Worm.VBWorm.NUJ          19 November 2007

Moontox Bro, Rontokbro yang “montok” dan “cinta” Indonesia

By: Hacker/Cracker Indonesia ]
---- Paraysutki #VM Community ----
[ SEND TO MALAYSIA/AUSTRALIA

Hentikanlah kebobrokan kalian --
Apa kalian tau rasanya menjadi manusia yang sia-sia?
Apa kalian tau rasanya setiap saat dihina dan tidak mampu merasakan kesenangan kalian?
Apa kalian tau betapa sakitnya kami (TKI) yang disiksa dan di perlakukan seperti binatang oleh majikan kalian? ditendang,dipukuli,dicaci maki,dihina,tidak digajih,dan pulang dengan anggota tubuh yg cacat? itulah yang kami dapatkan sehari-hari selama bekerja di sana
Aku yakin selama hidup kalian tidak pernah sedikitpun merasakan rasa sakit itu?

Wahai kalian yang ada di bumi ini
Kalian yang telah memojokanku dan Kalian yang telah merusak semua kesenanganku
Kalian hanya melihatku sebagai anak yang menyedihkan yang harus kalian singkirkan
kalian hanya memberiku satu-satunya jalan untuk membalas keputusan yang telah kalian buat

...Terima kasih...
kini kalian akan melihat darah di kedua tanganmu yang tak akan pernah bisa di bersihkan
dan kini aku akan hadir membangkitkan generasi yang lemah dan tak berdaya untuk melawan
!!! Bangkitlah Indonesia Raya, Bangsa dan Tanah Airku !!!

JIka di layar pc anda muncul sebuah jendela Internet Explorer dengan judul berwarna merah MONTOX BRO [B-2] (lihat gambar 1), sebaiknya anda berhati-hati, virus ini dapat menyebabkan komputer menjadi lambat dan banyak melakukan perubahan di system registry Windows. Selain itu virus ini akan berupaya untuk menyebarkan dirinya melalui email. Bagi Anda yang sudah terinfeksi virus ini jangan mencoba untuk menjalankan file “Baca_Gue_Goblok.bat” karena berisi perintah untuk format drive selain drive C.

Gambar 1, Pesan yang ditampilkan oleh VBWorm.NUJ saat pc dinyalakan

Dilihat dari Script yang ada kemungkinan besar virus ini berasal dari kota Palangkaraya dan sudah menelurkan 3 varian. Isi dari virus ini lebih ditunjukan kepada komunitas pembuat virus Brontok serta berisi kecaman terhadap beberapa negara, salah satunya adalah negara yang sering mengklaim produk budaya Indonesia sebagai miliknya.

Virus ini dapat menyebar dengan suskes di kota Palangkaraya dan mulai merambah ke kota-kota lainnya. Virus ini mempunyai ukuran file sekitar 49 KB dan dibuat dengan menggunakan program bahasa “Visual Basic” dan menggunakan icon Folder. Norman Virus Control mendeteksi virus ini sebagai VBWorm.NUJ (lihat gambar 2 dibawah ini).

Gambar 2, Norman mendeteksi MoontoxBro sebagai Worm.VBWorm.NUJ

File induk VBWorm.NUJ

Sebagai upaya untuk menjaga eksistensinya, VBWorm.NUJ akan mencoba untuk membuat beberapa file induk, file ini akan mempunyai ciri-ciri:

• Menggunakan icon “Folder”
• Ukuran file 49 KB
• Ekstensi EXE
• Type File “Application”, tetapi jika file tersebut sudah menginfeksi komputer maka virus ini akan merubah type file dari “Application “menjadi “File Folder”

Berikut beberapa file induk yang akan dibuat oleh VBWorm.NUJ

• C:\Windows\services.exe è file ini akan aktif di memori
• C:\Dokument penting
• program-software.exe è aktif di memori
• My Download.exe èaktif di memori
• Music Indo.exe è aktif di memori
• C:\Dokument penting

-       Data Word.exe

-       kumpulan Film porno.exe

-       My Photo.exe

-       Photo-photo Porno.exe

• C:\mesage from indonesia.htm èakan di tampilkan setiap kali komputer dinyalakan
• C:\Indonesia-Raya.mid è berisi lagu kebangsaan Indonesia Raya
• C:\send to hell.vbs èscript untuk  mengirimkan dirinya melalui Outlook
• C:\Baca_GUe_Goblok.cmd è berisi script untuk Format hard Disk (selain driveC:\)
• C:\Autorun.exe  dan autorun.inf è untuk menyebarkan dirinya secara otomatis setiap kali akses ke Folder atau ke Flash Disk (file ini akan dibuat disemua drive)

Catatan:
Untuk folder “Dokument Penting” beserta isinya akan dibuat disetiap Drive termasuk dimedia “Flash Disk” hal ini digunakan sebagai upaya untuk menyebarkan dirinya.

Pada saat VBWorm.NUJ tersebut aktif maka secara otomatis akan mencoba untuk mengirimkan dirinya dengan memanfaatkan auto send program Microsoft Outlook, perhatikan gambar dibawah ini : (lihat gambar 3)

Gambar 3, Pesan yang ditampilkan VBWorm.NUJ pada saat akan mengirimkan email virus

Metode virus lokal ini menyebarkan dirinya menggunakan autosend dari Outlook membatasi penyebarannya, khususnya jika korbannya tidak menggunakan Outlook atau menggunakan webmail seperti di warnet atau komputer lab. Beda dengan virus mancanegara yang mampu menggunakan SMTP server sendiri dalam mengirimkan dirinya sehingga tidak tergantung pada mail client. Dalam hal ini terlihat perbedaan pandangan / kemampuan programmer Indonesia dalam hubungan dengan infrastruktur internet yang kelihatannya masih kalah dibadingkan dengan programmer luar yang cukup fasih dalam mengeksploitasi infrastruktur internet untuk penyebaran dirinya.

Aktif pada “Safe Mode” dan “Safe Mode with Command Prompt”

Agar VBWorm.NUJ dapat aktif setiap kali komputer dinyalakan, ia akan membuat string pada registry berikut :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• GoToHell = C:\Send To Hell.vbs
• indoHack = C:\Dokument Penting\My Download.exe
• indosoft = C:\Dokument Penting\Program-Software.exe
• message = C:\Message From Indonesia.htm
• paraycity = C:\Dokument Penting\Music Indo.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
• debugger = C:\WINDOWS\service.exe

Selain aktif pada mode “Normal” VBWorm.NUJ juga akan mencoba untuk aktif pada mode “safe mode”, untuk memastikan dirinya dapat aktif pada mode”safe mode” ini, ia akan membuat string  pada registry berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
• System = C:\WINDOWS\service.exe
• Userinit =

C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\service.exe

Agar VBWorm.NUJ terkesan susah dibersihkan, VBWorm.NUJ juga akan mencoba untuk atif pada mode “safe mode with command prompt” dengan membuat string pada registry berikut:

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
• AlternateShell = cmd.exe C:\Dokument Penting\My Download.exe
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
• AlternateShell = cmd.exe C:\Dokument Penting\My Download.exe
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
• AlternateShell = cmd.exe C:\Dokument Penting\My Download.exe

VBWorm.NUJ juga akan mencoba untuk menumpang pada setiap file executable (exe/com/bat/pif/scr/lnk) dengan membuat string pada regsitry berikut dengan tujuan agar setiap kali user mencoba untuk menjalankan executable tersebut maka secara otomatis akan mengaktifkan dirinya dengan menjalankan file “C:\Windows\service.exe”.

