W32/KillAV.XF       23 Januari 2007

Satu lagi dari Tegal yang otomatis menginfeksi dari UFD tanpa klik

 

Sampai saat ini penyebaran virus lokal sudah semakin banyak dengan jumlah virus yang sudah mencapai ribuan karakteristik yang beragam serta daya sebar yang semakin luas. Tidak saja mengandalkan disket / UFD bahkan saat ini virus local sudah mampu mengaktifkan dirinya tanpa bantuan manusia walaupun file yang terinfeksi tidak dijalankan oleh user itu sendiri. Biasanya virus ini akan menggunakan media disket / UFD dengan membuat satu file autorun.inf untuk menjalankan file infeksi yang ada di Disket/Flash Disk tersebut, sungguh perkembangan yang luar biasa.

 

Virus lokal biasanya sangat mudah dikenali dari ciri-ciri nya seperti Folder Option yang hilang, regedit, msconfig atau task manager yang tidak bisa di jalankan dan masih banyak lagi ciri-ciri lain yang dibawa oleh virus lokal. Salah satunya adalah W32/KillAV.XF dimana jika anda mencoba untuk membuka aplikasi CMD atau Command maka secara otomatis komputer akan melakukan restart, hal ini juga pernah dilakukan oleh virus Rontokbro. Bedanya KillAV.XF akan menjalankan file melati.bat  terlebih dahulu yang berada didirektori C:\ sebelum me-restart komputer.

 

Ciri lain yang dibawa oleh virus ini adalah dimana semua file MS Word akan disembunyikan dan munculnya file duplikat dengan ukuran 22 KB (lihat gambar 1) sesuai dengan nama file yang disembunyikan serta munculnya file tugas.exe dalam bentuk MS Word disetiap Drive termasuk dimedia Disekt / Flash Disk dengan ukuran 22KB dengan ekst. EXE. Seperti kebanyakan virus lokal, KillAV.FX juga ditulis dengan Visual Basic dan dilihat dari scriptnya kemungkinan virus ini berasal dari belahan Jawa Tengah tepatnya daerah “TEGAL”.

 

Gambar 1, File yang terinfeksi W32/KillAV.XF

 

Dengan up-date terbaru Norman Virus Control sudah dapat mendeteksi virus ini sebagai Trojan:W32/KillAV.XF (lihat gambar 2)

 

Gambar 2, Norman Virus Control sudah mendeteksi TrojanW32/:KillAV.XF

 

Jika virus ini dijalankan, ia akan membuat beberapa file induk dibawah ini:

 

  • C:\melati.bat

  • C:\Windows\system32\caudio.exe

  • C:\windows\system32\startup

-          svchost.exe

-          scan.com

  • C:\Documents and Settings\%user%\Start Menu\Programs\Startup\scan.com

  • C:\C:\Windows\system\winexec.com

  • C:\Windows\winlog.com

 

Agar file tersebut dapat dijalankan , KillAV.XF akan membuat beberapa string pada registry berikut:

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • Logon = C:\WINDOWS\winlog.com

    • ccApp = C:\WINDOWS\system\winexec.com

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    • Shell = explorer.exe "C:\WINDOWS\winlog.com"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • Audio = C:\WINDOWS\system32\caudio.exe

 

Seperti biasanya virus lokal akan mencoba blok beberapa fungsi Windows, kali ini KillAV.XF akan mencoba blok fungsi regedit, msconfig, task manager, folder option dan search dengan membuat string pada registry berikut :

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • NoFind

    • NoFolderOptions

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

    • DisableRegistryTools

    • DisableTaskMgr

 

Seperti yang sudah dijelaskan diatas bahwa jika user manjalankan aplikasi DOS [CMD / command]  maka secara otomatis komputer user akan restart dengan terlebih dahulu menjalankan file melati.bat yang disimpan di direktori C:\. Agar tidak mudah dihapus file ini akan disembunyikan dan jika kita buka file tersebut maka akan muncul perintah  shutdown.exe -r -t 0 –f, untuk melakukan hal tersebut ia akan membuat string pada registry berikut :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor

    • AutoRun = C:\Melati.bat

 

Untuk menyenyebarkan dirinya, ia akan menggunakan media Disket/Flash Disk dan File Sharing dengan membuat file induk dengan nama TUGAS.EXE, file ini akan  mempunyai ukuran 22 KB dengan icon MS Word dan mempunyai type file sebagai “Application” (lihat gambar 3)

 

Gambar 3, File induk yang dibuat oleh KillAV.XF pada media Disket/Flash Disk

 

Sebagai penutup virus ini akan menyembunyikan semua file MS Word yang ditemuinya dan untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan dengan ciri-ciri : (lihat gambar 1)

  • Menggunakan icon MS Word

  • Mempunyai ukuran 22 KB

  • Ext. EXE

  • Type File “Application”

 

Cara membersihkan KillAV.XF :

1.       Putuskan hubungan komputer yang akan dibersihkan dari jaringan

2.       Matikan "system restore" selama proses pembersihan berlangsung [jika menggunakan Windows XP]

3.       Matikan proses virus yang aktif di memori, anda dapat menggunakan tools Proccexp kemudian matikan proses yang mempunyai nama file : (lihat gambar 4)

            - winlog.exe

            - caudio.exe

            - svchost.exe

 

Gambar 4, Gunakan Process Explorer mematikan proses virus KillAV.XF yang aktif dimemori

4.       Hapus string registry yang dibuat oleh virus, salin script dibawah ini pada program "notepad" kemudian simpan dengan nama "repair.inf" dan jalankan dengan cara:

-          klik kanan repair.inf

-          klik install

 

            [Version]

Signature="$Chicago$"

Provider=Vaksincom Melati

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\Command Processor,AutoRun ,0,

 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Audio

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Logon

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ccApp

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\system, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\system, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOption

 

5.       Hapus file induk yang dibuat oleh virus didirektori:

  • C:\Windows\system32\caudio.exe

  • C:\windows\system32\startup

-          svchost.exe

-          scan.com

  • C:\Documents and Settings\%user%\Start Menu\Programs\Startup\scan.com

  • C:\C:\Windows\system\winexec.com

  • C:\Windows\winlog.com

  • C:\melati.bat

5.       Hapus file duplikat yang dibuat oleh virus. sebelum menghapus file tersebut pastikan anda sudah menampilkan semua file yang disembunyikan, kemudian hapus file yang mempunyai ciri-ciri:

5.       Icon "MS Word"

6.       Ukuran file 22 KB

7.       Ext. exe

8.       Type file "application"

6.       Untuk pembersihan optimal dan mencegah infeksi ulang gunakan antivirus yang sudah dapat mengenali virus ini dengan baik.

7.       Tampilkan kembali file MS Word yang sudah disembunyikan oleh virus dengan menulis perintah berikut pada DOS Prompt [pastikan kursor berada di root C:\ atau D:\ tergantung Drive mana yang akan anda cek, seperti contoh dibawah ini : (lihat gambar 5)

 

ATTRIB -s -h *.doc /s /d kemudian tekan tombol "enter' pada keyboard.

 

Gambar 5, Menampilkan kembali file MS Word yang disembunyikan oleh KillAV.XF

 

Salam,

 

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19 E

Jakarta 10160

 

Ph : 021 345 6850

Fx : 021 345 6851