Annie.sys is beautiful girl 2/2

08 Oktober 2013
Annie.sys is beautiful girl 2/2
Metode Penyebaran dan Cara Membasmi Annie.sys
Wanita cantik selalu menjadi daya tarik sekaligus kelemahan bagi sebagian besar laki-laki, dari musisi terkenal, produser rekaman lagu, bandar narkoba, jendral polisi sampai koruptor sekalipun tidak bisa dilepaskan dari wanita cantik. Hal ini rupanya menjadi sumber inspirasi bagi pembuat malware lokal yang sedang mengganas di Indonesia dalam beberapa bulan belakangan ini. Dengan pancingan Beautiful Girl (wanita cantik) malware ini sukses menarik perhatian calon korbannya sehingga berhasil menjadi salah satu malware yang paling banyak dibicarakan di komunitas online Indonesia. Malware ini memiliki aksi yang cukup 'sakti' karena ia memiliki kemampuan injeksi html dan infeksi korban melalui file html seperti malware Ramnit. Selain itu, ia juga memiliki payload yang cukup merepotkan seperti melakukan bloking atas banyak fungsi administrasi Windows seperti Registry Editor, Task Manager, Microsoft Management Console, File Assosiasi, System Restore, menyembunyikan ekstensi file dan tidak dapat menampilkan file yang tersembunyi (hidden). Tidak cukup aksi di atas, ia juga melakukan bloking atas aplikasi pendukung yang biasa digunakan untuk membersihkan malware seperti Kill Process, attrib, SysInternals Autostart, SysInternals Process Explorer, RegAnalyzer, menghalangi komputer untuk menjalankan file inf dan registry dengan tujuan mencegah pembersihan virus. Vaksincom merasa perlu untuk membahas ancaman malware ini karena malware ini memang banyak memakan korban dan hebatnya beberapa file turunannya masih sulit di deteksi oleh antivirus terkenal sekalipun. Malware ini dapat dikatakan setingkat di atas virus lokal lainnya karena selain melakukan aktivitas yang disebutkan di atas juga memiliki kemampuan injeksi file MS Office dan html. Celakanya, jika file html ini dijalankan di komputer lain, mirip dengan cara penularan Ramnit wanita cantik yang satu ini akan mampu menginfeksi komputer korbannya. Khusus bagi pelanggan Vaksincom yang menggunakan produk Norman dan G Data di Indonesia yang ingin mendapatkan tools khusus untuk membersihkan file html yang di injeksi oleh malware ini silahkan menghubungi support Vaksincom di info@virusicu.com atau info@vaksin.com.

Metode Penyebaran

Untuk menyebarkan dirinya Annie.sys akan memanfaatkan celah autorun Windows dengan membuat file autorun.inf serta file induk annie.ini (file ini akan disembunyikan) di setiap drive termasuk removable media/USB Flash, sehingga malware ini dapat langsung aktif secara otomatis pada saat user mengakses Drive.

File autorun.inf ini berisi perintah untuk menjalankan file annie.ini dengan menggunakan sricpt sebagai berikut :

[autorun]

shellexecute=wscript.exe //e:jscript.encode annie.ani /a

shell\open\command=wscript.exe //e:jscript.encode annie.ani /a

shell\explore\command=wscript.exe //e:jscript.encode annie.ani /a

Selain itu, virus ini juga akan membuat 5 (lima) buah file shortcut disetiap drive termasuk removable media/usb flash dengan nama beautiful_girl_part_1.lnk s/d beautiful_girl_part_5.lnk, file ini berisi script

(C:\Windows\system32\wscript.exe //e:jscript.encode annie.ani /q:%x%) untuk menjalankan file annie.ani yang berada di drive yang sama (%x% menunjukan angka 1 - 5), lihat gambar 7 di bawah.
20131008I_curebeautifulgirls201
 Gambar 7, File shortcut malware Annie.sys / Beautiful Girl 
Jika file shortcut tersebut (beautiful_girl_part_1.lnk s/d beautiful_girl_part_1.lnk) di jalankan, maka akan menjalankan program windows media player (wmplayer) dan akan menjalankan file virus annie.ini. Lihat gambar 8.
20131008I_curebeautifulgirls202
 Gambar 8, Program Windows Media Playar yang muncul saat Trojan.JS.Autorun.A di jalankan 
Menyebar melalui CD / DVD

Malware ini juga menyebarkan dirinya melalui CD / DVD dengan cara menyimpan 2 buah file yakni autorun.inf dan annie.ini ke folder (%LOCALAPPDATA%\Microsoft\CD Burning\) dengan membaca lokasi registry berikut sehingga pada saat anda melakukan burn CD/DVD file tersebut akan ikut terkopi secara otomatis.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
  • CD Burning = C:\Documents and Settings\%user%\Local Settings\Application Data\Microsoft\CD Burning
Catatan: %LOCALAPPDATA%, menunjukan lokasi yang berbeda-beda (contohnya C:\Documents and Settings\adang\Local Settings\Application Data\Microsoft\CD Burning\)

Aksi Malware
Pembuat malware ini kelihatannya tidak bermaksud jahat dan menghancurkan data komputer korbannya. Jika berhasil menginfeksi komputer korbannya, Annie.sys tidak akan bertingkah seperti Megan Young, tetapi sebaliknya ia akan merepotkan korbannya dengan menyembunyikan file yang mempunyai ekstensi *.DOC/*.RTF/*.DOCX. Untuk mengelabui user dan mencari korban lebih banyak lagi ia akan membuat file duplikat yang mempunyai nama yang sama dengan nama file yang disembunyikan (hidden).

Berikut ciri-ciri file duplikat Trojan.JS.Autorun.A (lihat gambar 9)
  • Mempunyai nama file yang sama dengan nama file yang di sembunyikan
  • Mempunyai ekstensi file *.JSE (JavaScript Encode), ekstensi ini akan disembunyikan
  • Mempunyai ukuran 9 KB
20131008I_curebeautifulgirls203
 Gambar 9, Penampakan file duplikat virus pada komputer yang terinfeksi (icon dan type file sama)
Injeksi File HTM / HTML

Anda tentu masih ingat dengan kasus virus Ramnit yang akan menginjeksi file HTM / HTML untuk menyebarkan dirinya, hal ini juga akan di lakukan oleh Trojan.JS.Autorun.A dengan menambahkan baris penanda pada header (<!--[ANNIE83E333BF08546819]-->) dan kode virus pada footer sehingga jika user menjalankan file HTM/HTML yang sudah terinfeksi tersebut akan langsung mengaktifkan virus tersebut. Anda bisa membayangkan jika virus ini menginjeksi file HTM / HTML pada webserver, hal inilah yang menyebabkan virus ini dapat menyebar dengan cepat. Lihat gambar 10
20131008I_curebeautifulgirls204
 Gambar 10, Kode penanda virus pada header file HTM/HTML 
Cara membersihkan Trojan.JS.Autorun.A

Berikut cara untuk mengatasi Trojan.JA.Autorun.A

1. Matikan proses virus yang aktif di memori. Untuk mematikan proses virus ini anda dapat menggunakan tools Cproces. Silahkan download tools tersebut di link berikut:


Setelah tools tersebut berhasil di download, piih proses dengan nama cscript.exe (lihat gambar 11), lalu klik kanan pada file tersebut dan klik 'Kill Selected Processes'
20131008I_curebeautifulgirls205
Gambar 11, Mematikan proses Trojan.JS.Autorun.A
2. Reparasi registry Windows yang telah diubah oleh virus. Untuk mempercepat perbaikan registry tersebut silahkan salin script di bawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.VBS, Kemudian klik ganda file [REPAIR.VBS].

Dim oWSH: Set oWSH = CreateObject("WScript.Shell")

on error resume Next

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command\","regedit.exe %1"

oWSH.Regwrite "HKEY_CLASSES_ROOT\regfile\shell\open\command\","regedit.exe %1"

oWSH.Regwrite "HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With\","{09799AFB-AD67-11d1-ABCD-00C04FC30936}"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINESoftware\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit", "Userinit.exe,"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command\","C:\windows\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"

oWSH.Regwrite "HKEY_CLASSES_ROOT\inffile\shell\Install\command\","C:\windows\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Autoruns.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\reg.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regAlyzer.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR")

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden",1, "REG_DWORD"

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden",1, "REG_DWORD"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue",1,"REG_DWORD"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue",0,"REG_DWORD"

3. Hapus file file induk virus yang berada di direktori berikut:
  • %System%\drivers\annie.sys (%system% menunjukan lokasi yang berbeda-beda, contohnya C:\Windows\System32\Drivers\annie.sys)
  • %System%\annie.ani (%System% menunjukan lokasi yang berbeda-beda, contoh nya C:\Windows\System32\annie.ani)
  • beautiful_girl_part_1.lnk (semua drive)
  • beautiful_girl_part_2.lnk (semua drive)
  • beautiful_girl_part_3.lnk (semua drive)
  • beautiful_girl_part_4.lnk (semua drive)
  • beautiful_girl_part_5.lnk (semua drive)
  • autorun.inf (semua drive)
  • annie.ani (semua drive)
4. Agar tidak terjadi kesalahan pada saat menghapus file induk virus tersebut sebaiknya tampilan file yang tersembunyi terlebih dahulu dengan cara: (lihat gambar 12)
  • Buka [Windows Explorer]
  • Klik menu [Tools]
  • Klik [Folder Options]
  • Klik tabulasi [View]
  • Pada kolom [Advanced settings]
  • Checklist opsi 'Show hidden files and folders'
  • Uncheck opsi 'Hide extension for known file types' dan 'Hide protected operating system files (Recommended)'
20131008I_curebeautifulgirls206
Gambar 12, Folder Options untuk menampilkan ekstensi file dan file yang tersembunyi 
  • Kemudian klik tombol [OK]
4. Hapus file duplikat virus yang mempunyai ciri-ciri
  • Mempunyai nama file yang sama dengan nama file yang di sembunyikan
  • Mempunyai ekstensi file *.JSE (JavaScript Encode)
  • Mempunyai ukuran 9 KB
Agar tidak terjadi kesalahan dalam menghapus file duplikat virus tersebut sebaiknya tampilan ekstensi file terlebih dahulu dengan cara:
  • Buka [Windows Explorer]
  • Klik menu [Tools]
  • Klik [Folder Options]
  • Klik tabulasi [View]
  • Pada kolom [Advanced settings], uncheck opsi 'Hide extension for known file types' kemudian klik tombol [OK] (lihat gambar 12)
Untuk mempermudah proses penghapusan, silahkan gunakan tools Search Windows dengan format pencarian seperti terlihat pada gambar 13. Kemudian hapus file dengan ciri-ciri yang sudah disebutkan di atas.
20131008I_curebeautifulgirls207
Gambar 13, Mencari dan menghapus file duplikat virus 
5. Tampilkan file yang disembunyian oleh virus dengan cara: (lihat gambar 14)
  • Klik menu [Start]
  • Klik [RUN]
  • Pada dialog box RUN, ketik CMD kemudian klik tombol [OK]
  • Kemudian akan muncul layar Command Prompt.
  • Pindahkan kursor ke lokasi root Drive dengan menggunakan perintah CD\ kemudian klik tombol [Enter].
  • Lalu pindahkan kursor ke lokasi yang akan di periksa dengan menggunakan format perintah CD %DriveFolder% (%DriveFolder% adalah lokasi Drive atau Folder yang akan diperiksa) kemudian klik tombol [Enter].
  • Untuk menampilkan file yang disembunyikan (semua file ) ketik perintah :
ATTRIB -s -h -r /s /d kemudian klik tombol [Enter]
20131008I_curebeautifulgirls208
Gambar 14, Menampilkan file yang tersembunyi (semua file) 
  • Untuk menampilkan file yang disembunyikan (berdasarkan ekstensi tertentu) ketik perintah ATTRIB -s -h -r *.doc /s /d kemudian klik tombol [Enter]
Catatan : *.doc ganti dengan ekstensi *.rtf atau *.docx

6. Untuk pembersihan optimal, silahkan scan menggunakan Norman Security Suite atau G Data Antivirus. Untuk mendapatkan antivirus G Data silahkan kunjungi http://www.virusicu.com/store/antivirus.php untuk G Data Antivirus atau http://www.virusicu.com/store/totalprotection.php untuk G Data total Protection.
Salam,


A.J Tau
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: