20 September 2010

W32/Rontokbro.GOL

Yitnoss.B

By: X84YN

-- Yitnoss #YD Yitnosoft --

 

Masih ingat dengan virus Rontokbro, virus lokal yang menjadi inspirasi bagi munculnya virus-virus lokal saat ini dan mampu memberikan nuansa baru bagi perkembangan virus dan antivirus di nusantara bahkan sampai  bermunculan pendekar-pendekar VB yang mencoba untuk membuat penangkal virus tersebut.

 

Walaupun namanya mulai surut ia tetap menjadi inspirasi tersendiri bagi para pembuat virus lokal saat ini, walaupun virus lokal saat ini mempunyai daya serang yang berbeda-beda tetapi ada sebagian taktik atau ciri khas yang biasa digunakan oleh virus Rontokbro seperti  melumpuhkan fungsi Windows, membuat file duplikat sampai aktif pada mode “safe mode” atau “safe mode with command prompt”.

 

Kini setelah lama tenggelam, Rontokbro muncul dengan trik yang sedikit berbeda dari sebelumnya tetapi akan tetap melakukan perubahan walupun tidak seganas varian sebelumnya, rupanya ia mencoba untuk menggunakan teknik lain agar tidak mudah dicurigai oleh user.

                                                                                                                         

Made in VB

Sama seperti varian sebelumnya, virus ini dibuat dengan menggunakan program Visual Basic dengan ukuran sekitar 118 KB. Kali ini ia tidak menggunakan icon “Folder” untuk mengelabui user karena saat ini user sudah mengetahui kelemahan tersebut, kali ini ia akan menyamarkan dirinya dengan menggunakan icon aplikasi sehingga tidak mengundang kecurigaan user, sebagai pendukung ia akan menggunakan type file sebagai “Application” (lihat gambar 1)

 

Gambar 1, Contoh file virus W32/Rontokbro.GOL

 

Dengan update terbaru Norman Security Suite mendeteksi file tersebut sebagai W32/Rontokbro.GOL (lihat gambar 2)

 

Gambar 2, Hasil deteksi Norman Security Suite

 

File induk W32/Rontokbro.GOL

Pada saat user menjalankan file yang sudah terinfeksi maka akan menampilkan jendela Windows Explorer kemudian akan membuat beberapa file induk yang akan di aktifkan secara otomatis pada saat komputer dinyalakan. Agar tidak dicurigai oleh user untuk setiap file induk yang dbuat akan mempunyai nama yang sama dengan nama file system Windows seperti [smss.exe, winlogon.exe, services.msc atau lsass.exe] tetapi jika anda jeli maka dengan mudah akan diketahui bahwa sebenarnya file tersebut merupakan file virus hanya dengan melihat lokasi penyimpanan file tersebut, berikut beberapa file yang akan dibuat oleh W32/Rontokbro.GOL (lihat gambar 3)

 

Gambar 3, W32/Rontokbro.GOL membuka Windows Explorer pada saat menjalankan file virus

 

• C:\Documents and settings\%user%\Local Settings\Application Data

-          Winlogon.exe

-          services.exe

-          lsass.exe

-          smss.exe

-          inetinfo.exe

-          Diah84.Yitn.oss.txt

-          csrss.exe

• C:\Windows\Inf\Yitnoss.exe
• C:\Documents and settings\%user%\Start Menu\Programs\Startup\YITNO.pif
• C:\Documents and Settings\%user%\Templates\B.Yitnoss.com

 

Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat beberapa string pada registry berikut

 

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

-          X84-YitnoDiah = "C:\Documents and Settings\%user%\Local Settings\Application Data\smss.exe"

 

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

-          Diah-YitnosX84 = "C:\WINDOWS\INF\Yitnoss.exe"

 

Melumpuhkan fungsi skeuriti Windows

Untuk mempertahankan dirinya, ia akan melumpuhkan beberapa fungsi Windows seperti Task Manager, Regedit atau Folder Options dengan tujuan untuk mempersulit user melumpuhkan dirinya, selain itu komputer akan restart secara otomatis setiap kali user menjalankan tools, file atau folder yang mempunyai nama tertentu (biasanya berhubungan dengan security). Berikut beberapa string yang akan dibuat oleh virus untuk melumpuhkan beberapa fungsi Windows tersebut:

 

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

-          NoFolderOptions

 

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

-          DisableMD

-          DisableRegistryTools

 

Aksi lain yang digunakan oleh virus ini adalah merubah isi dari file Autoexec.bat dengan menambahkan string PAUSE (lihat gambar 4)

 

Gambar 4, W32/Rontokbro.GOL merubah file Autoexec.bat

 

Manipulasi Folder

Salah satu aksi yang dilakukan oleh W32/Rontokbro.GOL adalah membuat file duplikat disetiap folder dan subfolder, file duplikat ini akan mempunyai nama yang sama dengan folder atau subfolder target, anda  tidak perlu khawatir karena virus ini hanya akan membuat file duplikat  di Removable Disk termasuk Flash Disk saja, dengan ciri-ciri : (lihat gambar 5)

-          Menggunakan icon Aplikasi

-          Type file “Application”

-          Ukuran file 118 KB

 

Gambar 5, File  duplikat W32/Rontokbro.GOL

 

Koleksi alamat email

Sama seperti yang dilakukan oleh versi sebelumnya, ia akan mengambil semua alamat email yang didapatkan di komputer target, alamat ini akan disimpan di sebuah folder berikut dalam bentuk file dengan ekstensi INI

 

C:\Documents and settings\%user%\Local Settings\Application Data\Loc.Mail.Bron.Tok (lihat gambar 6)

 

Gambar 6, Aktivitas pengumpulan alamat email oleh Rontokbro

 

Virus ini juga akan membuat direktori lain pada direktori

 

C:\Documents and settings\%user%\Local Settings\Application Data

-          84-DiahLove-Yitn-oss

-          Yitn.oss-3-27

-          Yitn.oss-3-31

 

Media penyebaran

Sebagai upaya untuk menyebarkan dirinya, ia akan memanfaatkan removable disk termasuk Flash Disk dengan membuat sebuah file dengan nama DATA %user%.exe (%user% ini merupakan nama account user saat login Windows) serta membuat file duplikat di setiap folder dan subfolder dengan nama yang sama dengan folder/subfolder tersebut.

 

Cara mengatasi W32/Rontokbro.GOL

 

1.    Disable "System Restore" (Windows XP/Vista/Windows 7) selama proses pembersihan dilakukan

2.    Matikan  proses yang aktif di memory, Norman Security Suite Pro yang dilengkapi dengan fitur Advanced System Reporter yang dirancang khusus untuk mengetahui dan monitoring proses yang aktif di memori serta mempunyai kemampuan untuk mematikan proses virus sekaligus menghapus registry startup dari virus tersebut menjadi salah satu tools alternatif yang dapat digunakan untuk mengganti tools Task Manager  yang diblok oleh W32/Rontokbro.GOL.

 

Berikut langkah untuk mematikan proses virus yang aktif di memori dengan menggunakan Advanced System Reporter (lihat gambar 7)

 

-          Pada aplikasi Advanced System Reporter, klik tabulasi “Other”

-          Klik kanan pada file virus [lsass.exe, services.exe dan winlogon.exe atau file lain] yang berada di direktori “C:\Documents and settings\%user%\Local Settings\Application Data”

-          Klik “Terminate Process”

-          Klik “Yes”

 

Gambar 7, Norman Advance System Reporter

 

            Untuk menghapus registry autostart yang dibuat oleh virus, lakukan langkah berikut

 

-          Klik tabulasi “Autostart”

-          Klik kanan file virus [smss.exe dan Yitnoss.exe] atau file lain yang berada didirektori “C:\Documents and settings\%user%\Local Settings\Application Data”

-          Klik “Terminate Process” jika proses tersebut masih aktif

-          Kemudian klik “Remove Autorun” untuk menghapus registry autostart yang telah dibuat oleh virus (lihat gambar 8)

 

Gambar 8, Gunakan Advance System Reporter untuk menghapus proses virus

3.    Pulihkan registri yang sudah diubah oleh virus, untuk mempercepat proses pemulihan silahkan salin script berikut pada program notepad kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara [Klik kanan REPAIR.INF | Install]

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

 

[del]

 

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, X84-YitnoDiah

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Diah-YitnosX84

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

 

4.    Hapus file induk dan file duplikat yang dibuat oleh virus dengan menggunakan fungsi Search Windows  di semua Drive termasuk Removable Disk [Flash Disk] (lihat gambar 9)

 

Gambar 9, Gunakan fasilitas Search Windows untuk mencari dan menghapus file virus secara manual jika antivirus anda tidak mengenali virus ini.

 

Kemudian hapus file berikut:

• C:\Documents and settings\%user%\Local Settings\Application Data

-          Winlogon.exe

-          services.exe

-          lsass.exe

-          smss.exe

-          inetinfo.exe

-          Diah84.Yitn.oss.txt

-          csrss.exe

• C:\Windows\Inf\Yitnoss.exe
• C:\Documents and settings\%user%\Start Menu\Programs\Startup\YITNO.pif
• C:\Documents and Settings\%user%\Templates\B.Yitnoss.com

 

Hapus juga file/folder berikut:

 

C:\Documents and settings\%user%\Local Settings\Application Data

-          84-DiahLove-Yitn-oss

-          Yitn.oss-3-27

-          Yitn.oss-3-31

-          Diah84.Yitn.oss.txt

 

5.    Untuk pebersihan optimal silahkan install dan scan dengan antivirus yang up-to-date,  anda juga dapat menggunakan tools Norman Malware Cleaner, silahkan download di alamat berikut:

 

Http://www.norman.com/support/support_tools/58732/en

 

Salam,

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 3456850

Fx : 021 3456851