FreE_MiNe          19 Januari 2009

Virus Lokal yang memiliki backup msvbvm60.dll

 

 

Pertempuran pembuat virus dengan antivirus ini ibarat Tom and Jerry, setiap kali pembuat virus mengeluarkan satu varian baru, pembuat antivirus mengeluarkan cara membasmi virus tersebut dan cara mencegahnya dan sebaliknya setiap kali pembuat antivirus mengeluarkan cara untuk menghambat penyebaran virus, pembuat virus selalu menemukan cara lain untuk menyebarkannya. Hal ini juga terjadi pada penyebaran virus lokal yang karena mayoritas dibuat menggunakan Visual Basic (VB), maka banyak pengguna komputer yang menonaktifkan MSVBVM60.dll yang merupakan file yang dibutuhkan oleh semua program VB (termasuk virus) untuk dapat aktif di komputer. Tetapi lihat virus yang satu ini, sekalipun anda sudah mendhapus MSVBVM60.dll dari komputer anda dan secara teori virus VB tidak akan mampu menginfeksi komputer anda, virus ini memiliki backup MSVBVM60.dll yang ditempatkan di direktori lain sehingga tetap dapat menginfeksi komputer anda.

Ciri umum yang dapat dikenali dari virus ini adalah munculnya file duplikat disetiap folder/subfolder yang terdapat file MS.Word dengan ukuran file 68 KB dan agar penyamarannya berhasil ia akan merubah type file dari file duplikat tersebut dari “application” menjadi “Microsoft Word Document” sehingga user mengira bahwa file tersebut adalah file MS.Word sehingga tanpa curiga user akan membuka file tersebut yang tentunya akan mengaktifkan virus, sedangkan file tersebut tidak akan dapat dibuka (karena disembunyikan) sehingga user akan mengira bahwa file tersebut telah rusak. (lihat gambar 1)

 

Gambar 1, Contoh file duplikat yang dibuat oleh FreE_MiNe

 

FreE_MiNe ini dibuat dengan menggunakan program bahasa Visual Basic tanpa di kompresi dengan ukuran 68 KB, file ini mempunyai ekstensi EXE dengan type file “Application”. (lihat gambar 2)

 

Gambar 2, File induk FreE_MiNe

 

Jika file tersebut dijalankan, ia akan membuat file induk dibawah ini yang akan dijalankan secara otomatis setiap kali komputer di nyalakan/restart:

 

-      C:\FreE_MiNe.exe (semua drive)

-      C:\WINDOWS\system32\LoLOxz

o    smss.exe

o    msvbvm60.dll

 

File msvbvm60.dll yang dijalankan dari direktori C:\Windows\System32\LoLOxz\ di atas dimaksudkan sebagai backup untuk mengantisipasi kalau komputer korbannya memblok MSVBVM60.dll (MSVBVM60 = Microsoft Visual Basic Virtual Machine versi 6.0) yang merupakan syarat mutlak untuk menjalankan aplikasi Visual Basic di OS Microsoft (termasuk virus). Jadi sekalipun komputer korban berusaha mencegah infeksi virus VB dengan memblok msvbvm60.dll dari direktori C:\Windows\System32, virus ini tetap akan bisa aktif karena memiliki backup msvbvm60.dll.

 

Untuk memastikan agar file virus dijalankakn secara otomatis, FreE_MiNe akan membuat string pada registry berikut :

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

-      shell = explorer.exe C:\WINDOWS\system32\LoLOxz\smss.exe

-      system = C:\WINDOWS\system32\LoLOxz\smss.exe

-      userinit = userinit,C:\WINDOWS\system32\LoLOxz\smss.exe

 

Untuk mengelabui user, pada waktu yang telah ditentukan FreE_MiNe ini akan menghapus string C:\WINDOWS\system32\LoLOxz\smss.exe untuk kemudian akan membuatnya lagi sehingga user beranggapan bahwa virus ini tidak akan membuat string pada registry tersebut.

 

Untuk memperlancar aksinya, FreE_MiNe juga akan mencoba blok beberapa fungsi Windows tetapi virus ini hanya akan blok fungsi “Find/Search dan CMD serta Folder Option” saja.

 

Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:

 

HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced

            - HideFileExt

            - ShowSuperHidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

            - NoFind = 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

-      DisableCMD =1

 

Walaupun virus ini tidak akan aktif pada mode “safe mode with command prompt” tetapi virus ini akan mencoba untuk blok akses ke mode tersebut dengan cara blok file “cmd.exe”.

 

Pesan dari sang pembuat virus

Pembuat virus juga akan meninggalkan pesan yang di simpan pada body virus tersebut, berikut pesan yang akan disampailan oleh sang VM

 

FreE_MiNe From Picture Village

Pesan dari Dunia lain

Sunyinya malam yang kian larut

Bagaikan awan putih dilangit

Menambah sesak dadaku yang menahan nafas

Nafas rindu, nafas Cinta dan nafas sepi

Tiap waktu dan tiap saat tak pernah berhenti

Seperti juga darahku yang selalu

Setia pada tubuh

Seperti juga keinginanku

yang semakin ingin ku jangkau

tetapi semua itu NIHIL

Picture Worms Vill

Messange me,, Attention Please ..

Ne Buat temen

temen New Bie TI

Tenang Ulet Ne ga berbahaya buat your PC.

Yang Penting lo ga Macem

Kalo lo mow kasar ntar q juga bisa..wee

 

Membuat duplikat File dan menyembunyikan MS.Word

Sebagai tujuan akhir dari petualangannya, ia akan membuat duplikat file di setiap folder/subfolder yang terdapat file MS.Word dengan ukuran file sekitar 68 KB dengan ekstensi EXE sesuai dengan nama file asli dan untuk mengelabui user ia akan menyamarkan type file dari “application” menjadi “Microsoft Word Document” sehingga user beranggapan bahwa file tersebut adalah file asli. Jika file tersebut dijalankan maka secara otomatis akan mengaktifkan dirinya sedangkan isi dari file asli tersebut tidak akan dapat di buka. Lalu kemana file aslinya apakah dihapus? Kelihatannya pembuat virus ini memang tidak beritikad merusak / menghancurkan file komputer korbannya, jadi file asli kita tidak dihapus tetapi disembunyikan di folder yang sama.

 

Untuk merubah type dari file duplikat tersebut ia akan merubah string pada registry berikut : (lihat gambar 3)

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

-      [Default] = Microsoft Word Document

 

Gambar 3, Contoh file duplikat FreE_MiNe dan file aplikasi mempunyai kesamaan pada type file yakni Microsoft Word Document

 

Selain itu ia juga akan merubah string infotip dan tileinfo dari file exe pada registry berikut : (lihat gambar 4 dan 5)

 

HKEY_CLASSES_ROOT\exefile

            - infotip = prop:FileDescription;Size

            - TileInfo = prop:FileDescription;Size

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

            - infotip = prop:FileDescription;Size

            - TileInfo = prop:FileDescription;Size

 

Gambar 4, InfoTip dan TileInfo yang sudah diubah oleh FreE_MiNe

 

Gambar 5, InfoTip dan TileInfo sebelum diubah oleh FreE_MiNe

 

Agar ia dapat aktif secara otomatis pada saat user mengakses Drive atau Flash Disk, FreE_MiNe akan memanfaatkan fitur autorun Windows dengan membuat file  autorun.inf di setiap root drive seperti drive C:\ atau D:\ serta pada Flash Disk. File autorun.inf ini berisi script untuk menjalankan file FreE_Mine.exe. (lihat gambar 6)

 

Gambar 6, File autorun.inf untuk menjalankan virus secara otomatis

 

FreE_MiNe juga akan menambahkan script @echo off pada file C:\autoexec.bat dengan tujuan supaya komputer tidak menampilkan pesan pada layar. (lihat gambar 7)

 

Gambar 7, Script yang sudah ditambahkan oleh FreE_MiNe

 

Media Penyebaran

Untuk menyebarkan dirinya FreE_MiNe memanfaatkan media Flash Disk dengan membuat file berikut:

-      Autorun.inf (berisi script untuk menjalankan file FreE_MiNe.exe) secara otomatis saat user akses Flash Disk.

-      FreE_MiNe.exe

 

Selain itu ia juga akan menyembunyikan file MS.Word disetiap folder/subfolder dan untuk mengelabui user ia akan membuat duplikat disetiap folder/subfolder yang terdapat file MS.Word sesuai dengan nama file yang disembunyikan.

 

Bagaimana cara membasmi FreE_MiNe

 

  1. Nonaktifkan “System Restore” selama proses pembersihan
  2. Matikan proses virus yang aktif di memori. Gunakan tools “Security task Manager” untuk mematikan proses virus tersebut. Matikan proses virus yang mempunyai icon MS.Word dengan cara : (lihat gambar 8 dan 9)

 

    1. Pilih proses virus yang akan di matikan
    2. Klik kanan pada proses tersebut
    3. Pilih “Remove”
    4. Pada layar “Remove”, pilih opsi “Move file to quarantine” agar file langsung di hapus.
    5. Klik tombol “Ok”

Gambar 8, Mematikan proses virus dengan menggunakan “Security task Manager”

 

Gambar 9, Pilih opsi “Move file to quarantine” untuk menghapus virus

     

Security Task Manager dapat di download dari :

      http://www.neuber.com/taskmanager/download.html

 

  1. Fix registry yang sudah diubah atau dibuat oleh virus. Untuk mempercepat proses perbaikan registry ini salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara:

 

    1. Klik kanan repair.inf
    2. Klik install

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, userinit,0, "userinit.exe,"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, system,0, ""

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x00010001,255

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x00010001,255

HKLM, SOFTWARE\Classes\exefile,,,"Application"

HKLM, SOFTWARE\Classes\exefile,InfoTip,0,"prop:FileDescription;Company;FileVersion;Create;Size"

HKLM, SOFTWARE\Classes\exefile,TileInfo,0,"prop:FileDescription;Company;FileVersion;Create;Size"

 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD

 

  1. Cari dan hapus file induk dan file duplikat virus dengan menggunakan fungsi Find/Search. Jika fungsi ini belum aktif sebaiknya LogOff komputer terlebih dahulu. Setelah fungsi Find/Search ini aktif jangan lupa untuk menampilkan file yang tersembunyi terlebih dahulu dari Folder Options (lihat gambar 10)

 

Gambar 10, Menampilkan setting file yang tersembunyi dari Folder Options

 

kemudian cari dan hapus file yang mempunyai ciri-ciri :

 

    1. Icon MS.Word
    2. Ukuran 68 KB
    3. Type File “Application”

Anda juga dapat menggunakan Norman Malware Cleaner untuk membasmi virus Freemine di komputer anda yang dapat di download secara gratis dari http://download.norman.no/public/Norman_Malware_Cleaner.exe

  1. Hapus juga file “Autorun.inf” disemua drive dan file C:\msvbvm60.dll”
  2. Hapus script @echo off pada file C:\Autoexec.bat, caranya:
    1. Klik kanan file C:\Autoexec.bat
    2. Klik menu “Edit”
    3. Hapus script @echo Off
    4. Klik menu “File”
    5. Klik “save”

 

  1. Tampilkan kembali file MS.Word (*.doc) yang telah disembunyikan oleh FreE_MiNe dengan menjalankan perintah attrib -s -h -r *.doc /s (hanya untuk menampilkan file MS.Word pada drive/folder yang ditentukan) atau attrib -s -h -r /s /d (untuk menampilkan semua file/folder pada drive/folder yang ditentukan) pada Dos Prompt. (lihat gambar 11)

Gambar 11, Menampilkan file MS.Word (*.doc) yang disembunyikan oleh FreE_MiNe

 

  1. Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya install antivirus yang up-to-date dan dapat mendeteksi dan mengenali virus ini.

 

Salam,

AJ Tau

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 3456850

Fx : 021 345 6851