Alice from Zombieland

18 November 2013
Alice from Zombieland
Selain virus lokal Annie yang banyak memakan korban, tahun 2013 juga ditandai dengan penyebaran virus Alice yang terdeteksi oleh G Data Antivirus sebagai Generic.ScriptWorm.8730EFFC (lihat gambar 1) yang membuat sakit kepala. Tidak diketahui apa alasan pembaut virus ini memilih nama Alice, apakah Alice yang dimaksud adalah Alice yang imut-imut dari Alice from Wonderland atau Alice yang galak, pembasmi Zombie dari Resident Evil. Walaupun pada dasarnya memiliki payload yang mirip, namun banyak aksi yang dilakukan oleh Alice berbeda dengan yang di lakukan Annie. Salah satu yang mencolok adalah Alice tidak membuat shorcut sebagai sarana penyebarannya.
20131118I_aliceinzombieland01
Gambar 1, G Data mendeteksi Alice sebagai Generic.ScriptWorm.8730EFFC
Informasi File induk

Virus ini dibuat dengan menggunakan program bahasa VBScript dengan ukuran 1 kb lebih kecil dibandingkan saudara jauhnya (annie.sys) yakni sekitar 8 kb dan untuk mempersulit analisa, ia akan mengenkripsi file tersebut.
Berikut ciri-ciri file virus Alice (lihat gambar 2)
  •     Mempunyai ekstensi file *.VBE (VBScript Encoded Script File)
  •     Mempunyai ukuran 8 KB
  •     Mempunyai icon VBScript
20131118I_aliceinzombieland02
Gambar 2, file virus Alice (Generic.ScriptWorm.8730EFFC)
Pada saat file yang mengandung virus tersebut di jalankan, ia akan langsung mengaktifkan diri dengan membuat beberapa file induk yang akan di jalankan secara otomatis setiap kali komputer dinyalakan:
  • %System%\drivers\alice.sys (%system% menunjukan lokasi drive yang berbeda-beda, contohnya C:\Windows\System32\Drivers\alice.sys)
Autorun Registry Windows

Untuk memastikan agar virus ini dapat aktif secara otomatis pada saat user menyalakan komputer, virus ini akan membuat string pada registry editor berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe //e:vbscript.encode C:\WINDOWS\system32\drivers\alice.sys

Blok Fungsi Windows dan Tools Security

Sama seperti yang di lakukan oleh Annie, untuk memperlancar aksinya Alice juga akan akan melakukan blok terhadap beberapa fungsi windows seperti :
  •     Registry Editor
  •     Task Manager
  •     File Assosiasi
  •     System Restore
  •     Tidak dapat menampilkan ekstensi file
  •     Tidak dapat menampilkan file yang tersembunyi (hidden)
  •     Folder Options
  •     Run
  •     Search / Find
  •     Menghilangkan option MERGE pada klik kanan registry (bertipe .REG)
  •     Menghilangkan opsi [Install] pada file INF.
Alice melakukan hal tersebut dengan membuat string pada registry berikut :
  • Disable Folder Options (lihat gambar 3)
  • Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  • Value : NoFolderOptions
  • Data : 0x00000001
20131118I_aliceinzombieland03
Gambar 3, Alice akan menyembunyikan Folder Options
  • Disable Run
  • Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  • Value : NoRun
  • Data : 0x00000001
  • Disable searh/find
  • Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  • Value : NoFind
  • Data : 0x00000001
  • Disable Registry Editor (lihat gambar 4)
  • Key : HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • Value: DisableRegistryTools
  • Data: 0x00000001
20131118I_aliceinzombieland04
Gambar 4, Disable Task Editor
  • Disable Task Manager (lihat gambar 5)
  • Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • Value: DisableTaskMgr
  • Data: 0x00000001
20131118I_aliceinzombieland05
Gambar 5, Task Manager tidak bisa di klik (jadi abu2)
  • Disable file assosiasi
  • Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  • Value: NoFileAssociate
  • Data: 0x00000001
  • Disable CMD (lihat gambar 6)
  • Key : HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
  • Value: DisableCMD
  • Data : 2
20131118I_aliceinzombieland06
Gambar 6, Disable CMD
  • Disable System Restore
  • Key: HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
  • Value: DisableConfig
  • Value: DisableSR
  • Data: 0x00000001
  • Tidak dapat menampilkan file yang tersembunyi
  • Key:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
  • Value: UncheckedValue
  • Data: 0x00000001
  • Tidak dapat menampilkan ekstensi file
  • Key:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
  • Value: UncheckedValue
  • Data: 0x00000001
  • Tidak dapat menampilkan menu “Open With” dengan menghapus key berikut : (lihat gambar 7)
  • HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
20131118I_aliceinzombieland07
Gambar7, Alice akan menyembunyikan menu Open With
  • Menghilangkan pilihan MERGE pada file yang mempunyai ekstensi .REG dengan menghapus key Open (lihat gambar 8)
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\Open
20131118I_aliceinzombieland08
Gambar 8, Alice akan menyembunyikan menu Merge
  • Menghilangkan pilihan Install pada file yang mempunyai ekstensi .INF dengan menghapus key Install (lihat gambar 9)
  • HKEY_CLASSES_ROOT\inffile\Shell\Install
20131118I_aliceinzombieland09
Gambar 9, Alice akan menyembunyikan menu Install
Metode Penyebaran

Untuk menyebarkan dirinya Alice ini akan memanfaatkan celah autorun Windows dengan membuat file autorun.inf serta file induk alice.alc (file ini akan disembunyikan) di setiap drive termasuk removale media/USB Flash, sehingga virus ini dapat langsung aktif secara otomatis pada saat user mengakses Drive.

