Share

Worm:Coutsonif.A           10 Februari 2009

Virus YM dan Skype, Lady_Eats_Her_Shit di You Tube

 

Ibarat Joeniar Arief yang mengatakan bahwa pengguna internet sangat “Rapuh” terhadap serangan virus. Maka kini pengguna Messenger khususnya Yahoo Messenger dan Skype yang mendapatkan giliran menghadapi kiriman virus yang memalsukan dirinya seakan-akan sebagai pesan otentik yang dikirimkan oleh kontak dalam YM / Skype anda. Tetapi jangan sekali-kali anda mengklik link yang diberikan, sekalipun dikirimkan oleh teman anda di YM / Skype yang terpercaya karena sebenarnya pesan tersebut bukan dikirimkan oleh teman anda, melainkan oleh Penghianat Cinta ....... alias virus yang berhasil menginfeksi komputer teman anda. (lihat gambar 1). Selain mampu menyebar melalui YM dan Skype, virus ini juga menyebar melalui Flash Disk menggunakan fasilitas Autorun dan memiliki kemampuan mengupdate dirinya.

Gambar 1, Pesan YM yang memalsukan video dari You Tube

Menurut pantauan terbaru Vaksincom tanggal 10 Februari 2009, link tersebut mulai di update oleh pembuat virus dan nama filenya diganti menjadi “Your_Dad_Has_Shit_Fetish_Too.PIF” (lihat gambar 2):

 

Gambar 2, Nama file yang di download diganti oleh virus.

Norman Security Suite mendeteksi virus ini dengan nama Worm:Coutsonif.A (lihat gambar 3)

 

Gambar 3, Norman Security Suite cegah download dan mendeteksi virus ini sebagai Worm:Coutsonif.A

 

Ada beberapa point yang menarik dari virus ini dan perlu diperhatikan sebagai berikut :

  1. YM dan Skype, pengirim pesan dengan link bervirus adalah kontak pada YM / Skype anda. Tentunya penerimanya tidak menduga temannya akan sengaja mencelakakan dirinya dengan mengiriminya virus. Tetapi karena virus ini yang mengirimkan dirinya ke semua kontak, hal ini juga dapat merusak nama baik korban virus ini.

  2. You tube, supaya penerima link percaya dan tidak waspada, maka link yang dikirimkan seolah-olah video You Tube yang sampai saat ini file video aman dari file eksekusi / virus. Dan resiko tertinggi hanyalah tidak mendapatkan video saja.

  3. Menggunakan pemalsuan link, dimana link yang tercantum pada pesan YM tidak sesuai dengan link yang dituju yang mengarahkan pada situs download gratis Rapidshare yang digunakan untuk menyimpan file virus.

  4. Menggunakan file sharing gratis Rapidshare untuk menyebarkan dirinya, hal ini sangat efektif dan efisien karena tidak membutuhkan usaha tinggi dan infrastruktur / bandwidth Rapidshare sangat baik untuk menyebarkan file virus.

  5. Menggunakan situs penyimpanan file gratis sehingga mudah diakses oleh calon korbannya dan mudah di update oleh pembuat virus, baik dari sisi biaya dan usaha. Sekaligus relatif aman bagi pembuat virus karena agak sulit baik secara waktu dan tenaga untuk mengetahui siapa yang bertanggungjawab atas file yang di upload, dibandingkan dengan melakukan hosting di website tertentu.

Belum tuntas kasus virus Conficker yang sampai saat ini masih menjadi “momok” bagi pengguna komputer terutama bagi mereka yang mempunyai koneksi internet / jaringan dimana dalam upaya menyebarannya akan memanfaatkan satu celah keamanan dari Widows yakni MS08-067 [http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx]. Untuk informasi lebih lanjut dan bantuan menghadapi Conficker silahkan hubungi Vaksincom atau klik url http://vaksin.com/2009/0109/conficker2/conficker2.htm

 

Pasti Anda sudah tidak asing dengan aplikasi chat seperti Skype / Yahoo Messager yang memungkinkan Anda untuk berkomunikasi dengan teman atau rekan kerja. Kemudahan yang di dapat dari aplikasi ini tidak luput dari incaran sang pembuat virus untuk menyebarkan virus dengan cara mengirimkan dirinya ke semua kontak yang ada dalam alamat aplikasi tersebut dengan menyertakan alamat link untuk mendownload sesuatu, hal ini juga pernah terjadi pada kasus virus Sohanad [http://vaksin.com/2008/0508/sohanad-vietnam/Sohanad-Dloader.html]

 

Jika anda menerima pesan yang di kirim melalui Ym atau SkyPe yang menyertakan link http://studyguide102.com/Organic/YouTube/ShitLady sebaiknya jangan Anda klik apalagi menjalankan file yang di download karena saat ini sedang menyebar satu virus yang akan memanfaatkan media chat, dan parahnya lagi virus ini selain memanfaatkan aplikasi chat seperti Yahoo Messager juga akan memanfaatkan aplikasi chat lainnya seperti ICQ maupun SkyPe. Untuk mengelabui user ia akan memalsukan alamat download file dengan menyertakan alamat Youtube. Jika klik alamat tersebut secara otomatis akan mendownlad satu file dengan nama Lady_Eats_Her_Shit-_www.youtube.com yang di upload di www.rapidshare.com, jadi sebenarnya anda tidak mendownload file tersebut dari YouTube melainkan dari alamat www.rapidshare.com. File ini mempunyai ukuran sebesar 130 KB yang dibuat dengan menggunakan Program Bahasa Visual C++ . (lihat gambar 4)

 

Gambar 4, Virus ini menggunakan rekayasa sosial memalsukan diri seolah-olah video You Tube.

 

Jika file yang berhasil di download tersebut dijalankan, secara otomatis ia akan membuat nama file acak dengan ekstensi *.tmp dan *.exe yang akan di simpan di direktori [C:\Documents and Settings\%user%\Local Settings\Temp] dengan nama yang berbeda-beda, contohnya : A415.tmp atau 034.exe serta drop file dengan nama Lady_Eats_Her_Shit--www.youtube.com, kemudian virus ini akan mengeksekusi salah satu file .tmp dan .exe yang telah di drop tersebut. Pada saat file yang mempunyai ekstensi .tmp di jalankan maka ia akan mengkopi file tersebut menjadi nama file lain yakni vshost.exe yang mempunyai ukuran 122 KB, file ini akan di simpan di setiap root drive [c:\ atau d:\]

 

Selain membuat file di atas, ia juga akan membuat beberapa file lain diantaranya:

  • C:\autorun.inf [all drive]

  • C:\RECYCLER\S-1-5-21-9949614401-9544371273-983011715-7040\winservices.exe

  • C:\WINDOWS\system32\sysmgr.exe

  • C:\WINDOWS\TEMP\5755.tmp

  • c:\windows\system32\crypts.dll

  • c:\windows\system32\msvcrt2.dll

Modifikasi Registry

Agar ia dapat aktif secara otomatis pada saat komputer aktif ia akan membuat string pada registri berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • Microsoft(R) System Manager = C:\WINDOWS\system32\sysmgr.exe

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • Windows Service help = C:\RECYCLER\S-1-5-21-9949614401-9544371273-983011715-7040\winservices.exe

Virus ini juga akan memanfaatkan fitur autorun Windows dengan membuat file [autorun.inf] di setiap root drive dan di Flash Disk, pembuatan file ini di maksudkan agar ia dapat aktif secara otomatis setiap kali user mengakses drive / Flash Disk. File Autorun ini berisi script untuk menjalankan file [vshost.exe]. (lihat gambar 5)

 

Gambar 5, File autorun.inf memungkinkan virus aktif secara otomatis.

 

Virus ini juga akan membuat string dibawah ini yang mengakibatkan user hanya di perbolehkan membuka “maksimal” 11 layar aplikasi.

  • HKEY_CURRENT_USER\SessionInformation

    • ProgramCount = 11

Virus ini juga akan membatasi penggunaan port hanya sampai 8000 port dengan terlebiih dahulu membuat string pada registry berikut

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

    • MaxUserPort = 8000

Dan menghapus value yang ada di registry berikut:

  • HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\BlockedPopup\.current

  • HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\EmptyRecycleBin\.Current

  • HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\.Current

  • HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\SecurityBand\.current

Otomatis Update

Virus ini akan mencoba melakukan koneksi ke sejumlah alamat yang telah ditentukan dengan tujuan untuk memperbaharui dirinya:

 

66 .90 .103 .169:99 / a .exe

66 .90 .103 .169:6666 / lsass .exe

66 .90 .103 .169:443 / crss .exe

TCP:72.249.94.146:7008 Port:27

TCP:127.0.0.1:1092 Port:30

TCP:66.90.103.169:99 Port:29

TCP:66.90.103.169:6666 Port:30

TCP:66.90.103.169:443 Port:30

Port 80 IP:83.133.127.5

Port 80 IP:68.180.151.74

Port 25 IP:127.0.0.1

Port 80 IP:65.55.21.250

TCP:83.133.127.5:443 Port:17

TCP:65.54.186.47:443 Port:17

Port 80 IP:87.248.208.54

TCP:89.149.254.14:443 Port:21

Port 80 IP:64.4.33.7

Port 80 IP:207.46.11.121

Port 80 IP:65.54.186.47

Port 80 IP:88.221.26.64

TCP:65.55.16.123:443 Port:28

TCP:92.122.112.124:443 Port:28

TCP:92.122.112.124:443 Port:28

TCP:88.221.165.186:443 Port:29

TCP:88.221.165.186:443 Port:29

TCP:83.133.127.5:443 Port:18

TCP:89.149.254.14:443 Port:22

TCP:65.55.16.123:443 Port:27

TCP:65.54.186.47:443 Port:27

TCP:92.122.112.124:443 Port:27

TCP:92.122.112.124:443 Port:28

TCP:88.221.165.186:443 Port:28

TCP:89.149.254.14:443 Port:21

 

Media Penyebaran

Untuk menyebarkan dirinya ia akan memanfaatkan beberapa media seperti Flash Disk dengan cara membuat file vshost.exe, agar file ini dapat aktif pada saat user mengakses Flash Disk ia akan menambahkan file autorun.inf , dimana file autorun.inf ini akan menjalankan file vshost.exe tersebut.

 

Selain menggunakan media Flash Disk, ia juga akan memanfaatkan media Chat seperti Yahoo Messager atau SkyPe dengan cara mengirimkan link virus ke semua kontak yang ada pada aplikasi Yahoo Messager atau SkyPe tersebut.

 

Pada komputer yang sudah terinfeksi virus ini, ia mengirimkan dirinya menggunakan fitur YM “Send Message to Group” dengan tujuan supaya semua kontak di YM menerima link yang berisi virus. (lihat gambar 6)

 

Gambar 6, Coutsonif menggunakan fasilitas YM “Send Message to Group” untuk menyebarkan dirinya ke semua kontak YM pada komputer yang terinfeksi.

 

Ciri-ciri pesan yang di kirim oleh Virus Coutsonif.A ke computer target (lihat gambar 1 di atas) :

Pada saat link tersebut di klik maka akan membuka layar Internet Explorer baru yang akan dialihkan ke alamat www.rapidshare.com kemudian akan mendownload sebuah file dengan nama Lady_Eats_Her_Shit--www.youtube.com.

 

Cara mengatasi Coutsonif.A

  1. Disable “System Restore” selama proses pembersihan.

  2. Disable autorun windows, agar virus tidak dapat aktif secara otomatis saat akses ke drive /flash disk.

    • Klik tombol “start”

    • Klik “run”

    • Ketik “GPEDIT.MSC”, tanpa tanda kutip. Kemudian akan muncul layar “Group Policy”

    • Pada menu “Computer Configuration dan User Configuration”, klik “Administrative templates”

    • Klik “System” (lihat gambar 7)

Gambar 7, Cara disable autorun dari Group Policy

    • Klik kanan pada “Turn On Autoplay”, pilih “Properties”. Kemudian akan muncul layar “Tun on Autoplay propeties”

    • Pada tabulasi “Setting”, pilih “Enabled”

Gambar 8, Cara menonaktifkan Autorun.

    • Pada kolom “Tun off Autoplay on” pilih “All drives”

    • Klik “Ok”

  1. Matikan proses virus, gunakan tools “security task manager” kemudian hapus file [sysmgr.exe, vshost.exe, winservices.exe, *.tmp]

Catatan:

*.tmp menunjukan file yang mempunyai ekstensi TMP [contoh: 5755.tmp]

    • Klik kanan pada file tersebut dan pilih “Remove”

    • Pilih opsi “Move File to Quarantine”

    • Klik “OK” (lihat gambar 9)

Gambar 9, Mengapus proses virus

  1. Repair registry yang sudah diubah oleh virus. Untuk mempercepat proses penghapusan silahkan salin script dibawah ini pada program notepad kemudian simppan dengan nama repair.inf. Jalankan file tersebut dengan cara:

    • Klik kanan repair.inf

    • Klik Instal

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, SessionInformation, ProgramCount, 0x00010001,3

HKCU, AppEvents\Schemes\Apps\Explorer\BlockedPopup\.current,,,"C:\WINDOWS\media\Windows XP Pop-up Blocked.wav"

HKCU, AppEvents\Schemes\Apps\Explorer\EmptyRecycleBin\.Current,,,"C:\Windows\media\Windows XP Recycle.wav"

HKCU, AppEvents\Schemes\Apps\Explorer\Navigating\.Current,,,"C:\Windows\media\Windows XP Start.wav"

HKCU, AppEvents\Schemes\Apps\Explorer\SecurityBand\.current,,,"C:\WINDOWS\media\Windows XP Information Bar.wav"

 

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Microsoft(R) System Manager

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, bMaxUserPortWindows Service help

HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, MaxUserPort

  1. Hapus file virus berikut:

    • C:\vshost.exe [all drive]

    • C:\autorun.inf [all drive]

    • C:\RECYCLER\S-1-5-21-9949614401-9544371273-983011715-7040\winservices.exe

    • C:\Documents and Settings\%user%\Local Settings\Temp

          • A415.tmp [acak]

          • 034.exe [acak]

          • Lady_Eats_Her_Shit--www.youtube.com

    • C:\WINDOWS\system32\sysmgr.exe

    • C:\WINDOWS\TEMP\5755.tmp

    • C:\windows\system32\crypts.dll

    • C:\windows\system32\msvcrt2.dll

  1. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan gunakan antivirus yang dapat mendeteksi dan membasmi virus ini. up-to-date. Anda juga dapat download tools Norman Malware Cleaner di : (lihat gambar 10)

http://download.norman.no/public/Norman_Malware_Cleaner.exe

 

Gambar 10, Gunakan Norman Malware Cleaner untuk membasmi Coutsonif.A

 

salam,

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph :021 345 6850

Fx : 021 345 6851