W32/VBTroj.DAAA

27 Februari 2012
W32/VBTroj.DAAA
Komputer disulap menjadi Tong Sampah ( Recycle Bin ) 
Rupanya bukan hanya Chris Angel yang jago melakukan sulap yang menakjubkan. Pembuat virus rupanya banyak yang mirip dengan Chris Angel. Salah satunya adalah VBTroj.DAAA yang setelah menginfeksi komputer korbannya, ia akan mengubah “My Computer” menjadi “Recycle Bin” atau tong sampah :p. Selain mengubah komputer menjadi Tong Sampah, virus ini juga membuat banyak file duplikasi yang berekstensi.exe sehingga komputer akan di penuhi file virus layaknya tong sampah yang menampung sesuatu yang tidak digunakan lagi dan akhirnya akan membuat kapasitas hardisk menjadi penuh alias Low Disk space.

Dilihat dari namanya W32/VBTroj.DAAA  ini dibuat dengan menggunakan bahasa pemograman Visual basic. Virus ini memanfaatkan file folder yang di duplikasi untuk mengelabui user agar dapat diklik / dijalankan dan menyebarkan file duplikasinya kesemua folder dengan ukuran file 356 kb.

Norman mendeteksi virus ini sebagai  W32/VBTroj.DAAA (lihat gambar 1)
20120227I_vbtrojan01
Gambar 1, Deteksi Norman Endpoint Protection
Ciri file Virus

Ciri-ciri dari file virus ini, diantaranya sebagai berikut :
  • Memiliki ukuran file sebesar 356 kb
  • Mempunyai type file Application
  • Berekstensi .exe
  • Memiliki icon
20120227I_vbtrojan02
Bila virus aktif maka akan membuat file di beberapa lokasi berikut : (lihat gambar 2)
  • C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Startup.exe
  • C:\Documents and Settings\%User%\Start Menu\Programs\Startup\Angel2.exe
  • C:\Documents and Settings\%User%\Start Menu\Programs\Startup\Startup.exe  
20120227I_vbtrojan03
Gambar 2.File yang dibuat virus di setiap folder. 
Gejala yang ditimbulkan
  • Saat pertama kali masuk windows muncul pesan error “Microsoft Windows” karena virus aktif bersamaan dengan proses Explorer windows saat startup (lihat gambar 3)
20120227I_vbtrojan04
Gambar 3.Windows explorer menjadi error
  • Terkadang bila menuju ke suatu situs Microsoft internet Explorer tidak dapat menampilkan alamat situs tersebut dan muncul pesan error (lihat gambar 4)
20120227I_vbtrojan05
Gambar 4.Internet Explorer tidak dapat menampilkan situs 
  • Membuat banyak file duplikat dari setiap folder yang kita klik dengan nama yang sama dengan folder tersebut namun berekstensi .exe misalnya saat kita buka folder dengan nama Data maka virus akan membuat salinannya menjadi Data.exe (lihat gambar 5)
20120227I_vbtrojan06
Gambar 5. File Duplikasi yang di timbulkan Virus
Apabila setiap file virus tersebut kita klik maka akan berjalan di memori serta mengambil resource memory sekitar 7000kb jadi bisa dibayangkan bila kita tidak sengaja mengklik file – file virus  tersebut maka akan menguras memori dan berakibat computer menjadi lambat (lihat gambar 6)
20120227I_vbtrojan07
 Gambar 6. File Virus yang aktif memakan memory.
Blok fungsi windows

Beberapa hal yang dilakukan virus adalah blok beberapa fungsi Windows seperti Task Manager, CMD, Folder Options, dan Registry dengan membuat beberapa string pada berikut:

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Value: Hidden
Data: [REG_DWORD, value: 00000001]

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Value: DisableThumbnailCache
Data: [REG_DWORD, value: 00000001]

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

Value: DisableTaskMgr 
Data: [REG_DWORD, value: 00000001]

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system 

Value: DisableRegistryTools 
Data: [REG_DWORD, value: 00000001]
 
·         HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System

Value: disableCMD
Data: [REG_DWORD, value: 00000002]

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Value: NoFolderOptions 
Data: [REG_DWORD, value: 00000001]

Aktif saat startup

Virus ini membuat string pada registri agar dapat berjalan secara otomatis pada saat pertama kali user login komputer.

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Startup.exe
C:\Documents and Settings\%User%\Start Menu\Programs\Startup\Angel2.exe
C:\Documents and Settings\%User%\Start Menu\Programs\Startup\Startup.exe

Merubah halaman awal (default page) Internet Explorer

Selain itu juga virus merubah tampilan halaman utama dan halaman default page pada browser Internet Explorer dan dialihkan kealamat website dewasa dengan tujuan mengelabui user untuk access www.booble.com hampir mirip dengan situs www.google.com yaitu mesin pencari segala informasi di internet akan tetapi website www.booble.com malah justru menampilkan konten dewasa atau mengandung unsur pornografi. String yang di ubah dari registry tersebut adalah

·           HKCU\Software\Microsoft\Internet Explorer\Main\Search Page


·           HKCU\Software\Microsoft\Internet Explorer\Main\Start Page


Merubah My computer menjadi recycle Bin

Kelebihan dari virus ini yaitu merubah My computer menjadi Recycle Bin untuk mengelabuhi agar user salah mengklik folder atau menaruh file data.  (lihat gambar 7)
20120227I_vbtrojan08
Gambar 7.  Merubah nama My Computer menjadi Recycle Bin
Trojan W32/VBTroj.DAAA  merubah My Computer menjadi Recycle Bin  dan begitu sebaliknya adapun key registri  yang di rubah  :

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}

Value: LocalizedString
Data: @%SystemRoot%\system32\SHELL32.dll,-8964

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}

Value: LocalizedString  
Data: @%SystemRoot%\system32\shell32.dll,-9216

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\DefaultIcon

Data: %SystemRoot%\System32\shell32.dll,31

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon

Data: %SystemRoot%\Explorer.exe,0

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon

Value: empty
Data: %SystemRoot%\Explorer.exe,0

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon

Value: full  
Data: %SystemRoot%\Explorer.exe,0

Media Penyebaran

  • Removable drive/disk : Membuat file dengan nama angel.exe dan Menduplikasi file folder pada Flashdisk menjadi file virus.
  • Jaringan LAN  : Bila dalam jaringan terdapat folder Maping Drive yang di beri akses Full dan salah satu computer telah teinfeksi maka akan membuat duplikat file virus pada setiap folder yang di akses sehingga kemungkinan dapat di klik oleh user lain yang tertarik membuka file virus tersebut
Cara mengatasi Trojan:W32/VBTroj.DAAA

20120227I_vbtrojan09
  • Fix registri Windows yang sudah diubah oleh virus,  untuk mempercepat proses perbaikan salin script dibawah ini pada program “notepad” kemudian simpan dengan nama “repair.bat”. Jalankan file tersebut dengan double klik file

msg %username% /time:5 /w /v "Repair >>>> Registry !"

Reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v gpmce /f

Reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v gpmce /f

Reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /f

Reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /f

Reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions /f

Reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableCMD /f

Reg delete "HKCU\Software\Policies\Microsoft\Windows\System" /v disableCMD /f

Reg delete "HKU\S-1-5-21-1214440339-1450960922-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}" /f

Reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v Start Page /t REG_SZ /d "www.google.com" /f

Reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v Search Page /d www.google.com

Reg add "HKLM\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}" /v localizedString /t REG_EXPAND_SZ /d "@%SystemRoot%\system32\SHELL32.dll,-9216" /f

Reg add "HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}" /v localizedString /t REG_EXPAND_SZ /d "@%SystemRoot%\system32\SHELL32.dll,-8964" /f

Reg add "HKLM\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\Defaulticon" /v "" /t REG_SZ /d "%SystemRoot%\Explorer.exe,0" /f

Reg add "HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\Defaulticon" /v "" /t REG_SZ /d "%SystemRoot%\System32\shell32.dll,31" /f

Reg add "HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\Defaulticon" /v "Empty" /t REG_EXPAND_SZ /d "%SystemRoot%\System32\shell32.dll,31" /f

Reg add "HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\Defaulticon" /v "Full" /t REG_EXPAND_SZ /d "%SystemRoot%\System32\shell32.dll,32" /f

Reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v DisableThumbnailCache /t REG_DWORD /d "0" /f

Pause

  • Fix halaman utama Internet Explorer dengan menyalin script dibawah ini pada program “notepad” kemudian simpan dengan nama “repair.inf” jalankan script dengan cara klik kanan pilih install

[Version]

Signature="$Chicago$"

Provider=VaksincomOyee 2012

[DefaultInstall]

AddReg=UnhookRegKey

HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"

HKCU, Software\Microsoft\Internet Explorer\Main, Search Page,0, “www.google.com”

  •  Untuk pembersihan secara menyeluruh atau optimal dan mencegah agar tidak terjadi infeksi ulang. Install antivirus di computer anda sehingga dapat memproteksi komputer anda dari serangan virus, atau Scan dengan menggunakan antivirus  yang up-to-date.
Salam,

Tim Analis Vaksincom
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: