Virus Fullhouse, AutoRun.GUB
Han Ji Eun menyembunyikan data anda ?
Tidak seperti kebanyakan virus lokal yang sibuk menggunakan artis Indonesia
sebagai sarana rekayasa sosial guna mengelabui calon korbannya agar
menjalankan file virus, virus yang satu ini justru terinspirasi oleh film
seri Korea FullHouse. Dan sebagai informasi Han Ji Eun bukan saudaranya Dong
Yang (merek eskalator) melainkan pemeran utama dalam seri tersebut, kalau
film Fullhouse di ibaratkan flim Transformer ... kira-kira Han Ji Eun ini
seperti peran Optimus Prime.
Ciri khas virus ini adalah membuat satu drive tambahan dengan nama FullHouse
Drive, apakah pembuat virus ini memiliki tujuan untuk membantu mempopulerkan
film FullHouse di Indonesia, yang jelas tindakan ini termasuk ke dalam
tindakan kurang bertanggung jawab dan tidak layak di tiru. Jika anda
memiliki kemampuan programming yang tinggi, Vaksincom menyarankan anda untuk
menjaga integritas anda, karena meskipun anda programmer yang sangat hebat
dengan integritas yang diragukan akan sulit sekali mencari kerja karena
integritas merupakan harga mati di dunia kerja.
Meskipun FullHouse bukan tergolong virus baru di
Indonesia
namun tak bisa disangkal kalau penyebaran virus ini cukup luas, menurut
pantauan Vaksincom, Fullhouse ikut berperan
meningkatkan infeksi virus keluarga Autorun yang sampai 19 Agustus 2009
menurut catatan Vaksincom mencapai lebih dari 1.000 insiden di seluruh
Indonesia. Virus ini dibuat menggunakan bahasa pemrograman Visual Basic yang
dalam melakukan aksinya akan membuat drive tersendiri pada Desktop, My
computer dan Control Panel yang jika di buka akan menampilkan gambar “Han Ji
Eun” artis cantik dalam serial Full House.
Norman Security Suite mendeteksi virus FullHouse sebagai
AutoRun.GUB (lihat gambar 1)
Gambar 1. Norman
Security Suite mendeteksi virus FullHouse sebagai AutoRun.GUB
FullHouse memiliki ciri diantaranya sebagai berikut :
v
Mempunyai ukuran file sebesar “168 kb” dengan “Date Modified” 07-08-2009
v
Tipe file “File Folder” yang sebenarnya adalah “Application” dengan teknik
memanipulasi registri
v
Berekstensi file “.exe” yang tidak terlihat karena virus ini menambahkan
string “NeverShowExt” pada registry sehingga extesions file tidak
ditampilkan
v
Menggunakan icon folder
v
Membuat drive tambahan dengan nama “FullHouse Drive” pada Desktop, My
Computer dan Contol panel (lihat gambar 2)
Gambar 2. AutoRun.GUB membuat drive dengan nama FullHouse Drive
v
Jika drive tersebut di klik akan menampilkan foto artis cantik pemeran dalam
serial Fullhouse (lihat gambar 3)
Gambar 3. Foto Han Ji Eun akan ditampilkan ketika
FullHouse Drive di klik
Teknik Infeksi
ü
Jika file virus berhasil aktif maka akan membuat file induk pada direktori
C:\RECYCLER (lihat gambar 4)
Gambar 4. File induk yang dibuat oleh virus Fullhouse
ü
Menyembunyikan folder pada setiap Removable Disk (flashdisk, hdd external,
etc.) virus ini membuat duplikat folder sesuai dengan nama folder yang telah
disembunyikannya dengan tujuan mengelabuhi user agar mengaktifkan virus.
