Rabu, 03 November 2010

Junk Virus pada Flashdisk

Muncul banyak file aplikasi pada flashdisk anda?? Berarti computer anda sudah terkena virus “W32/Rontokbro.GOL”. Virus ini juga mencatat seluruh alamat email si target. Virus ini merupakan jenis virus local yang pada umumnya dibuat dengan program Visual Basic (VB). Virus ini menjadi inspirasi para pembuat virus local.
Walaupun namanya mulai surut ia tetap menjadi inspirasi tersendiri bagi para pembuat virus lokal saat ini, walaupun virus lokal saat ini mempunyai daya serang yang berbeda-beda tetapi ada sebagian taktik atau ciri khas yang biasa digunakan oleh virus Rontokbro seperti  melumpuhkan fungsi Windows, membuat file duplikat sampai aktif pada mode “safe mode” atau “safe mode with command prompt”.

File induk W32/Rontokbro.GOL
Pada saat user menjalankan file yang sudah terinfeksi maka akan menampilkan jendela Windows Explorer kemudian akan membuat beberapa file induk yang akan di aktifkan secara otomatis pada saat komputer dinyalakan. Agar tidak dicurigai oleh user untuk setiap file induk yang dbuat akan mempunyai nama yang sama dengan nama file system Windows seperti [smss.exe, winlogon.exe, services.msc atau lsass.exe] tetapi jika anda jeli maka dengan mudah akan diketahui bahwa sebenarnya file tersebut merupakan file virus hanya dengan melihat lokasi penyimpanan file tersebut, berikut beberapa file yang akan dibuat oleh W32/Rontokbro.GOL

File induk W32/Rontokbro.GOL
Pada saat user menjalankan file yang sudah terinfeksi maka akan menampilkan jendela Windows Explorer kemudian akan membuat beberapa file induk yang akan di aktifkan secara otomatis pada saat komputer dinyalakan. Agar tidak dicurigai oleh user untuk setiap file induk yang dbuat akan mempunyai nama yang sama dengan nama file system Windows seperti [smss.exe, winlogon.exe, services.msc atau lsass.exe] tetapi jika anda jeli maka dengan mudah akan diketahui bahwa sebenarnya file tersebut merupakan file virus hanya dengan melihat lokasi penyimpanan file tersebut, berikut beberapa file yang akan dibuat oleh W32/Rontokbro.GOL (lihat gambar 1)

 Gambar 1, W32/Rontokbro.GOL membuka Windows Explorer pada saat menjalankan file virus

  • C:\Documents and settings\%user%\Local Settings\Application Data
-          Winlogon.exe
-          services.exe
-          lsass.exe
-          smss.exe
-          inetinfo.exe
-          Diah84.Yitn.oss.txt
-          csrss.exe
  • C:\Windows\Inf\Yitnoss.exe
  • C:\Documents and settings\%user%\Start Menu\Programs\Startup\YITNO.pif
  • C:\Documents and Settings\%user%\Templates\B.Yitnoss.com

Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat beberapa string pada registry berikut

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-          X84-YitnoDiah = "C:\Documents and Settings\%user%\Local Settings\Application Data\smss.exe"

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
-          Diah-YitnosX84 = "C:\WINDOWS\INF\Yitnoss.exe"

Melumpuhkan fungsi Keamanan pada Windows
Untuk mempertahankan dirinya, ia akan melumpuhkan beberapa fungsi Windows seperti Task Manager, Regedit atau Folder Options dengan tujuan untuk mempersulit user melumpuhkan dirinya, selain itu komputer akan restart secara otomatis setiap kali user menjalankan tools, file atau folder yang mempunyai nama tertentu (biasanya berhubungan dengan security). Berikut beberapa string yang akan dibuat oleh virus untuk melumpuhkan beberapa fungsi Windows tersebut:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-          NoFolderOptions

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-          DisableMD
-          DisableRegistryTools

Aksi lain yang digunakan oleh virus ini adalah merubah isi dari file Autoexec.bat dengan menambahkan string PAUSE (lihat gambar 2)

Gambar 2, W32/Rontokbro.GOL merubah file Autoexec.bat

Media penyebaran
Sebagai upaya untuk menyebarkan dirinya, ia akan memanfaatkan removable disk termasuk Flash Disk dengan membuat sebuah file dengan nama DATA %user%.exe (%user% ini merupakan nama account user saat login Windows) serta membuat file duplikat di setiap folder dan subfolder dengan nama yang sama dengan folder/subfolder tersebut.

