» Album Bokep Shemale by CRY 2
Share

 

VBS/Autorun.BO            19 Juli 2010

“Album Bokep” yang membuat korbannya jadi Warteg Boys

 

Kalau virus “Mbah Surip” VBS/Cryf.A http://vaksin.com/2009/0709/Cryf/Cryf.html yang sempat muncul beberapa bulan yang lalu cukup membuat pusing korbannya, maka virus lanjutannya yang tetap menampilkan pesan Shemale by Cry ini bisa dikatakan lebih membuat pusing korbannya lagi karena selain memblok tools utility Windows, ia juga memblok tools security lain dan juga memblok segambreng antivirus yang biasa digunakan untuk membasminya seperti avgnt, Cprocess, explorersetup, FisRegistry, Integrator, ise32, Norman Malware Cleaner, PCMav, proceXP, Smadav, Ansav, SmaRTP, viremoval. Kelihatannya pembuatnya ingin membuat korbannya menyerah sambil nyanyi ... Okelah khalau begitu.... Okelah kalau beg...beg..begitu.

 

Virus made ini VBS ini cukup merepotkan karena mempunyai kemampuan yang patut diperhitungkan. Virus ini akan mencoba untuk memanipulasi file yang mempunyai ekstensi INF, REG dan VBS sehingga mempersulit pada saat melakukan pembenahan pada sejumlah registri yang sudah di manipulasi, langkah ini juga dilakukan sebagai salah satu upaya agar dirinya dapat aktif secara otomatis pada saat user mengakses file yang mempunyai ekstensi tersebut.

 

Tak hanya a fungsi Windows seperti Task Manager, MSConfig, CMD dan Regedit yang akan diblok tetapi lebih dari itu ia akan blok beberapa tools security dan beberapa antivirus lokal dengan melakukan “debugger” untuk menjalankan salah satu file virus yang telah ditentukan pada saat user menjalankan fungsi Windows atau tools security tersebut.

 

Salah satu ciri yang dapat kita temui adalah munculnya pesan SHEMALE By CRY pada saat screen saver Windows aktif atau menampilkan pesan “My World Welcome Shemale In To The World King Of The World” pada saat membuka jendela Internet Explorer.

 

Ibarat pribahasa, sepandai-pandainya tupai melompat akhirnya jatuh juga, sehebat apapun yang dilakukan  oleh virus ini tapi “tentu” masih mempunyai kelemahan, untuk informasi lebih jauh silahkan klik link http://vaksin.com/2009/0709/Cryf/Cryf.html

 

SHEMALE Jilid 2

Setelah sekian lama tenggelam, kini muncul SHEMALE jilid 2 yang merupakan regenerasi dari virus sebelumnya dan belajar dari pendahulunya kini ia mencoba untuk menutup beberapa celah yang mungkin bisa dimanfaatkan oleh user untuk mematikan dirinya.

 

Masih seperti pendahulunya, virus ini dibuat dengan menggunakan Visual Basic Script (VBS), ia akan  mengenkripsi dirinya agar user tidak mudah membaca isi script dari virus tersebut, virus ini mempunyai ukuran sebesar  195 KB dengan icon VBS (lihat gambar 1)

 

Gambar 1, Gambar file virus

 

Berikut beberapa ciri-ciri yang dapat ditemui pada saat menginfeksi komputer user

 

1.    Muncul folder dengan nama BOKEP (New Release), folder ini berisi beberapa file shortcut untuk menjalankan file induk yang telah ditentukan yang akan dibuat disemua Drive. (lihat gambar 2)

 

Gambar 2, File/folder yang akan di buat oleh VBS/Autorun.BO

 

2.    Muncul file “Membership of Shemale Lover” yang akan dibuat disetiap drive dengan icon “Internet Explorer”

3.    Tidak dapat mengakses Folder “C:\Windows”, jika user mengakses folder tersebut maka akan di membuka “My Computer”

4.    Muncul pesan “SHEMALE Ver. 2.0.1 by CRY” pada saat screen saver Windows aktif (lihat gambar 3)

Gambar 3, Pesan yang akan mucnul saat screen saver Windows aktif

 

5.    Muncul pesan error saat menjalankan tools security tertentu seperti terlihat pada gambar di bawah ini. (lihat gambar 4)

 

Gambar 4, Pesan error saat menjalankan fungsi Windows atau tools security yang diblok oleh VBS/Autorun

 

6.    Terjadi perubahan pada nama pemilik Windows (lihat gambar 5)

 

Gambar 5, Informasi Registered to berubah menjadi CRY Shemale

 

7.    Merubah type file “Shortcut” [.lnk] mejadi “Movie Clip

 

File Induk VBS/Autorun.BO

Pada saat menginfeksi komputer, ia akan membuat cukup banyak file yang akan di simpan di direktori yang berbeda-beda.

 

·         C:\Del.dll

·         C:\LocalDiskC.dll

·         C:\Membership of Shemale Lover.lnk

·         C:\13. Michael Jackson - one day in your life.mp4.lnk

·         C:\Fotoq Imoets - http-facebook.com-profiles-123442-photos-15595.jpeg.lnk

·         C:\Michael Jackson ternyata belum mati - Detik.com.lnk

·         C:\BOKEP ( New Release )

 

            - Asia

                        - www.japanhot.com - Maria Ozawa.wmv.lnk

                        - www.s1s1s1.com - Tina Yusuki.mpeg.lnk

                        - www.tokyounderground.com - sora aoi.dat/lnk

                        - www.tokyounderground.com - tokyo hot.wmv.lnk

                        - Secret folder (file folder)

 

            - Barat

                        - my friends hot mom - Jennifer Miller.wmv.lnk

                        - my friends hot mom - sativa rose.wmv/lnk

                        - My Sister Hot Friend - Courtney Dani.wmv.lnk

                        - Naughty America 2009 - Vicky Vette.Mpeg.lnk

                        - Secret folder (file folder)

 

·         C:\Windows

-          appopen.dll

-          appsys.exe

-          desktop.ini

-          dvcdrv.msc

-          kernel32.dll

-          regedit.exe.lnk

-          speech.dll

-          temporary files.dll

-          welcomescreen.mht

-          Windows.html

-          winsock01.exe

-          Winupdt.tpx

 

·         C:\Windows\system32

-          appsys.dll

-          cmd.exe.lnk

-          encryptor.dll

-          taskmgr.exe.lnk

-          vga812.sys

-          Corelsetup.dll

-          Dvcrnme.dll

 

·         C:\Recycled\S-1-5-21-....\Nortonav\-

-          1.cdr

-          desktop.ini

-          diskmgt.msc

-          open.dll

-          usrlogon.dll

 

·         C:\Windows\system\svchost.exe

 

·         C:\Program Files\FarStone\qbtask.exe

 

·         C:\Document and Setting\%user%\Desktop\ LocalDisk(c).lnk

 

Registri Windows

VBS/Autorun.BO akan membuat beberapa perubahan pada registry Windows berikut dengan tujuan agar beberapa file induk yang telah dibuat tadi dapat diaktifkan secara otomatis setiap kali komputer dinyalakan aktifkan :

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

-          Encryptor = C:\WINDOWS\system32\wscript.exe //e:VBScript c:\windows\system32\encryptor.dll Microsoft

-          socketwindrive = C:\WINDOWS\winsock01.exe

-          updtsystem = updtsystemC:\WINDOWS\system32\Winupdtsys.exe

-          VirCDTask = c:\program files\FarStone\qbtask.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

-          shell = explorer.exe, C:\windows\system32\wscript.exe "c:\windows\WinUpdt.tpx"

-          userinit = C:\WINDOWS\system32\userinit.exe, C:\windows\system32\wscript.exe "c:\windows\WinUpdt.tpx"

 

Agar file dengan ekstensi TPX  tersebut dapat dijalankan ia akan memanfaatkan file “C:\Windows\System32\WSCript.exe” dengan terlebih dahulu membuat string pada registry berikut

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\tpxfile\shell\Install\command

-          [Default] = %systemRoot%\system32\wscript.exe %1

 

Aktif secara otomatis dengan memanfaatkan file [.reg / .inf / .vbs]