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
• Default = "C:\WINDOWS\service.exe" "%1" %*
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
• Default = "C:\WINDOWS\service.exe" "%1" %*

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
• Default = "C:\WINDOWS\service.exe" "%1" %*
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command
• Default = "C:\WINDOWS\service.exe" "%1" %*
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command
• Default = "C:\WINDOWS\service.exe" "%1" %*

Mengganti Task Manager, Regedit dan Solitaire dengan game FreeCel

Untuk menjaga eksistensinya, VBWorm.NUJ akan mencoba untuk blok beberapa fungsi Windows seperti Folder Option/regedit/maupun Task Manager dengan menggantinya dengan program game seperti yang pernah dilakukan oleh varian FaceCool, untuk melakukan hal tersebut VBWorm.NUJ akan mencoba untuk membuat string pada registry berikut :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

-       debugger = C:\WINDOWS\system32\freecell.exe (lihat gambar 4)

Gambar 4, Game “FreeCell” sebagai pengganti Regedit”

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe

-       debugger = C:\WINDOWS\system32\sol.exe (lihat gambar 5)

Gambar 5, Game “Solitaire” sebagai pengganti System Restore”

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

-       debuger = C:\WINDOWS\system32\spider.exe (lihat gambar 6)

Gambar 6, Game “Spider” sebagai pengganti task manager”

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

-       DisableMSI =1

-       LimitSystemRestoreCheckpointing = 1

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

-       DisableConfig

-       DisableSR

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore

-       DisableCOnfig = 1

-       DisableSR = 1

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

-       NoFolderOptions

-       NORun

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

-       DisableRegistryTools

-       DisableTaskMgr

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

-       NoFolderOption

-       NoRun

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

-       DisableRegistryTools

-       DisabletaskMgr

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

-       Hidden = 0

-       HideFileExt = 1

-       ShowSuperHidden = 0

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN

-       text = @shell32.dll,-30501

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

-       text = @shell32.dll,-30500

Blok Website security

VBWorm.NUJ akan mencoba untuk melakukan blok terhadap website security dengan merubah file Host Windows yang berada dilokasi “C:\WINDOWS\system32\drivers\etc\Host” (lihat gambar 7). Metode ini cukup mengkhawatirkan karena jika digabungkan dengan teknik Phishing akan mampu menjadi rekayasa sosial yang mampu mengelabui pengguna internet banking. Sekalipun yang dilengkapi dengan pengamanan Token / kalkulator PIN.

Gambar 7, URL yang akan diblok oleh VBWorm.NUJ

Pesan dari pembuat virus  

Salah satu aksi yang aka dilakukan oleh VBWorm.NUJ adalah akan menampilkan sebuah kendela Internet Explorer setiap kali komputer dinyalakan dengan menjalankan file C:\Message From Indonesia.htm yang diiringingi dengan lagu kebangsaan Indonesia Raya.

Berikut petikan pesan yang akan ditampilkan dari Internet Explorer

Untuk melakukan hal ini, VBWorm.NUJ akan mencoba untuk membuat string pada registry berikut:

·         HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

o    Start Page = C:\Message From Indonesia.htm

VBWorm.NUJ juga akan mencoba untuk merubah nama perusahaan dan nama pemilik Windows dengan membuat string pada registry berikut:

·         HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0

o    ProcessorNameString = Core 2 Duo Extreme

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

o    RegisteredOrganization = Paraysutki #VM Community

o    RegisteredOwner = W32.Moontox.Bro [B-2]

o    ProductId = Hacker@Cracker@Indonesia

File Exe berubah menjadi File Folder

VBWorm.NUJ tidak akan membuat file duplikat tetapi, ia pandai memanipulasi setiap file exe (aplikasi) yang tidak berbahaya seolah-olah merupakan file virus, dengan cara merubah type file dan informasi dari file exe tersebut menjadi “File Folder” hal ini lah yang justru akan membahayakan user, apalagi untuk user awam sehingga user (yang tidak menggunakan antivirus) dengan sengaja akan menghapus file tersebut termasuk file yang sebenarnya bukan file virus, karena seperti yang kita tahu bahwa sebuah folder tidak akan mempunyai ukuran, celah ini lah yang akan dimanfaatkan oleh pembuat virus VBWorm.NUJ, perhatikan gambar 8 dan 9 dibawah ini

Gambar 8, File .exe yang diubah iconnya oleh VBWorm.NUJ sehingga dikira virus (sebenarnya bukan file virus)

Gambar 9, File induk Virus (berukuran 49 KB)

Untuk melakukan hal tersebut, VBWorm.NUJ akan membuat string pada registry berikut:

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

            - Default = file folder

            - InfoTip = file folder

            - NeverShowExt

            - TileInfo = file folder

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\DefaultIcon

-       Default = %SystemRoot%\System32\shell32.dll,4

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory

-       AlwaysShowExt = FIle Folder

-       InfoTip = File Folder

-       NeverShowExt = File Folder

VBWorm.NUJ juga akan membut string pada registry berikut:

·         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer

-       Description = !!! Sory ya Ngk boleh buka Aplication Microsoft (.msi) Kecuali buka Executable (.exe) !!!

-       imagePath = Go To Vagina

-       ObjectPath = Dasar Buaya Darat

-       DisplayName = WIndows Installer

-       start = 4

-       type = 4

·         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc

-       description = !!! Maaf yee Fitur Security Center gue Non aktifkan dulu...biar aman !!!

-       imagepath= Go To Mak Erot

-       objectpath = LocalMoontox

-       DisplayName =Security Center

-       start = 4

-       type = 4

·         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter

-       description = !!! Hi..hi..hi biar ngak ketauan gue non aktif aja fitur ini (:-p) wee !!!

-       imagepath = Mulutmu Harimaumu

-       objectpath = Mulutmu Harimaumu

-       DisplayName = Alerter

-       DependOnService = LanmanWorkstation

-       start = 4

-       type = 4

·         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry

-       Start = 4

-       Type = 4

·         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ansavgd

-       Description = !!! ANSAV kga Mempan sama Moontox Bro (>_<)

-       Imagepath = Go To Mak Erot

-       ObjectName = !!! Kasian Dech lo, Cape dech !!!

-       start = 4

-       type = 4

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice

-       Description = !!! Tak akan kubiarkan kau mengembalikan keadaan !!!

-       Display name = System Restore Service

-       imagepath = %SystemRoot%\System32\svchost.exe -k netsvcs (ok)

-       start = 4

-       stop = 4

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\Parameters

-       ServiceDll = C:\WINDOWS\service.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

-       EnableRemoteConnect = N

Menyebar melalui Flash Disk/Email

Sebagai media penyebaran, VBWorm.NUJ akan mencoba untuk menggunakan media Flash Disk dengan menggunakan fasilitas Autoplay dengan terlebih dahulu akan membuat file Autorun.inf dan folder “Dokument Penting” dengan nama file berikut:

• C:\Dokument penting
• program-software.exe
• My Download.exe
• Music Indo.exe
• Data WOrd.exe
• kumpulan Film porno.exe
• My Photo.exe
• Photo-photo Porno
• C:\Autorun.exe
• C:\Autorun.inf

Untuk mempercepat jangkauan penyebarannya, VBWorm.NUJ akan menggunakan internet dengan memanfaatkan Email. Untuk  mengirimkan dirinya melalui email ini VBWorm.NUJ akan mencoba untuk menjalankan script yang ada pada file C:\Send To Hell.vbs, sayangnya virus ini masih menggunakan SMTP dari komputer yang terinfeksi hal secara terus menerus akan mengakses program Outlook (perhatkan gambar dibawah).

Berikut contoh email yang akan dikirim oleh VBWorm.NUJ

To : acak

Attachment : C\Dokument Penting\Kumpulan Film Porno.exe

Body : Nieh saya beri koleksi Video Porno gue

Subject :Film Porno geratis

Format Drive

Hati-hati jika komputer Anda sudah terinfeksi VBWorm.NUJ, sebaikya hapus file C:\Baca_Gue_Goblok.bat, karena script ini berisi perintah untuk format Drive selain Drive C:\, perhatikan gambar 10 dan 11 dibawah ini:

Gambar 10, Perintah tersembunyi format harddisk dalam file Baca_Gue_Goblok.bat

Gambar 11, Perintah tersembunyi dalamm file Baca_Gue_Goblok.bat (jika dijalankan)

Cara membersihkan VBWorm.NUJ

1.     Putuskan komputer yang akan dibersihkan dari jaringan

2.     Matikan proses virus yang aktif dimemori. Untuk mematikan proses virus ini anda dapat menggunakan tools killvb, silahkan download tools tersebut pada link http://www.compactbyte.com/brontok/killvb.zip.

3.     Hapus registry yang dibuat oleh virus. Untuk mempercepat proses penghapusan silahkan salin script dibawah ini pada program “Notepad” kemudian simpan dengan nama repair.vbs, jalankan file tersebut

Dim oWSH: Set oWSH = CreateObject("WScript.Shell")

on error resume Next

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command\","""%1"" /S"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command\","regedit.exe %1"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\DefaultIcon\","%1"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\infotip","prop:FileDescription;Company;FileVersion;Create;Size"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\TileInfo","prop:FileDescription;Company;FileVersion"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\type
","checkbox"

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden","0x00000000"

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start page","About:blank"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\debugger",""

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\","Application"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\","Screen Saver"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\RegisteredOrganization","Organization"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
RegisteredOwner","Owner"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId","Your ID"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System","0"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\debugger","0"

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\DisableMSI")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\
LimitSystemRestoreCheckpointing")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Nofind")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisableMSI")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NORun")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
System\NoDispApprearancePage")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\NeverShowExt")

oWSH.RegDelete("HKEY_CLASSES_ROOT\exefile\NeverShowExt")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\policies\Microsoft\system\DisableCMD")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegistriEditor.exe")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\GoToHell")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\IndoHack")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\INdosoft")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\massage")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\parayCity")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableRemoteConnect")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ansavgd")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\NeverShowExt")

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\type","Checkbox"

oWSH.Regwrite "HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\type","Checkbox"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\text","Hide file extentions for known file types"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Text","Hide protected operating system files (recommended)"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\Description","Adds, modifies, and removes applications provided as a Windows Installer (*.msi) package. If this service is disabled, any services that explicitly depend on it will fail to start."

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\ImagePath","C:\WINDOWS\system32\msiexec.exe /V"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\ObjectName","LocalSystem"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Description","Monitors system security settings and configurations."

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\ImagePath","%SystemRoot%\System32\svchost.exe -k netsvcs"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\ObjectName","LocalSystem"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter\Description","Monitors system security settings and configurations."

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter\ImagePath","%SystemRoot%\System32\svchost.exe -k netsvcs"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter\ObjectName","LocalSystem"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\Description","Performs system restore functions. To stop service, turn off System Restore from the System Restore tab in My Computer->Properties"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\Parameters\ServiceDll",
"C:\WINDOWS\system32\srsvc.dll"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\AlwaysShowExt",""

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\InfoTip","prop:DocComments"

4.     Hapus file induk yang dibuat oleh virus disemua drive termasuk flash disk dengan terlebih dahulu menampilkan file/folder yang sudah disembunyikan.

Jika menu “Folder Options” masih belum muncul, Log off komputer terlebih dahulu kemudian login ulang. Setelah menu “Folder Options” muncul, baru munculkan file/folder yang sudah disembunyikan, seperti terlihat pada gambar 12 dibawah ini:

Gambar 12, Menampilkan file/folder yang disembunyikan

Kemudian cari dan hapus file induk yang dibuat oleh VBWorm.NUJ dengan ciri-ciri sebagai berikut:

• Icon “Folder”
• Ukuran file 49 KB
• Ekstensi EXE
• Type File “Application”

5.     Untuk pembersihan optimal dan mencegah infeksi uleng gunakan antivirus yang up-to-date dan dapat mengenali virus ini dengan baik.

Ikuti Seminar Evaluasi Malware 2007, Trend 2008 dan Antisipasinya pada tanggal 21 November 2007 yang dibawakan oleh Onno W. Purbo dan makanan berkelas dari Jalansutra. Lihat informasi lengkap dan pendaftaran di http://vaksin.com/2007/1007/seminar%202007.htm

Aj Tau

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III/19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 6851