|
VBWorm.MOS (Babon) 3 Januari 2007 Jangan mau terima “Wangsit” dari “Cewe Imoet”
Link : Download Removal Babon (VBWorm.MOS) dari www.vaksin.com/removal
Kalau bertemu Cewe Imut di jalan, mungkin kamu akan mengajak kenalan, ngobrol siapa tahu bisa jadi teman. Tetapi jika kamu bertemu dengan file “cewe_imoet.exe” dengan ukuran 49 KB di root C:\ pada komputer (lihat gambar 1), sebaiknya jangan diajak kenalan karena itu adalah virus VBWorm.MOS atau lebih ngetop dengan nama Babon. Terlebih lagi jika ditandai dengan dengan kemunculan satu file dengan nama wangsit.txt disetiap drive (lihat gambar 2). Virus yang kemungkinan berasal dari Sampit ini termasuk kedalam golongan virus yang membutuhkan teknik pembersihan yang “lumayan” rumit karena virus ini akan aktif setiap kali ada menjalankan file eksekusi [exe] dari suatu program ditambah dengan kemampuannya yang dapat aktif pada mode “safe mode” atau “safe mode with command prompt”, ciri lain yang mudah anda kenali adalah akan muncul sebuah pesan Welcome Friend - Please enjoy the Babon Entertainment ^_^ setiap kali komputer dinyalakan, pesan ini akan mucul sebelum anda memasukan user name dan password Windows [hal ini juga pernah terjadi pada kasus virus W32/VBWorm.NA]
Gambar 1, Cewe Imoet yang perlu kamu hindari
Gambar 2, “Wangsit” yang di tinggalkan oleh VBWorm.MOS
Dengan up-date terakhir Norman Virus Control sudah dapat mengenali wangsit ..eh... virus ini sebagai VBWorm.MOS. (lihat gambar 3)
Gambar 3, Hasil Scanning Norman Virus Control
Seperti biasanya virus akan membuat beberapa file induk yang akan dijalankan pertama kali setiap kali komputer dinyalakan. Adapun beberapa file induk yang akan dibuat oleh VBWorm.MOS :
· C:\babon.exe · C:\Windows\System32 § shell.exe § IExplorer.exe § IExplorer .exe § babon.scr · C:\Windows\babon.exe · C:\wangsit.txt · C:\Cewek_Imoet.exe · C:\File_Rahasia %user%.exe [contoh: File_Rahasia administrator.exe] · C:\Documents and Settings\%user%\Local Settings\Application Data § csrss.exe § lsass.exe § smss.exe § winlogon.exe § babon.exe § shell.exe § Empty.Pif § IExplorer.exe · C:\Documents and Settings\%user%\Local Settings\Application Data\Windows § csrss.exe § lsass.exe § smss.exe § winlogon.exe · C:\Documents and Settings\%user%\Start Menu\Programs\Startup\Startup .exe · C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\startup.exe · C:\Documents and Settings\All Users\Start Menu\Programs\Startup § Empty.pif § Empty .exe § Startup .exe § C:\WINDOWS\babon.exe
Agar file tersebut dapat dijalankan secara otomatis, VBWorm.MOS akan membuat beberapa string pada registri berikut:
Regedit, Task manager, Run, Search, Menu shutdown, Menu logoff, Control Panels, Klik kanan pada taskbar, System Restore dan File Microsoft Installer [MSI] adalah segambreng fungsi Windows yang akan diblok oleh VBWorm.MOS sehingga akan mempersulit pada proses pembersihan. Ditambah lagi dengan kemampuannya untuk menyembunyikan setiap file eksekusi [EXE]. Jika .EXE dijalankan maka komputer secara otomatis akan menjalankan virus ini, dan ibarat memborong di Amngga Dua, virus ini juga akan aktif jika jika user menjalankan file yang mempunyai ext. COM, BAT dan PIF .