VBS/Autorun.BO juga akan mencoba untuk mengaktifkan dirinya secara otomatis dengan menjalankan file [C:\windows\system\svchost.exe atau C:\windows\system32\appsys.dll]  pada saat user menjalankan file yang mempunyai ekstensi berikut:

·         .reg

·         .vbs

·         .inf

 

Untuk melakukan hal ini, ia akan membuat string pada registri berikut:

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regedit\shell\open\command

-          [default] = C:\windows\system\svchost.exe //e:VBScript c:\windows\system32\appsys.dll Microsoft

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command

-          [default] = C:\windows\system\svchost.exe //e:VBScript c:\windows\system32\appsys.dll Microsoft

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command

-          [Default] = C:\windows\system\svchost.exe //e:VBScript c:\windows\system32\appsys.dll Microsoft

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Edit\Command

-          [Default] = C:\windows\system\svchost.exe //e:VBScript c:\windows\system32\appsys.dll Microsoft

 

Blok Fungsi Windows

Untuk mempermudah aksinya, ia akan melumpuhkan sejumlah fungsi Windows dengan membuat beberapa perubahan pada registry Windows berikut:

 

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop

-          NoChangingWallpaper

 

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

-          nobandcustomize

-          nochangestartmenu

-          NoDriveAutoRun

-          NoDriveTypeAutorun = 95

-          NoFileAssociate

-          NoFInd

-          NoRecycleFiles

-          NoRun

-          nosavesettings

-          NOTOOLBARCUSTOMIZE

 

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

-          DisableCMD

-          DisableRegistryTools

-          Disable TaskMgr

-          NoDispScrSavPage

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

-          NoDriveAutoRun = 1

-          NODriveTypeAutorun = 95

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

-          ValueName = CRY

 

Selain dengan membuat perubahan pada registry tersebut, untuk blok akses terhadap fungsi Registry Editor, MSConfig, CMD dan Task Manager ia akan merubah registry berikut untuk menjalankan dirinya [c:\windows\WinUpdt.tpx atau C:\Windows\appsys.exe]

 

·         HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager

-          BootExecute = C:\WINDOWS\system32\wscript.exe "c:\windows\WinUpdt.tpx""

 

·         HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment

-          ComSpec = %SystemRoot%\system32\cmd.exe, , C:\windows\system\svchost.exe "c:\windows\WinUpdt.tpx"

 

·         HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager

-          BootExecute = C:\WINDOWS\system32\wscript.exe "c:\windows\WinUpdt.tpx""

 

·         HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\Environment

-          ComSpec = %SystemRoot%\system32\cmd.exe, , C:\windows\system\svchost.exe "c:\windows\WinUpdt.tpx"

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

-          debugger = C:\Windows\appsys.exe

-           

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMD.exe

-          debugger = C:\Windows\appsys.exe

 

Virus ini juga banyak melakukan blokir terhadap beberapa tools security serta beberapa antivirus lokal dengan melakukan debugger untuk menjalankan file [c:\windows\WinUpdt.tpx atau C:\Windows\appsys.exe] dengan demikian, ia akan aktif setiap kali user menjalankan tools security tersebut.

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\a.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\appsys.exe

-          debugger = C:\windows\system32\wscript.exe //e:VBScript c:\windows\system32\appsys.dll Microsoft

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe

-          debugger = ntsd -d

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe

-          debugger = ntsd -d

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Cprocess.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorerxpsetup.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FixRegistry.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe

-          Debugger = ntsd -d

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Integrator.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ise32.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Norman_Malware_Cleaner.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-SE.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe

-          debugger = ntsd -d

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Smadav 2009 Rev. 4.exe

-          debugger = C:\Windows\appsys.exe

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Smadav 2009 Rev. 5.1.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Smadav 2009 Rev. 5.2.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Smadav 2009 Rev. 6.2.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Smadav 2009 Rev. 6.3.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Smadav 2009 Rev. 6.4.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Smadav 2009 Rev. 6.5.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Smadav 2009 Rev. 6.6.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Smadav 2009 Rev. 6.7.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Smadav 2009 Rev. 7.0.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Smadav 2009 Rev. 7.1.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Smadav 2009 Rev. 7.2.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Smadav 2009 Rev. 7.3.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Smadav 2009 Rev. 7.4.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Smadav 2009 Rev. 7.5.exe

