Zusy Aka Backdoor.Generic.792814

13 Oktober 2014
Zusy aka Backdoor.Generic.792814
Trojan pencuri data eksploitasi autorun dan pemakan harddisk
Jaringan (LAN) memang memberikan kemudahan bagi para pengguna komputer untuk berbagi informasi. Dengan LAN semua informasi dapat di akses dengan begitu cepat dalam hitungan detik, tetapi di samping kemudahan yang diberikan ada sisi lain yang justru memberikan kerugian. Dengan alasan untuk mempermudah pekerjaan, user sering melakukan pertukaran data antar sesama rekan kerja dalam jaringan dengan melakukan share pada direktori/folder mereka, sekarang yang menjadi permasalahan utama adalah mode share yang di pakai adalah mode full acces, hal ini lah yang menjadi penyebab utama mudahnya penyebaran virus dalam jaringan. Sebaiknya jika melakukan sharing terhadap suatu folder, share folder yang dibutuhkan saja dan sangat di sarankan tidak melakukan share pada root drive [c:\ atau d:\] serta gunakan read only atau jika harus menggunakan full access sebaiknya batasi user yang dapat mengakses folder tersebut. Salah satu malware yang patut diwaspadai dan menyebar dengan memanfaatkan file sharing adalah Trojan Zusy yang menyebarkan diri dengan membuat kamuflase dalam bentuk file yang terkompresi sehingga susah di deteksi di jaringan. Bagi anda yang sering melakukan transaksi internet banking dan belanja online namun tidak memiliki perlindungan Bankguard, harap ekstra hati-hati karena Trojan ini memiliki tujuan utama mendapatkan keuntungan finansial dari intrusi data internet banking dan e-commerce dan sangat berpotensi mengakibatkan kerugian finansial. (lihat gambar 1)
20141003I_Zusytrojan23
Gambar 1, G Data Bankguard melindungi dari > 99 % ancaman trojan internet banking dan e-commerce http://www.virusicu.com/product/bankguard.php
Selain itu, aksi Zusy menyebarkan dirinya secara tidak langsung menyebabkan penuhnya kapasitas harddisk khususnya yang melakukan folder sharing full. Meskipun ukuran filenya relatif kecil, Vaksincom menemui banyak kasus dimana karena aksi mengkopikan diri secara masif pada openshare dan folder pada komputer yang di infeksinya mengakibatkan penuhnya kapasitas harddisk atau folder open share.

Zusy dibuat dengan menggunakan program bahasa C++ mempunyai icon dan ukuran file yang berbeda-beda, sehingga mempersulit pada saat proses pembersihan.
20141003I_Zusytrojan11
Gambar 2, Contoh file induk virus Backdoor.Generic.792814
Dengan update terbaru, G Data mendeteksi virus ini dengan nama Backdoor.Generic.792814 sedangkan untuk beberapa file pendukung lain nya di kenali dengan nama Win32.worm.SkypeBot dan Gen:Variant.Zusy10696 (lihat gambar 3)
20141003I_Zusytrojan06
 Gambar 3, Hasil deteksi antivirus G Data
Sebagai media penyebaran, virus ini akan memanfaatkan removable storage media (seperti flash disk/eksternal HDD/memory card) dengan membuat file duplikat di setiap folder/sub folder. File yang dibuat akan mempunyai nama yang sama dengan nama folder/sub folder tersebut serta mempunyai icon dan ekstensi yang berbeda-beda (*.pif, *.bat, *.scr, *.exe). Agar virus ini dapat aktif secara otomatis pada saat user mengakses drive/removable media, ia akan memanfaatkan fitur autorun Windows dengan membuat file autorun.inf dan file pendukung (nama file acak) dengan ekstensi .bat. File autorun.inf ini berisi script untuk menjalankan file virus dengan ekstensi .bat tersebut.