(lihat gambar 5)
Gambar 5. Membuat duplikat folder untuk mengelabuhi user
Teknik Pertahanan
M
Agar tetap dapat berjalan di proses tanpa diketahui korbannya virus ini
memblok Regedit dan Task Manager dengan teknik yang cukup unik yaitu
menjalankan kedua aplikasi ini terlebih dahulu di background sehingga jika
user membuka fungsi tersebut akan muncul pesan error (lihat gambar 6)
Gambar 6. Blocking fungsi registry windows
M
Untuk dapat berjalan otomatis pada saat komputer dihidupkan, virus
menyisipkan string pada registri sehingga akan langsung aktif ketika masuk
windows
Ø
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, Task
Manager
Ø
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run,
Manager Task
String registry tersebut memanggil file induk yang berada pada direktori
(lihat gambar 7)
ü
C:\RECYCLER\S-1-5-21-1202660629-412668190-725345543-500\smss.exe
Gambar 7. File induk yang aktif pada saat masuk windows
Teknik Penyebaran virus
ü
Membuat duplikat file virus pada media removable disk (flashdisk, external
disk) dengan menyembunyikan (hidden) folder asli dan menggantinya dengan
file virus yang memiliki icon folder sehingga user akan mengira membuka
folder tetapi sebenarnya mengaktifkan file virus.
Cara Mengatasi virus
ð
Scan file virus yang berada pada direktori C:\RECYCLER dengan antivirus yang
sudah dapat mendeteksi virus ini dengan baik. Vaksincom menggunakan Norman
Security Suite. (lihat gambar 8)
Gambar 8, Gunakan Norman Security Suite untuk mendeteksi dan membasmi virus
FullHouse.
ð
Setelah selesai scan terdapat file virus dengan status file delete (defered)
artinya file akan di hapus ketika windows restart
ð
Klik tombol Clean lalu
Close pada saat itu juga Norman Security Suite akan
meminta komputer untuk restart (lihat gambar 9)
Gambar 9, Deffered Delete merupakan fitur Norman untuk membasmi virus yang
membandel dan sulit di delete.
ð
Untuk menormalkan kembali registri yang telah dibuat oleh virus buka Notepad
lalu copy script di bawah
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCR, batfile\shell\open\command,,,"""%1"" %*"
HKCR, comfile\shell\open\command,,,"""%1"" %*"
HKCR, exefile\shell\open\command,,,"""%1"" %*"
HKCR, piffile\shell\open\command,,,"""%1"" %*"
HKCR, lnkfile\shell\open\command,,,"""%1"" %*"
HKCR, scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
HKLM, SOFTWARE\Classes\exefile\DefaultIcon,,,""%1""
HKLM, SOFTWARE\Classes\exefile,,,"Application"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, Task
Manager
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run,
Manager Task
HKCR, exefile, NeverShowExt
HKCR, CLSID\{10020D75-0000-0000-C000-000000000000}
HKLM, SOFTWARE\Classes\CLSID\{10020D75-0000-0000-C000-000000000000}
ð
Simpan dengan nama “repair.inf” pilih Save As Type menjadi All Files
ð
Jalankan repair.inf dengan klik kanan kemudian pilih
install
ð
Hapus file yang dibuat oleh virus dengan ciri berikut :
§
Type file “application”
§
Extension “exe”
§
Ukuran 168 kb
ð
Untuk mempermudah proses pencarian file virus gunakan "Search
Windows" dengan filter file *.exe yang mempunyai ukuran
168 KB dan date
modified pertanggal 7/8/2008 (lihat gambar 10)
Gambar 10. Hapus file virus dengan menggunakan search windows
ð
Selanjutnya hapus
“FullHouse
Drive”
pada Desktop, My Computer dan Contol Panel
Gambar 10. Hapus fullhouse drive
pada Desktop, My Computer dan Contol Panel
Recovery Folder pada Flash Disk yang telah di Hidden
Untuk menampilkan kembali folder yang disembunyikan pada flashdisk. Gunakan
perintah “ATTRIB” pada command prompt.
§
Klik “Start”
§
Klik “Run”
§
Ketik “CMD”, kemudian tekan tombol “Enter”
§
Pindahkan posisi directori ke drive Flash Disk, misalkan E maka ketik
perintah E: lalu tekan “enter”
§
Kemudian ketik perintah ATTRIB –s –h –r /s /d kemudian tekan tombol
“enter
(lihat gambar 11)
Gambar 11. Menampilkan file yang disembunyikan
Salam,
Fa A
info@vaksin.com
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 3456850
Fx : 021 3456851