-          Sebugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Smadav 2009 Rev. 8.0.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmaRTP.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\viremoval.exe

-          debugger = C:\Windows\appsys.exe

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winsock01.exe

-          debugger = C:\windows\system32\wscript.exe //e:VBScript c:\windows\system32\dvcrnme.dll Microsoft

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winupdtsys.exe

-          debugger = C:\windows\system\svchost.exe //e:VBScript c:\windows\kernel32.dll Microsoft

 

Jika user mencoba untuk memanggil salah satu fungsi Windows atau tools security tersebut maka akan muncul pesan error berikut (lihat gambar 6 dan 7)

 

Gambar 6, Pesan error yang muncul saat menjalankan tools sekuriti

 

Gambar 7, Pesan error saat memanggil salah satu tools security

 

VBS/Autorun.BO juga akan menghapus string registry berikut dengan tujuan untuk melumpuhkan system proteksi realtime “On-ccess Scaner” antivirus Norman.

 

·         HKEY_LOCAL_MACHINE \system\ControlSet001\services

-          NVCOAS

-          NvcMFlt

 

·         HKEY_LOCAL_MACHINE\system\ CurrentControlSet\services

-          NVCOAS

-          NvcMFlt

 

Babat file Regedit.exe, MSConfig.exe, CMD.exe dan TaskMgr.exe

Cara lain agar user tidak dapat menjalankan fungsi Regedit/Task Manager/CMD atau MSConfig, ia akan menghapus file “regedit.exe, msconfig.exe, cmd.exe dan taskmgr.exe”,  untuk mengelabui user ia akan copy file “C:\Windows\system32\notepad.exe” ke direktori [C:\Windows, C:\Windows\system32 dan C:\Windows\system32\dllchace], kemudian ia akan merubah nama file tersebut menjadi Regedit.exe, MSConfig.exe, CMD.exe dan TaskMgr.exe, sehingga jika user mengakses file tersebut maka akan muncul program Notepad. (lihat gambar 8 dan 9)

 

Gambar 8, Program yang muncul saat user memanggil regedit.exe, msconfig.exe, cmd.exe dan taskmgr.exe

 

Gambar 9, File gadungan yang dibuat oleh virus

 

Rekayasa sosial “Album BOKEP (New Release)”

Untuk mempermudah dalam mengelabui user, ia akan menggunakan rekayasa sosial dengan membuat sebuah folder dengan nama [Album BOKEP (New Release)] disetiap Drive termasuk di Flash Disk. Dengan nama folder tersebut di harapkan dapat menarik user untuk menjalankan salah satu dari file shortcut yang berada di dalam nya. File shortcut yang dibuat oleh virus ini akan mempunyai ekstensi Mpeg.lnk.

 

File dengan icon “Windows Media Player” ini seolah-olah merupakan file Video “Mesum” yang jika dijalankan maka akan mengaktifkan dirinya dengan menjalankan file [%Drive%:\C:\WINDOWS\system32\wscript.exe //e:VBScript \Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\nortonAv\-\usrlogon.dll Microsoft]. (lihat gambar 10)

 

Gambar 10, File shortcut virus yang akan mengaktifkan file virus [usrlogon.dll]

 

Selain itu agar penyamarannya lebih sempurna ia akan merubah type file LNK (shortcut) tersebut menjadi “Movie Clip” sehingga seolah-olah merupakan file Video, untuk lebih meyakinkan ia akan menyembunyikan ekstensi yang kedua dari file tersebut [.LNK] dengan membuat string pada registry berikut

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile

-          [Default] = Movie Clip

-          NeverShowExt

                   

VBS/Autorun/BO juga akan merubah type file dari “VBScript Script File” menjadi “Application” serta merubah icon VBS menjadi icon Application serta menyembunyikan ekstensi dari file tersebut dengan merubah string registry berikut:

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile

-          FriendlyTypeName = Application

-          NeverShowExt

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\DefaultIcon

-          [Default] = %SystemRoot%\system32\SHELL32.dll,2 (lihat gambar 11)

 

Gambar 11, File VBS yang telah diubah oleh virus

 

Aktif pada mode “safe mode” dan “safe mode with command prompt”