File induk Zusy

Pada saat virus tersebut aktif, ia akan membuat beberapa file induk di lokasi yang berbeda-beda yakni:

  • Windows XP [C:\Documents and Settings\%user%\Local Settings\Temp\%nama file acak%.exe] atau Windows Vista/7 [C:\Users\%user%\AppData\Local\Temp\%nama file acak%.exe]
  • Windows XP [C:\Documents and Settings\%user%\Local Settings\Temp\%nama file acak%.dll] atau Windows Vista/7 [C:\Users\%user%\AppData\Local\Temp\%nama file acak%.dll]
  • Windows XP [C:\Documents and Settings\%user%\Local Settings\Temp\%nama file acak%] atau Windows Vista/7 [C:\Users\%user%\AppData\Local\Temp\%nama file acak%]
  • %drive%:\%nama file acak%.bat
  • %drive%\autorun.inf
  • C:\Windows\system32\%nama file acak%.exe
  • C:\Windows\system32\%nama file acak%.exe.xin
  • C:\Windows\system32\%nama file acak%.exe.dqv


Registri Windows

Untuk memastikan virus tersebut dapat berjalan otomatis pada saat komputer di nyalakan, virus ini akan membuat registry berikut dengan nama string dan nama file acak seperti contoh di bawah ini :

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • nrypqekr = C:\DOCUME~1\%user%\LOCALS~1\Temp\avkcwkjerjnlhdgbqic.exe
  • szjdhyhrcjz = njzsnccymfkjgdhdtmhw.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • nrypqekr = czqkgwxujdjjhfkhysoef.exe
  • pzmjqkwjxhawbl= C:\DOCUME~1\%user%\LOCALS~1\Temp\avkcwkjerjnlhdgbqic.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  • ejrjlahpy = czqkgwxujdjjhfkhysoef.exe
  • oxjflepboxpko= C:\DOCUME~1\%user% \LOCALS~1\Temp\avkcwkjerjnlhdgbqic.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • pxidiakvhpga = czqkgwxujdjjhfkhysoef.exe
  • ejrjlahpy = C:\DOCUME~1\%user%\LOCALS~1\Temp\avkcwkjerjnlhdgbqic.exe

Aktif saat user membuka aplikasi Windows Explorer

Semakin sering anda membuka aplikasi Windows Explorer akan semakin sering anda akan mengaktifkan virus tersebut, karena virus ini akan aktif secara otomatis pada saat user mebuka aplikasi Windows Explorer. Untuk melakukan hal tersebut, ia akan membuat string pada registri berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
  • xdmfiygpzf = gzmcugdwhxzvpjkdq.exe
  • ybhxxkp = C:\DOCUME~1\%user%\LOCALS~1\Temp\gzmcugdwhxzvpjkdq.exe

Blok tools security

Untuk mempersulit proses pembersihan virus ini akan melakukan blok terhadap tools security tertentu (termasuk antivirus) pada saat tools tersebut di jalankan. Virus ini juga akan blok utility Windows seperti regedit/msconfig serta akan menutup jendela windows explorer pada saat user mengakses folder yang mempunyai nama tertentu seperti virus, Kill, regedit dll.

Berikut registry yang akan di ubah oleh virus untuk blok utility Regedit Windows

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • DisableRegistryTools
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
  • DisableRegistryTools
20141003I_Zusytrojan04
 Gambar 4, Pesan yang muncul pada saat mengakses REGEDIT
Menyembunyikan file induk virus
Untuk mempersulit proses pembersihan dan penghapusan, ia akan menyembunyikan file induk virus terhadap file tersebut. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
  • CheckedValue = 145

Blok akses “safe mode”

Untuk semakin mempersulit proses pembersihan, virus akan blok agar user tidak dapat melakukan booting ke mode “safe mode” dengan menghapus key SafeBoot pada registry berikut:

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\

Media penyebaran

Seperti yang sudah di informasikan sebelumnya, untuk menyebarkan dirinya ia akan memanfaatkan removable storage media seperti flash disk/eksternal hard disk/memory card dengan membuat file file duplikat di setiap folder/sub folder (nama file duplikat akan sama dengan nama folder/sub folder tersebut) dengan ekstensi acak (*.bat/*.exe/*.scr/*.pif). (lihat gambar 5)
20141003I_Zusytrojan21
 Gambar 5, Nama file yang di drop oleh virus
Agar virus ini dapat aktif secara otomatis pada saat user mengakses drive atau Flash disk, ia akan memanfaatkan fitur autorun Windows dengan membuat file autorun.inf dan beberapa file pendukung lain nya dengan ekstensi .bat. File ini akan di sembunyikan agar tidak mudah di hapus oleh user (lihat gambar 5).

File autorun.inf ini berisi script untuk menjalankan file .bat yang berada pada direktori yang sama dengan file autorun.inf tersebut. (lihat gambar 6)
20141003I_Zusytrojan05
 Gambar 6, File script file autorun.inf
Membuat file duplikat

Untuk mempermudah penyebaran, ia juga akan membuat file duplikat di setiap folder/sub folder. File duplikat ini akan mempunyai nama yang sama dengan nama folder/sub folder tersebut dengan ekstensi berbeda-beda (*.bat/*.exe/*.scr/*.pif), agar file duplikat ini tidak di curigai sebagai virus oleh user, virus ini akan menyembunyian ekstensi file tersebut.
20141003I_Zusytrojan02
Gambar 7, File duplikat yang dibuat oleh virus
Menyebar memanfaatkan file sharing/Mapping Drive

Bagi anda yang sering melakukan pertukaran data menggunakan file sharing/mapping drive (yang mempunyai akses full control), harap berhati-hati karena virus ini dapat menyebar dengan cepat dengan membuat file duplikat di setiap folder/sub folder yang di share/mapping tersebut. Agar file virus tersebut tidak di curigai oleh user, file yang mengandung virus tersebut akan di kompres (RAR/ZIP), hal ini akan mengakibatkan ruang penyimpanan hard disk semakin berkurang.
20141003I_Zusytrojan16
 Gambar 8, File duplikat virus
20141003I_Zusytrojan18
Gambar 9, Isi file Gerry.rar
Cara membersihkan virus Backdoor.Generic.792814 secara manual

  • Matikan proses virus yang aktif di memory, hal ini di maksudkan untuk mempermudah proses penghapusan.


Untuk menghapus proses virus, gunakan tools pengganti task manager Windows seperti Cprocess / Security Task Manager atau tools lain yang tidak di blok oleh virus.

Link download Security Task Manager;

http://www.neuber.com/download/SecurityTaskManager_Setup.exe

Kemudian pilih proses virus seperti terlihat pada gambar di bawah ini (lihat gambar7). Pilih proses virus yang berlokasi di direktori [C:\Document and Settings\%user%\Local Settings\Temp] atau [C:\User\%Users%\AppData\] dan [C:\Windows\System32] dengan nama file acak dan unik. Lalu klik kanan pada file tersebut dan klik [Remove]
20141003I_Zusytrojan14
 Gambar 10, Mematikan proses virus
Lalu akan muncul layar [remove], pilih opsi [Move file to quarantine]. Kemudian klik tombol [Ok]
20141003I_Zusytrojan08
 Gambar 11, Mematikan proses virus
  • Fix registry yang sudah di ubah oleh virus. Untuk mempercepat proses penghapusan registry anda dapat menggunakan tools seperti HijackThis.

Link download tools HijackThis : http://www.bleepingcomputer.com/download/hijackthis/dl/90/

Jalankan tools HijackThis kemudian pilih string seperti terlihat pada gambar 12 di bawah ini. Kemudian klik [Fix checked]
20141003I_Zusytrojan17
 Gambar 12, Menghapus registri windows yang di ubah oleh virus
Agar komputer dapat melakukan booting “safe mode”, download dan jalankan fix registry (klik2x file .reg tersebut) berikut:

Windows XP :

http://vaksin.com/2014/1014/zusy/Fix%20SafeBootXP.reg

Windows Vista/7 :