Cara mengatasi W32/Rontokbro.GOL

1.    Disable "System Restore" (Windows XP/Vista/Windows 7) selama proses pembersihan dilakukan
2.    Matikan  proses yang aktif di memory, Norman Security Suite Pro yang dilengkapi dengan fitur Advanced System Reporter yang dirancang khusus untuk mengetahui dan monitoring proses yang aktif di memori serta mempunyai kemampuan untuk mematikan proses virus sekaligus menghapus registry startup dari virus tersebut menjadi salah satu tools alternatif yang dapat digunakan untuk mengganti tools Task Manager  yang diblok oleh W32/Rontokbro.GOL.

Berikut langkah untuk mematikan proses virus yang aktif di memori dengan menggunakan Advanced System Reporter (lihat gambar 3)

-          Pada aplikasi Advanced System Reporter, klik tabulasi “Other”
-          Klik kanan pada file virus [lsass.exe, services.exe dan winlogon.exe atau file lain] yang berada di direktori “C:\Documents and settings\%user%\Local Settings\Application Data”
-          Klik “Terminate Process”
-          Klik “Yes”

Gambar 3, Norman Advance System Reporter

            Untuk menghapus registry autostart yang dibuat oleh virus, lakukan langkah berikut

-          Klik tabulasi “Autostart”
-          Klik kanan file virus [smss.exe dan Yitnoss.exe] atau file lain yang berada didirektori “C:\Documents and settings\%user%\Local Settings\Application Data”
-          Klik “Terminate Process” jika proses tersebut masih aktif
-          Kemudian klik “Remove Autorun” untuk menghapus registry autostart yang telah dibuat oleh virus (lihat gambar 4)

 Gambar 4, Gunakan Advance System Reporter untuk menghapus proses virus

3.    Pulihkan registri yang sudah diubah oleh virus, untuk mempercepat proses pemulihan silahkan salin script berikut pada program notepad kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara [Klik kanan REPAIR.INF | Install]

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, X84-YitnoDiah
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Diah-YitnosX84
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

4.    Hapus file induk dan file duplikat yang dibuat oleh virus dengan menggunakan fungsi Search Windows  di semua Drive termasuk Removable Disk [Flash Disk] (lihat gambar 5)


Gambar 5, Gunakan fasilitas Search Windows untuk mencari dan menghapus file virus secara manual jika antivirus anda tidak mengenali virus ini.

Kemudian hapus file berikut:
  • C:\Documents and settings\%user%\Local Settings\Application Data
-          Winlogon.exe
-          services.exe
-          lsass.exe
-          smss.exe
-          inetinfo.exe
-          Diah84.Yitn.oss.txt
-          csrss.exe
  • C:\Windows\Inf\Yitnoss.exe
  • C:\Documents and settings\%user%\Start Menu\Programs\Startup\YITNO.pif
  • C:\Documents and Settings\%user%\Templates\B.Yitnoss.com

Hapus juga file/folder berikut:

C:\Documents and settings\%user%\Local Settings\Application Data
-          84-DiahLove-Yitn-oss
-          Yitn.oss-3-27
-          Yitn.oss-3-31
-          Diah84.Yitn.oss.txt

5.    Untuk pebersihan optimal silahkan install dan scan dengan antivirus yang up-to-date,  anda juga dapat menggunakan tools Norman Malware Cleaner, silahkan download di alamat berikut:
           Http://www.norman.com/support/support_tools/58732/en



sumber:
http://www.vaksin.com/
http://www.vaksin.com/2010/0910/rontokbro/rontokbro.html

Diposting oleh di
Label:

6 komentar:

  1. Unknown3 November 2010 pukul 08.21

    wah, nih virus pasti ngerepotin banget buat orang yg masi awam tentang komputer terlebih virus, soalnya ampe ga bisa buka task manager, regedit, dll

    BalasHapus
  2. rudi saputra3 November 2010 pukul 19.37

    saya juga sering kena nih

    BalasHapus
  3. Unknown3 November 2010 pukul 22.55

    saya juga pernah kena virus ini. pertama di komputer saya jadi banyak file aplikasinya (*.exe) lama kelamaan malah ngerusak sistem operasinya. jadi harus instal ulang deh.

    BalasHapus
  4. zahra athira s21 Maret 2013 pukul 06.01

    Datanya kehapus tidak? Mohon info :)

    BalasHapus
  5. Alvin Steviro16 April 2013 pukul 05.27

    Thanks a lot!

    BalasHapus
  6. Unknown31 Januari 2016 pukul 02.54

    ngrepotin banget nih virus... 50% aplikasi jd ga berfungsi

    BalasHapus

Langganan: Posting Komentar (Atom)