Virus ini tidak hanya aktif pada mode Normal, tetapi akan aktf pada mode “safe mode” dan “safe mode” with command prompt dengan membuat string pada registry berikut

 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

-          shell = explorer.exe, C:\windows\system32\wscript.exe "c:\windows\WinUpdt.tpx"

-          userinit = C:\WINDOWS\system32\userinit.exe, C:\windows\system32\wscript.exe "c:\windows\WinUpdt.tpx"

 

·         HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

-          AlternateShell = C:\WINDOWS\system32\wscript.exe "c:\windows\WinUpdt.tpx"

 

·         HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

-          AlternateShell = C:\WINDOWS\system32\wscript.exe "c:\windows\WinUpdt.tpx"

 

·         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

-          AlternateShell = C:\WINDOWS\system32\wscript.exe "c:\windows\WinUpdt.tpx"

 

 

Registry lain

VBS/Autorun juga akan membuat registry berikut:

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer

o    Logon User Name = Shemale

 

·         HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

o    AltDefaultUserName = Shemale

o    DefaultUserName = Shemale

 

·         HKEY_LOCAL_MACHINE\system\ControlSet001\services\PugPlay

o   ImagePath = %SystemRoot%\system32\services.exe, C:\windows\system\svchost.exe "c:\windows\WinUpdt.tpx"

 

·         HKEY_LOCAL_MACHINE\system\ CurrentControlSet\services\PugPlay

o   ImagePath = %SystemRoot%\system32\services.exe, C:\windows\system\svchost.exe "c:\windows\WinUpdt.tpx"

 

Jejak virus

Seperti kebanyakan virus lokal, salah satu aksi yang dilakukan adalah meninggalkan jejak berupa pesan di komputer target. VBS/Autorun juga akan meningalkan beberepa pesan yang dikemas dalam sejumlah file diantara pesan terebut akan di tampilan secara otomatis saat komputer di nyalakan dan saat menjalankan program Internet Explorer atau saat screen saver Windows aktif.

 

Berikut beberapa pesan yang dibuat oleh VBS/Autorun

 

·         Merubah nama pemilik Windows dengan merubah string registry berikut

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

§  RegisteredOrganization = Shemale

§  RegisteredOwner = CRY (lihat gambar 5 di atas)

 

·         Menampilkan gambar berikut dengan terlebih dahulu me rubah string pada registry

 

-          HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

§  Start Page = C:\WINDOWS\welcomescreen.mht (lihat gambar 12)

 

Gambar 12, Gambar yang tampil saat menjalankan file “welcomecreen.mht

           

Catatan:

Walaupuan ia sudah merubah registry pada string “Start Page”, tetapi pada saat user membuka program Internet Explorer gambar di atas tidak akan dapat ditampilkan melainkan akan mucul pesan error berikut seolah-olah file “welcomescreen.mht” tidak ditemukan, gambar di atas akan tampil jika user menjalankan file “welcomescreen.mht” secara manual. (lihat gambar 12)

 

Gambar 12, Pesan error saat menjalankan program IE

 

·         Menampilkan pesan “King Of The World”, jika user menjalankan file [C:\Windws\ windows.html] (lihat gambar 13)

 

Gambar 13, Pesan King Of The World yang akan di tampilkan oleh VBS/Autorun

 

·         Menampilkan pesan “SHEMALE Ver. 2.0.1 By CRY” saat screen saver Windows aktif dengan terlebih dahulu merubah string pada registry berikut

 

o    HKEY_CURRENT_USER\Control Panel\Desktop

§  SCRNSAVE.EXE = C:\WINDOWS\system32\ssmarque.scr (lihat gambar 3 di atas)

 

Blok askes Website Security

Selain itu VBS/Autorun juga akan mencoba untuk blok akses terhadap beberapa website security seperti

·         www.vaksin.com

·         www.virologi.com

·         www.ansav.com

·         www.jasakom.com

·         www.vbbego.com

·         Smadav

·         Virus4

 

Untuk melakukan hal tersebut ia akan melakukan perubahan pada file “C:\Windows\System32\Drivers\Etc\HOST” (lihat gambar 14)

 

Gambar 14, Host File Windows yang telah dibah oleh VBS/Autorun

 

