|
W32/Rabox
7 Mei 2006
Giliran Abang Tukang
Bakso yang jadi sasaran !!!
Boraks adalah bahan solder, bahan
pembersih, pengawet kayu, antiseptik kayu, dan pengontrol kecoak.
Sinonimnya natrium biborat, natrium piroborat, natrium tetraborat.
Sifatnya berwarna putih dan sedikit larut dalam air. Sering
mengonsumsi makanan berboraks akan menyebabkan gangguan otak, hati,
lemak, dan ginjal. Dalam jumlah banyak, boraks menyebabkan demam,
anuria (tidak terbentuknya urin), koma, merangsang sistem saraf
pusat, menimbulkan depresi, apatis, sianosis, tekanan darah turun,
kerusakan ginjal, pingsan, bahkan kematian. (http://wowsalman.blogspot.com/2006/01/bahaya-formalin-dan-boraks.html)
Bagi penggemar bakso tentunya masih ingat tentang
tingkah beberapa pembuat bakso yang mencampurkan zat kimia berbahaya
ke dalam bakso yang anda makan dan setelah hal tersebut tersebar ke
media, yang menjadi korban adalah hampir semua tukang bakso dimana
para langganannya tidak mau makan bakso yang dicampur dengan bahan
solder, antiseptik kayu dan pengontrol kecoak (memangnya siapa yang
mau disamakan dengan kecoa :P). Meskipun tujuan pencampuran boraks
dan formalin (yang memiliki spesialisasi sama-sama pengawet dimana
yang satu pengawet kayu dan lainnya pengawet mayat) tidak secara
sengaja untuk mencelakai konsumennya dan semata-mata hanya untuk
tujuan bisnis (supaya bakso dan tahu yang dijual lebih kenyal dan
awet) tentunya hal ini tidak dapat menjadi pembenaran dan harus
dihindari semaksimal mungkin karena dampak jangka panjang konsumsi
boraks dan formalin ini berbahaya bagi makhluk hidup (khususnya
species Homo Sapiens
http://en.wikipedia.org/wiki/Homo_sapiens).
Rupanya hal ini juga menggelitik
pembuat virus untuk mengangkat issue boraks ini dengan menyebarnya
W32/Rabox di Indonesia sejak awal April 2006.
Rupanya boraks tidak
hanya tersedia di dunia nyata, di dunia mayapun boraks kini sudah
ada dan beredar bebas, dan disalah gunakan boraks di dunia mayapun
akan mengakibatkan masalah serius bagi komputer terinfeksi.
Dengan up-date terbaru Norman sudah berhasil
mengenali virus ini dengan nama W32.Rabox (lihat gambar 1). Rabox
mempunyai beberapa aksi yang tidak jauh berbeda dengan virus lokal
lainnya, seperti disable registry editor, task manager, membuat file
duplikat dan lain-lain walaupun metode yang digunakan berbeda.

Gambar 1, Dengan
up-date terbaru Norman sudah dapat mengenali Rabox dengan baik
Sama seperti virus Codex, Rabox juga menyampaikan
pesan "kemanusiaan" ?? dimana dia akan memperingatkan bahwa bahan
pengawet boraks itu jika disalah gunakan akan merugikan kesehatan,
hal ini bisa dilihat dimana ia akan membuat file dengan nama
about.html didirektori [C:\Documents and Settings\suport\My
Documents], jika file tersebut di buka maka akan tampil Internet
Explorer yang berisi pesan seperti pada gambar 2 :

Gambar 2, Pesan yang
ditampilkan oleh komputer yang terinfeksi virus Rabox
Untuk mengelabui pengguna komputer, Rabox akan
menyamarkan icon yang menyertai file yang telah terifeksi yakni
dengan menggunakan icon “folder” tetapi jika diperhatikan file ini
sebenarnya berupa file aplikasi dengan ekstensi .exe, dengan ukuran
file bervariasi (sample virus yang kami analisa mempunyai ukuran 29
KB). Jika file tersebut dijalankan maka akan muncul pesan error
seolah-olah file tersebut sedang di digunakan (lihat gambar 3)

