- 1.cdr - desktop.ini - diskmgt.msc - open.dll - usrlogon.dll
Agar dirinya dapat aktif secara otomatis, ia akan memanfaatkan fitur autorun dengan nama [autorun.inf] yang akan menjalankan file induk yang telah ditentukan (lihat gambar 17)
Gambar 17, Script autorun.inf
Cara membersihkan Virus VBS/Autorun 1. Nonaktifkan "System Restore" selama proses pembersihan 2. Matikan proses yang aktif di memory, Norman Security Suite Pro yang dilengkapi dengan fitur Advanced System Reporter untuk mengetahui dan monitoring proses yang aktif di memori serta mempunyai kemampuan untuk mematikan proses virus sekaligus menghapus registry startup dari virus tersebut menjadi salah satu tools yang dapat digunakan sebagai alternatif untuk mengganti tools Task Manager yang diblok oleh VBS/Autorun. BO.
Berikut langkah untuk mematikan proses virus yang aktif di memori dengan menggunakan Advanced System Reporter - Pada aplikasi Advanced System Reporter, klik tabulasi "Other" dan "Auto Start" - Klik kanan pada proses WSCRIPT.exe seperti yang terlihat pada gambar dibawah - Klik "Terminate Process" - Klik "Yes" (lihat gambar 18)
Gambar 18, Norman Advanced System Reporter
3. Repair registry Windows, untuk mempermudah proses perbaikan registry yang telah diubah oleh virus, gunakan tools FIXREG.exe. Silahkan download tools tersebut di alamat berikut Setelah tools tersebut di jalankan, lakukan langkah berikut : (lihat gambar 19)
- Pada kolom "Registry Owner dan Registry Organization" , isi sesuai dengan nama pemilik Windows tersebut - Pada kolom "Shell Windows", isi dengan string Explorer.exe - Pada kolom "Userinit Windows", isi dengan string "userinit.exe" - Kemudian klik tombol "SET" - Setelah itu klik tombol "Fix Registry" untuk memperbaiki registry Windows
Gambar 19, Fix Registry Windows
4. Install tools Unlocker, hal ini dimaksudkan untuk menghapus beberapa folder/file yang tidak dapat dihapus secara manual. Silahkan download tools tersebut di alamat http://unlocker.en.softonic.com/
5. Hapus file virus berikut dengan menggunakan ExploreXP, hal ini disebabkan virus ini akan mencoba blok akses folder "C:\Windows" sehingga mempersulit prosess penghapusan Silahkan download tools tersebut di alamat berikut http://www.explorerxp.com/
Berikut beberapa file yang harus di hapus:
- appopen.dll - appsys.exe - desktop.ini - dvcdrv.msc - kernel32.dll - regedit.exe. lnk - regedit.exe (ukuran 68 KB) - speech.dll - temporary files.dll - welcomescreen. mht - Windows.html - winsock01.exe (notepad) - Winupdt.tpx
- appsys.dll - cmd.exe.lnk - encryptor.dll - taskmgr.exe. lnk - vga812.sys - Corelsetup.dll - Dvcrnme.dll - Regedit.exe (ukuran 68 KB) - Taskmgr.exe (ukuran 68 KB) - CMD.exe (ukuran 68 KB)
- regedit.exe - taskmgr.exe - cmd.exe - msconfig.exe
Catatan: Gunakan tools unlocker untuk menghapus fil/folder berikut (semua Drive)
Cara menggunakan tools unlocker
Gambar 20, Menghapus File/folder dengan menggunakan unlocker
6. Kosongkan/Empty pada Recycled bin a. Klik kanan "Recycled bin" b. Klik "Empty Recycle bin" 7. Copy file Regedit.exe, CMD.exe, TaskMgr.exe dan MSConfig.exe dari komuputer lain yang tidak bermasalah - Regedit.exe (C:\Windows) - TaskMgr.exe dan CMD.exe (C:\Windows\ system32) - MSConfig.exe (C:\Windows\ pchealth\ helpctr\binaries ) 8. Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan komputer dengan menggunakan antivirus yang up-to-date. 9. Bagi yang telah terinstall antivirus Norman, sebaiknya repair antivirus tersebut untuk memperbaiki beberapa registry antivirus Norman yang telah di hapus, dengan cara - Buka Windows Explorer - Browse direktori "C:\Program Files\Norman\ npm\bin" - Klik 2x "DELNVC5.exe" - Pilih opsi "Repair" - Klik Next" - Klik "Finish" Sumber : Vaksincom Share on 
  |
