|
W32/Rontokbro.LD 24 November 2006 Return of the “KERE”, hati-hati dengan SexyIndoGirls
Masih ingat dengan VBWorm.ZL dimana virus ini akan mencoba memanipulasi file dengan ekst. EXE, COM, BAT dan PIF sehingga jika anda menjalankan file dengan ekstesi tersebut, satu hal yang menjadi ciri utama adalah munculnya gambar mr.halloween yang disertai beberapa baris pesan dari sang pembuat virus.
Walaupun masih menggunakan bahasa VB tetapi aksi yang dilakukan patut mendapat acungan “jempol”. Dengan mencoba blok berbagai fungsi windows apalagi di dukung dengan kemampuan untuk memanipulasi ekst yang sudah disebutkan di atas pembersihan melalui DOS adalah langkah yang tepat untuk dilakukan.
Jika kita melihat ke belakang [Sejarah], Anda tentu masih ingat dengan sejarah perkembangan komputer, jika dulu komputer itu mempunyai ukuran yang “sangat” besar kini pada perkembangan selanjutnya komputer mempunyai ukuran yang sangat kecil dan jangan salah walaupun kecil ukurannya semakin canggih fiture dan teknologi yang ada didalamnya, begitupun dengan virus Rontokbro.LD, setelah kemunculan varian pertama yang mempunyai ukuran 88 KB [Norman mendeteksi sebagai W32/VBWorm.ZL], kini sang virus sudah mengeluarkan generasi kedua dengan ukuran lebih kecil yakni 80 KB dengan sedikit modifikasi virus ini berhasil berada setingkat lebih tinggi dari varian sebalumnya dan seperti pendahulunya untuk varian ini masih menggunakan bahasa VB. Walaupun varian kedua ini mempunyai ukuran lebih kecil tetapi aksi yang dilakukan nya jauh lebih cangggih dibandingkan varian awalnya hal ini sesuai dengan tuntutan jaman dimana semakin kecil ukuran dari sebuah virus maka semakin cepat pula virus tersebut akan menyebar dan semakin ganas payload yang dimilikinya.
Perbedaan yang menonjol dari kedua virus ini adalah dimana untuk varian kedua [Rontokbro.LD] mempunyai kemampuan untuk “Disable Klik kanan” dan blok semua file executable [EXE], jadi walaupun komputer anda sudah bersih dari Rontokbro.LD maka setiap kali anda menjalankan file executable [EXE] dari sebuah program akan muncul pesan error sehingga program tersebut tidak dapat dijalankan, selain itu Rontokbro.LD juga akan mencoba blok “shut Down/Restart/Log Off” dengan cara mematikannya ditambah dengan kemampuannya untuk melakukan restart jika user menjalankan fungsi REGEDIT.
Ciri utama dari virus ini sama dengan varian sebelumnya yakni akan memunculkan pesan setiap kali komputer dinyalakan dengan pesan judul “KERE”. (lihat gambar 1)
Gambar 1, Pesan yang ditampilkan setiap kali komputer booting
Dengan update terakhir Norman sudah dapat mengenali virus ini dengan baik sebagai Rontokbro.LD (lihat gambar 2)
Gambar 2, Hasil scanning antivirus Norman
Sama seperti pendahulunya Rontokbro.LD juga akan mencoba untuk blok dari berbagai arah agar dirinya tetap aktif hal ini diperparah dengan kemampuannya untuk manipulasi semua file yang mempunyai ekst. EXE dengan merubah string di registry agar jika setiap kali user menjalankan file dengan ekst. EXE maka secara otomatis akan menjalankan dirinya.
Selain itu Rontokbro.LD juga akan menyembunyikan file EXE dari sebuah program aplikasi yang dijalankan serta akan membuat file duplikat sesuai dengan nama file yang disembunyikan. selain manipulasi file dengan ekst. EXE, Rontokbro.LD juga akan manipulasi file dengan ext. COM, PIF, BAT dan LNK. Pembersihan melalui mode Normal, safe mode atau safe mode with command prompt akan sangat sulit dilakukan oleh karena itu pembersihan melalui DOS merupakan pilihan yang tepat yang dapat dilakukan.
Untuk mengelabui user, Rontokbro.LD akan menggunakan icon “Folder” dengan exstension EXE serta mempunyai type file sebagai “Application”, tetapi jika virus tersebut sudah menginfeksi komputer maka type file “Application” akan berubah menjadi “File Folder” dengan melakukan perubahan pada string registry, dengan demikian semakin sempurnalah penyamaran yang dilakukan oleh Rontokbro.LD (lihat gambar 3)
Gambar 3, File yang terinfeksi Rontokbro.LD
Jika file tersebut dijalankan maka akan muncul sebuah pesan dari si pembuat virus, jika pada varian awalnya akan mempunyai judul “Jeritan Suara Hati” tetapi untuk varian kedua akan mempunyai judul “KERE”, lihat gambar 1 :
Jika virus sudah menginfeksi komputer Rontokbro.LD akan membuat beberapa file induk yang akan dijalankan pertama kali setiap kali komputer dinyalakan, diantaranya:
- Data %user logon%.exe di setiap partisi Hard Disk - C:\kere.exe - Membuat folder KERE pada setiap Drive, dimana folder ini berisi 2 buah file dengan nama "folder.htt" dan "sexyIndoGirls.pif". - C:\Documents and Settings\All Users\Start Menu\Programs\Startup § Empty.pif § Empty.exe dan Startup.exe
- C:\Documents and Settings\Default User\Start Menu\Programs\Startup § Startup.exe - C:\Documents and Settings\%user%\Application Data\Microsoft\Word\STARTUP § Startup.exe
- C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup § Startup.exe - C:\Documents and Settings\%user%\Local Settings\Application Data § IExplorer.exe § shell.exe § csrss.exe § kere.exe § lsass.exe § services.exe § winlogon.exe - C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS § Csrss.exe § lsass.exe § services.exe § smss.exe § winlogon - C:\Documents and Settings\%user%\Start Menu\Programs\Startup § Startup.exe
- C:\Program Files\Microsoft Office\OFFICE11\STARTUP § Startup.exe - C:\Windows § kERe.exe
- C:\WINDOWS\system32 § MrBugs.scr § IExplorer.exe § Shell.exe - C:\Windows\Downloaded Program Files\SexyIndoGirls.pif - C:\Windows\Downloaded Program Files\CONFLICT.X\SexyIndoGirls.pif, dimana X menunjukan angka acak
------------------------------------------------------------------------------------------------------- Catatan: %user logon% menunjukan user yang digunakan untuk login ke windows -------------------------------------------------------------------------------------------------------
Sebagai penunjang agar file tersebut dapat dijalankan, ia akan membut beberapa string pada registry dibawah ini:
------------------------------------------------------------------------------------------------------- Catatan: %user logon% menunjukan user yang digunakan untuk login ke windows -------------------------------------------------------------------------------------------------------
Manipulasi Screen Saver Windows Selain itu Kere juga akan memanipulasi “Screen Saver Windows” [menyamar seolah-olah sebagai screen saver] dengan mengganti file yang akan di jalankan menjadi Mr.Bugs.scr file ini akan disimpan didirektori [C:\Windows\system32]. File ini akan dijalankan pada waktu-waktu yang telah ditentukan sehingga secara otomatis akan mengaktifkan dirinya. Untuk melakukan hal tersebut ia akan merubah string pada registry berikut:
C:\WINDOWS\System32\MRBugs.scr
Untuk mempertahankan dirinya Rontokbro.LD akan mencoba untuk melakukan Disable beberapa software security termasuk antivirus maupun fungsi windows seperti regedit, msconfig, task manager, folder option dan cmd selain itu Rontokbro.LD juga akan disable klik kanan [sedangkan pada VBWorm.ZL tidak disable klik kanan] dengan membuat string pada registry berikut:
Rontokbro.LD juga akan mematikan “system restore” dan blok file installer yang mempunyai ekst. MSI dengan membuat string pada registry berikut : (lihat gambar 4)
Gambar 4, Rontokbro.LD menyembunyikan tabulasi “System restore”
Manipulasi file .EXE, .COM, .BAT, .PIF dan .LNK Harap hati-hati... jika anda terinfeksi Rontokbro.LD [juga VBWorm.ZL] jangan sesering mungkin menjalankan file yang mempunyai ekst. .exe, .com, .bat, .pif dan .lnk karena jika anda menjalankan file dengan extension tersebut maka secara tidak langsung akan mengaktifkan virus tersebut. Untuk melakukan hal ini ia akan merubah string pada registry berikut:
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
Rontokbro.LD juga akan mebut merubah string pada registry berikut:
§ Auto = 1 § Debugger = "C:\WINDOWS\System32\Shell.exe"
Selain itu jika komputer anda sudah bersih dari pengaruh Rontokbro.LD tetapi selama anda tidak membersihkan string registry yang telah disebutkan di atas maka setiap kali anda menjalankan program yang mempunyai ekstensi .exe, .com, .pif, .lnk dan .bat maka akan muncul pesan error seperti terlihat pada gambar dibawah 5 dan 6 ini :
Gambar 5, Pesan error pada saat menjalankan program [gambar1]
Gambar 6
Menyembunyikan file eksekusi dari sebuah program Sama seperti pada varian sebalumnya [VBWorm.ZL] Rontokbro.LD juga akan menyembunyikan setiap file executable [.exe] dari sebuah program jika program tersebut dijalankan kemudian untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan dengan ciri-ciri:
Merubah type file dari “Application” menjadi “File Folder” Jika komputer anda terinfeksi virus ini coba perhatikan semua file yang mempunyai ext. EXE dimana sebelumnya akan mempunyai type sebagai file “Apllication” kini akan berubah menjadi “File Folder”. Rontokbro.DL sebenarnya mempunyai tujuan lain dalam merubah type file tersebut yakni agar user terkecoh dengan file yang sudah terinfeksi sehingga dengan “tenang” user akan menjalankan file tersebut, tapi kenapa hal ini bisa terjadi ??? hal ini disebabkan Rontokbro.LD akan menggunakan icon “Folder” sehingga dengan type file sebagai “File Folder” maka semakin sempurnalah penyamaran virus tersebut, karena user beranggapan file tersebut adalah “Folder” bukan “applikasi”. Untuk melakukan hal tersebut Rontokbro.LD akan merubah string pada registry berikut : (lihat gambar 7)
Gambar 7, Manipulasi registri oleh Kere yang mengakibatkan file virus terlihat “seolah-olah” folder
Manipulasi file MSVBVM60.dll Program bahasa yang digunakan untuk membuat Virus ini adalah bahasa VB. Anda pasti sudah tahu bahwa agar semua file yang dibuat dengan menggunakan bahasa VB tidak aktif [termasuk virus] anda hanya perlu merubah file msvbvm60.dll yang berada didirektori [C:\windows\system32] menjadi nama file lain [contoh: msvbvm60old]. Tetapi rupanya virus ini belajar dari pengalaman, dengan tujuan agar Rontokbro.LD dapat tetap aktif dan user kesulitan dalam merubah file tersebut maka Rontokbro.LD akan copy file yang sama [msvbvm60.dll] ke direktori [C:\windows] dengan attribut “hidden” begitupun file msvbvm60.dll yang ada di direktori [C:\windows\system32] juga akan disembunyikan.
Aktif pada mode safe mode dan safe mode with command prompt Sebagai upaya untuk mempertahankan dirinya, Rontokbro.LD akan tetap aktif walaupun komputer di booting pada mode “safe mode” dan “safe mode with command prompt” sehingga mempersulit proses pembersihan dengan melakukan perubahan pada registry berikut:
Membuat file duplikat Sebagai penutup Rontokbro.LD akan membuat file duplikat disetiap folder dan sub folder sesuai dengan nama folder/file yang ada di foldersubfolder tersebut dengan ciri-ciri
Media penyebaran Sama seperti varian awalnya [VBWorm.ZL], Untuk menyebarkan dirinya Rontokbro.LD masih menggunakan media Disket/UFD dengan copy beberapa file serta membuat file duplikat disetiap folder dan sub folder dengan nama file sesuai dengan nama folder yang disembunyikan, berikut beberapa file yang di copy ke media Disket/UFD:
Catatan: %user logon% menunjukan user yang digunakan untuk login ke windows Cara membersihkan Rontokbro.LD secara manual
Jika komputer anda terinstall Windows dengan OS NT/2000/XP/2003 dengan format NTFS anda dapat menggunakan software NTFS for DOS. Tools ini digunakan untuk membuat Disket Stratup yang nantinya digunakan untuk menghapus file induk virus tersebut, software ini dapat di download di alamat http://www.free-av.com/antivirclassic/avira_ntfs4dos.html. Setelah berhasil download dan menginstall software tersebut buat Disket Startup, untuk membuat disket stratup anda hanya membutuhkan 1 [satu] disket saja. Setelah sisket starup tersebut berhasil dibuat booting komputer melalui disket.
Sebagai informasi Rontokbro.LD dibuat dengan menggunakan program bahasa VB dengan demikian untuk mematikan proses virus tersebut untuk sementara waktu anda hanya perlu merubah file MSVBVM60.dll, Ingat !! virus ini juga akan membuat file MSVBVM60.dll pada direktori [C:\Windows] oleh karena itu selain anda merubah file MSVBVM60.dll di direktori [C:\Windows\System32] anda juga harus merubah file yang sama pada direktori [C:\Windows]
Jika anda menggunakan Software NTFS for DOS biasanya Drive System [C:\] akan menjadi Drive terakhir [contohnya: jika Hard Disk anda mempunyai 2 partisi maka partisi C:\ (system) menjadi D:\.
Setelah anda berhasil masuk ke dalam lingkungan DOS dengan menggunakan NTFS for DOS pastikan kursor berada di Drive system anda [contoh D:\] kemudian rename file MSVBVM60.dll yang ada didirektori [C:\Windows dan C:\Windows\system32] dengan terlebih dahulu masuk ke direktori yang telah disebutkan diatas terlebih dahulu. Setelah itu ketik perintah DIR /AH [untuk melihat file yang di sembunyikan] kemudian ketik kambali perintah ren msvbvm60.dll msvbvm60old kemudian tekan tombol [enter], untuk lebih jelasnya perhatikan gambar 8 dibawah ini :
Gambar 8, Merubah file msvbvm60.dll pad DOS Prompt
Setelah berhasil merubah file MSVBVM60.dll, restart komputer dan booting ke mode “normal”.
Pesan error setelah merubah file msvbvm60.dll Setelah anda merubah file msvbvm60.dll dan jika anda mencoba untuk menjalankan suatu program [bukan cuma program yang dibuat dengan Visual Basic saja] maka akan muncul pesan error “seolah-olah program tersebut tidak dapat menemukan file msvbvm60.dll” hal ini karena Rontokbro.LD akan mengalihkan ke lokasi file virus itu sendiri [C:\Windows\system32\shell.exe].Perhatikan gambar dibawah 9 ini
Gambar 9, Pesan error ketika menjalankan program
Tetapi Rontokbro.LD akan mencoba untuk blok fungsi klik kanan pada desktop atau file sehingga user akan kesulitan untuk menjalankan file tersebut [repair.inf], oleh karena itu anda harus mengaktifkan kembali fungsi klik kanan tersebut. Untuk mengaktifkan fungsi klik kanan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.bat dan jalankan file tersebut dengan cara klik 2 x file tersebut.
Dim oWSH: Set oWSH = CreateObject("WScript.Shell") on error resume Next oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools") oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu") oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerision\Policies\explorer\NoTrayCOntextMenu") oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu")
Setelah itu restart komputer dan booting pada mode “Normal”. Setelah fungsi klik kanan dapat kembali digunakan, hapus sisa string yang masih ada, untuk mempercepat salin script dibawah ini pada program notepad dan simpan dengan nama repair.inf kemudian jalankan file tersebut [klik repair.inf à klik install]
[Version] Signature="$Chicago$" Provider=Vaksincom
[DefaultInstall] AddReg=UnhookRegKey DelReg=del
[UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1"" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" hklm, SOFTWARE\Classes\lnkfile\shell\open\command,,,"""%1"" %*" HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug,Auto,0x00000020,0 HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug,Debugger,0, HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe" HKLM, SOFTWARE\Classes\exefile,,,"Application" HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKCU, Control Panel\Desktop, SCRNSAVE.EXE,0, HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0, "C:\Windows\system32\userinit.exe,"
[del] HKCU, Software\Microsoft\Windows\CurrentVersion\Run,kERe HKCU, Software\Microsoft\Windows\CurrentVersion\Run,MSMSGS HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFolderOptions HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System, DisableTaskMgr HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,System Monitoring HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System, DisableTaskMgr HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System, DisableRegistryTools HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoFolderOptions HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
------------------------------------------------------------------------------------------ Catatan: Sebelum menjalankan repair.inf lakukan pengecekan ulang pada script berikut:
Kemudian ganti pada baris C:\Windows\system32\userinit.exe, menjadi C:\Winnt\system32\userinit.exe, jika menggunakan Windows NT/2000, karena baris script diatas [C:\Windows\system32\userinit.exe] berlaku jika komputer terinstall Windows XP/2003.
Setelah menjalankan repair.inf sebaiknya Anda cek kembali registry berikut, karena untuk string yang dibuat akan berbeda-beda sesuai dengan login user yang digunakan pada komputer yang terinfeksi.
Kemudian hapus string Logon %user% dan Service %user% ------------------------------------------------------------------------------------------
· Data %user%.exe pada setiap partisi Hard Disk, dimana %user% menunjukan user yang digunaakn untuk login ke windows · C:\kere.exe · Membuat folder KERE pada setiap drive, dimana folder ini berisi 2 buah file dengan nama "folder.htt" dan "sexyIndoGirls.exe", kedua file ini akan disembunyikan · C:\Documents and Settings\All Users\Start Menu\Programs\Startup § Empty.pif § Empty.exe dan Startup.exe · C:\Documents and Settings\Default User\Start Menu\Programs\Startup § Startup.exe · C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup § Startup.exe · C:\Documents and Settings\%user%\Application Data\Microsoft\Word\STARTUP § Startup.exe · C:\Documents and Settings\%user%\Local Settings\Application Data § IExplorer.exe § shell.exe § csrss.exe § kere.exe § lsass.exe § services.exe § winlogon.exe · C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS § Csrss.exe § lsass.exe § services.exe § smss.exe § winlogon · C:\Documents and Settings\%user%\Start Menu\Programs\Startup § Startup.exe · C:\Program Files\Microsoft Office\OFFICE11\STARTUP § Startup.exe · C:\Windows § kERe.exe · C:\WINDOWS\system32 § MrHelloween.scr § shell.exe § IExplorer.exe § C:\Windows\Downloaded Program Files\SexyIndoGirls.pif § C:\Windows\Downloaded Program Files\CONFLICT.X\SexyIndoGirls.pif, dimana X menunjukan angka acak § Jika anda mempunyai Flash Disk sebaiknya cek dan hapus file yang mempunyai nama Data %user logon%.exe [contoh: Data Administrator] dan folder “KERE” [folder ini akan disembunyikan]
ATTRIB –h –r *.exe /s kemudian tekan tombol [enter] (lihat gambar 10)
Gambar 10, Mengembalikan file .exe yang disembunyikan oleh virus
Adang Juhar Taufik
PT. Vaksincom Jl. Tanah Abang III / 19E Jakarta 10160
Ph : 021 345 6850 Fx : 021 345 6851
|
