Worm:W32/Smallworm.EVU 30 November 2009

Virus SBY (Susah2 Berbahaya)

LupatuBag1

Soeharto ga di hukum, tomi bebas

n SBY(Susah2Berbahaya)…ga jelas!!!

akan tetapi hanya SBY yang jadi harapan negara ini

……………untuk saat ini lhox……

Solusi :

Untuk Setiap Insan,terutama para pejabat negeri ini

jangan terlalu memikirkan diri sendiri…………

mulailah memikirkan untuk kebersamaan&gotongRoyong

dari yang terdekat Keluarga,Saudara…….n……

tetangga terdekat……

Sorry,Maaf,….Sorry…………….

Kalau ini hanya Opini saya……….

Sekian n thanks

Bagi sebagian pengamat antivirus yang tidak mengikuti perkembangan malware dengan seksama, tentunya tidak mudah mengerti mengapa bisa banyak bermunculan virus-virus yang disebut dengan virus lokal. Bahkan ada yang mengatakan bahwa tidak ada yang namanya virus lokal dengan argumentasi karena bahasa pemrograman yang digunakan adalah bahasa internasional, maka semua virus adalah virus internasional. Kalau definisi tersebut dipakai, maka produk-produk piranti lunak buatan programmer Indonesia seperti Accurate, Zahir atau Pesona Edu adalah produk Internasional … mengapa ? Karena Bahasa Pemrograman yang yang digunakan adalah Bahasa Pemrograman Internasional … Visual Basic, C, Turbo Pascal.

Padahal yang dimaksudkan dengan definisi virus lokal adalah virus yang marak menyebar di suatu wilayah tertentu dibandingkan dengna wilayah lainnya di dunia ini dan penyebabnya adalah beberapa faktor seperti :

*

Cara penyebaran virus yang tidak mengandalkan internet melainkan mengandalkan UFD (USB Flash Disk) sehingga secara alamiah menyebar secara terbatas sesuai dengan kemampuan UFD tersebut “berkelana”.
*

Bahasa pengantar yang digunakan dalam melakukan rekayasa sosial. Contohnya virus Sohanad Vietnam yang menyebar lewat Yahoo Messenger dengan pesan “Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi… http://nhatquanglan 1.0cat**. com yang bisa di lihat di http://www.vaksin.com/2008/0508/sohanad-vietnam/Sohanad-Dloader.html. Adalah sangat “keterlaluan” dan tidak masuk akal kalau virus dengan bahasa yang tidak jelas tersebut bisa menyebar lebih ganas di negara lain daripada di Vietnam.
*

Bahasa pengantar yang digunakan dalam menamai file. Tentunya pengguna komputer di Eropa akan lebih tertarik pada file dengan nama “naked_wife” daripada “istri_tanpa _busana”.

Begitupula jika virus lokal tersebut menampilkan pesan-pesan politik lokal seperti yang dilakukan oleh virus yang terdeteksi oleh Norman Security Suite sebagai Worm:W32/Smallworm.EVU. Worm ini lumayan membuat pusing karena agak sulit dibersihkan dengan beberapa tools yang umum digunakan.

Norman mendeteksi salah satu varian worm ini sebagai W32/Smallworm.EVU (lihat gambar 1).

Gambar 1, Norman mendeteksi worm sebagai W32/Smallworm.EVU

Gejala Virus…

Jika worm sudah aktif (baik sengaja ataupun tidak disengaja), anda akan mengalami gejala sebagai berikut :

*

Membuat file text pada desktop dengan nama “CumaPesan” yang berisi sebagai berikut :

LupatuBag1

Soeharto ga di hukum, tomi bebas

n SBY(Susah2Berbahaya)…ga jelas!!!

akan tetapi hanya SBY yang jadi harapan negara ini

……………untuk saat ini lhox……

Solusi :

Untuk Setiap Insan,terutama para pejabat negeri ini

jangan terlalu memikirkan diri sendiri…………

mulailah memikirkan untuk kebersamaan&gotongRoyong

dari yang terdekat Keluarga,Saudara…….n……

tetangga terdekat……

Sorry,Maaf,….Sorry…………….

Kalau ini hanya Opini saya……….

Sekian n thanks

*

Proses aneh pada system process. Biasanya dengan nama MSLib32.exe, WINHELP32.exe, RUN32DLL.exe dan MSOffice32.exe (lihat gambar 2).

Gambar 2, File worm yang aktif pada proses

*

Membuat user account baru pada saat login user dengan nama “SBY” (lihat gambar 3).

Gambar 3, User Account yang dibuat worm

*

Mematikan beberapa fungsi windows seperti Find/Search dan Regedit (Registry Editor).
*

Menyembunyikan fungsi Folder Options. (lihat gambar 4)

Gambar 4, Folder Options yang disembunyikan.

Cara Penyebaran…

Beberapa hal yang dilakukan untuk melakukan penyebaran worm secara efektif yaitu sebagai berikut :

*

File sharing pada jaringan (terutama yang menggunakan akses full). Penyebaran pada jaringan dengan akses full sharing dengan membuat file worm “Documents.exe”. File inilah yang jika dijalankan oleh user lain akan menginfeksi komputer korban dan akan sangat merepotkan jika terjadi pada komputer server yang di share full akses. (lihat gambar 6

Gambar 6, Menyebar lewat jaringan dengan akses full.

*

Penggunaan removable drive seperti USB flashdisk, Card Reader, dan media tulis lainnya. Penyebaran pada flashdisk, card reader, dll dengan membuat beberapa file virus dan file penunjangnya seperti :

1.

Autorun.inf (merupakan file penunjang yang mengaktifkan file worm “Document1.exe”)
2.

