Default page Internet Explorer dirubah ke Hellspawn dan Friendster
Share

Worm:W32/VBWorm.AGR        9 Maret 2010

Mengubah default page IE ke Hellspawn dan Friendster

 

Di dunia ini, selalu ada dua sisi yang saling bertentangan. Ambil contoh dalam dunia coding, dimana pada industri game ada satu perusahaan lokal yang kreatif dan berani mengambil resiko berhadapan dengan perusahaan-perusahaan game besar seperti Blizzard atau Ragnarok dengan meluncurkan game yang bernama Nusantara Online http://www.nusantara-online.com / http://www.nusol.web.id dengan thema karakter lokal dan kerajaan-kerajaan besar di Indonesia. Sebaliknya, pada dunia virus, seakan tidak mau kalah dengan maraknya penyebaran virus mancanegara, menyebar satu virus lokal yang memiliki ciri khas mengubah default page dan default search page dari Internet Explorer dari komputer korbannya. Alangkah bagusnya kalau energi dan kreativitas programmer virus yang berlebihan disalurkan ke hal-hal yang positif seperti mendukung pengembangan dan penyebaran aplikasi lokal.

 

 

Satu virus lokal lain yang perlu diwaspadai adalah VBWorm.AGR, virus ini mengubah default page Internet Explorer ke http://www.hellspawn.de.be dan memberikan "bonus" mengubah defailt search page ke salah satu akun di Friendster. Virus ini dibuat dengan program bahasa Visual Basic dengan ukuran file sekitar 58 KB. Virus ini mempunyai ciri-ciri : (lihat gambar 1)

 

  • Menggunakan icon Folder

  • Ukuran file 58 KB

  • Type File "Application"

  • Ekstensi file "EXE"

Gambar 1, File induk VBWorm.AGR

Gambar 2, Default Page IE dirubah ke http://www.hellspawn.de.be

 

 

Gambar 3, Default search page di arahkan ke satu page Friendster

 

Bagaimana mengenai virus VBWorm.AGR?

Sebenarnya tidaklah terlalu sulit untuk mengenali virus ini salah satunya adalah dengan melihat halaman awal dan search page dari Internet Explorer (lihat gambar 2 dan 3). Selain itu, pada saat menjalankan program regedit maka akan muncul pesan error seperti terlihat pada gambar 4 dibawah.

 

Gambar 4, Pesan yang tampil saat membuat aplikasi registry editor

 

Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai VBWorm.AGR (lihat gambar 5)

 

Gambar 5, Hasil deteksi VBWorm.AGR

 

File induk VBWorm.AGR

Pada saat virus ini aktif di komputer target, ia akan membuat beberapa file induk yang akan dijalankan petama kali saat komputer dinyalakan

 

  •  C:\WIndows

    • Lsass.exe

    • l310733.exe

    • z100427d.exe

    • cypreg.dll

  • C:\Windows\81374

    • system.exe

    • smss.exe

  • C:\WIndows\system32

    • 662832100427l.exe

    • moonlight.scr

  • C:\Document and Settings\Client\Templates\18282

    • winlogon.exe

    • services.exe

    • 018282.exe

  • C:\WINDOWS\81374

    • Smss.exe

    • Regedit.cmd

    • w412375.com

  • C:\WINDOWS\system32\15780a

    •  662832.cmd

  • C:\Documents and Settings\Client\Start Menu\Programs\Startup

    • adobe gama.cmd

  • C:\%user% Porn.exe

  • C:\Data %user%.exe

  • C:\Foto %user%.exe 

  • C:\Documents and Settings\%user%\My Documents\My Music

    • My Music.exe

  • C:\Documents and Settings\%user%\My Documents\My Pictures

    • My Pictures.exe

 

Registri Windows

Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat beberapa string pada registri window berikut:

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • 0 = C:\WINDOWS\l.exe

    • 028200 = C:\WINDOWS\l310733.exe

    • a82662 = C:\WINDOWS\notepad.exe:X

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • s0 = C:\WINDOWS\system32\l.exe

    • s1307330 = C:\WINDOWS\system32\662832100427l.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    • shell =explorer.exe, "C:\Documents and Settings\%user%\Templates\18282\018282.exe"

 

Blok fungsi Windows

Untuk mempertahankan dirinya, ia akan melakukan blok terhadap beberapa fungsi windows utama seperti Task Manager, Registry Editor, Msconfig atau system restore, cara ini juga dilakukan untuk mengaktifkan dirinya pada saat user mengeksekusi aplikasi tersebut, Virus ini juga akan menyembunyikan file regedit.exe dan notepad.exe.

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

    • debugger = C:\WINDOWS\regedit.exe:X

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe

    • debugger = C:\WINDOWS\regedit.exe:X

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

    • debugger = C:\WINDOWS\regedit.exe:X

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

    • UncheckedValue = 0

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

    • DisableRegistryTools

 

Pada saat user menjalankan aplikasi tersebut, ia juga akan memuculkan pesan seperti pada gambar 4 di atas.

 

Selain blok fungsi Windows tersebut, ia juga akan meninggalkan jejak lain dengan merubah halaman utama Internet Explorer dengan merubah string pada registri berikut:

 

 

Aktif pada mode "safe mode with command prompt"

Virus ini tidak saja akan aktif pada mode "normal" tetapi lebih dari itu ia akan aktif pada mode "safe mode with comand prompt" dengan merubah string pada registry berikut:

 

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

    • AlternateShell = 662832100427l.exe

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

    • AlternateShell = 662832100427l.exe

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

    • AlternateShell = 662832100427l.exe

 

Memalsukan folder untuk menyebarkan dirinya

Target utama dari virus ini adalah menyembunyikan folder dan subfolder yang ditemukan, masih "untung" virus ini hanya akan menyembunyikan folder / subfolder yang ada di flash disk anda saja :-). Untuk mengelabui user ia akan membuat file duplikat dengan nama file yang sama dengan ciri-ciri : (lihat gambar 6)

 

  • Menggunakan icon Folder

  • Ukuran file 58 KB

  • Type Files "Application"

  • Ekstensi "EXE"

 

Gambar 6, File duplikat VBWorm.AGR

 

Media peyebaran

Untuk menyebarkan dirinya ia akan menggunakan media Flash Disk/Removable Disk dengan membuat file duplikat sesuai dengan nama file yang disembunyikan. Tidak seperti yang dilakukan oleh kebanyakan virus lokal, ia tidak akan menggunakan fitur autorun Windows untuk mengaktifkan dirinya.

 

Cara mengatasi VBWorm AGR

1.      Nonaktifkan "System Restore" selama proses pembersihan

2.      Matikan proses virus yang aktif dimemori dengan menggunakan tools "Ice Sword". Matikan proses virus yang mempunyai icon folder serta file cypreg.dll seperti terlihat pada gambar di bawah ini.

 

Tools ini dapat di download di alamat http://icesword.en.softonic.com/download (lihat gambar 7)

 

Gambar 7, Matikan proses virus dengan tools "Ice Sword"

 

3.      Repair registry yang sudah diubah oleh virus. Salin script di bawah ini pada program notepad kemudian simpan denan nama REPAIR.INF, jalankan file tersebut dengan cara: Klik kanan REPAIR.INF | Klik INSTALL

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,

"Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKCU, Software\Microsoft\Internet Explorer\Main, start page,0, "about:blank"

HKCU, Software\Microsoft\Internet Explorer\Main, Search Page,0, "about:blank"

HKLM,

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperH

idden, UncheckedValue,0x00010001,1

 

 

[del]

HKCU,

Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU,

Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Run,0

HKLM, Software\Microsoft\Windows\CurrentVersion\Run,028200

HKLM, Software\Microsoft\Windows\CurrentVersion\Run,a82662

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, s0

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, s1307330

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\rstrui.exe

HKCU, Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

HKCU, Software\Microsoft\Internet Explorer\Main, Windows Title

 

4.      Cari dan hapus file virus, sebelum melakukan proses penghapusan tampilkan file yang tersebunyi dengan merubah setting pada Folder Options. Kemudian hapus file berikut:

 

  • C:\Windows

    • Lsass.exe

    • l310733.exe

    • z100427d.exe

    • cypreg.dll

  • C:\Windows\81374 

  • C:\WIndows\system32

    • 662832100427l.exe

    • moonlight.scr

  • C:\Document and Settings\Client\Templates\18282 

  • C:\WINDOWS\81374

  • C:\WINDOWS\system32\15780a 

  • C:\Documents and Settings\Client\Start Menu\Programs\Startup

    • adobe gama.cmd

  • C:\%user% Porn.exe

  • C:\Data %user%.exe

  • C:\Foto %user%.exe 

  • C:\Documents and Settings\%user%\My Documents\My Music

    • My Music.exe

  • C:\Documents and Settings\%user%\My Documents\My Pictures

    • My Pictures.exe

 

5.      Untuk pembersihan optimal, scan dengan menggunakan program antivirus yang up-to-date. Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut di alamat http://www.norman.com/support/support_tools/58732/en-us

 

Salam,

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 345 6850

Fx : 021 345 6851