File autorun.inf ini berisi perintah untuk menjalankan file alice.alc dengan menggunakan perintah java sricpt encode berikut : (lihat gambar 10)
20131118I_aliceinzombieland10
Gambar 10, Aksi Alice pada Autorun.inf supaya dijalankan otomatis
Target Infeksi

Salah satu aksi yang memusingkan korbannya adalah Alice adalah akan menyembunyikan file yang mempunyai ekstensi *.DOC/*.RTF/*.DOCX lalu menggantinya dengan file duplikat yang mempunyai nama yang sama dengan nama file yang disembunyikan. Salah satu tujuan dari aksi ini adalah supaya ia disebarkan oleh korbannya ke komputer lain jika file yang diganti ini disharingkan ke komputer lain, baik melalui UFD maupun jaringan.

Adapun ciri file duplikat Alice adalah :
  •     Mempunyai nama file yang sama dengan nama file yang di sembunyikan
  •     Mempunyai ekstensi file *.VBE (VBScript Encoded Script File), ekstensi ini akan disembunyikan
  •     Mempunyai ukuran 8 KB
Untuk mengelabui user, virus ini akan menyembunyikan ekstensi file (VBE) dan merubah type dan icon file sehingga menyerpai file MS.Word. Untuk melakukan hal tersebut ia akan merubah registry berkut : (lihat gambar 11 dan 12)

  • HKEY_CLASSES_ROOT\VBEFile
  • Default = Microsoft Word Document
  • FriendlyTypeName = Microsoft Word Document
  • NeverShowExt = “”
  • HKEY_CLASSES_ROOT\VBEFile\DefaultIcon
    • Default = C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe,1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBEFile
  • Default = Microsoft Word Document
  • FriendlyTypeName = Microsoft Word Document
  • NeverShowExt = “”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBEFile\DefaultIcon
  • Default = C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe,1
20131118I_aliceinzombieland11
Gambar 11, Penampakan sebenarnya dari file duplikat virus
20131118I_aliceinzombieland12
Gambar 12, Penampakan file duplikat virus pada komputer yang terinfeksi (icon dan type file sama)
Injeksi File HTM/HTML

Anda tentu masih ingat dengan kasus virus Ramnit yang akan menginjeksi file HTM/HTML untuk menyebarkan dirinya. Hal ini juga akan di lakukan oleh Alice dengan menambahkan kode virus pada footer file html sehingga jika user menjalankan file HTM/HTML yang sudah terinfeksi tersebut akan langsung mengaktifkan virus tersebut. Anda bisa membayangkan jika virus ini menginjeksi file HTM/HTML pada webserver, inilah salah satu sebab yang menyebabkan virus ini dapat menyebar dengan cepat. (lihat gambar 13)
20131118I_aliceinzombieland13
20131118I_aliceinzombieland13
Gambar 13, code VBScript pada footer file HTM/HTML
Setelah melakukan injeksi terhadap file HTM/HTML, ia akan merubah ekstensi file menjadi .HTA (HTML Application) hal ini sebagai penanda agar virus tidak kembali menginfeksi file yang sama. Sebagai contoh, jika user menjalankan file HTM/HTML yang sudah di injeksi akan muncul pesan error seperti terlihat pada gambar 14. 
20131118I_aliceinzombieland14
Gambar14, Pesan error yang muncul jika file HTML dijalankan pada sistem yang sudah terinfeksi
20131118I_aliceinzombieland16
20131118I_aliceinzombieland15
Gambar 15, Perbedaan tanpilan icon HTML/HTM dengan file HTA (lihat bagian yang di lingkari)
Alice akan meninggalkan jejak dengan merubah nama pemilik Windows dengan nama ALICE dengan merubah lokasi registry berikut
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion (lihat gambar 16)
  • RegisteredOwner = ALICE
20131118I_aliceinzombieland17
Gambar 16, Generic.ScriptWorm.8730EFFC merubah nama pemilik Windows menjadi ALICE
Cara membersihkan Alice (Generic.ScriptWorm.8730EFFC )

Berikut cara untuk mengatasi Generic.ScriptWorm.8730EFFC

1. Matikan proses virus yang aktif di memori. Untuk mematikan proses virus ini anda dapat menggunakan tools Cproces. Silahkan download tools tersebut di link berikut:


Setelah tools tersebut berhasil di download, piih proses dengan nama wscript.exe (lihat gambar 17), lalu klik kanan pada file tersebut dan klik “Kill Selected Processes”
20131118I_aliceinzombieland18
Gambar 17, Mematikan proses Generic.ScriptWorm.8730EFFC
2. Repair registry Windows yang telah diubah oleh virus. Untuk mempercepat perbaikan registry tersebut silahkan salin script di bawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.VBS, Kemudian klik ganda file [REPAIR.VBS].

