W32/VBWorm.MLG       22 November 2006

“Pembasmi Virus” PCMAV gadungan yang Anti USA

Pesan Seminar 7 (tujuh) hari lagi :

Ikuti Seminar Sekuriti tahunan (Full Day) yang diadakan oleh PT. Vaksincom pada tanggal 29 November 2006 menampilkan team Vaksincom Adang Juhar Taufik (Senior Vaksinis), Alfons Tanujaya (Antivirus Specialist), Dani Firman Syah (Security Specialist), Deddy Kristiady Tirtasaputra (Security Specialist Microsoft Indonesia), Onno W Purbo (ICT Expert) dan Righard J. Zwienenberg (Chief Research Officer - Norman Data Defense System) di Mercantile Club. Selain mendapatkan Norman Virus Control for Corporate + Free update dan support 3 bulan. Pihak sponsor seperti Jaya Ancol, Jamu Puspo, Microsoft dan Alfa Artha Andaya juga memberikan souvenir menarik seperti tiker masuk Dufan, Gelanggang Samudra, Gelanggang Renang dan Paket suplemen kesehatan senilai ratusa ribu rupiah dari Jamu Puspo.

Dapatkan hadiah puncak 2 (dua) buah Laptop MSI DoorPrize untuk peserta seminar.

Pengantar :

Demonstrasi cermin demokrasi, demikian ujar Presiden Bush. Tetapi yang satu ini jelas berbeda dari demonstasi. Virus yang menampilkan pesan anti USA menyebar dalam dua hari terakhir. Virus yang marak menyebarkan dirinya melalui email tersebut dengan cerdik memalsukan diri sebagai solusi antivirus lokal PCMAV dan datang dalam beberapa bentuk lampiran email, baik terkompres maupun tidak. Celakanya, sampai informasi ini di turunkan (22 November 2006, 01:02 pagi), vendor antivirus top dunia masih belum mampu mendeteksi virus ini dan meloloskan semua email yang mengandung virus VBWorm.MLG ini. Tentunya, rata-rata pengguna internet Indonesia yang terbiasa menggunakan PCMAV ini dengan “sukarela” menjalankan hadiah “antivirus” yang baru diterimanya dengan harapan dapat membasmi (siapa tahu) ada virus baru dari komputernya. Tidak dinyana, si pembasmi virus ini merupakan virus berbulu antivirus (red.. serigala berbulu domba). Untungnya (sudah kena virus masih untung :P), virus ini tidak terlalu jahat dan tidak menghancurkan data.

Jika ormas-ormas menolak kedatangan Presiden AS dengan berdemo, lain lagi dengan cara yang dilakukan oleh pembuat virus. Mereka meluncurkan virus anti USA (meskipun virus ini di coding menggunakan VB Script pada komputer yang menggunakan prosesor USA). Agar virus tersebut dapat menyebar dengan baik pembuat virus ini harus mencari rekayasa sosial yang tepat. Salah satu rekayasa sosial yang menurut pengamatan Vaksincom cukup cermat adalah memanfaatkan ketenaran dari salah satu produk antivirus lokal yang diproduksi oleh salah satu majalah IT di Indonesia yakni PC Media Antivirus [PCMAV] dengan menyamarkan dirinya sebagai software PCMAV versi terbaru. Hebatnya, email tersebut dikirim seolah-olah dari pembuat PCMAV [menggunakan domain pcme*ia.co.id] tersebut. Jika email tersebut diterima oleh para pengguna PCMAV maka kesempatan virus ini untuk menyebar sangat besar sekali dan dengan kesadaran penuh penerima email ini pasti dengan senang hati akan menjalankan file yang dikirimkan tersebut [Ibarat kaum hawa sulit menolak diskon 50 % di department store (merkipun sebelumnya harga sudah dinaikkan 75 % dahulu), sulit bagi kita untuk menolak software gratis]

Jadi.... hati-hati, jika anda menerima email yang mengandung file PCMAV baik dalam keadaan terkompres (lihat gambar 1) maupun tidak terkompres (lihat gambar 2), yang menginformasikan mengenai software PCMAV versi terbaru disertai dengan lampiran PCMAV-RC9.exe sebaiknya anda hapus jika anda tidak ingin menjadi korban selanjutnya.

