Trojan.Heur.PM0@sLTnIkib

21 Januari 2014
Trojan.Heur.PM0@sLTnIkib
Akses Porno dihukum Heavy Rotation
Nabilah Ngga Suka Kamu Punya File-File Jorok dan Nggak Penting.

Kalo Kamu Masih Buka File-File Itu Lagi Nabilah Kasih Jurus Heavy Rotation Lagi

Biar Cursor Mouse Kamu Gerak-Gerak Sendiri

Selain Cherrybelle, JKT48 memang sedang ngetop di Indonesia dengan Heavy Rotationnya. Nah, salah satu fans Nabilah membuat malware lengkap dengan theme yang akan menampilkan wallpaper Nabilah yang akan marah-marah dan memberikan hukuman kepada komputer anda dengan jurus heavy rotation. (lihat gambar 6) alias mouse anda akan ber heavy rotation alias goyang-goyang seperti kena gempa dan tidak bisa diakses selama 1 menit jika anda mencoba mengakses situs pornografi. Selain itu, jika anda ingin menghapus malware ini, ia tidak akan berkata I love You atau menjadikan komputer anda seperti popcorn, tetapi ia akan menampilkan pesan :

Kamu Jahat Ihhh...

Mau Hapus Nabilah Pake Software Aneh Yah?

Kamu Sayang Nabilah kan?

Bau Ketek Nabilah Kamu!

Nabilah Benci Kamu!

Uhh...Dasar Jelek!


Untuk detailnya silahkan ikuti analisa Vaksinis dan cara membasmi malware ini pada artikel di bawah ini.

Gimana sih kalo kamu mengidolakan seseorang.? Pasti tanpa disadari kita ingin cari tau perkembangannya,kesehariannya,dan apa yang ia lakukan.Kadang ia pun bisa menjadi motivasi dan menginspirasi diri kita sendiri. dan bagaimana jika seorang idola bisa menjadi Inspirasi seseorang untuk membuat malware.? Itulah yang terjadi pada malware Trojan.Heur.PM0@sLTnlkib yang dikenal dengan Malware Nabilah JKT48.

Ternyata nama besar Idol grup yang sedang eksis di dunia hiburan itu pun tidak hanya banyak di social media, tetapi di dunia Keamanan Siber. Entah apa yang ada di pikiran seorang creator malware tersebut dengan mendompleng salah satu personil idol grup JKT48 ini untuk dijadikan nama Malwarenya?. Silahkan lihat uraian Vaksincom di bawah ini.
20140121I_trojanheurnabila08
Gambar 1 . G Data Mendeteksi Malware ini sebagai Gen.Trojan.Heur.pm0@sLYknIkib
Informasi File Induk

Malware Nabilah JKT48 atau yang dikenal dengan Trojan.Heur.PM0@sLTnkib inipun lumayan membuat repot jika komputer anda terinfeksi olehnya. Malware yang dibuat menggunakan bahasa pemprograman Visual Basic inipun langsung membuat file induk yang tersimpan di beberapa lokasi ketika ia dijalankan :
  •     C:\Windows\ n4b1l4h_jkt48.exe
  •     C:\Windows\System32\ heavy_rotation.scr
  •     C:\Windows\System32\ updatesysw1n.com
20140121I_trojanheurnabila03
 Gambar 2. Induk File malware ini adalah file heavy_rotation.scr, updatesysw1n.com dan n4b1l4h_jkt48.exe
Malware ini pun mempunyai kemampuan menyebarkan dirinya ke setiap folder yang dibuka user. Nama virus yang digandakan akan sesuai dengan nama folder yang dibuka tersebut. (lihat gambar 3)
20140121I_trojanheurnabila01
Gambar 3 . File dengan icon folder hasil penggandaan virus bertujuan untuk menarik korban mengklik
Malware ini pun dapat juga menyebarkan dirinya lewat removable disk, dengan fungsi autorun maka virus akan otomatis menjalankan file ayuchin.exe yang sebelumnya di hidden system dan berhasil menginfeksi komputer yang tercolok Removable Disk tersebut (lihat gambar 4)
20140121I_trojanheurnabila02
Gambar 4. File Autorun.inf dan File Exe Bernama Nabilah Ratna Ayu Azalia.exe dan ayuchin.exe yang menular dan menginfeksi removable disk
Malware ini pun juga mempunyai kemampuan melumpuhkan program sekuriti dan tools yang biasa digunakan untuk menghentikan / analisa malware dengan caption security/file/folder antara lain :
  •     anti
  •     malware
  •     trojan
  •     w32
  •     hex
  •     proc
  •     restor
  •     option
  •     vir
  •     reg
  •     dbg
  •     bug
  •     detec
  •     walk
  •     avas
  •     scan
  •     comodo
  •     fire
  •     mcaf
  •     smada
  •     nort
  •     task
  •     search
  •     spy
  •     autorun
  •     hijack
  •     config
  •     propert
  •     watson
  •     remove
  •     kill
  •     windows
  •     system32
  •     wsar
  •     ghost
  •     avg
  •     visual basic
  •     c++
  •     clean
  •     cmd.
  •     command
  •     secur
  •     norman
  •     tweak
  •     hack
  •     symantec
  •     nod32
  •     protec
  •     control
  •     rootkit
  •     devil
  •     forum
  •     linux
Dan uniknya, jika komputer yang terinfeksi malware mencoba untuk membuka program-program yang telah diblokir tersebut, maka malwarepun memaksa mengakhiri programpun dengan cara close paksa dan sedikit bantuan dari Nabilah yang menampilkan wallpaper menjadi sebagai berikut :
20140121I_trojanheurnabila07
Gambar 5 Omelan Nabilah ketika komputer menjalankan program yang diblokir yang bertujuan menghapus malware ini
Selain itu, ibarat Kak Seto, malware ini pun tidak menginginkan PC yang dijangkitinya mengakses pornografi. Caranya adalah, jika komputer membuka file dengan keyword porno, maka Nabilah pun kembali mengomel dan kursor mouse bergerak secara sembarangan dan tidak dapat dikontrol selama 60 detik.

Menurut perhitungan Vaksincom, ada 66 keyword yang di anggap terlarang oleh malware Nabilah sehingga di blok. Banyak dari keyword tersebut yang jika ditampilkan kemungkinan besar bisa membuat kak Seto jantungan. Yang menariknya ada keyword "belle" yang ikut diblok dan meskipun kemungkinan tidak termasuk keywork berbau pornografi namun kemungkinan ikut diblok oleh malware Nabilah karena keyword ini merupakan bagian kata dari girlband populer lain saingan dari JKT48. Adapun beberapa keyword yang diblok adalah sebagai berikut :  ** (banyak kata yang terlalu vulgar dan terpaksa disensor oleh Vaksincom)
  •     s*x
  •     e***t
  •     m***k
  •     t***t
  •     k****l
  •     p***s
  •     j****t
  •     tante
  •     f**k
  •     mahasiswi
  •     playboy
  •     sh*t
  •     k****t
  •     p****t
  •     miyabi
  •     t***t
  •     belle
  •     n*****g
  •     s****g
20140121I_trojanheurnabila05
Gambar 6 , Wallpaper yang ditampilkan Malware ketika anda membuka file yang dianggap bercaption porno
Nabilah Ngga Suka Kamu Punya File-File Jorok dan Nggak Penting.

Kalo Kamu Masih Buka File-File Itu Lagi Nabilah Kasih Jurus Heavy Rotation Lagi Biar Cursor Mouse Kamu Gerak-Gerak Sendiri

Untuk Memperlancar gerak geriknya Malware pun juga menulis sebagian key pada registry diantara lain;

Menjalankan File Induk Pada Registry

    Key :HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Run",
    Value : nabilah,

    Data : C:\WINDOWS\n4b1l4h_jkt48.exe

    Key :HKEY_LOCAL_MACHINE, "SOFTWARE\Microsoft\Windows\CurrentVersion\Run Value : heavy_rotation",
    Data : C:\WINDOWS\system32\heavy_rotation.scr

    Key :HKEY_LOCAL_MACHINE, "SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Value : updatesyswin

    Data : C:\WINDOWS\system32\updatesysw1n.com

    Key :HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Run
    Value : updatesyswin,

    Data : C:\WINDOWS\system32\updatesysw1n.com

Tidak dapat menampilkan Ekstensi File

    Key :HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced", " Value : HideFileExt

    Data : 0x00000001

Tidak Dapat Menampilkan file yang tersembunyi


    Key :HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

    Value : "Hidden"

    Data :0x00000002

    Key :HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

    Value : ShowSuperHidden",

    Data : 0x00000000

Disable File Option

    Key :HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Policies\ExplorerValue :NoFolderOptions

    Data : 0x00000001

    Key :HKEY_LOCAL_MACHINE, "SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
    Value : NoFolderOptions

    Data : 0x00000001

Membersihkan malware ini :

1. Unduh G Data Antivirus 2014 pada situs di bawah ini :


2. Karena akses terhadap program antivirus diblok oleh malware, maka instalasi antivirus dilakukan pada safemode. Untuk masuk safemode restart komputer anda dan tekan [F8] dan tahan untuk memunculkan [Windows Advance Option Menu]. Lalu pilih [Safe Mode]

3. Jalankan file instalasi G Data Antivirus yang telah anda unduh [INT_R_FUL_2014_AV.exe]. Jika anda ingin mengetahui lebih detail settingan dan cara instalasi G Data bisa di dapatkan dari :


4. Scan komputer dengan G Data Antivirus 2014. Anda bisamelakukan perintah scan dari layar G Data atau langsung dari Windows Explorer seperti gambar 7 di bawah ini.
20140121I_trojanheurnabila04
Gambar 7, Klik kanan pada drive C: dan pilih check for viruses.
5. Tunggu sampai proses scan selesai. Setelah scan selesai, G Data akan memberikan hasil scanning seperti pada gambar 8 di bawah ini. Lalu klik tombol [Execute actions] untuk membersihkan malware yang terdeteksi.
20140121I_trojanheurnabila06
Gambar 8, Klik [Execute actions] untuk membersihkan malware yang tertangkap G Data
Hapus string yang telah dibuat oleh Malware Nabilah JKT48 pada registri, untuk mempercepat proses penghapusan registri tersebut tulis script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf setelah itu jalankan file tersebut dengan cara :

    Klik kanan repair.inf

    Klik [Install]

    <<<Start script>>>

    [Version]

    Signature="$Chicago$"

    Provider=Vaksincom Oyee 2014

    [DefaultInstall]

    AddReg=UnhookRegKey

    DelReg=del
    [UnhookRegKey]

    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden ,UncheckedValue,0x00010001,1

    [del]

    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

    HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

    HKCU,Software\Microsoft\Windows\CurrentVersion\Run,nabilah

    HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run,heavy_rotation

    HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, updatesyswin

    HKCU,Software\Microsoft\Windows\CurrentVersion\Run, updatesyswin


    <<<End script>>>

Untuk melindungi komputer anda dari malware ini maupun variannya, gunakan program antivirus yang terupdate dan mampu mendeteksi malware ini seperti G Data Antivirus. (lihat gambar 9)
20140121I_trojanheurnabila09
 Gambar 9, G Data Client yang merupakan bagian dari G Data Enterprise solution dapat mendeteksi malware Nabilah dengan baik
Salam,

Paisal Abdau
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: