Anjelina Jolie II (W32/DLoader.ITOA)          14 Agustus 2008

Berita CNN yang menyebabkan "BSOD" (Blue Screen of Death)

Anda tentu masih ingat dengan kasus virus Anjelina jolie (Agent.GPKB), virus ini akan mengirimkan spam dengan menyertakan link untuk mendownload video “palsu” dari Angelina Jolie yang ternyata akan mendownload sebuah program antispyware “palsu” juga dengan nama antivirus XP 2008. Software antivirus XP 2008 ini cukup sulit untuk hapus sehingga diperlukan cara menanganan yang lebih serius. Silahkan klik link berikut untuk info lebih lanjut http://vaksin.com/2008/0708/anjelina-jolie/anjelina-jolie.html.

Belum lagi kasus Virus Spam Anjelina Jolie ini berakhir, kini muncul kasus yang sama dan kali ini isi berita dari CNN dan MSNBC yang dipalsukan. Virus ini dikategorikan sebagai Spyware dan mempunyai ciri-ciri yang tidak jauh dengan pendahulunya (Agent.GPKB), virus ini juga akan download sebuah program lain sama seperti pendahulunya yakni antivirus XP 2008 yang secara otomatis akan langsung di install di komputer korban. (lihat gambar 1)

Gambar 1, Antivirus XP 2008

Manipulasi berita CNN

Jika anda menerima email dari Daily Top 10 dengan subject CNN.com Daily Top 10, harap berhati-hati apalagi jika diminta untuk download sebuah file dengan nama get_flash_update.exe pada saat anda klik salah satu berita dalam bentuk vidoe yang di sertakan pada email tersebut.

File ini di download dari link yang berbeda-beda contohnya http://borinsrl-store.com/index2.html atau http://sol.innopulse.es/index2.html hal ini muncul karena versi yang dimiliki “katanya” belum mendukung untuk menjalankan video tersebut seperti terlihat pada gambar 2 dibawah ini:

Gambar 2, Link untuk update get_flash_update.exe

Jika dilihat dari script yang ada pada internet explorer tersebut [View] [Source], jelas terlihat bahwa file tersebut diambil dengan menggunakan script : (lihat gambar 3)

Gambar 3, Script untuk download file Get_flash_update.exe

Dengan update tarbaru Norman Virus Control mendeteksi virus tersebut sebagai W32/DLoader.ITOA (lihat gambar 4).

Gambar 4, Norman Security Suite 7 mendeteksi sebagai Trojan: W32/Dloader.ITOA

Jika file tersebut di download dan di jalankan ia akan mencoba untuk membuat file induk, selain itu ia akan mencoba untuk download program lain yang kemudian akan langsung di eksekusi. Jika diperhatikan file yang akan dibuat mempunyai persamaan dengan file yang pernah dibuat oleh virus Agent.APKB (Anjelia Jolie).

  • C:\WINDOWS\system32\CbEvtSvc.exe (dijalankan sebagai service)

  • C:\Documents and Settings\Elvina\Local Settings\Temp\lfq0kzgs.exe

  • C:\Documents and Settings\Elvina\Local Settings\Temp\.xx1.tmp.vbs (xx menunjukan karakter acak).

  • C:\Documents and Settings\All Users\Start Menu\Programs\Startup\smss.exe

  • C:\WINDOWS\system32\lphc7nvj0e52e.exe

  • C:\WINDOWS\system32\phc7nvj0e52e.bmp

  • C:\WINDOWS\system32\phc7nvj0e52e.bmp

  • C:\WINDOWS\system32\blphc7nvj0e52e.scr

  • C:\WINDOWS\system32\phc7nvj0e52e.bmp

  • C:\windows\system32\drivers\xxx.sys (xxx menunjukan karakter acak dengan ukuran 108 KB, contohnya 6127a5e3.sys atau 125c1fb5.sys)

  • C:\Documents and Settings\LocalService\Application Data\584289103.exe

  • C:\Program Files\rhc3nvj0e52e

  • C:\Windows\system32\pphc7nvj0e52e.exe

  • C:\Documents and Settings\LocalService\Application Data\rhc3nvj0e52e

  • C:\Documents and Settings\Elvina\Application Data\rhc3nvj0e52e.exe

  • C:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008

  • C:\Documents and Settings\Elvina\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk

  • C:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008.lnk

  • C:\Documents and Settings\All Users\Desktop\Antivirus XP 2008.lnk

Agar dirinya dapat aktif secara otomatis ia akan menjalankan dirinya sebagai service windows dengan membuat string pada registry berikut:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc

  • DisplayName = CbEvtSvc

  • ImagePath = %SystemRoot%\System32\CbEvtSvc.exe -k netsvcs

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc

  • DisplayName = CbEvtSvc

  • ImagePath = %SystemRoot%\System32\CbEvtSvc.exe -k netsvcs

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\CbEvtSvc

  • DisplayName = CbEvtSvc

  • ImagePath = %SystemRoot%\System32\CbEvtSvc.exe -k netsvcs

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6127a5e3

  • ImagePath = \SystemRoot\System32\drivers\6127a5e3.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6127a5e3

  • ImagePath = \SystemRoot\System32\drivers\6127a5e3.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\6127a5e3

  • ImagePath = \SystemRoot\System32\drivers\6127a5e3.sys

Ia juga akan membuat string lain di registry berikut

KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • lphc7nvj0e52e = C:\WINDOWS\system32\lphc7nvj0e52e.exe

  • SMrhc3nvj0e52e = C:\Program Files\rhc3nvj0e52e\rhc3nvj0e52e.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\software notifier

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\rhc3nvj0e52e

  • DisplayName = AntivirXP08

  • UninstallString = "C:\Program Files\rhc3nvj0e52e\uninstall.exe"

HKEY_LOCAL_MACHINE\software\rhc3nvj0e52e

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion

  • rhc3nvj0e52e = 8b 6e 99 48 (bynary)

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform

  • AntivirXP08 = AntiVirXP08

  • SV1

Ubah Desktop dan Screen Saver Windows

Sama seperti kasus virus Anjelia Jolie (Agent.GPKB), virus ini juga akan mencoba untuk menghilangkan tabulasi “Screen Saver” dan “Desktop” pada “Display Properties” hal ini dimaksudkan agar user tidak dapat merubah Screen Saver dan Desktop Windows dan sebagai penggantinya ia akan merubah Desktop Windows dengan menjalankan file C:\WINDOWS\system32\phc7nvj0e52e.bmp seperti terlihat pada gambar 5 dibawah ini dan merubah Screen Saver windows dengan menjalankan file C:\WINDOWS\system32\blphc7nvj0e52e.scr.

Gambar 5, Dektop yang sudah dirubah oleh Virus

Blue Screen of Death (BSOD)

Pada saat screen saver aktif ia akan menjalankan file C:\WINDOWS\system32\blphc7nvj0e52e.scr dengan menampilkan layar blue screen seolah-olah Windows error, jika hal ini terjadi cukup tekan tombol “Esc” maka komputer akan kembali Normal. Tujuan memunculkan”blue screen” palsu ini adalah untuk mengelabui pengguna komputer mengira bahwa ada masalah dnegan komputernya. Pesan error ini muncul pada saat screen saver tersebut aktif, perhatikan gambar 6 dibawah ini.

Gambar 6, BSOD (Blue Screen of Death) palsu yang ditampilkan oleh virus untuk menakuti komptuer korbannya.

Untuk melakukan hal tersebut ia akan membuat string pada registri berikut : (Gambar 7)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

  • NoDispBackgroundPage

  • NoDispScrSavPage

Gambar 7, Disable tabulasi “Desktop” dan “Screen Saver”

HKEY_CURRENT_USER\Control Panel\Desktop

  • ConvertedWallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp

  • OriginalWallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp

  • SCRNSAVE.EXE = C:\WINDOWS\system32\blphc7nvj0e52e.scr

  • Wallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General

  • BackupWallpaper = %SystemRoot%\system32\phc7nvj0e52e.bmp

  • Wallpaper = %SystemRoot%\system32\phc7nvj0e52e.bmp

Media penyebaran (Spam)

Untuk menyebarkan dirinya ia akan memanfaatkan email dengan mengirimkan email yang seolah-olah dikirim dari kantor berita internasional CNN dengan memalsukan berita yang ada dalam email tersebut kesemua alamat email yang di dapat. Virus ini akan mengirimkan email tersebut dengan menggunakan SMTP miliknya sendiri

Jika dilihat menggunakan perintah NETSTAT -A pada Dos Prompt dapat dilihat bahwa virus ini berusaha untuk melakukan koneksi ke beberapa smtp server dan berusaha untuk mengirimkan dirinya dalam bentuk email. (lihat gambar 8)

Gambar 8, W32/Dloader mencoba untuk koneksi ke SMTP server dan mangirimkan dirinya

Berikut format email yang akan di kirim oleh Dloader.ITOA

 

From : Daily Top 10 <alamat email acak>

To : acak

Subject : CNN.com Daily Top 10

Body :

Gambar 9, Contoh email yang dikirim oleh virus

Jika salah satu berita tersebut diklik maka secara otomatis akan muncul satu link CNN-VIDEO kemudian akan muncul konfirmasi untuk download sebuah file dengan nama get_flash_update.exe dengan ukuran 77 KB karena Flash Player yang terinstall tidak mendukung untuk menjalankan video tersebut, file inilah yang akan mendownload trojan/worm lain yang akan secara otomatis langsung di aktifkan. (lihat gambar 2 di atas)

Cara membersihkan virus W32/Dloader.ITOA

  1. Lakukan proses pembersihan pada mode “safe mode”

  2. Matikan service virus yang aktif. Untuk mematikan service virus lakukan langkah berikut

  • Klik [start]

  • Klik [Run]

  • Ketik [Services.msc] (lihat gambar 10)

Gambar 10, Menu Services untuk mematikan proses virus

  • Klik kanan service CbEvtSvc.exe kemudian pilih Properties (gambar 11)

Gambar 11, Properties Virus yang akan dimatikan.