http://vaksin.com/2014/1014/zusy/FixSafeBootVista&7.reg


  • Hapus file induk yang di buat oleh virus. Sebelum menghapus file virus, sebaiknya tampilkan file yang disembunyikan dengan cara:
  • Untuk Windows XP
  • Buka [Windows Explorer]
  • Klik menu [Tools] kemudian klik [Folder Options]
  • Kemudian akan muncul layar “Folder options”
  • Klik tabulasi [View]
  • Kemudian centang opsi [Show hidden files and folders]
  • Kemudian hilangkan tanda centang pada opsi [Hide protected operating system files (Recommended)]
20141003I_Zusytrojan09
 Gambar 13, Folder Option [Windows XP]
  • Klik tombol [Apply], lalu klik tombol [OK]
  • Untuk Windows Vista/7
  • Buka [Windows Explorer]
  • Klik [Organize]
  • Klik [Folder and search options]
20141003I_Zusytrojan16
 Gambar 14, Folder and search options (Windows Vista/7)
  • Kemudian akan muncul layar “Folder Options” 
20141003I_Zusytrojan20
Gambar 15, Folder Option-View (Windows Vista/7)
  • Klik tabulasi [View], kemudian pilih opsi [Show hidden files, folders and drives] dan hilangkan tanda centang pada opsi [Hide protected operating system files (Recommended)]
  • Klik tombol [Apply],  klik tombol [Ok]

Setelah itu, hapus file induk berikut:

  • Windows XP [C:\Documents and Settings\%user%\Local Settings\Temp\%nama file acak%.exe] atau Windows Vista/7 [C:\Users\%user%\AppData\Local\Temp\%nama file acak%.exe].

Contoh file:
[ajmsacp.exe, avkcwkjerjnlhdgbqic.exe, czqkgwxujdjjhfkhysoef.exe, gzmcugdwhxzvpjkdq.exe, njzsnccymfkjgdhdtmhw.exe, pjxohusmypspkfhbpg.exe]

  • Windows XP [C:\Documents and Settings\%user%\Local Settings\Temp\%nama file acak%.dll] atau Windows Vista/7 [C:\Users\%user%\AppData\Local\Temp\%nama file acak%.dll].
  • Windows XP [C:\Documents and Settings\%user%\Local Settings\Temp\%nama file acak%] atau Windows Vista/7 [C:\Users\%user%\AppData\Local\Temp\%nama file acak%]
  • %drive%:\%nama file acak%.bat
  • %drive%\autorun.inf
  • C:\Windows\system32\%nama file acak%.exe (%nama file acak%, menunjukan nama file yang dibuat akan berbeda-beda)


Contoh file
[trjebsusidklkjpnfaxoqo.exe, pjxohusmypspkfhbpg.exe, njzsnccymfkjgdhdtmhw.exe, gzmcugdwhxzvpjkdq.exe, czqkgwxujdjjhfkhysoef.exe, avkcwkjerjnlhdgbqic.exe]

  • C:\Windows\system32\%nama file acak%.exe.xin (%nama file acak%, menunjukan nama file yang dibuat akan berbeda-beda. Contoh: dfbabwceyxinqtdfbabwce.xin)
  • C:\Windows\system32\%nama file acak%.exe.dqv (%nama file acak%, menunjukan nama file yang dibuat akan berbeda-beda. Contoh uhoykqhuzjfvjxsfmwiofsxhdthvqdkug.dqv)

  • Hapus file duplikat di setiap folder/sub folder. Untuk mempercepat proses pencarian dan proses penghapusan file duplikat virus, Anda dapat menggunakan fasilitas pencarian file yang sudah di sediakan oleh Windows dengan format pencarian seperti terlihat pada gambar di bawah ini (lihat gambar 16)
20141003I_Zusytrojan10
 Gambar 16, Pencarian file duplikat pada Windows XP
 Catatan:
  • Untuk ukuran file duplikat yang dibuat oleh virus, biasanya akan mengikuti ukuran file induk virus tersebut.
  • Pada kolom Look in, pilih lokasi drive yang akan di periksa
  • Scan ulang dengan menggunakan antivirus yang up-to-date untuk memastikan komputer benar-benar bersih dari virus.
Vaksincom menyarankan anda untuk melindungi jaringan komputer perusahaan anda dengan program antivirus yang mumpuni seperti G Data Antivirus Enterprise atau G Data Endpoint Protection Enterprise guna mencegah penyebaran malware khususnya melalui open share.

Jika anda mencurigai adanya situs mencurigakan dan berpotensi merugikan banyak orang dan anda ingin berdiskusi atau membantu rekan-rekan supaya tidak menjadi korban, silahkan bergabung ke Group Konsultasi Vaksincom di https://www.facebook.com/groups/880787835284533/ atau email ke info@vaksin.com
Salam,


A. J. Tau
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: