Ikuti Seminar Akhir Tahun Vaksincom "Evaluasi Malware 2009, Trend 2010 dan Antisipasinya
Trojan:VBS/Agent.T
25 November 2009
Hati-hati dengan Powerpoint STIKOM Bali
Kalau virus Bangkit Indonesia
http://vaksin.com/2009/1109/istn/istn.html “mempromosikan” satu Institut
Teknik yang terkenal di Jakarta, maka anda perlu berhati-hati jika komputer
anda mendadak banyak file dengan icon Powerpoint, apalagi dengan nama
Stikom_Bali atau STIKOM BALI. Ibarat lagunya Virgin, Cinta Terlarang, maka
file tersebut adalah file terlarang dan bukan file presentasi Powerpoint
melainkan virus Trojan:VBS/Agent.T yang jika anda aktifkan akan membuat anda
pusing 7 keliling dari musim durian sampai musim rambutan.
Jika anda pengguna Microsoft Powerpoint, harap berhati-hati
karena telah menyebar salah satu varian worm VBS. Jika anda terinfeksi oleh
varian worm VBS ini, akan membuat sebagian file dokumen anda menjadi file
Microsoft Powerpoint (palsu). Norman Security Suite
mendeteksi varian worm tsb sebagai VBS/Agent.T.
(lihat gambar 1)
Gambar 1, Norman Security Suite mendeteksi sebagai VBS/Agent.T
Ciri File Virus
Worm
VBS/Agent.T
dibuat dengan bahasa pemrograman VBScript. File
virus
berukuran 12 kb, dan agar dapat menyebar secara otomatis ia akan membuat
file pendamping yaitu “autorun.inf” yang berisi script untuk menjalankan
file worm.
Jika virus berhasil menginfeksi, ia akan membuat sekumpulan file virus
sebagai berikut :
-
AutoRun.inf (pada semua root drive)
-
sexy_bo.vbs (pada semua root drive)
-
permainan_Ketangkasan.vbs (pada semua root drive)
-
Presentasi.vbs (pada semua root folder)
-
Skripsi.vbs (pada semua drive & folder)
-
Stikom_Bali.vbs (pada semua drive & folder)
-
C:\Documents and Settings\%user%\Application Data\svchost.vbs
-
C:\ Documents and Settings\%user%\Desktop\STIKOM BALI.vbs
-
C:\Documents and Settings\%user%\Favorites\svchost.lnk
Virus juga akan menduplikasi seluruh file yang memiliki ekstensi
file gambar (gif, bmp, jpg), file office (doc, xls, ppt, rtf, pdf, docx,
xlsx, pptx), dan file kompresi (zip, rar) dengan membuat file worm dengan
nama yang sama. Pada komputer yang telah terinfeksi, worm mengubah icon vbs
menjadi MS Powerpoint sehingga mengelabui user. (lihat gambar 2)
Gambar 2,
File worm VBS/Agent.T
Gejala/Efek Virus
Jika
komputer
sudah terinfeksi worm VBS/Agent.Q, akan menimbulkan beberapa
gejala/efek berikut :
-
Disable fungsi Windows seperti Folder Options, Find dan Run.
(lihat gambar 3)
Gambar 3,
Warning jika fungsi Windows dijalankan
-
Disable system restore. Hal ini
dilakukan agar user tidak dapat mengembalikan setingan system windows
kembali seperti sebelum terinfeksi virus ini.
-
Merubah eksekusi file Windows seperti Task Manager,
Regedit, dan MSCONFIG menjadi Notepad (lihat gambar 4), hal ini dilakukan
dalam rangka mempersulit korbannya membersihkan virus karena Task Manager,
Regedit dan MS Config adalah program utility Windows yang banyak digunakan
untuk mendeteksi dan membersihkan virus.
Gambar 4,
Task Manager yang berubah fungsi menjadi Notepad
-
Sering muncul warning error file virus. (lihat gambar 5)
Gambar 5,
Warning error yang muncul
-
Muncul file worm pada desktop yang menggunakan icon
Microsoft Powerpoint. (lihat gambar 6)
Gambar 6,
File worm pada Desktop
-
Duplikasi seluruh file yang memiliki ekstensi
file gambar (gif, bmp, jpg), file MS
office (doc, xls, ppt, rtf, pdf, docx, xlsx, pptx), dan file kompresi (zip,
rar) dengan membuat file worm dengan nama yang sama.
(lihat gambar 7)
Gambar 7,
Worm menduplikasi file
MS
office, gambar dan kompres
-
Mengganti
file vbs pada komputer dan digantikan oleh file worm.
-
Menyembunyikan file dokumen dan digantikan file worm.
Metode Penyebaran
Sama seperti virus lokal lainnya, worm
VBS/Agent.T
masih menggunakan media
UFD : USB Flah Drive
sebagai
media
penyebaran
utamanya.
worm akan membuat file “autorun.inf”, “sexy_bo.vbs”, “permainan_Ketangkasan.vbs”,
dan “Skripsi.vbs” pada setiap
Flash Drive
yang ditancapkan/dicolokkan pada
komputer yang terinfeksi. File tersebut akan aktif secara otomatis dengan
hanya mengkases usb (drive/flash) tersebut. Selain itu, worm juga akan
berusaha menyebar lewat jaringan yang menggunakan akses full sharing dengan
menyebarkan sebuah file worm “Skrispi.vbs”. (lihat gambar 8)
Gambar 8,
File worm VBS/Agent.Q pada USB
Flash Drive
Modifikasi Registry
Agar dapat aktif saat komputer dijalankan, virus membuat string berikut :
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svchost
=
C:\Documents and Settings\%user%\Favorites\svchost.lnk
(link svchost agar menuju pada "C:\Documents and Settings\%user%\Application
Data\svchost.vbs")
Worm akan menonaktifkan
beberapa fungsi windows dengan membuat string berikut :
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFileAssociate =
1
NoFind
=
1
NoFolderOptions =
1
NoRun
=
1
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableCMD
=
1
DisableRegedit =
1
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr =
1
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestore
DisableSR
=
1
Agar dapat merubah fungsi Hidden pada Folder Options, virus merubah string
berikut :
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden
=
0
HideFileExt
=
1
Serta menambah string berikut :
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Start_ShowNetPlaces_ShouldShow
=
0
Agar dapat merubah fungsi windows menjadi notepad, dengan membuat string :
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Executions Options\attrib.exe
Debugger
=
Notepad.exe
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\cmd.exe
Debugger
=
Notepad.exe
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\install.exe
Debugger
=
Notepad.exe
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\msconfig.exe
Debugger
=
Notepad.exe
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\regedit.exe
Debugger
=
Notepad.exe
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\regedt32.exe
Debugger
=
Notepad.exe
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\setup.exe
Debugger
=
Notepad.exe
-
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Image File
Executions Options\TaskMgr.exe
Debugger
=
Notepad.exe
Untuk merubah icon file VBS menjadi file Microsoft Powerpoint, maka akan
membuat string berikut :
-
HKEY_CLASSES_ROOT\VBSFile
(Default)
=
Microsoft
PowerPoint Presentation
FriendlyTypeName=
Microsoft PowerPoint Presentation
NeverShowExt
=
-
HKEY_CLASSES_ROOT\VBSFile\DefaultIcon
(Default)
=
C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\pptico.exe,1
Untuk mengalihkan fungsi script perubahan registry, maka akan dibuat string
berikut :
-
HKEY_CLASSES_ROOT\inffile\shell\Install\command
(Default)
= logoff.exe
-
HKEY_CLASSES_ROOT\regfile\shell\open\command
(Default)
= logoff.exe
-
HKEY_CLASSES_ROOT\VBSFile\shell\edit\command
(Default)
= logoff.exe
Pembersihan Virus
ü
Putuskan
komputer yang akan dibersihkan dari jaringan/internet.
ü
Matikan proses virus yang aktif pada memori. Gunakan tools pengganti Task
Manager yaitu IceSword untuk mematikan proses worm, yaitu dengan nama
“wscript.exe”. (wscript.exe merupakan file windows yang digunakan untuk
menjalankan file vbscript). Anda dapat mendownload file tsb pada link
berikut :
http://202.38.64.10/%7Ejfpan/download/IceSword120_en.zip
Berikut langkah yang dilakukan :
(lihat gambar 9)
-
Explore file IceSword yang di compress, kemudian jalankan (klik 2x) file
tsb.
-
Pada tab “Functions”, cari file wscript.exe.
-
Klik kanan file wscript.exe, kemudian pilih Terminate Process
Gambar 9,
Kill process virus
ü
Hapus string registry yang dibuat oleh virus. Dalam hal ini, kita masih
menggunakan tools IceSword
karena worm telah mennonaktifkan
fungsi perbaikan melalui script registry. (lihat gambar 10)
Gambar 10,
Hapus dan rubah registry dengan
IceSword
Berikut langkah yang dilakukan :
-
Explore file IceSword yang dikompress,
kemudian jalankan (klik 2x) file tsb.
-
Pada tab “Registry”, hapus beberapa string berikut :
a.
HKEY_CLASSES_ROOT\VBSFile
Pada jendela sebelah kanan, hapus value “NeverShowExt”
b.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Pada jendela sebelah kanan, hapus value “svchost”
c.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Pada jendela sebelah kanan, hapus value “Start_ShowNetPlaces_ShouldShow”
d.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Pada jendela sebelah kanan, hapus value “NoRun”, “NoFind”,
“NoFolderOptions”, “NoFileAssociate”
e.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Pada jendela sebelah kanan, hapus value “DisableCMD”, “DisableRegedit”
f.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Pada jendela sebelah kanan, hapus value “DisableTaskMgr”
g.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options
Pada jendela sebelah kiri, expand dan hapus key “attrib.exe”, “cmd.exe”,
“install.exe”, “msconfig.exe”, “regedit.exe”, “regedt32.exe”, “setup.exe”,
“TaskMgr.exe”
h.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\SystemRestore
Pada jendela sebelah kanan, hapus value “DisableSR”
-
Pada tab “Registry”, rubah beberapa string berikut :
a.
HKEY_CLASSES_ROOT\inffile\shell\Install\command
Pada jendela sebelah kanan, rubah value “(Default)” menjadi
“%SystemRoot%\System32\rundll32.exe”
b.
HKEY_CLASSES_ROOT\regfile\shell\open\command
Pada jendela sebelah kanan, rubah value “(Default)” menjadi “regedit.exe
"%1"”
c.
HKEY_CLASSES_ROOT\VBSFile
Pada jendela sebelah kanan, rubah value “(Default)” menjadi “VBScript Script
File”
d.
HKEY_CLASSES_ROOT\VBSFile
Pada jendela sebelah kanan, rubah value “FriendlytypeName” menjadi
“@%SystemRoot%\System32\wshext.dll,-4802”
e.
HKEY_CLASSES_ROOT\VBSFile\DefaultIcon
Pada jendela sebelah kanan, rubah value “(Default)” menjadi
“%SystemRoot%\System32\WScript.exe,2”
f.
HKEY_CLASSES_ROOT\VBSFile\shell\edit\command
Pada jendela sebelah kanan, rubah value “(Default)” menjadi
“%SystemRoot%\System32\Notepad.exe %1”
g.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Pada jendela sebelah kanan, rubah value “Hidden” menjadi “1”
h.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Pada jendela sebelah kanan, rubah value “HideFileExt” menjadi “0”
-
Untuk melihat hasil perubahan, sebaiknya logoff/restart computer.
ü
Hapus file virus berikut :
-
AutoRun.inf (pada semua root drive)
-
sexy_bo.vbs (pada semua root drive)
-
permainan_Ketangkasan.vbs (pada semua root drive)
-
Presentasi.vbs (pada semua root folder)
-
Skripsi.vbs (pada semua drive & folder)
-
Stikom_Bali.vbs (pada semua drive & folder)
-
C:\Documents and Settings\%user%\Application Data\svchost.vbs
-
C:\ Documents and Settings\%user%\Desktop\STIKOM BALI.vbs
-
C:\Documents and Settings\%user%\Favorites\svchost.lnk
Catatan
o
Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses
pencarian file virus. (virus memiliki atribut file Hidden, Archive, System,
dan Read-Only)
o
Untuk mempermudah proses pencarian sebaiknya gunakan fasilitas "Search”
Windows dengan filter file autorun.inf dan
*.vbs yang mempunyai ukuran 12
KB.
ü
Untuk pembersihan virus secara optimal dan mencegah infeksi ulang, sebaiknya
menggunakan antivirus yang terupdate dan mengenali virus ini dengan baik.
Salam,
Ad Sap
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160