Berikut beberapa string registry yang akan dibuat oleh VBWorm.MOS untuk memblok beberapa fungsi Windows tersebut diatas:
Selain blok beberapa fungsi Windows di atas, VBVWorm.MOS juga akan melakukan manipulasi file yang mempunyai ekst. EXE, COM, BAT dan PIF sehingga jika user menjalankan file dengan ekst. di atas maka secara tidak langsung akan mengaktifkan dirinya. VBWorm.MOS juga akan menyembunyikan file eksekusi dari suatu program jika file tersebut. Untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan. Untuk melakukan hal tersebut VBWorm.MOS akan merubah string pada registry berikut:
Catatan: Jika anda berhasil membersihkan virus tersebut tetapi tidak membersihkan string yang sudah dibuat di atas maka setiap kali anda menjalankan file dengan ekst. exe/com/bat dan pif maka akan muncul pesan error berikut : (lihat gambar 4)
Gambar 4, Pesan error sewaktu menjalankan file eksekusi jika registry yang dirubah VBWorm.MOS belum dibenahi
Jika anda perhatikan format jam tulisan [AM/PM] yang ada di Task Bar kanan bawah juga akan berubah menjadi Babon, perhatikan gambar 5 dibawah ini:
Gambar 5, VBWorm.MOS merubah format AM/PM menjadi Babon
Untuk melakukan hal tersebut VBWorm.MOS akan merubah string pada registri berikut:
Selain itu VBWorm.MOS akan merubah setting Screen Saver pada komputer dengan tujuan untuk mengaktifkan dirinya pada waktu-waktu yang telah ditentukan dengan merubah string pada registry berikut:
My Documets, My Computers, My Network Place dan RecycledBin juga tak luput dari incaran VBWorm.MOS, kali ini VBWorm.MOS akan merubah info tips Windows seperti:
Untuk melakukan hal tersebut, VBWorm.MOS akan merubah string pada registry berikut:
Gambar 6, VBWorm.MOS merubah info tips windows
Selain itu VBWorm.MOS juga akan menyembunyikan option “Hide Protected Operating system files (recommended)” dan menambahkan option “Boban keren” pada Folder Options [perhatikan gambar 7] dengan terlebih dahulu merubah string pada registry berikut:
Gambar 7, Babon Keren ditampilkan pada Folder Options
Setelah menu “Folder Options” diatas giliran “Internet Explorer” yang menjadi incaran VBWorm.MOS yakni dengan merubah Start Page dan Search Page ke alamat : www.jasakom.com, dengan merubah string pada registry berikut:
VBWorm.MOS juga akan merubah type file dari “Application” menjadi “File Folder” sehingga user akan mudah terjebak untuk menjalankan file yang sudah terinfeksi VBWorm.MOS karena setiap file yang terinfeksi tersebut akan menggunakan icon “Folder” maka dengan mempunyai type file sebagai “File Folder” akan semakin sempurna penyemaran VBWorm.MOS, untuk melakukan hal tersebut ia akan merubah string pada registry berikut : (lihat gambar 8)
Gambar 8, VBWOrm.MOS merubah type dari file “Application” menjadi “File Folder”
Jangan terkejut jika VBWorm.MOS akan merubah nama pemilik dan nama organisasi dari komputer anda, hal ini juga pernah dilakukan oleh virus lokal lainnya [seperti Borax] dengan merubah string pada registry berikut : (lihat gambar 9)
Gambar 9, VBWorm.MOS merubah “nama pemilik dan organisasi” Windows
Begitupun setiap kali komputer yang terinfeksi dinyalakan maka akan muncul sebuah pesan Welcome Friend - Please enjoy the Babon Entertainment ^_^ dari sang pembuat virus sebelum anda memasukan user name dan pasword windows, dengan merubah string pada registry berikut:
Sebagai penutup,VBWorm.MOS akan membuat file duplikat disetiap Folder dengan ciri-ciri:
Sebagai media penyebaran Virus ini akan menggunakan media Disket/Flash Disk dengan membuat beberapa file berikut: · wangsit.txt · Cewek_Imoet.exe · File_Rahasia %user%.exe [contoh: File_Rahasia administrator.exe]
Cara membersihkan virus W32/VBWORM.MOS [Babon]
Untuk merubah file MSVBVM60.dll tersebut, terlebih dahulu anda buat diseket Startup karena file tersebut akan diubah pada mode DOS. Untuk membuat disket startup anda dapat menggunakan software NTFS 4 DOS, tools ini dapat di download di alamat http://www.wsdownload.de/download/ntfs4dos/ntfsinst.exe
Setelah anda berhasil membuat disket Startup, masukan disket startup yang baru dibuat tadi ke Floppy Disk dan boting komputer melalui Disket, setelah berhasil masuk ke mode DOS kemudian masuk ke Drive System dengan mengetik perintah %drive system%: kemudian tekan tombol “enter” pada keyboard [contoh: D: kemudain tekan tombol “enter”] setelah itu masuk ke direktori \Windows dengan mengetik CD WINDOWS kemudain tekan tombol “enter”, setelah itu ketik perintah dibawah ini:
· DIR/AH kemudain tekan enter pada keyboard [untuk melihat file yang disembunyikan], jika di direktori ini ditemukan file MSVBVM60.DLL kemudian ketik perintah dibawah ini · REN MSVBVM60.DLL MSVBVM60OLD kemudian tekan tombol enter pada keyboard
Rubah juga file MSVBVM60.dll yang ada di direktori ..\Windows\system32, dengan mengunakan perintah yang sama seperti di atas. (lihat gambar 10)
Gambar 10, Merubah nama file MSVBVM60.dll untuk melumpuhkan Babon
Setelah file tersebut berhasil di rubah, restart komputer dan booting ke mode "Normal", jika komputer anda booting ke mode normal maka akan muncul beberapa pesan error (lihat gambar 11), hal ini menandakan bahwa virus tersebut gagal untuk dijalankan [aktif] kerena tidak menemukan file MSVBVM60.dll hal ini disebabkan virus ini dibuat dengan menggunakan bahasa Visual Basic. Jika muncul pesan tersebut klik tombol [OK]
