W32/Rabox       7 Mei 2006

Giliran Abang Tukang Bakso yang jadi sasaran !!!

 

Boraks adalah bahan solder, bahan pembersih, pengawet kayu, antiseptik kayu, dan pengontrol kecoak. Sinonimnya natrium biborat, natrium piroborat, natrium tetraborat. Sifatnya berwarna putih dan sedikit larut dalam air. Sering mengonsumsi makanan berboraks akan menyebabkan gangguan otak, hati, lemak, dan ginjal. Dalam jumlah banyak, boraks menyebabkan demam, anuria (tidak terbentuknya urin), koma, merangsang sistem saraf pusat, menimbulkan depresi, apatis, sianosis, tekanan darah turun, kerusakan ginjal, pingsan, bahkan kematian. (http://wowsalman.blogspot.com/2006/01/bahaya-formalin-dan-boraks.html)

Bagi penggemar bakso tentunya masih ingat tentang tingkah beberapa pembuat bakso yang mencampurkan zat kimia berbahaya ke dalam bakso yang anda makan dan setelah hal tersebut tersebar ke media, yang menjadi korban adalah hampir semua tukang bakso dimana para langganannya tidak mau makan bakso yang dicampur dengan bahan solder, antiseptik kayu dan pengontrol kecoak (memangnya siapa yang mau disamakan dengan kecoa :P). Meskipun tujuan pencampuran boraks dan formalin (yang memiliki spesialisasi sama-sama pengawet dimana yang satu pengawet kayu dan lainnya pengawet mayat) tidak secara sengaja untuk mencelakai konsumennya dan semata-mata hanya untuk tujuan bisnis (supaya bakso dan tahu yang dijual lebih kenyal dan awet) tentunya hal ini tidak dapat menjadi pembenaran dan harus dihindari semaksimal mungkin karena dampak jangka panjang konsumsi boraks dan formalin ini berbahaya bagi makhluk hidup (khususnya species Homo Sapiens http://en.wikipedia.org/wiki/Homo_sapiens).

Rupanya hal ini juga menggelitik pembuat virus untuk mengangkat issue boraks ini dengan menyebarnya W32/Rabox di Indonesia sejak awal April 2006. Rupanya boraks tidak hanya tersedia di dunia nyata, di dunia mayapun boraks kini sudah ada dan beredar bebas, dan disalah gunakan boraks di dunia mayapun akan mengakibatkan masalah serius bagi komputer terinfeksi.

Dengan up-date terbaru Norman sudah berhasil mengenali virus ini dengan nama W32.Rabox (lihat gambar 1). Rabox mempunyai beberapa aksi yang tidak jauh berbeda dengan virus lokal lainnya, seperti disable registry editor, task manager, membuat file duplikat dan lain-lain walaupun metode yang digunakan berbeda.

Gambar 1, Dengan up-date terbaru Norman sudah dapat mengenali Rabox dengan baik

Sama seperti virus Codex, Rabox juga menyampaikan pesan "kemanusiaan" ?? dimana dia akan memperingatkan bahwa bahan pengawet boraks itu jika disalah gunakan akan merugikan kesehatan, hal ini bisa dilihat dimana ia akan membuat file dengan nama about.html didirektori [C:\Documents and Settings\suport\My Documents], jika file tersebut di buka maka akan tampil Internet Explorer yang berisi pesan seperti pada gambar 2 :

Gambar 2, Pesan yang ditampilkan oleh komputer yang terinfeksi virus Rabox

Untuk mengelabui pengguna komputer, Rabox akan menyamarkan icon yang menyertai file yang telah terifeksi yakni dengan menggunakan icon “folder” tetapi jika diperhatikan file ini sebenarnya berupa file aplikasi dengan ekstensi .exe, dengan ukuran file bervariasi (sample virus yang kami analisa mempunyai ukuran 29 KB). Jika file tersebut dijalankan maka akan muncul pesan error seolah-olah file tersebut sedang di digunakan (lihat gambar 3)

Gambar 3, Pesan error palsu yang ditampilkan oleh Rabox

Setelah itu ia akan membuat beberapa file yang akan berusaha dijalankan pertama kali setiap kali komputer dinyalakan, seperti:

  • C:\Documents and Settings\%users%\My Documents\Dlhost.exe
  • C:\Windows\lodctr32.exe
  • C:\Windows\system32\note.exe

Rabox sedikit berbeda dengan antivirus lokal lainnya yang beredar, dimana Rabox tidak akan membuat string pada RUN pada registry sehingga jika komputer yang telah terinfeks di restart maka Rabox tidak akan aktif kecuali jika user mencoba menjalankan kembali file yang telah terinfeksi. Sebenarnya ada satu taktik lagi yang dilakukan Rabox agar ia dapat kembali aktif yaitu dengan cara merubah link program “notepad” pada registry tools agar menjalankan file yang telah terinfeksi Rabox yakni "note.exe" yang ada didirektori C:\Windows\system32, sehingga jika user menjalankan file text [.txt] secara tidak langsung akan mengaktifkan virus ini.

Untuk melakukan hal tersebut Rabox  akan merubah string pada registry key

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command

-          Default = C:\WINDOWS\system32\NOTEPAD.EXE %1 menjadi C:\WINDOWS\system32\NOTE.EXE %1

Rabox juga akan merubah beberapa string pada registry key:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

-          Shell = explorer.exe  lodctr32.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\DefaultIcon

-          Default = C:\WINDOWS\lodctr32.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\DefaultIcon

-          Default = C:\WINDOWS\lodctr32.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory

-          AlwaysShowExt=1

 

Disable Fungsi Windows

Seperti yang dilakukan kebanyakan virus lokal lainnya, Rabox juga akan mencoba untuk mematikan beberapa fungsi windows, seperti :

-          Registry Editor

-          Task Manager

-          Disable Run

-          Disable Search

Dengan  membuat string pada registry berikut:

-          HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer  

o       NoFind

o       NoRun

-          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer

o       NoFind

o       NoRun

-          HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

o       DisableRegistryTools

o       DisableTaskmgr

-          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

o       DisableRegistryTools

o       DisableTaskmgr

-          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System

o       DisableRegistryTools

o       DisableTaskmgr

Perhatikan gambar 4 dibawah ini :

 

Gambar 4, Rabox menghilangkan menu “Search” dan “Run”

Seperti yang sudah dijelaskan sebelumnya di atas, bahwa Rabox akan mencoba untuk disable Task Manager, sehingga user tidak dapat melihat atau mematikan proses dari virus ini. Jika user mencoba untuk menjalankan TasK Manager maka tidak akan muncul pessan error yang menyatakan bahwa Task Manager telah di Disable tetapi Rabox akan mematikan tampilan layar monitor, jika hal ini terjadi tekan sembarang tombol yang ada di keyboard untuk mengembalikan ke posisi normal akan tetapi layar Task Manager tetap tidak dapat di buka, sehiggga untuk mematikan proses ini anda harus menggunakan tools pengganti seperti Process Explorer.

Disable System Security

Bukan Cuma itu saja, Rabox juga akan mencoba untuk disable system security termasuk firewall dan antivirus dengan cara mematikan services “real time monitor “ serta mencegah agar antivirus yang telah terinstall dapat melakukan up-date dengan cara membuat key pada registri :

 

-          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

o       Security Center

§         AntiVirusDisableNotify

§         AntiVirusOverride

§         FirewallOverride

§         UpdatesDisableNotify

Walaupun Rabox tidak sampai menyembunyikan “Folder Option” tetapi Rabox akan tetap melakukan beberapa setting pada “Folder Option” seperti terlihat pada gambar 5 di bawah ini

Gambar 5, Rabox mengubah beberapa setting pada folder options

 

Dengan membuat string  pada registry :

-          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

o       Hidden

o       HideFileExt

o       ShowSuperHidden

o       SuperHidden

o       ClassicViewState

 

Merubah type file dari setiap file aplikasi

Seperti yang kita ketahui bahwa setiap file dengan ekstensi .exe akan mempunyai tipe sebagai “application”, rupanya dengan cerdik Rabox akan merubah tipe dari setiap file yang mempunyai ekstensi .exe yakni dari “application” menjadi “File Folder” trik ini juga digunakan agar user kesulitan untuk membedakan mana “file folder asli” dan mana “file yang sudah terinfeksi Rabox” karena sama-sama mempunyai tipe “File Folder”, untuk melakukan hal itu Rabox akan merubah string

 

-          HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

o       Default = File Folder

Perhatikan gambar 6 di bawah ini:

Gambar 6, Type file yang di ubah Rabox

Seperti yang pernah dilakukan oleh virus Tabaru dimana ia akan merubah Registered Owner dengan nama manORblack, Rabox juga akan merubah registry Owner dan registry Organisasi dengan nama Boraks (lihat gambar 7), dimana ia akan mengganti string pada registy key :

-          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

o       RegisteredOrganization = .Boraks.Boraks.Boraks.Boraks.Boraks.

o       RegisteredOwner= .Boraks.Boraks.Boraks.Boraks.Boraks.

 

Gambar 7, Rabox merubah nama registrasi Windows dengan nama .BoRaX

 

Media penyebaran

Sama seperti kebanyakan virus lokal yang beredar, Rabox akan menyebar melalui Disket/UFD (USB Flash Disk) dengan membuat file dengan nama “Folder Settings.exe” disamping itu ia juga akan membuat file disetiap folder dan sub folder dimana file tersebut akan mempunyai nama yang sama dengan folder atau sub folder tersebut.

Satu hal yang membedakan virus ini adalah dimana ia akan membuat file disetiap folder dan sub folder tetapi file tersebut akan disembunyikan (hidde) kecuali file yang dibuat di UFD/Disket atau di Drive C:\ (lihat gambar 8), sebenarnya apa tujuan Rabox malakukan hal ini ? Bukankah akan lebih baik jika file duplikat tersebut tidak disembunyikan sehingga lebih memudahkan user untuk menjalankannya, atau ada trik lain di balik semua ini ? Ataukah ini merupakan pertahanan cadangan apabila Rabox dibasmi dari Windows ?

Gambar 8, Rabox membuat file duplkat dengan attibut hidden

Bagaimana untuk mengatasi Rabox ?

  1. Matikan hubungan komputer dengan jaringan intranet maupun internet.

  2. Jika menggunakan Windows ME/XP, matikan system restore untuk sementara selama proses pembersihan

  3. Sebaiknya lakukan pembersihan melalui “safe mode”

  4. Membersihkan virus ini relatif lebih mudah, karena ia tidak membuat string pada  key RUN pada registry editor, sehingga jika komputer tersebut di restart maka virus ini tidak aktif, kecuali jika anda menjalankan file yang sudah terinfeksi virus atau menjalankan file TXT, untuk memastikan apakah proses dari virus ini masih aktif di memeori anda dapat menggunakan tools Process Explorer, jalankan tools tersebut dan perhatikan apakah ada proses dengan nama lodctr32.exe dan dlhost.exe [dengan icon folder], jika ada sebaiknya anda matikan terlebih dahulu, perhatikan gambar 9 berikut:

Gambar 9, Matikan proses Rabox dengan Process Explorer

 Jika proses tersebut tidak ditemukan, anda dapat melanjutkan ke langkah pembersihan berikutnya

  1. Hapus registry key yang diubah oleh Rabox. Tulis script di bawah ini pad a program notepad, kemudian simpan sebagai (save as) “repair.inf” dan jalankan file tersebut dengan cara:

-          Klik kanan “repair.inf”

-          Pilih [install]

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Classes\exefile,,,application

HKLM, SOFTWARE\Classes\txtfile\shell\open\command,,,NOTEPAD.EXE %1

HKLM, SOFTWARE\Classes\Folder\DefaultIcon,,,%windir%\shell32.dll

HKLM, SOFTWARE\Classes\Directory\DefaultIcon,,,%windir%\shell32.dll

HKLM, SOFTWARE\Classes\Directory,AlwaysShowExt,,,0,

 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoFind

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoRun

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableRegistryTools

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableTaskMgr

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKLM, SOFTWARE\Microsoft\Security Center

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Hidden

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced,HideFileExt

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced,SuperHidden

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ClassicViewState

  1. Hapus file induk yang telah di buat oleh Rabox, sebelum menghapus file tersebut pastikan anda telah menampilkan semua file yang disembunyikan, setelah itu hapus file berikut:

Gambar 10, Kembalikan semua setting pada "folder options" yang dirubah oleh Rabox

 

-          C:\Documents and Settings\%users%\My Documents\Dlhost.exe

-          C:\Windows\lodctr32.exe

-          C:\Windows\system32\note.exe

-          C:\Folder Settings.exe

-          C:\Documents and Settings\suport\Start Menu\Programs\Startup\startup.exe

  1. Hapus file duplikat yang telah dibuat oleh Rabox, dengan ciri-ciri

-          Ukuran bervariasi [tergantung varian Rabox]

-          Type file “appplication”

-          Menggunakan icon Folder

Perhatikan gambar 11 di bawah ini

 

Gambar 11, File duplikat yang dibuat oleh Rabox

  1. Untuk mencegah infeksi ulang, sebaiknya gunakan antivirus yang sudah dapat mengenali virus ini dengan baik. (AJT)

Catatan:
Menurut pantauan Vaksincom, ada programmer Indonesia "Phillette" (GL-57 SBY Community) yang baik hati dan membuat Borax Remover dan dapat mempermudah anda membasmi Rabox pada komputer anda. Anda dapat menggunakan Borax Remover yang khusus dibuat untuk membersihkan virus ini, dari hasil pengujian tools tersebut cukup ampuh untuk membersihkan registry dan menghapus file induk dari virus tersebut, tetapi tools ini tidak mampu mendeteksi dan mengahapus file duplikat yang dibuat oleh virus, oleh karena itu kami sarankan agar anda tetap menggunakan antivirus yang sudah dapat mengenali virus ini dengan baik untuk mendeteksi dan menghapus setiap file duplikat yang dibuat oleh Rabox. Anda dapat mendownload Borax Remover (lihat gambar 12) dari :

http://rapidshare.de/files/17166661/BORAX_REMOVER_103.rar.html

http://www.savefile.com/files/1263486

Gambar 12, Tools pembasmi Rabox.

 

salam,

Adang Juhar Taufik
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160

Telp : 021-345 6850

Email : info@vaksin.com