  • Pastikan pada menu “Services status” = Started

  • Pada kolom [startup type] pilih “Disable”

  • Klik “Ok”

  1. Fix registry windows yang tekah diubah oleh virus. Silahkan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara:

  • Klik kanan repair.inf

  • Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee


[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, Control Panel\Desktop, ConvertedWallpaper,0, ""

HKCU, Control Panel\Desktop, OriginalWallpaper,0, ""

HKCU, Control Panel\Desktop, SCRNSAVE.EXE,0, ""

HKCU, Control Panel\Desktop, Wallpaper,0, ""

HKCU, Software\Microsoft\Internet Explorer\Desktop\General, BackupWallpaper,0, ""

HKCU, Software\Microsoft\Internet Explorer\Desktop\General, Wallpaper,0, ""

 

[del]

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, lphc7nvj0e52e

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, services

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, SMrhc3nvj0e52e

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, rhc3nvj0e52e.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, NoDispBackgroundPage

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, NoDispScrSavPage

HKLM, SYSTEM\CurrentControlSet\Services\6127a5e3

HKLM, SYSTEM\ControlSet002\Services\6127a5e3

HKLM, SYSTEM\ControlSet001\Services\6127a5e3

HKLM, SYSTEM\ControlSet001\Services\CbEvtSvc

HKLM, SYSTEM\ControlSet002\Services\CbEvtSvc

HKLM, SYSTEM\CurrentControlSet\Services\CbEvtSvc

HKLM, SYSTEM\ControlSet001\Services\CbEvtSvc

HKLM, SYSTEM\CControlSet002\Services\CbEvtSvc

HKLM, SOFTWARE\Microsoft\software notifier

HKLM, software\Microsoft\Windows\CurrentVersion\Uninstall\rhc3nvj0e52e

HKLM, software\rhc3nvj0e52e

HKLM, software\Microsoft\Windows\CurrentVersion, rhc3nvj0e52e

HKLM, software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform

HKLM, SOFTWARE\Microsoft\Software Notifier

HKLM, SYSTEM\ControlSet001\Services\125c1fb5

HKLM, SYSTEM\ControlSet002\Services\125c1fb5

HKLM, SYSTEM\CurrentControlSet\Services\125c1fb5

  1. Hapus file virus berikut:

  • C:\WINDOWS\system32\CbEvtSvc.exe

  • C:\Documents and Settings\Elvina\Local Settings\Temp\lfq0kzgs.exe

  • C:\Documents and Settings\Elvina\Local Settings\Temp\.xx1.tmp.vbs (xx menunjukan karakter acak).

  • C:\Documents and Settings\All Users\Start Menu\Programs\Startup\smss.exe

  • C:\WINDOWS\system32\lphc7nvj0e52e.exe

  • C:\WINDOWS\system32\phc7nvj0e52e.bmp

  • C:\WINDOWS\system32\phc7nvj0e52e.bmp

  • C:\WINDOWS\system32\blphc7nvj0e52e.scr

  • C:\WINDOWS\system32\phc7nvj0e52e.bmp

  • C:\windows\system32\drivers\xxx.sys (xxx menunjukan karakter acak dengan ukuran 108 KB, contohnya 6127a5e3.sys atau 125c1fb5.sys)

  • C:\Documents and Settings\LocalService\Application Data\584289103.exe

  • C:\Program Files\rhc3nvj0e52e

  • C:\Windows\system32\pphc7nvj0e52e.exe

  • C:\Documents and Settings\LocalService\Application Data\rhc3nvj0e52e

  • C:\Documents and Settings\Elvina\Application Data\rhc3nvj0e52e.exe

  • C:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008

  • C:\Documents and Settings\Elvina\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk

  • C:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008.lnk

  • C:\Documents and Settings\All Users\Desktop\Antivirus XP 2008.lnk

  1. Hapus file temporary, silahkan download tools berikut (lihat gambar 12) http://www.majorgeeks.com/ATF_Cleaner_d4949.html

Gambar 12, Tools ATF Cleaner for Windows XP untuk membantu menghapus file temporasi dengan tuntas.

  1. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan gunakan antivirus yang up-to-date dan dapat mengenali virus ini dengan baik.

salam,

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 6851