Gambar 3, Pesan
error palsu yang ditampilkan oleh Rabox
Setelah itu ia akan membuat beberapa file yang akan
berusaha dijalankan pertama kali setiap kali komputer dinyalakan,
seperti:
-
C:\Documents and
Settings\%users%\My Documents\Dlhost.exe
-
C:\Windows\lodctr32.exe
-
C:\Windows\system32\note.exe
Rabox sedikit berbeda dengan antivirus lokal lainnya
yang beredar, dimana Rabox tidak akan membuat string pada RUN pada
registry sehingga jika komputer yang telah terinfeks di restart maka
Rabox tidak akan aktif kecuali jika user mencoba menjalankan kembali
file yang telah terinfeksi. Sebenarnya ada satu taktik lagi yang
dilakukan Rabox agar ia dapat kembali aktif yaitu dengan cara
merubah link program “notepad” pada registry tools agar menjalankan
file yang telah terinfeksi Rabox yakni "note.exe" yang ada
didirektori C:\Windows\system32, sehingga jika user menjalankan file
text [.txt] secara tidak langsung akan mengaktifkan virus ini.
Untuk melakukan hal tersebut Rabox akan merubah
string pada registry key
-
Default = C:\WINDOWS\system32\NOTEPAD.EXE %1 menjadi
C:\WINDOWS\system32\NOTE.EXE %1
Rabox juga akan
merubah beberapa string pada registry key:
-
Shell = explorer.exe lodctr32.exe
-
Default = C:\WINDOWS\lodctr32.exe
-
Default = C:\WINDOWS\lodctr32.exe
-
AlwaysShowExt=1
Disable Fungsi
Windows
Seperti yang
dilakukan kebanyakan virus lokal lainnya, Rabox juga akan mencoba
untuk mematikan beberapa fungsi windows, seperti :
-
Registry Editor
-
Task Manager
-
Disable Run
-
Disable Search
Dengan membuat string pada registry berikut:
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
o
NoFind
o
NoRun
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer
o
NoFind
o
NoRun
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
o
DisableRegistryTools
o
DisableTaskmgr
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
o
DisableRegistryTools
o
DisableTaskmgr
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group
Policy
Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System
o
DisableRegistryTools
o
DisableTaskmgr
Perhatikan gambar 4
dibawah ini :

Gambar 4, Rabox
menghilangkan menu “Search” dan “Run”
Seperti yang sudah dijelaskan sebelumnya di atas,
bahwa Rabox akan mencoba untuk disable Task Manager, sehingga user
tidak dapat melihat atau mematikan proses dari virus ini. Jika user
mencoba untuk menjalankan TasK Manager maka tidak akan muncul pessan
error yang menyatakan bahwa Task Manager telah di Disable tetapi
Rabox akan mematikan tampilan layar monitor, jika hal ini terjadi
tekan sembarang tombol yang ada di keyboard untuk mengembalikan ke
posisi normal akan tetapi layar Task Manager tetap tidak dapat di
buka, sehiggga untuk mematikan proses ini anda harus menggunakan
tools pengganti seperti Process Explorer.
Disable System
Security
Bukan Cuma itu saja,
Rabox juga akan mencoba untuk disable system security termasuk
firewall dan antivirus dengan cara mematikan services “real time
monitor “ serta mencegah agar antivirus yang telah terinstall dapat
melakukan up-date dengan cara membuat key pada registri :
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
o
Security Center
§
AntiVirusDisableNotify
§
AntiVirusOverride
§
FirewallOverride
§
UpdatesDisableNotify
Walaupun Rabox tidak sampai menyembunyikan “Folder
Option” tetapi Rabox akan tetap melakukan beberapa setting pada
“Folder Option” seperti terlihat pada gambar 5 di bawah ini

Gambar 5, Rabox
mengubah beberapa setting pada folder options
Dengan membuat
string pada registry :
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
o
Hidden
o
HideFileExt
o
ShowSuperHidden
o
SuperHidden
o
ClassicViewState
Merubah type file
dari setiap file aplikasi
Seperti yang kita
ketahui bahwa setiap file dengan ekstensi .exe akan mempunyai tipe
sebagai “application”, rupanya dengan cerdik Rabox akan merubah tipe
dari setiap file yang mempunyai ekstensi .exe yakni dari
“application” menjadi “File Folder” trik ini juga digunakan agar
user kesulitan untuk membedakan mana “file folder asli” dan mana
“file yang sudah terinfeksi Rabox” karena sama-sama mempunyai tipe
“File Folder”, untuk melakukan hal itu Rabox akan merubah string
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
o
Default = File Folder
Perhatikan gambar 6 di bawah ini:

Gambar 6, Type file
yang di ubah Rabox
Seperti yang pernah dilakukan oleh virus Tabaru
dimana ia akan merubah Registered Owner dengan nama manORblack,
Rabox juga akan merubah registry Owner dan registry Organisasi
dengan nama Boraks (lihat gambar 7), dimana ia akan mengganti string
pada registy key :
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
o
RegisteredOrganization = .Boraks.Boraks.Boraks.Boraks.Boraks.
o
RegisteredOwner=
.Boraks.Boraks.Boraks.Boraks.Boraks.

Gambar 7, Rabox
merubah nama registrasi Windows dengan nama .BoRaX
Media penyebaran
Sama seperti
kebanyakan virus lokal yang beredar, Rabox akan menyebar melalui
Disket/UFD (USB Flash Disk) dengan membuat file dengan nama “Folder
Settings.exe” disamping itu ia juga akan membuat file disetiap
folder dan sub folder dimana file tersebut akan mempunyai nama yang
sama dengan folder atau sub folder tersebut.
Satu hal yang membedakan virus ini adalah dimana ia
akan membuat file disetiap folder dan sub folder tetapi file
tersebut akan disembunyikan (hidde) kecuali file yang dibuat di
UFD/Disket atau di Drive C:\ (lihat gambar 8), sebenarnya apa tujuan
Rabox malakukan hal ini ? Bukankah akan lebih baik jika file
duplikat tersebut tidak disembunyikan sehingga lebih memudahkan user
untuk menjalankannya, atau ada trik lain di balik semua ini ?
Ataukah ini
merupakan pertahanan cadangan apabila Rabox dibasmi dari Windows ?

Gambar 8, Rabox membuat file duplkat dengan attibut
hidden
Bagaimana untuk mengatasi Rabox ?
-
Matikan hubungan komputer dengan jaringan
intranet maupun internet.
-
Jika menggunakan
Windows ME/XP, matikan system restore untuk sementara selama
proses pembersihan
-
Sebaiknya lakukan
pembersihan melalui “safe mode”
-
Membersihkan virus ini relatif lebih mudah,
karena ia tidak membuat string pada key RUN pada registry
editor, sehingga jika komputer tersebut di restart maka virus
ini tidak aktif, kecuali jika anda menjalankan file yang sudah
terinfeksi virus atau menjalankan file TXT, untuk memastikan
apakah proses dari virus ini masih aktif di memeori anda dapat
menggunakan tools Process Explorer, jalankan tools tersebut dan
perhatikan apakah ada proses dengan nama lodctr32.exe dan
dlhost.exe [dengan icon folder], jika ada sebaiknya anda
matikan terlebih dahulu, perhatikan gambar 9 berikut:

Gambar 9,
Matikan proses Rabox dengan Process Explorer
Jika proses tersebut
tidak ditemukan, anda dapat melanjutkan ke langkah pembersihan
berikutnya
-
Hapus registry
key yang diubah oleh Rabox. Tulis script di bawah ini pad a
program notepad, kemudian simpan sebagai (save as) “repair.inf”
dan jalankan file tersebut dengan cara:
-
Klik kanan “repair.inf”
-
Pilih [install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM,
Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM,
Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"
HKLM,
SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0,
"cmd.exe"
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0,
"cmd.exe"
HKLM,
SOFTWARE\Classes\exefile,,,application
HKLM,
SOFTWARE\Classes\txtfile\shell\open\command,,,NOTEPAD.EXE %1
HKLM,
SOFTWARE\Classes\Folder\DefaultIcon,,,%windir%\shell32.dll
HKLM,
SOFTWARE\Classes\Directory\DefaultIcon,,,%windir%\shell32.dll
HKLM,
SOFTWARE\Classes\Directory,AlwaysShowExt,,,0,
[del]
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoFind
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoRun
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableRegistryTools
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableTaskMgr
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM,
SOFTWARE\Microsoft\Security Center
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Hidden
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced,HideFileExt
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced,SuperHidden
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ClassicViewState
-
Hapus file induk
yang telah di buat oleh Rabox, sebelum menghapus file tersebut
pastikan anda telah menampilkan semua file yang disembunyikan,
setelah itu hapus file berikut:

Gambar 10, Kembalikan semua
setting pada "folder options" yang dirubah oleh Rabox
-
C:\Documents and Settings\%users%\My
Documents\Dlhost.exe
-
C:\Windows\lodctr32.exe
-
C:\Windows\system32\note.exe
-
C:\Folder Settings.exe
-
C:\Documents and Settings\suport\Start
Menu\Programs\Startup\startup.exe
-
Hapus file
duplikat yang telah dibuat oleh Rabox, dengan ciri-ciri
-
Ukuran bervariasi [tergantung varian Rabox]
-
Type file “appplication”
-
Menggunakan icon Folder
Perhatikan gambar
11 di bawah ini

Gambar 11,
File duplikat yang dibuat oleh Rabox
-
Untuk mencegah
infeksi ulang, sebaiknya gunakan antivirus yang sudah dapat
mengenali virus ini dengan baik. (AJT)
Catatan:
Menurut pantauan Vaksincom, ada programmer
Indonesia "Phillette" (GL-57 SBY Community) yang baik hati dan
membuat Borax Remover dan dapat mempermudah anda membasmi Rabox pada
komputer anda.
Anda dapat menggunakan Borax Remover yang khusus
dibuat untuk membersihkan virus ini, dari hasil pengujian tools
tersebut cukup ampuh untuk membersihkan registry dan
menghapus file induk dari virus tersebut, tetapi tools ini tidak
mampu mendeteksi dan mengahapus file duplikat yang dibuat oleh
virus, oleh karena itu kami sarankan agar anda tetap menggunakan
antivirus yang sudah dapat mengenali virus ini dengan baik untuk
mendeteksi dan menghapus setiap file duplikat yang dibuat oleh
Rabox. Anda dapat mendownload Borax Remover (lihat gambar 12) dari :
http://rapidshare.de/files/17166661/BORAX_REMOVER_103.rar.html
http://www.savefile.com/files/1263486

Gambar 12, Tools
pembasmi Rabox.
salam,
Adang Juhar Taufik
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Telp : 021-345 6850
Email : info@vaksin.com |