Trojan:W32/VBTroj.NYH        19 November 2008

(^_^)NITA_WORM was here

 

Seminar + Outbound       6-7 Desember 2008

Evaluasi Malware 2008, Trend 2009 dan Antisipasinya

Malabar - Pengalengan, Bandung

Saat ini penyebaran virus mancanegara mulai menggeser keberadaan virus lokal, dimulai dengan kasus virus arp spoofing yang akan memalsukan Mac Address gateway dalam LAN serta dapat melakukan update secara otomatis guna memperbaharui dirinya kemudian dilanjutkan dengan spyware yang menyamarkan sebagai antivirus atau anti spyware seperti Antivirus XP 2008 atau Antivirus XP 2009 serta XP Antispayware dan masih banyak varian lainnya. Lalu terakhir Vaksincom menerima banyak laporan komputer yang mengalami masalah Generic Host Process (GHP) Error yang disinyalir merupakan serangan terhadap port RPC Dcom, Vaksincom mengirimkan artikel “Napak Tilas RPC Dcom” yang dapat anda temukan pada edisi terbaru PC Plus yang akan terbit minggu depan.

 

Maraknya penyebaran virus mancanegara bukan indikasi menurunnya pembuat virus lokal, karena dalam kenyataannya kuantitas pembuat virus lokal tidak mengalami penurunan dan malahan menurut virus statistik virus yang diterima oleh Vaksincom rata-rata setiap bulan ditemukan 100 virus lokal baru. Http://www.vaksin.com/hall_of_fame.htm

 

Artikel AntivirusXP 2008

http://vaksin.com/2008/0708/anjelina-jolie/anjelina-jolie.html

http://vaksin.com/2008/1008/AntivirusXP/antivirusxp.html

 

Artikel Arp Spoofing

http://vaksin.com/2008/1108/arp%20spoofing2/arp%20spoofing2.html

http://vaksin.com/2008/0608/microsoft2/arp-spoofing.html

http://vaksin.com/2008/0608/microsoft/microsoft.html

 

Walaupun demikian, dengan dengan tetap mengusung semangat Hari Pahlawan :P para VM seakan tak putus untuk terus berkreasi guna menghasilkan virus baru.

Kali ini giliran virus VBTroj.NYH atau biasa disebut dengan virus Tati yang disebarkan untuk turut menyemarakan dunia maya.

 

Ciri Umum VBTroj.NYH

Berikut beberapa ciri yang dapat dijumpai jika komputer terinfeksi VBTroj.NYH diantaranya:

  1. Muncul pesan error saat membuka file dengan menggunakan program “notepad” seperti *.txt, *.ini, *.log, *.inf. (lihat gambar 1)

Gambar 1, Pesan error saat membuka file txt

  1. Muncul header tambahan pada jendela internet explorer dengan menambahkan pesan “(^_^)NITA_WORM ==> Infected Your PC ..again..!!!”

(lihat gambar 2)

Gambar 2, Header Internet Explorer yang di permak oleh Nita Worm

  1. Muncul 3 menu palsu pada menu “send to” yakni “Image, My Picture dan Send to”. Ke tiga menu palsu tersebut jika di klik maka secara otomatis akan menjalankan file virus. (lihat gambar 3)

Gambar 3, 3 menu palsu yang di buat oleh VBTroj.NYH

  1. Muncul pesan error saat menjalankan fungsi windows tertentu atau saat menjalankan removal tools seperti regedit, msconfig, cmd, ansav atau avigen antivirus sehingga membuat file tersebut tidak dapat di jalankan. (lihat gambar 4)

Gambar 4, Pesan error saat menjalankan fungsi Windows

  1. Membuat folder “NITA_WORM was here.exe” sebagai default install pada saat menginstall suatu program atau aplikasi. (lihat gambar 5)

Gambar 5, VBTroj.NYH akan membuat folder “NITA_WORM was here.exe” sebagai default instalasi

  1. Munculnya file duplikat di setiap folder termasuk di media penyimpanan “Flash Disk” yang mempunyai ukuran file 108 KB dengan icon “Folder”.

Dengan database terakhir Norman Virus Control dan Norman Security Suite telah mendeteksi virus ini sebagai VBTroj.NYH (lihat gambar 6)

Gambar 6, Norman Security Suite mendeteksi Nita worm sebagai Trojan:W32/VBTroj.NYH

 

File induk VBTroj.NYH

Virus ini dibuat dengan menggunakan program bahasa Visual Basic dengan ukuran file sebesar 108 KB, untuk mengelabui user ia akan menggunakan icon Folder. (lihat gambar 7)

 

Gambar 7, File induk VBTroj.NYH

 

Pada saat virus ini dijalankan ia akan membuat beberapa file induk di bawah ini yang akan dijalankan pertama kali pada saat komputer di hidupkan:

  • C:\New Folder.exe (akan di buat disemua Drive)

  • C:\Documents and Settings\%user%\Start Menu\Programs\Startup

    • Startup.exe

    • New Folder

    • New Folder(x), dimana x menunjukan angka (1-19)

  • Copy file C:\Windows\system32\msvbvm60.dll ke direktori berikut:

    • %Flash Disk%>:\msvbvm60.dll

    • C:\Documents and Settings\All Users\Documents\My Videos\msvbvm60.dll

    • C:\Documents and Settings\All Users\Documents\My Videos\msvbvm60.dll

Untuk memastikan agar file tersebut dapat dijalankan setiap kali komputer dinyalakan, ia juga akan membuat string pada registry berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • loader = \WinSys.exe

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • loader = \shell.exe

Sebagai pelengkap ia juga akan blok beberapa fungsi windows seperti regedit/msconfig/task manager/folder option termasuk beberapa tools virus lokal seperti Ansav atau Avigen dengan memunculkan pesan error berikut saat menjalankan fungsi atau tools tersebut. (lihat gambar 8)

Gambar 8, Pesan error yang muncul saat menjalankan fungsi Windows / tools

 

Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VIGen32.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VSafeRun.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2HIJACKFREE.EXE

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMD.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dxdiag.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Notepad.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProMo.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit32.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe

    • debugger = explorer.exe

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VB6.EXE

    • debugger = explorer.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2HIJACKFREE.EXE

    • debugger = explorer.exe

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

    • Hidden = 0

    • HideFileExt = 1

    • ShowSuperHidden = 0

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

    • DisableThumbnailCache = 1

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

    • ShowDriveLettersFirst = 4

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt"

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden"

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden"

VBTroj.NYH juga akan blok fungsi klik kanan dengan membuat string pada registry berikut:

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • NoViewContextMenu

Ubah Header Internet Explorer

Untuk menunjukan keberadaannya ia akan merubah judul pada program internet explorer dengan menambahkan pesan “(^_^)NITA_WORM ==> Infected Your PC ..again..!!!”. Untuk merubah judul IE ini VBTroj.NYH akan membuat string pada regsitry berikut:

  • HKCU\Software\Microsoft\Internet Explorer\Main

    • Window Title = (^_^)NITA_WORM ==> Infected Your PC ..again..!!!

Selain merubah judul internet explorer untuk menunjukan ekstensinya VBTroj.NYH juga akan mencoba untuk merubah type file “setup information” (inf) dan “System file“ (sys) menjadi NITA_WORM dengan terlebih dahulu merubah string pada registry berikut: (lihat gambar 2 di atas)

 

HKLM\SOFTWARE\Classes

- sysfile = NITA_WORM

HKLM\SOFTWARE\Classes\inffile

- FriendlyTypeName = NITA_WORM

 

Ubah default folder installasi program

VBTroj.NYH juga akan merubah default folder program installer dari “..\Program Files” menjadi “...\NITA_WORM was here.exe”. Untuk melakukan hal ini ia akan membuat string pada registry berikut: (lihat gambar 5 di atas)

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

    • ProgramFilesDir = NITA_WORM was here.exe

Untuk mengelabui user, VBTroj.NYH juga akan membuat menu palsu (icon Folder) pada menu utama “send to” setiap kali user melakukan klik kanan pada suatu file yakni “Send to / My Picture dan Image”, untuk melakukan hal ini ia akan membuat file virus di direktori : (lihat gambar 3 di atas)

  • C:\Documents and Settings\%user%\SendTo

    • Image.xe

    • My Picture.exe

    • Send to.exe

Membuat file diplikat dan media penyebaran

Sebagai tujuan akhir dari VBTroj.NYH ini adalah membuat file duplikat disetiap folder/subfolder termasuk di media Flash Disk dengan ciri-ciri:

  • Menggunakan icon Folder

  • Ukuran 108 KB

  • Ekstensi EXE

  • Type File “Application”

Membuat duplikati di media penyimpanan “Flash Disk” adalah salah satu upaya yang akan di lakukan oleh VBTroj.NYH untuk menyebarkan dirinya.

 

Cara membersihkan VBTroj.NYH

  1. Putuskan hubungan komputer yang akan dibersihkan dari LAN

  2. Matikan “system restore” selama proses pembersihan.

  3. Matikan proses virus yang mempunyai icon folder dengan menggunakan tools pengganti task manager seperi tools Ice sword. Silahkan download tools tersebut di alamat berikut: (lihat gambar 9)

http://202.38.64.10/%7Ejfpan/download/IceSword120_en.zip

Gambar 9, Mematikan proses VBTroj.NYH dengan menggunakan Ice Sword

  1. Hapus registry yang sudah di buat oleh virus. Untuk mempercepat proses penghapusan salin script dibawah ini pada program notepad kemudian simpan dengan nama “repair.vbs” kemudian jalankan file tersebut (klik 2x file repair.vbs)

------- awal script -------

 

Dim oWSH: Set oWSH = CreateObject("WScript.Shell")

on error resume Next

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command\","""%1"" /S"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\loader")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\loader")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSaveSettings")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Nofind")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title")

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\FriendlyTypeName","C:\Windows\System32\setupapi.dll,-2000"

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VIGen32.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VSafeRun.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMD.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dxdiag.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Notepad.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProMo.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit32.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VB6.EXE\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2HIJACKFREE.EXE\")

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir","C:\Program Files"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\Info Tip","prop:FIleDescription;Company;FileVersion;Create;Size"

oWSH.RegDelete("HKEY_CLASSES_ROOT\sysfile")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\sysfile")

oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Desktop\CursorBlinkRate","530"

 

------- akhir script -------

  1. Hapus file duplikat yang dibuat oleh VBTroj.NYH termasuk ke media Flash Disk. Untuk mempercepat proses mencarian sebaiknya gunakan fungsi “Search windows”. Jangan sampai terjadi kesalahan dalam penghapusan file duplikat tersebut, hapus file yang mempunyai ciri-ciri:

    • Menggunakan icon folder

    • Ukuran 108 KB

    • Type File “Application”

    • Ekstensi EXE

  1. Untuk Pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus Norman Virus Control yang sudah dapat mendeteksi dan membasmi virus ini. Jika anda menggunakan antivirus lain, silahkan gunakan removal tools Noman Malware Cleaner (Gratis).

Silahkan download antivirus Norman Virus Control trial di alamat berikut :

http://www.norman.com/Download/Trial_versions/

 

Silahkan download removal tools Norman Virus Control di alamat berikut :

http://download.norman.no/public/Norman_Malware_Cleaner.exe

salam,

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 345 6850

Fx : 021 345 6851