Telp : 021 345 6850 | Email : info@vaksin.com    
       
 
Berita Utama
Hati-hati !!!
 

Share on Facebook  

Trojan: Autorun.QBP              28 Juli 2009

Artikel Info Komputer by Vaksin.com

 

“Folder Cinta” penebar Virus

 

Begitulah sepenggal lirik lagu populer “Aku Cinta Dia” milik almarhum Chrisye yang dibawakan kembali oleh penyanyi muda nan sensasional Gita Gutawa. Di tengah krisis global dan isu flu babi yang merebak dimana-mana, cinta sepertinya sangat diperlukan paling tidak meredakan suasana permasalahan yang ada. Cinta dapat disampaikan melalui berbagai media baik tulisan, perasaan maupun hal lainya. 

 

Hal ini menjadi juga inspirasi bagi para pembuat virus dengan menyampaikan pesan dengan cara yang berbeda, mengikuti pepatah “Banyak jalan menuju Roma (bukan penyanyi dangdut)” maka dengan dengan diplesetkan menjadi “Banyak jalan menebar Cinta (bukan nama artis chadel :p)

 

Jika pada umunya pembuat virus Cinta membuat virus dengan membuat pesan pesan baik dalam bentuk dokumen (word atau notepad) dan HTML (browser), maka kali ini pembuat virus menebar hanya dengan menggunakan logo/icon virus yang berbentuk folder (asal jangan logo parpol..) dan meninggalkan jejak file kosong “khq”. Jadi jika pada komputer anda atau komputer server anda terdapat file “khq”, maka anda baru saja dikunjungi oleh virus ini atau bahkan sudah menyebar virus “folder cinta” ini.

 

Pada varian virus ini, oleh Norman Virus Control teridentifikasi sebagai Autorun.QBP. (lihat gambar 1)

Gambar 1, Norman Virus Control mendeteksi sebagai Autorun.QBP

 

Ciri ciri file virus

Ciri ciri dari file virus Autorun.QBP, diantaranya : (lihat gambar 2)

·               Menggunakan icon “Folder Cinta”

·               Memiliki ukuran 793 kb

·               Type file “Application”

·               Ber-extension exe

Gambar 2, File virus W32/Autorun.QBP

 

Gejala / efek virus

Jika anda terinfeksi oleh virus Autorun.QBP, maka akan menimbulkan gejala/efek sebagai berikut,

 

·   Disetiap file sharing akan muncul file virus dengan nama “[namaacak].exe” dan file system yang kosong dengan nama “khq”. (lihat Gambar 2.) File khq ini juga akan berada pada setiap root drive.

·  File virus aktif di memori komputer dengan nama “csrcs.exe” pada proses dengan username lokal. Anda dapat melihat dengan menggunakan task manager pada tab processes. (lihat gambar 3)

Gambar 3, Virus aktif pada user lokal dengan nama file csrcs.exe

 

·   Tidak dapat menampilkan file yang sudah di hidden. (walaupun folder options sudah di rubah ber-kali kali, akan kembali hidden) lihat gambar 4.

Gambar 4, Show Hidden tidak bisa berubah

 

File file virus

Berbeda dengan beberapa virus lain yang menggunakan bahasa pemrograman Visual Basic / bahasa C++, virus Autorun.QBP dibuat dengan menggunakan script Autoit dan di kompress menggunakan UPX Unpacker. Beberapa file virus yang akan muncul jika dijalankan, yaitu :

·   C:\WINDOWS\system32\csrcs.exe (berukuran 793 kb)

·   C:\WINDOWS\system32\Autorun.inf

·   [namaacak].exe , (disetiap root folder lokal yg sharing, serta folder dalam jaringan yang full-sharing)

·   khq, (disetiap root folder lokal yg sharing, serta folder dalam jaringan yang full-sharing) , serta pada setiap root drive.

·   [namaacak].exe , (pada media USB Flash/removable drive)

·   Autorun.inf , (pada media USB Flash/removable drive)

 

Registri Windows

Walau tidak banyak aksi yang dilakukan, Autorun.QBP juga membuat beberapa perubahan pada registry yaitu diantaranya :

 

ü  Agar dapat aktif saat komputer dijalankan, ia akan membuat string registry sebagai berikut :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

·                                  csrcs          =          C:\WINDOWS\system32\csrcs.exe

ü  Untuk memproteksi dan tetap aktif pada windows, ia akan membuat string berikut :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

·      Shell       =    Explorer.exe csrcs.exe

 

Media penyebaran

Virus Autorun.QBP, dapat menyebar dengan cepat melalui jaringan serta USB Flash/removable drive.

 

Pada USB Flash/removable drive, ia akan membuat 2 file dengan attribute RHSA (Read, Hidden, System, Archive), yaitu :

·   Autorun.inf, yang berisi sebagai berikut :

 

;KJHOEULqHhiwDrOcyNwJNkxDfwkQJgqAhzVJqTERXfcnpAWZADHEcgsZmIybEUQkpUtfqHUwP

[AutoRun]

;bvNhsWkvJPvskfUipMfoMoguXEHMZourHiEWOf

open=vrtzkw.exe

;nsOgGGNtxPKinHAuwiLerRKijvNwnwyWXQuIowFKofnXUvwbzqTVjHrceZxt

shell\open\Command=vrtzkw.exe

;zIAQcWhhaLNbYaFgGFRkRnpobPjxqGjGWibjuVtGTeIvbYXEQMGIALSvTgGR

shell\open\Default=1

;45F27A231FB5BAE1D81F012E0845BDDF8E8C0EECB727D2C7BFC81571

;YTMjNinJOTSMglGpJiKuocrsfjnTADdBsw

shell\explore\Command=vrtzkw.exe

;hnztJRApTybMIbruXwPgoyMKkh                                          

 

·   [namaacak.exe], file virus yang berukuran 793 kb (lihat gambar 5)

Gambar 5, 2 file yang dibuat oleh virus dengan atribut file RHSA

 

Pada jaringan, ia akan membuat 2 file (pada root folder lokal yg di sharing, serta masuk pada folder/drive dalam jaringan yang full-sharing), yaitu :

·   khq, file kosong yang yang merupakan jejak persinggahan virus Autorun.QBP

·   [namaacak.exe], file virus yang berukuran 793 kb (lihat gambar 6)

Gambar 6, 2 file yang dibuat oleh virus dalam jaringan yg full sharing

 

Cara pembersihan secara manual:

 

1. Disconnect/putuskan hubungan komputer yang akan dibersihkan dari jaringan.

 

2. Disable/matikan “System Restore” selama proses pembersihan virus.

 

3. Gunakan “Task Manager” untuk mematikan proses virus yang aktif. (kemungkinan besar dengan nama “csrsc.exe”). (lihat gambar 7)

Gambar 7, Task Manager untuk mematikan proses virus (End Process)

 

Untuk membuka task manager, dapat dilakukan dengan menekan secara bersama Ctr+Alt+Del, atau dengan klik kanan pada taskbar windows. Selanjutnya matikan proses virus dengan klik [End Process] pada proses csrsc.exe.

4. Hapus file utama dari virus Autorun.QBP, yang terdapat pada C:\WINDOWS\system32, dengan nama csrsc.exe yang berukuran 793 kb dan Autorun.inf yang berukuran 1 kb.

Gunakan search/find, untuk mencari file virus duplikat yang lain, terutama pada media sharing atau USB Flash/removable drive, file virus berukuran 793 kb, berextension exe & ber type application serta file khq di seluruh drive.  Jangan lupa untuk menampilkan attribute “Show hidden file…” dan menghilangkan attribute “Hide protected operating…” pada Folder Options. (lihat gambar 4).

5. Hapus string registry yang sudah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, SOFTWARE\Classes\batfile\shell\open\command,,, """%1"" %*"

HKLM, SOFTWARE\ Classes \comfile\shell\open\command,,, """%1"" %*"

HKLM, SOFTWARE\ Classes \exefile\shell\open\command,,, """%1"" %*"

HKLM, SOFTWARE\ Classes \scrfile\shell\open\command,,, """%1"" %*"

HKLM, SOFTWARE\ Classes \piffile\shell\open\command,,, """%1"" %*"

HKLM, SOFTWARE\ Classes \regfile\shell\open\command,,, "regedit.exe "%1"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0, Explorer.exe

 

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

 

Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik kanan, kemudian pilih [install].

 

6. Untuk pembersihan secara optimal terhadap virus Autorun.QBP, gunakan Norman Malware Cleaner yang dapat mendeteksi dan membasmi virus ini dengan baik. (lihat gambar 8). Jika anda ingin terproteksi dari virus ini dan virus mancanegara lainnya, gunakan antivirus Norman Security Suite (Single User) atau Norman Endpoint Protection (Corporate User) yang dapat mencegah komputer anda terinfeksi virus mancanegara dan virus lokal dengan baik dan khusus pelanggan korporat akan mendapatkan di support ONSITE Gratis oleh Vaksinis (teknisi PT. Vaksincom).

Gambar 8, Task Manager untuk mematikan proses virus (End Process)

 

Anda dapat mendownload Norman Malware Cleaner pada link berikut :

http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

 

salam,

Ad Sap (Vaksinis)

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 3456850

Fx : 021 3456851

 


Bagi anda yang ingin memberikan komentar atau bertanya mengenai virus Folder Cinta, silahkan klik Forum khusus virus Folder Cinta, http://www.facebook.com/topic.php?topic=9218&post=34446&uid=44419857236#post34446

 

 
   
 
 
Reseller
 

Banda Aceh | Balikpapan | Bandung (4) | Banjarmasin | Batam | Cilacap | Cirebon | Denpasar | Gorontalo (2) | Jakarta | Lumajang
Makassar (1) | Malang | Medan | Padang | Palangka Raya (1) | Palembang (2) | Pekanbaru | Pontianak | Salatiga | Samarinda | Solo | Surabaya | Yogyakarta | Manado

 
Jika Anda pengusaha komputer dan berminat untuk bergabung menjadi reseller Vaksincom,
 silahkan emailkan profile perusahaan Anda ke info@vaksin.com