Blok akses Folder “C:\WINDOWS”

Untuk memepersulit penghapusan fiile induk yang telah di buat di direktori “C:\Windows” dengan cerdik ia akan blok akses terhadap folder tersebut dengan memanipulasi folder tersebut agar selalu mengakses “MY Computer” setiap kali user mencoba untuk akses folder tersebut (lihat gambar 15)

 

Gambar 15, VBS/Autorun blok akses folder “C:\Windows”

Media Penyebaran

Untuk menenyebarkan dirinya, ia akan memanfaatkan Flash Disk dengan cara membuat file folder berikut:

 

·         Data-data Tugasku NITIP Jangan Dihapus.lnk

·         Membership of Shemale Lover.lnk

·         Fotoq Imoets - http-facebook.com-profiles-123442-photos-15595.jpeg.lnk

·         Michael Jackson ternyata belum mati - Detik.com.lnk

·         13. Michael Jackson - one day in your life.mp4.lnk

·         Naughty America Album

-          locked folder  (folder)

-          desktop.ini

-          my friends hot mom - Jennifer Miller.wmv.lnk

-          my friends hot mom - sativa rose.wmv.lnk

-          My Sister Hot Friend - Courtney Dani.wmv.lnk

-          Naughty America 2009 - Vicky Vette.Mpeg.lnk

 

·         Recycled\S-1-5-21-....\Nortonav\-

-          1.cdr

-          desktop.ini

-          diskmgt.msc

-          open.dll

-          usrlogon.dll

 

·         Autorun.inf

 

Agar dirinya dapat aktif secara otomatis, ia akan memanfaatkan fitur autorun dengan nama [autorun.inf] yang akan menjalankan file induk yang telah ditentukan (lihat gambar 16)

 

Gambar 16, Script autorun.inf

 

Cara membersihkan Virus VBS/Autorun

1.    Nonaktifkan “System Restore” selama proses pembersihan

2.    Matikan  proses yang aktif di memory, Norman Security Suite Pro yang dilengkapi dengan fitur Advanced System Reporter untuk mengetahui dan monitoring proses yang aktif di memori serta mempunyai kemampuan untuk mematikan proses virus sekaligus menghapus registry startup dari virus tersebut menjadi salah satu tools yang dapat digunakan sebagai alternatif untuk mengganti tools Task Manager  yang diblok oleh VBS/Autorun.BO.

 

Berikut langkah untuk mematikan proses virus yang aktif di memori dengan menggunakan Advanced System Reporter

-          Pada aplikasi Advanced System Reporter, klik tabulasi “Other” dan “Auto Start”

-          Klik kanan pada proses WSCRIPT.exe seperti yang terlihat pada gambar dibawah

-          Klik “Terminate Process”

-          Klik “Yes” (lihat gambar 17)

 

Gambar 17, Norman Advanced System Reporter

 

3.    Repair registry Windows, untuk mempermudah proses perbaikan registry yang telah diubah oleh virus, gunakan tools FIXREG.exe. Silahkan download tools tersebut di alamat berikut

Setelah tools tersebut di jalankan, lakukan langkah berikut : (lihat gambar 18)

 

-          Pada kolom “Registry Owner dan Registry Organization”, isi sesuai dengan nama pemilik Windows tersebut

-          Pada kolom “Shell Windows”, isi dengan string Explorer.exe

-          Pada kolom “Userinit Windows”, isi dengan string “userinit.exe”

-          Kemudian klik tombol “SET”

-          Setelah itu klik tombol “Fix Registry” untuk memperbaiki registry Windows

 

Gambar 18, Fix Registry Windows

 

4.    Install tools Unlocker, hal ini dimaksudkan untuk menghapus beberapa folder/file yang tidak dapat dihapus secara manual.