Dim oWSH: Set oWSH = CreateObject("WScript.Shell")

on error resume Next

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command\","regedit.exe %1"

oWSH.Regwrite "HKEY_CLASSES_ROOT\regfile\shell\open\command\","regedit.exe %1"

oWSH.Regwrite "HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With\","{09799AFB-AD67-11d1-ABCD-00C04FC30936}"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINESoftware\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit", "Userinit.exe,"

oWSH.Regwrite " HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner", "Owner,"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command\","C:\windows\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"

oWSH.Regwrite "HKEY_CLASSES_ROOT\inffile\shell\Install\command\","C:\windows\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"

oWSH.Regwrite " HKEY_CLASSES_ROOT\VBEFile\","VBCsript Encoded File”

oWSH.Regwrite " HKEY_CLASSES_ROOT\VBEFile\DefaultIcon\"," %SystemRoot%\System32\WScript.exe,2”

oWSH.Regwrite " HKEY_CLASSES_ROOT\RegFile\shell\edit\command\","”%SystemRoot%\system32\notepad.exe" %1"

oWSH.Regwrite " HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\","Mer&ge"

oWSH.Regwrite HKEY_CLASSES_ROOT\inffile\shell\Install\","&Install"

oWSH.Regwrite " HKEY_CLASSES_ROOT\VBEFile\DefaultIcon\"," %SystemRoot%\System32\WScript.exe,2"

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR")

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden",1, "REG_DWORD"

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden",1, "REG_DWORD"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue",1,"REG_DWORD"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue",0,"REG_DWORD"

3. Hapus file file induk virus yang berada di direktori berikut:
  • %System%\drivers\alice.sys (%system% menunjukan lokasi yang berbeda-beda, contohnya C:\Windows\System32\Drivers\annie.sys)
  • autorun.inf (semua drive)
  • alice.acl (semua drive)
Agar tidak terjadi kesalahan pada saat menghapus file induk virus tersebut sebaiknya tampilan file yang tersembunyi terlebih dahulu dengan cara: (lihat gambar 18)
  • Buka [Windows Explorer]
  • Klik menu [Tools]
  • Klik [Folder Options]
  • Klik tabulasi [View]
  • Pada kolom [Advanced settings]
  • Checklist opsi “Show hidden files and folders”
  • Uncheck opsi “Hide extension for known file types” dan “Hide protected operating system files (Recommended)”
20131118I_aliceinzombieland19
Gambar18, Menampilkan file tersembunyi pada Folder Options
  • Kemudian klik tombol [OK]
4. Hapus file duplikat virus yang mempunyai ciri-ciri
  • Mempunyai nama file yang sama dengan nama file yang di sembunyikan
  • Mempunyai ekstensi file *.VBE (VBScript Encoded)
  • Mempunyai ukuran 8 KB
Agar tidak terjadi kesalahan dalam menghapus file duplikat virus tersebut sebaiknya tampilan ekstensi file terlebih dahulu dengan cara:
  • Buka [Windows Explorer]
  • Klik menu [Tools]
  • Klik [Folder Options]
  • Klik tabulasi [View]
  • Pada kolom [Advanced settings], uncheck opsi “Hide extension for known file types” kemudian klik tombol [OK] (lihat gambar18)
Untuk mempermudah proses penghapusan, silahkan gunakan tools Search Windows dengan format pencarian seperti terlihat pada gambar 19. Kemudian hapus file dengan ciri-ciri yang sudah disebutkan di atas.
20131118I_aliceinzombieland20
Gambar 19, Mencari dan menghapus file duplikat virus
5. Tampilkan file yang disembunyian oleh virus dengan cara:
  • Klik menu [Start]
  • Klik [RUN]
  • Pada dialog box RUN, ketik CMD kemudian klik tombol [OK]
  • Kemudian akan muncul layar Command Prompt.
  • Pindahkan kursor ke lokasi root Drive dengan menggunakan perintah CD\ kemudian klik tombol [Enter].
  • Lalu pindahkan kursor ke lokasi yang akan di periksa dengan menggunakan format perintah CD %DriveFolder% (%DriveFolder% adalah lokasi Drive atau Folder yang akan diperiksa) kemudian klik tombol [Enter].
  • Untuk menampilkan file yang disembunyikan (semua file ) ketik perintah : (lihat gambar 20)
ATTRIB -s -h -r /s /d kemudian klik tombol [Enter]
20131118I_aliceinzombieland21
Gambar 20, Menampilkan file yang tersembunyi (semua file)
6. Untuk pembersihan optimal dan mencegah infeksi ulang, silahkan scan menggunakan antivirus dengan update terbaru yang mampu mendeteksi virus ini.
Salam,

A.J Tau
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: