W32/VBWorm.MPT       31 Januari 2007

Robin Hood ber blankon yang kebablasan

 

 

Jika anda menanyakan, virus pendatang baru apa yang paling banyak menyebar di bulan Januari 2007, jawabannya adalah sebuah teka-teki. Pendek, Kekar, pakai blankon. J. Tidak lain dialah virus W32/VBWorm.MPT atau yang lebih dikenal dengan nama Pendekar (pendek, kekar) Blank. Sample yang diterima oleh Vaksincom sejak awal Januari menunjukkan bahwa virus ini menyebar cukup merata dan ribuan komputer di Indonesia terinfeksi oleh virus pendek, kekar, pakai blankon alias Pendekar Blank. Mungkin terinspirasi Sinetron Indonesia yang kalau sukses langsung keluar seri ke dua, seri ke tiga dan seterusnya kelihatannya pembuat virus ini sudah bersiap-siap untuk mengeluarkan versi berikutnya karena dia mengidentifikasikan dirinya sebagai Pendekar Blank 1. Pendekar Blankon ini mengklaim dirinya sebagai Pahlawan Bertopeng dan ingin memberantas kejahatan di muka bumi, memberantas dan mengamankan komputer dari virus lokal. Padahal kejahatan di mukanya sendiri dia biarkan, terbukti dengan dirinya membuat virus dan menyusahkan pengguna komputer. (lihat gambar 1)

 

Gambar 1, Pesan yang diberikan oleh Pendekar Blank 1.

 

 

Pesan tersebut dituangkan dalam sebuah file dengan nama (Read Me)Pendekar Blank.txt pada drive C:\.

 

Dengan update terbaru Norman Virus Control mendeteksi virus ini sebagai VBWorm.MPT sejak awal Januari 2007. (lihat gambar 2)

 

Gambar2 Norman mendeteksi Pendekar Blank sebagai W32/VBWorm.MPT

 

Virus ini kemungkinan dibuat dengan menggunakan bahasa Visual Basic dengan ukuran sekitar 34 KB. Untuk mengelabui user ia akan menggunakan icon dengan bentuk “Folder” dengan ekst. EXE, perhatikan gambar 3 dibawah :

 

Gambar 3 File induk VBWorm.MPT

 

Untuk mempertahankan dirinya ia akan membuat beberapa file induk yang akan disebarkan di beberapa lokasi serta disembunyikan sehingga user akan kesulitan untuk menghapus file tersebut, beberapa file induk yang akan dibuat diantaranya:

 

-          C:\(Read Me)Pendekar Blank.txt

 

-          C:\WINDOWS\system32\dllChache

§         Blank.doc

§         Empty.jpg

§         Hole.ZIP

§         Msvbvm60.dll

§         Zero.txt

§         Unoccupied.reg

-          C:\AUT0EXEC.BAT

-          C:\Msvbvm60.dll

-          C:\WINDOWS\system32

§         dllchache.exe

§         M5VBVM60.EXE

§         rund1132.exe

§         Regedit32.com

§         Shell32.com

 

Agar file tersebut dapat dijalankan secara otomatis tanpa bantuan user, ia akan membuat beberapa string pada registry berikut:

 

-          HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

            - Secure32 = C:\WINDOWS\system32\dllcache\Shell32.com StartUp

            - Secure64 = C:\WINDOWS\system32\dllcache\Regedit32.com StartUp

-          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

-          Blank AntiViri = C:\AUT0EXEC.BAT StartUp

-          HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon    

-          shell = explorer.exe

-          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

-          userinit = C:\WINDOWS\system32\userinit.exe,

"C:\WINDOWS\system32\M5VBVM60.EXE StartUp"

Sebagai upaya agar dirinya tetap aktif walaupun komputer booting pada mode “safe mode with command prompt” ia akan merubah string pada registri berikut:

-          HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

            - AlternateShell = C:\AUT0EXEC.BAT StartUp

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

            - AlternateShell = C:\AUT0EXEC.BAT StartUp

 

Kabar baiknya, VBWorm.MPT  tidak akan melakukan blok terhadap fungsi windows seperti Task Manager / Msconfig atau regedit walaupun demikian ia akan tetap mencoba untuk blok fungsi “Folder Options” dengan mengaktifkan option “Do not show hidden file and folders”, “Hide extension for known file types” dan “Hide protected operating systems file (recommended)” sehingga walaupun user berusaha untuk merubah settings pada “Folder Options” tersebut VBWorm.MPT akan mengembalikan kembali ke setting semula. VBWorm.MPT juga akan menyembunyikan folder C:\Windows\System32 dan sebagai gantinya ia akan membuat file duplikat sesuai dengan nama folder yang disembunyikan [system32.exe].

 

Seperti yang sudah dijelaskan sebelumnya bahwa VBWorm.MPT dibuat dengan menggunakan bahasa Visual Basic sehingga sebenarnya relatif lebih mudah untuk menghentikannya “dengan catatan” anda berhasil merubah file msvbvm60.dll yang berada didirektori “C:\Windows\system32”, tetapi VBWorm.MPT juga cerdik agar dirinya tetap aktif ia akan menyembunyikan msvbvm60.dll dan walaupun file tersebut  nantinya berhasil di ubah atau dihapus maka ia akan membuat file file msvbvm60.dll di direktori C:\ dan “C:\WINDOWS\system32\dllChache“ sebagai file backup. Rupanya pembuat virus juga belajar melakukan Back Up dirinya agar lolos dari pembasmian.

 

Memanipulasi ekstensi .txt dan .com

Hati-hati jika komputer anda terinfeksi VBWorm.MPT sebaiknya jangan sering kali menjalankan file dengan ekstensi  txt atau com karena jika user menjalankan file yang mempunyai ekstensi tersebut maka secara otomatis akan mengaktikan VBWorm.MPT, dengan terlebih dahulu merubah string pada registry berikut:

 

-          HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command

§         Default = Default= C:\WINDOWS\system32\rund1132.exe %1

 

-          HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command

§         Default = Default= C:\WINDOWS\system32\rund1132.exe %1

 

Virus yang berusaha menjadi Robin Hood tapi kebablasan

VBWorm.MPT memang akan “berusaha” untuk menghalau perkembangan sejumlah virus lokal yang mencoba untuk aktif di komputer korban akan tetapi masih menyisakan beberapa aksi lain dari virus lokal tersebut yang tidak di blok oleh VBWorm.MPT sehingga virus tersebut masih aktif di komputer hal ini dibuktikan dengan masih aktifnya proses dari virus lokal tersebut di memori komputer dimana proses dari virus ini tidak  dimatikan oleh VBWorm.MPT dan satu hal yang pasti tidak semua virus lokal dapat dihalau oleh VBWorm.MPT. VBWorm.MPT juga akan berusaha untuk mengembalikan beberapa [tidak semua] value dari string registry yang dibuat oleh virus lokal lain yang aktif di komputer korban inilah yang menjadi salah satu kelebihannya walaupun memang tidak semua string tersebut dapat dikembalikan tapi paling tidak ada beberapa fungsi windows yang biasa diblok oleh virus masih dapat digunakan [contohnya jika terdapat virus yang mencoba untuk blok menu Run dengan membuat string NORUN dengan value 1 maka VBWorm.MPT akan merubah value 1 dari string tersebut menjadi 0 sehingga menu run masih dapat digunakan] tetapi setelah diselidiki lebih jauh ternyata VBWorm.MPT mempunyai “niat jahat” untuk menguasai komputer tersebut, dengan mengadopsi aksi yang dilakukan oleh Moonlight atau lightmoon, VBWorm.MPT akan menyembunyikan semua folder yang ada di Disket / Flash Disk dan mencoba untuk membuat file duplikat disetiap folder sesuai dengan nama “sub folder” yang ada di Folder tersebut  dengan ciri-ciri:

 

-          Menggunakan icon “Folder”

-          Ukuran 34 KB

-          Ekstensi EXE

-          Type file “Application”

Gambar 4 Contoh file duplikat yang dibuat VBWorm.MPT

 

Sebagai upaya untuk menyebarkan dirinya, VBWorm.MPT masih menggunakan Disket dan Flash Disk dengan membuat file New Folder.exe dengan icon “Folder” dan mempunyai ukuran 34 KB

 

Cara mengatasi VBWorm.MPT

1.       Putuskan hubungan komputer yang akan dibersihkan dari jaringan

2.       Matikan “System Restore” selama proses pembersihan [jika anda menggunakan Windows ME/XP]

3.       Matikan proses virus yang aktif dimemori. Untuk mematikan proses virus ini anda dapat menggunakan tools “currprocess” kemudian matikan proses virus yang mempunyai nama :

§         Blank.doc

§         Empty.jpg

§         Hole.ZIP

§         msvbvm60.dll

§         Zero.txt

§         Unoccupied.reg (lihat gambar 5)

Gambar5 Gunakan CurrProcess untuk mematikan proses VBWorm.MPT yang aktif di memori

 

4.       Hapus file induk yang dibuat oleh virus dengan terlebih dahulu option "Show hidden files and folders" dan menghilangkan pilihan "Hide extension for known file types" dan "Hide protected operating system files (recommended)" pada Folder Option, perhatikan gambar 6 dibawah ini:

 

Gambar 6 Menampilkan file yang disembunyikan

 

Kemudian hapus file induk berikut:

 

-          C:\(Read Me)Pendekar Blank

-          C:\WINDOWS\system32\dllChache

§         blank.doc

§         Empty.jpg

§         Hole.ZIP

§         msvbvm60.dll

§         Zero.txt

§         Unoccupied.reg

 

-          C:\AUT0EXEC.BAT

-          C:\msvbvm60.dll

-          C:\WINDOWS\system32

§         dllchache.exe

§         M5VBVM60.EXE

§         rund1132.exe

§         Regedit32.com

§         Shell32.com

 

Jangan lupa untuk menghapus file duplikat yang telah dibuat oleh virus pada Disket/Flash Disk anda dengan ciri-ciri:

 

§         Menggunakan icon “Folder”

§         Ukuran 34 KB

§         Ekstensi EXE

§         Type file “Application”

 

5.       Hapus string registry yang sudah dibuat oleh virus dengan menyalin script dibawah ini pada program Notepad dan simpan dengan nama repair.inf kemudian jalanak file tersebut dengan cara:

§         Klik kanan repair.inf

§         Klik Iinstall

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom Blankon

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Classes\txtfile\shell\open\command,,,"C:\windows\system32\NOTEPAD.exe "%1""

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Secure32

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Secure64

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Blank AntiViri

HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell    

 

6.       Untuk pembersihan optimal dan mencegah infeksi ulang gunakan antivirus yang sudah dapat mengenali virus ini dengan baik.

7.       Tampilkan kembali folder C:\Windows\system32 dan folder/subfolder yang ada di Fash Disk yang telah disembunyikan dengan menulis perintah berikut pada Dos Prompt )lihat gambar 7)

 

§         ATTRIB –s –h System32  -- > untuk menampilkan folder System32 di direktori C:\Windows

§         ATTRIB –s –h /s /d  -- > untuk menampilkan folder/subfolder yang ada di Flash Disk

 

Gambar 7 Menampilkan folder yang disembunyikan VBWorm.MPT

8.       Aktifkan kembali “System Restore” pada Windows XP setelah semua virus dibersihkan.

 

Salam,

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 345 6850

Fx : 021 345 6851