Silahkan download tools tersebut di alamat http://unlocker.en.softonic.com/

 

5.    Hapus file virus berikut dengan menggunakan ExploreXP, hal ini disebabkan virus ini akan mencoba blok akses folder “C:\Windows” sehingga mempersulit prosess penghapusan

Silahkan download tools tersebut di alamat berikut http://www.explorerxp.com/

 

Berikut beberapa file yang harus di hapus:

 

·         C:\Del.dll

·         C:\LocalDiskC.dll

·         C:\Autorun.inf (semua drive)

·         C:\Membership of Shemale Lover.lnk

·         C:\13. Michael Jackson - one day in your life.mp4.lnk

·         C:\Fotoq Imoets - http-facebook.com-profiles-123442-photos-15595.jpeg.lnk

·         C:\Michael Jackson ternyata belum mati - Detik.com.lnk

·         C:\BOKEP ( New Release )

 

·         C:\Windows

-          appopen.dll

-          appsys.exe

-          desktop.ini

-          dvcdrv.msc

-          kernel32.dll

-          regedit.exe.lnk

-          regedit.exe (ukuran 68 KB)

-          speech.dll

-          temporary files.dll

-          welcomescreen.mht

-          Windows.html

-          winsock01.exe (notepad)

-          Winupdt.tpx

 

·         C:\Windows\system32

-          appsys.dll

-          cmd.exe.lnk

-          encryptor.dll

-          taskmgr.exe.lnk

-          vga812.sys

-          Corelsetup.dll

-          Dvcrnme.dll

-          Regedit.exe (ukuran 68 KB)

-          Taskmgr.exe (ukuran 68 KB)

-          CMD.exe (ukuran 68 KB)

 

·         C:\Recycled

 

·         C:\Windows\system\svchost.exe

 

·         C:\Program Files\FarStone\qbtask.exe

 

·         C:\Windows\pchealth\helpctr\binaries\msconfig.exe

 

·         C:\Windows\system32\dllchace

-          regedit.exe

-          taskmgr.exe

-          cmd.exe

-          msconfig.exe

 

·         C:\Document and Setting\%user%\Desktop\ LocalDisk(c).lnk

 

·         %Flash Disk%:\Data-data Tugasku NITIP Jangan Dihapus.lnk

 

·         %Flash Disk%:\Naughty America Album

 

Catatan:

Gunakan tools unlocker untuk menghapus fil/folder berikut (semua Drive)

·         Recycled

·         Naughty America Album

·         C:\Membership of Shemale Lover.lnk

·         C:\BOKEP ( New Release )

 

Cara menggunakan tools unlocker

·         Pilih file/folder yang akan di hapus

·         Klik kanan pada file/folder tersebut

·         Klik menu “unlocker”

·         Pada program unlocker, pilih opsi DELETE”

·         Klik “OK” (lihat gambar 19)

Gambar 19, Menghapus File/folder dengan menggunakan unlocker

 

6.    Kosongkan/Empty pada Recycled bin

a.    Klik kanan “Recycled bin”

b.    Klik “Empty Recycle bin”

7.    Copy file Regedit.exe, CMD.exe, TaskMgr.exe dan MSConfig.exe dari komuputer  lain yang tidak bermasalah

            - Regedit.exe (C:\Windows)

            - TaskMgr.exe dan CMD.exe (C:\Windows\system32)

            - MSConfig.exe (C:\Windows\pchealth\helpctr\binaries)

8.    Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan komputer dengan menggunakan antivirus yang up-to-date.

9.    Bagi yang telah terinstall antivirus Norman, sebaiknya repair antivirus tersebut untuk memperbaiki beberapa registry antivirus Norman yang telah di hapus, dengan cara

-          Buka Windows Explorer

-          Browse direktori “C:\Program Files\Norman\npm\bin”

-          Klik 2x “DELNVC5.exe”

-          Pilih opsi “Repair”

-          Klik Next”

-          Klik “Finish”

 

Salam,

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 3456850

Fx : 021 3456851

» Reseller
Banda Aceh | Balikpapan | Bandung (4) | Banjarmasin | Batam | Cilacap | Cirebon | Denpasar | Gorontalo (2) | Jakarta | Lumajang| Makassar (1)
Malang | Medan | Padang | Palangka Raya (1) | Palembang (2) | Pekanbaru | Pontianak | Salatiga | Samarinda
Solo |Surabaya | Yogyakarta | Manado
Jika Anda pengusaha komputer dan berminat untuk bergabung menjadi reseller Vaksincom, silahkan emailkan profile perusahaan Anda ke info@vaksin.com