Gambar 1, Email virus W32/VBWorm.MLG yang memalsukan antivirus PCMAV yang terkompres

Gambar 2, W32/VBWorm.MLG yang memalsukan diri sebagai PCMAV antivirus RC9

Sampai saat berita ini diturunkan belum ada vendor antivirus yang dapat mengenali virus ini, saat ini Norman Virus Control mengenali virrus ini sebagai W32/VBWorm.MLG. (lihat gambar 3)

Gambar 3, Hasil deteksi virus W32/VBWorm.MLG oleh antivirus Norman

Salah satu ciri utama jika komputer anda terinfeksi virus VBWorm.MLG adalah akan muncul beberapa pesan berupa dialog box yang berisi pesan “AntiUSA” , “permission denied” setiap kali komputer tersebut dinyalakan. (lihat gambar 4)

Gambar 4, Pesan yang muncul setiap kali komputer korban W32/VBWorm.MLG dinyalakan

VBWorm.MLG masih dibuat dengan program bahasa VB dan di kompresi dengan menggunakan UPX. Virus ini akan mempunyai icon “Folder” dengan ekst. EXE dan mempunyai type file sebagai “Application”, selain itu VBWorm.MLG akan mengkompres file tersebut dalam bentuk automatic extract sehingga icon yang digunakan sudah tidak terlihat menggunakan “Folder” lagi. (lihat gambar 5 dan 6)

Gambar 5, File virus sebelum di kompres

Gambar 6, File virus setelah dikompres

File virus VBWorm.MLG sebelum di kompres akan mempunyai ukuran sebesar  87 KB, ukuran ini akan mengecil (sedikit) setelah file tersebut dikompres sebagai file Extract yakni sebesar 85 KB. Tetapi ciri khas Type file sebagai “Application” tetap terlihat sehingga pengguna komputer yang jeli akan dapat mengetahui bahwa folder yang dipalsukan oleh virus PCMAV sebenarnya adalah virus.

Jika file tersebut dijalankan akan muncul pesan error [lihat gambar 7 di bawah ini]

Gambar 7, Pesan error jika menjalankan file virus

Sudah menjadi aturan baku bahwa setiap virus akan membuat file induk yang akan dijalankan pertama kali setiap kali komputer tersebut dijalankan, begitupun dengan VBWorm.MLG dimana ia akan membuat file induk di direktori berikut :

• C:\Windows\System32\AntiUSA.exe

• C:\Windows\System32\Winlogin.exe

• C:\Windows\AntiUSA.exe

Untuk mengelabui user VBWorm.MLG juga akan membuat 3 file di Drive C:\ dengan nama :

• C:\Data Rahasia.exe

• C:\My Documents.exe

• C:\My Downloads.exe

File tersebut akan mempunyai ciri-ciri :

• Mempunyai ukuran file 87 KB

• Menggunakan icon “Folder”

• Ekstension .EXE

• Type file “Application”

Agar file induk tersebut dapat dijalankan setiap kali komputer tersebut dinyalakan VbWorm.MLG akan membuat sting pada registry berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

• Services = C:\WINDOWS\system32\winlogin.exe

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

• Services = C:\WINDOWS\system32\winlogin.exe

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

• Services = C:\WINDOWS\system32\winlogin.exe

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

• Services = C:\WINDOWS\system32\winlogin.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

• Services = C:\WINDOWS\system32\winlogin.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

• Services = C:\WINDOWS\system32\winlogin.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

• Services = C:\WINDOWS\system32\winlogin.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

• Services = C:\WINDOWS\system32\winlogin.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

• Services = C:\WINDOWS\system32\winlogin.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

• userinit = userinit.exe C:\WINDOWS\system32\winlogin.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

• Winlogon = Explorer.exe C:\WINDOWS\system32\winlogin.exe

Selain itu VBWorm.MLG juga akan memodifikasi file win.ini dan system.ini yang berada di direktori [C:\Windows] dengan menambahkan baris perintah :

-          Pada file Win.ini (lihat gambar 8)

-          LOAD=C:\WINDOWS\system32\winlogin.exe

-          RUN=C:\WINDOWS\system32\winlogin.exe

                  Gambar 8, File Win.ini yang sudah di modifikasi oleh VBWorm.MLG

-          Pada file System.ini (lihat gambar 9)

