Worm.VBWorm.NUJ          19 November 2007

Moontox Bro, Rontokbro yang “montok” dan “cinta” Indonesia

 

By: Hacker/Cracker Indonesia ]
---- Paraysutki #VM Community ----
[ SEND TO MALAYSIA/AUSTRALIA

 

Hentikanlah kebobrokan kalian --
Apa kalian tau rasanya menjadi manusia yang sia-sia?
Apa kalian tau rasanya setiap saat dihina dan tidak mampu merasakan kesenangan kalian?
Apa kalian tau betapa sakitnya kami (TKI) yang disiksa dan di perlakukan seperti binatang oleh majikan kalian? ditendang,dipukuli,dicaci maki,dihina,tidak digajih,dan pulang dengan anggota tubuh yg cacat? itulah yang kami dapatkan sehari-hari selama bekerja di sana
Aku yakin selama hidup kalian tidak pernah sedikitpun merasakan rasa sakit itu?

Wahai kalian yang ada di bumi ini
Kalian yang telah memojokanku dan Kalian yang telah merusak semua kesenanganku
Kalian hanya melihatku sebagai anak yang menyedihkan yang harus kalian singkirkan
kalian hanya memberiku satu-satunya jalan untuk membalas keputusan yang telah kalian buat

...Terima kasih...
kini kalian akan melihat darah di kedua tanganmu yang tak akan pernah bisa di bersihkan
dan kini aku akan hadir membangkitkan generasi yang lemah dan tak berdaya untuk melawan
!!!
Bangkitlah Indonesia Raya, Bangsa dan Tanah Airku !!!

 

JIka di layar pc anda muncul sebuah jendela Internet Explorer dengan judul berwarna merah MONTOX BRO [B-2] (lihat gambar 1), sebaiknya anda berhati-hati, virus ini dapat menyebabkan komputer menjadi lambat dan banyak melakukan perubahan di system registry Windows. Selain itu virus ini akan berupaya untuk menyebarkan dirinya melalui email. Bagi Anda yang sudah terinfeksi virus ini jangan mencoba untuk menjalankan file Baca_Gue_Goblok.bat karena berisi perintah untuk format drive selain drive C.

 

Gambar 1, Pesan yang ditampilkan oleh VBWorm.NUJ saat pc dinyalakan

 

Dilihat dari Script yang ada kemungkinan besar virus ini berasal dari kota Palangkaraya dan sudah menelurkan 3 varian. Isi dari virus ini lebih ditunjukan kepada komunitas pembuat virus Brontok serta berisi kecaman terhadap beberapa negara, salah satunya adalah negara yang sering mengklaim produk budaya Indonesia sebagai miliknya.

 

Virus ini dapat menyebar dengan suskes di kota Palangkaraya dan mulai merambah ke kota-kota lainnya. Virus ini mempunyai ukuran file sekitar 49 KB dan dibuat dengan menggunakan program bahasa “Visual Basic” dan menggunakan icon Folder. Norman Virus Control mendeteksi virus ini sebagai VBWorm.NUJ (lihat gambar 2 dibawah ini).

Gambar 2, Norman mendeteksi MoontoxBro sebagai Worm.VBWorm.NUJ

 

File induk VBWorm.NUJ

Sebagai upaya untuk menjaga eksistensinya, VBWorm.NUJ akan mencoba untuk membuat beberapa file induk, file ini akan mempunyai ciri-ciri:

 

  • Menggunakan icon “Folder”
  • Ukuran file 49 KB
  • Ekstensi EXE
  • Type File “Application”, tetapi jika file tersebut sudah menginfeksi komputer maka virus ini akan merubah type file dari “Application “menjadi “File Folder”

 

Berikut beberapa file induk yang akan dibuat oleh VBWorm.NUJ

  • C:\Windows\services.exe è file ini akan aktif di memori
  • C:\Dokument penting
    • program-software.exe è aktif di memori
    • My Download.exe èaktif di memori
    • Music Indo.exe è aktif di memori
  • C:\Dokument penting

-       Data Word.exe

-       kumpulan Film porno.exe

-       My Photo.exe

-       Photo-photo Porno.exe

  • C:\mesage from indonesia.htm èakan di tampilkan setiap kali komputer dinyalakan
  • C:\Indonesia-Raya.mid è berisi lagu kebangsaan Indonesia Raya
  • C:\send to hell.vbs èscript untuk  mengirimkan dirinya melalui Outlook
  • C:\Baca_GUe_Goblok.cmd è berisi script untuk Format hard Disk (selain driveC:\)
  • C:\Autorun.exe  dan autorun.inf è untuk menyebarkan dirinya secara otomatis setiap kali akses ke Folder atau ke Flash Disk (file ini akan dibuat disemua drive)

 

Catatan:
Untuk folder “Dokument Penting” beserta isinya akan dibuat disetiap Drive termasuk dimedia “Flash Disk” hal ini digunakan sebagai upaya untuk menyebarkan dirinya.

 

Pada saat VBWorm.NUJ tersebut aktif maka secara otomatis akan mencoba untuk mengirimkan dirinya dengan memanfaatkan auto send program Microsoft Outlook, perhatikan gambar dibawah ini : (lihat gambar 3)

 

Gambar 3, Pesan yang ditampilkan VBWorm.NUJ pada saat akan mengirimkan email virus

 

Metode virus lokal ini menyebarkan dirinya menggunakan autosend dari Outlook membatasi penyebarannya, khususnya jika korbannya tidak menggunakan Outlook atau menggunakan webmail seperti di warnet atau komputer lab. Beda dengan virus mancanegara yang mampu menggunakan SMTP server sendiri dalam mengirimkan dirinya sehingga tidak tergantung pada mail client. Dalam hal ini terlihat perbedaan pandangan / kemampuan programmer Indonesia dalam hubungan dengan infrastruktur internet yang kelihatannya masih kalah dibadingkan dengan programmer luar yang cukup fasih dalam mengeksploitasi infrastruktur internet untuk penyebaran dirinya.

 

Aktif pada “Safe Mode” dan “Safe Mode with Command Prompt”

Agar VBWorm.NUJ dapat aktif setiap kali komputer dinyalakan, ia akan membuat string pada registry berikut :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • GoToHell = C:\Send To Hell.vbs
    • indoHack = C:\Dokument Penting\My Download.exe
    • indosoft = C:\Dokument Penting\Program-Software.exe
    • message = C:\Message From Indonesia.htm
    • paraycity = C:\Dokument Penting\Music Indo.exe

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
    • debugger = C:\WINDOWS\service.exe

 

Selain aktif pada mode “Normal” VBWorm.NUJ juga akan mencoba untuk aktif pada mode “safe mode”, untuk memastikan dirinya dapat aktif pada mode”safe mode” ini, ia akan membuat string  pada registry berikut:

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • System = C:\WINDOWS\service.exe
    • Userinit =

C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\service.exe

 

Agar VBWorm.NUJ terkesan susah dibersihkan, VBWorm.NUJ juga akan mencoba untuk atif pada mode “safe mode with command prompt” dengan membuat string pada registry berikut:

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
    • AlternateShell = cmd.exe C:\Dokument Penting\My Download.exe
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
    • AlternateShell = cmd.exe C:\Dokument Penting\My Download.exe
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
    • AlternateShell = cmd.exe C:\Dokument Penting\My Download.exe

 

VBWorm.NUJ juga akan mencoba untuk menumpang pada setiap file executable (exe/com/bat/pif/scr/lnk) dengan membuat string pada regsitry berikut dengan tujuan agar setiap kali user mencoba untuk menjalankan executable tersebut maka secara otomatis akan mengaktifkan dirinya dengan menjalankan file “C:\Windows\service.exe”.

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
    • Default = "C:\WINDOWS\service.exe" "%1" %*
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
    • Default = "C:\WINDOWS\service.exe" "%1" %*
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
    • Default = "C:\WINDOWS\service.exe" "%1" %*
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command
    • Default = "C:\WINDOWS\service.exe" "%1" %*
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command
    • Default = "C:\WINDOWS\service.exe" "%1" %*

 

Mengganti Task Manager, Regedit dan Solitaire dengan game FreeCel

Untuk menjaga eksistensinya, VBWorm.NUJ akan mencoba untuk blok beberapa fungsi Windows seperti Folder Option/regedit/maupun Task Manager dengan menggantinya dengan program game seperti yang pernah dilakukan oleh varian FaceCool, untuk melakukan hal tersebut VBWorm.NUJ akan mencoba untuk membuat string pada registry berikut :

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

-       debugger = C:\WINDOWS\system32\freecell.exe (lihat gambar 4)

 

Gambar 4, Game “FreeCell” sebagai pengganti Regedit”

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe

-       debugger = C:\WINDOWS\system32\sol.exe (lihat gambar 5)

 

Gambar 5, Game “Solitaire” sebagai pengganti System Restore”

 

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

-       debuger = C:\WINDOWS\system32\spider.exe (lihat gambar 6)

 

Gambar 6, Game “Spider” sebagai pengganti task manager”

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

-       DisableMSI =1

-       LimitSystemRestoreCheckpointing = 1

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

-       DisableConfig

-       DisableSR

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore

-       DisableCOnfig = 1

-       DisableSR = 1

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

-       NoFolderOptions

-       NORun

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

-       DisableRegistryTools

-       DisableTaskMgr

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

-       NoFolderOption

-       NoRun

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

-       DisableRegistryTools

-       DisabletaskMgr

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

-       Hidden = 0

-       HideFileExt = 1

-       ShowSuperHidden = 0

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN

-       text = @shell32.dll,-30501

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

-       text = @shell32.dll,-30500

 

Blok Website security

VBWorm.NUJ akan mencoba untuk melakukan blok terhadap website security dengan merubah file Host Windows yang berada dilokasi “C:\WINDOWS\system32\drivers\etc\Host” (lihat gambar 7). Metode ini cukup mengkhawatirkan karena jika digabungkan dengan teknik Phishing akan mampu menjadi rekayasa sosial yang mampu mengelabui pengguna internet banking. Sekalipun yang dilengkapi dengan pengamanan Token / kalkulator PIN.

 

Gambar 7, URL yang akan diblok oleh VBWorm.NUJ

 

Pesan dari pembuat virus  

Salah satu aksi yang aka dilakukan oleh VBWorm.NUJ adalah akan menampilkan sebuah kendela Internet Explorer setiap kali komputer dinyalakan dengan menjalankan file C:\Message From Indonesia.ht