Gambar 11, Pesan error yang muncul karena rename file MSVBVM60.dll
Dim oWSH: Set oWSH = CreateObject("WScript.Shell") on error resume Next oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*" oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*" oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*" oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*" oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools") oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe" oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe" oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe" oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe" oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\International\s1159","AM" oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\International\s2359", "PM" oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization","Your Organization" oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","YourOwner" oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductName","Windows XP" oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId","Product ID" oWSH.Regwrite "HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\LocalizedString","Recycle Bin" oWSH.Regwrite "HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\LocalizedString","My Computer" oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\LocalizedString","My Computer" oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\","Application" oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\Debugger","" oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page","About:Blank" oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page","About:Blank" oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE","" oWSH.RegDelete("HKEY_LOCAL_MACHINESOFTWARE\Classes\inffile\shell\Install\command\Default") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispSettingsPage") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\babon") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetTaskbar") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoUserNameInStartMenu") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff") oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR") oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig") oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Monitoring") oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableCMD") oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText") oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption") oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\LimitSystemRestoreCheckpointing") oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\DisableMSI") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\@C:\WINDOWS\system32\SHELL32.dll,-9227") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\@C:\WINDOWS\system32\SHELL32.dll,-8964") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\@C:\WINDOWS\system32\SHELL32.dll,-9217") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\@C:\WINDOWS\system32\shell32.dll,-9104") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\@C:\WINDOWS\system32\SHELL32.dll,-9216") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\@C:\WINDOWS\system32\shell32.dll,-9218") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\@shell32.dll,-30503") oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Windows Title")
Setelah menjalankan file repair.vbs, restart komputer
Catatan: jika info tips Windows Babon's Document dan Babon's Network masih belum berubah sebaiknya anda ubah string yang sudah diubah oleh virus secara manual dengan terlebih dahulu membuka program regedit.exe, kemudian telusuri key dibawah ini:
· HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache § @C:\WINDOWS\system32\SHELL32.dll,-9227, ubah value Babon's Document menjadi My Document § @C:\WINDOWS\system32\SHELL32.dll,-9217, ubah value Babon's Network menjadi My Network Places
Gambar 12, Menampilkan file yang disembunyikan
Setelah itu hapus file induk berikut · C:\babon.exe · C:\Windows\System32 § shell.exe § IExplorer.exe § IExplorer .exe § babon.scr
· C:\Windows\babon.exe · C:\wangsit.txt [disetiap drive] · C:\Cewek_Imoet.exe · C:\File_Rahasia %user%.exe [contoh: File_Rahasia administrator.exe] · C:\Documents and Settings\%user%\Local Settings\Application Data § csrss.exe § lsass.exe § smss.exe § winlogon.exe § babon.exe § shell.exe § Empty.Pif § IExplorer.exe · C:\Documents and Settings\%user%\Local Settings\Application Data\Windows § csrss.exe § lsass.exe § smss.exe § winlogon.exe · C:\Documents and Settings\%user%\Start Menu\Programs\Startup\Startup .exe · C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\startup.exe · C:\Documents and Settings\All Users\Start Menu\Programs\Startup § Empty.pif § Empty .exe § Startup .exe § C:\WINDOWS\babon.exe
· Menggunakan icon "Folder" · Ext. EXE · Tpe file "Application" · Ukuran file 49 KB
Aj Tau
PT. Vaksincom Jl. Tanah Abang III / 19E Jakarta 10160
Ph : 021 345 6850 Fx : 021 345 6851 |