-          shell=explorer.exe C:\WINDOWS\system32\winlogin.exe

-          shell=explorer.exe C:\WINDOWS\system32\winlogin.exe

                  Gambar 9, File System.ini yang sudah di modifikasi oleh VBWorm.MLG

VBWorm.MLG tergolong virus yang mudah untuk dibersihkan, virus ini juga cukup “baik hati” tidak sampai merusak data dan tidak membuat file duplikat disetiap folder dan sub folder sehingga anda tidak memenuhi space Hard Disk. Walaupun demikian VBWorm.MLG akan tetap melakukan blok terhadap beberapa fungsi Windows seperti:

• Disable registry editor

• Disable menu RUN

• Disable menu Search

• Disable Deskop

• Disable menu Shutdown

Untuk melakukan hal tersebut VBWorm.MLG akan membuat string pada registry editor berikut:

§         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

-          NoClose

-          NoDesktop

-          NoDrives

-          NoFind

-          NoRun

§         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

-          DisableRegistryTools

-          NoDiskCpl

§         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp

-          Disable = 1

VBWorm.MLG tidak akan melakukan blok terhadap tools security seperti procexp, killbox atau Hijackthis.

Menyebar melalui email

Untuk menyebarkan dirinya VBWorm.MLG akan mengambil semua alamat email yang ada di komputer yang terinfeksi untuk kemudian akan menyebarkan dirinya kesemua alamat email yang sudah diperolehnya dimana email tersebut seolah-olah dikirim dari PCME*IA [xxxx@pcme*ia.co.id] dengan attcahment PCMAV-RC9.ZIP

Selain itu VBWorm.MLG juga akan mencoba untuk melakukan koneksi ke sejumlah URL pemerintahan yang sudah ditentukan khususnya website Departemen Pertahanan milik Negara Indonesia dan USA diantaranya :

• www.dmcindonesia.web.id

• www.dmc.dephan.go.id

• www.dephan.go.id

• www.state.gov

• ww.defenselink.mil

Cara mengatai VBWorm.MLG

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan

2. Disable “system retore” selama proses pembersihan [jika menggunakan windows ME/XP]

3. Matikan proses virus yang sedang aktif di memori. Untuk mematikan proses virus yang sedang aktif  anda dapat menggunakan windows tools “Security task Manager” [http://www.neuber.com/taskmanager/index.html] kemudian matikan proses yang mempunyai icon “Folder” [contohnya: 201106]. (lihat gambar 10)

Gambar 10, Menghentikan proses virus VBWORM.MLG yang aktif di memori

4. Hapus string registry yang sudah diubah oleh virus, untuk mempercepat proses penghapusan salin script dibawah ini  pada program Notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara:

§         Klik kanan repair.inf

§         Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, userinit,0, "C:\Windows\system32\userinit.exe,"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\RunOnce, services

HKCU, Software\Microsoft\Windows\CurrentVersion\RunServices, services

HKCU, Software\Microsoft\Windows\CurrentVersion\RunServicesOnce, services

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, services

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, services

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx, services

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, services

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce, services

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, services

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, winlogon

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoClose

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDesktop

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDrives

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, NoDiskCpl

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp, Disabled

5. Hapus baris perintah yang sudah dibuat oleh VbWorm.MLG pada file Win.ini dan System.ini  yang berada didirektori [C:\Windows]

§         Pada file Win.ini hapus baris perintah berikut

§         LOAD=C:\WINDOWS\system32\winlogin.exe

§         RUN=C:\WINDOWS\system32\winlogin.exe

§         Pada file system.ini hapus baris perintah berikut

§         shell=explorer.exe C:\WINDOWS\system32\winlogin.exe

§         shell=explorer.exe C:\WINDOWS\system32\winlogin.exe

6. Hapus file induk yang dibuat oleh VBWorm.MLG

§         C:\Windows\system32\AntiUSA.exe

§         C:\Windows\system32\Winlogin.exe

§         C:\Windows\AntiUSA.exe

§         C:\Data Rahasia.exe

§         C:\My Documents.exe

§         C:\My Downloads.exe

7. Untuk pembersihan optimal dan guna mecegah infeksi ulang gunakan Norman Virus Control yang sudah dapat mendeteksi virus ini.

Salam,

Ajuta

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 6851