W32/VBWorm.NIO        29 Mei 2007

Sudah Jelek, Gak Punya Mobil, Babenya Galak Lagi

 

Jodoh memang menjadi topik yang menarik bagi jomblo-jomblo, jika orang tua memberikan 3B (Bibit, Bebet dan Bobot) ternyata sering di pelesetkan menjadi 5B (Bibit, Bebet, Bobot, Baby Benz, BMW). Lalu, siapa jodoh yang menjadi idaman pembuat virus? Jika mengambil kesimpulan berdasarkan “bocoran” yang diberikan oleh pembuat virus VBWorm.NIO, maka jodoh idaman pembuat virus adalah :

  1. Keluarga kecil (adiknya tidak banyak).

  2. Babenya ngga galak.

  3. Punya mobil.

  4. Tidak jelek2x amat.

  5. Romantis, taat ibadah dst.

Pasalnya adalah perubahan yang dilakukan oleh pembuat virus tersebut pada [Folder Options] Windows Explorer. Adapun pilihan Folder Options tersebut dirubah menjadi Gue pikir2x lo itu, Adik lo banyak, Babe lo galak, Gak punya mobil dst. Salah satu tujuan mengubah Folder Options ini adalah karena pembuat virus ingin menarik perhatian sekaligus “sedikit” mempersulit pembasmian virus ini karena teks asli Folder Options sudah dipermak dan membingungkan pengguna komputer.

 Jika ditanya mengenai aksi yang dilakukan oleh virus lokal, tentu anda akan tahu jawabannya, ibarat kuis “Who Want to be a milionare” yang dibawakan oleh Tantowi Yahya” pertanyaan ini ibarat sebagai pertanyaan pembuka yang sangat mudah untuk di jawab, mulai dari hanya sekedar menyembunyikan file sampai menghapus file tersebut bahkan terkadang hanya meramaikan dunia cyber, seperti yang dilakukan oleh virus VBWorm.NIO dimana virus ini akan mencoba untuk menyembunyikan folder/subfolder beserta isi file yang ada didalamnya yang ada di Disket/Flash Disk dan mencoba untuk mengacak isi dari Folder Options, maksudnya gimana Mas, biungung nih??. OK sekarang coba buka [Windows Explorer] kemudian klik menu [Tools] [Folder Options], setelah layar Folder Options muncul klik tabulasi [View] coba perhatikan apa yang berubah di menu tersebut??, untuk lebih jelasnya silahkan lihat gambar 1 dibawah ini:

 

Gambar 1, Folder Options yang diubah oleh VBWorm.NIO

 Dengan update terakhir Norman Virus Control sudah dapat mendeteksi virus ini dengan nama VBWorm.NIO (lihat gambar 2).

 

Gambar 2, Hasil Deteksi Norman Virus Control

 

Untuk mengelabui user ia akan menyamarkan icon yang menyertai setiap file yang terinfeksi dengan icon Folder, virus ini mempunyai ukuran 126 KB dengan type file sebagai “Application” dan sebagai informasi tambahan virus ini hanya akan aktif pada mode “Normal” sehingga relatif mudah untuk dibersihkan. (lihat gambar 3)

 

Gambar 3, File yang terinfeksi VBWorm.NIO

 

Untuk dapat bertahan VBWorm.NIO akan membuat beberapa file induk yang akan dijalankan setiap kali komputer dinyalakan diantaranya:

  • C:\Windows

    • Aas3lovu.exe

    • netwin.exe

  • C:\Windows\System32\scvhost.exe

 

Agar file tersebut dapat dijalankan setiap kali komputer dinyalakan, VBWorm.NIO akan membuat beberapa string registri berikut:

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • Intelprc = C:\WINDOWS\Aas3lovu.exe

    • Network = C:\WINDOWS\netwin.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • SystemWindows = C:\WINDOWS\system32\scvhost.exe

 

Blok Fungsi Windows

Seperti biasanya, blok fungsi windows merupakan salah satu hal yang sering dilakukan oleh virus lokal, begitupun dengan apa yang akan dilakukan oleh VBWorm.NIO yang akan blok beberapa fungsi Windows seperti :

  • Task Manager

  • MSConfig

  • Registri Editor

  • Show/Kill Running Process

  • Folder Options

 

Khusus untuk Folder Options, VBWorm.NIO akan merubah isi dari menu yang ada pada tabulasi VIEW sehingga membingungkan user, berikut beberapa menu yang akan diubah oleh virus VBWorm.NIO dengan mengubah registri :

 

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder

            - Bitmap = C:\WINDOWS\SYSTEM32\SHELL32.DLL,11

            - text = Gue pikir2x  lo itu:

 

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ClassicViewState

            - text = Adik lo banyak

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ControlPanelInMyComputer

            - text = Pacar lo Banyak

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\DesktopProcess

            - text = Kurang taat ibadah

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\DisableThumbCache

            - text = Sok tau

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\FolderSizeTip

            - text = Babe lo galak

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\FriendlyTree

            - text = Gue kangen berat

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

            - Bitmap = C:\WINDOWS\SYSTEM32\SHELL32.DLL,22

            - text = Akan gue lupakan semua

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

            - text = Akan gue ingat semua

            - CheckedValue = 1 [STRING]

            - DefaultValue = 1 [STRING]

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt

            - text = Lo dugem terus

            - type = CheckBox

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\NetCrawler

            - Text = Terlalu banyak nuntut

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\PersistBrowsers

            - text = Lo gak romantis

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowCompColor

            - text = Otak lo mesum

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPath

            - text = Lo bego

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPathAddress

            - text = Gue pandang2x lo jelek

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowInfoTip

            - Text = Jarang jajan

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SimpleSharing

            - text = Gak punya mobil

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

            - Text = gue ada pacar baru

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Thickets

            - Bitmap = C:\WINDOWS\SYSTEM32\SHELL32.DLL,29

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Thickets\AUTO

            - Text = Bakalan susah

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Thickets\NOHIDE

            - text = Biasa Aza

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Thickets\NONE

            - text = Bakalan senang

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\WebViewBarricade

            - text = Gue masih cinta lo

 

Hasil dari permak registy tersebut akan mengubah tampilan Folder Options menjadi seperti gambar 1 

VBWorm.NIO juga akan memunculkan sebuah pesan setiap kali komputer booting.

BIOS Memory

BIOS CHECK  (6300-NGSRP-TMR521A-SMG-542PH-3180) .Check BIOS setting or upgrade system.If shutdown use logoff.Don't use swicth.System still safe.    Click OK button for resume.  CODE : AS3-CTRKEA-SR

Untuk melakukan hal ini ia akan membuat string pada registri berikut, tetapi registri yang dibuat akan berbeda dengan string registri yang dibuat oleh virus lokal lainnya, perhatikan string yang akan dibuat oleh VBWorm.NIO di bawah ini:

 

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

o    Legalnoticecaption = BIOS Memory

o    Legalnoticetext = BIOS CHECK  (6300-NGSRP-TMR521A-SMG-542PH-3180) .Check BIOS setting or upgrade system.If shutdown use logoff.Don't use swicth.System still safe. Click OK button for resume.  CODE : AS3-CTRKEA-SR 

VBWorm.NIO juga akan memunculkan sebuah foto seorang  wanita berjilbab seperti gambar 4 dibawah ini (tidak tahu apakah babenya galak atau tidak :P)

Gambar 4 Foto yang akan dimunculkan oleh VBWorm.NIO

Menyembunyikan Folder/Subfolder

Sebagai penutup ia akan menyembunyikan folder/subfolder yang ada di Disket/Flash Disk dan untuk mengelabui user ia akan membuat file duplikat dengan ciri-ciri : (lihat gambar 5)

o    Mempunyai nama file yang sama sesuai dengan nama folder yang disembunyikan

o    Mempunyai ukuran 162 KB

o    Ekstensi EXE

o    Type file “Application”

Gambar 5, File duplikat yang dibuat oleh VBWorm.NIO

Cara membersihkan VBWorm.NIO

1.     Putuskan hubungan komputer yang akan dibersihkan dari jaringan

2.     Matikan system restore selama proses pembersihan berlangusung

3.     Matikan proses virus yang sedang aktif dimemori, untuk mematikan proses virus ini anda dapat menggunakan tools "Security Task Manager" kemudian matikan proses virus yang mempunyai icon Folder seperti terlihat pada gambar 6 dibawah ini:

 

Gambar 6, Membunuh file virus yang aktif dimemori

4.     Setelah proses virus berhasil dimatikan, hapus registri yang dibuat oleh virus. Untuk mempercepat proses penghapusan salin script dibawah ini pada Notepad  simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara:

§  Klik kanan repair.inf

§  Klik Install

[Version]

Signature="$Chicago$"

Provider=Babenya Galak

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder, Bitmap,0, "C:\WINDOWS\SYSTEM32\SHELL32.DLL,4"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder, Text,0, "@shell32.dll,-30498"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ClassicViewState, text,0, "@shell32.dll,-30506"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ControlPanelInMyComputer, text,0, "@shell32.dll,-30497"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\DesktopProcess, text,0, "@shell32.dll,-30507"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\DisableThumbCache, text,0, "@shell32.dll,-30517"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\FolderSizeTip, text,0, "@shell32.dll,-30514"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\FriendlyTree, text,0, "@shell32.dll,-30511"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, Bitmap,0, "%SystemRoot%\system32\SHELL32.dll,4"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, text,0, "@shell32.dll,-30499"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, text,0, "@shell32.dll,-30499"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, text,0, "@shell32.dll,-30501"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue,0x00010001,2

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, text,0,"@shell32.dll,-30503"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, "CheckBox"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\NetCrawler, text,0, "@shell32.dll,-30509"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\PersistBrowsers, text,0, "@shell32.dll,-30513"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowCompColor, text,0, "@shell32.dll,-30512"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPath, text,0, "@shell32.dll,-30504"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPathAddress, text,0, "@shell32.dll,-30505"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowInfoTip, text,0, "@shell32.dll,-30502"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SimpleSharing, text,0, "@shell32.dll,-30518"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, text,0, "@shell32.dll,-30508"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Thickets, Bitmap ,0, "C:\WINDOWS\system32\SHELL32.DLL,4"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Thickets\AUTO, text,0, "Show and manage the pair as a single file"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Thickets\NOHIDE, text,0, "Show both parts but manage as a single file"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Thickets\NONE, text,0, "Show both parts and manage them individually"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\WebViewBarricade, text,0, "@shell32.dll,-30510" 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistriTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Intelprc

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Network

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SystemWindows

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, legalnoticecaption

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,legalnoticetext

5.     Hapus file induk yang dibuat oleh virus dengan terlebih dahulu menampilkan semua file/folder yang disembunyikan pada Folder Option, kemudian hapus file berikut:

§  C:\Windows

o    Aas3lovu.exe

o    Netwin.exe

§  C:\Windows\System32\scvhost.exe 

6.     Pastikan juga Anda menghapus file duplikat yang dibuat di UFD dengan ciri-ciri :

§  Icon Folder

§  Ukuran 162 KB

§  Ekstensi EXE 

7.     Tampilkan kembali file/folder yang disembunyikan di Flash Disk dengan cara:

§  Klik menu [Start]

§  Klik [Run]

§  ketik CMD pada dialogbox "Run"

§  Setelah layar Dos Prompt terbuka, pindahkan posisi kuror ke lokasi Flash Disk [Contoh F:\] dengan mengetik perintah F: [kemudian tekan tombol enter]

§  Ketik perintah ATTRIB -s -h /s /d

8.     Untuk pembersihan optimal dan mencegah infeksi ulang gunakan antivirus yang up-to-date dan sudah dapat mengenali virus ini dengan baik.

 

Salam,

Aj Tau (Adang Juhar Taufik)

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 3456850

Fx : 021 345 6851