Desktop.ini (merupakan file penunjang yang mencoba menjalankan file “Folder.htt”)
3.

Document1.exe (file worm)
4.

MSLib\Folder.htt (merupakan file yang mengaktifkan file worm “OfficeLib.exe”)
5.

MSLib\OfficeLib.exe (file worm)

Penyebaran pada flashdisk/card reader lebih cepat aktif atau otomatis dengan memanfaatkan salah satu fitur windows yaitu autoplay. Dengan autoplay, worm dapat otomatis menginfeksi komputer anda dengan cepat. (lihat gambar 7)

Gambar 7, File autorun pada flashdisk/card reader.

File Virus…

Worm dibuat dengan menggunakan bahasa pemrograman Visual Basic (VB). File worm yang dibuat berukuran 180 kb dan 48 kb. Worm berukuran 180 kb menggunakan icon MSWORD (Microsoft Word) sedangkan worm berukuran 48 kb menggunakan icon Windows Explorer.

Smallworm.EUV memiliki beberapa file worm utama yang diantaranya sebagai berikut : (lihat gambar 8)

*

C:\Documents and Settings\%user%\MSOffice32.exe
*

C:\WINDOWS\MSLib32.exe
*

C:\WINDOWS\OfficeStartUp.exe
*

C:\WINDOWS\RUN32DLL.exe
*

C:\WINDOWS\WINHELP32.exe
*

C:\WINDOWS\Wexplorer.exe

Gambar 8, File utama virus.

Sedangkan file yang dibuat pada semua root drive termasuk pada flashdisk/card reader yaitu diantaranya sebagai berikut :

*

Autorun.inf
*

Desktop.ini
*

Document1.exe
*

MSLib\Folder.htt
*

MSLib\OfficeLib.exe

File yang dibuat pada flashdisk/card reader maupun root seluruh drive berukuran 180 kb.

Selain file worm, file lain yang dibuat yaitu sebagai berikut :

*

C:\DISKWASA.DAT
*

C:\WINDOWS\Desktop.ini
*

C:\WINDOWS\NDETECK.BAT
*

C:\WINDOWS\LagiLembur.txt
*

C:\Documents and Settings\%user%\desktop\CumaPesan.txt

File lain yang dibuat hanya berukuran 1 kb.

Selain itu agar dapat aktif pada saat komputer dijalankan, worm juga membuat 2 file pada folder start-up windows yaitu sebagai berikut :

*

C:\Documents and Settings\%user%\Start Menu\Programs\Startup\JavaScript.vbs
*

C:\Documents and Settings\klasnich\Start Menu\Programs\Startup\Online.com

Pesan Pembuat Virus…

Selain membuat file worm, pembuat virus juga membuat 2 pesan, yaitu : (lihat gambar 9 dan 10)

*

LagiLembur.txt (C:\WINDOWS\LagiLembur.txt)

Gambar 9, Pesan LagiLembur.txt
*

CumaPesan.txt (C:\Documents and Settings\%user%\desktop\CumaPesan.txt)

Gambar 10, Pesan CumaPesan.txt

Membuat User Account Baru…

Salah satu efek yang dilakukan oleh Smallworm.EUV terbilang cukup unik yaitu dengan membuat user account baru yaitu dengan nama “SBY”. Untuk melakukan hal tersebut, worm membuat script sebagai berikut :

net user SBY shadow /add

net localgroup administrators SBY /add

Pada script tersebut, worm membuat sebuah user baru dengan nama SBY dan password shadow. Kemudian dilanjutkan menjadikan user yang sudah dibuat tadi memiliki akses administrator. (lihat gambar 11)

Gambar 11, User yang dibuat oleh smallworm.EUV

Registry Windows…

Agar dapat aktif pada saat menjalankan Windows, virus membuat string registry pada :

*

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

MSOfficeLib = C:\WINDOWS\MSLib32.exe

RUN32DLL.exe = C:\WINDOWS\WINHELP32.exe

Untuk mencegah akses user, virus membuat string registry pada :

*

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer

NoFind = 1

NoFolderOptions = 1

NoRun = 1

Cara Pembersihan Virus…

*

Matikan System Restore
*

Matikan proses virus yang aktif di memory komputer dengan menggunakan tools pengganti task manager. Gunakan tools “IceSword” untuk mematikan proses virus. (lihat gambar 12)

Gambar 12, Kill Process virus

Lakukan Terminate Process pada file virus yang aktif secara bersamaan.

Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “”%1″””

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, MSOfficeLib

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, RUN32DLL.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Setelah registry di repair, sebaiknya log-off/restart komputer anda.

Hapus file virus secara manual dengan terlebih dahulu menampilkan file yang tersembunyi agar mudah dalam mencari file virus tersebut, yaitu dengan cara :

*

Buka Windows Explorer
*

Klik [Tools]
*

Klik [Folder Options]
*

Klik tabulasi [View]
*

Pilih opsi “Show hidden files and folders”
*

Uncheck opsi “Hide protected operating system (recomennded)” (lihat gambar 12)

Gambar 12, Menampilkan file tersembunyi

Kemudian hapus file-file berikut :

*

C:\DISKWASA.DAT
*

C:\Documents and Settings\%user%\MSOffice32.exe
*

C:\Documents and Settings\%user%\desktop\CumaPesan.txt
*

C:\WINDOWS\MSLib32.exe
*

C:\WINDOWS\OfficeStartUp.exe
*

C:\WINDOWS\RUN32DLL.exe
*

C:\WINDOWS\WINHELP32.exe
*

C:\WINDOWS\Wexplorer.exe
*

C:\WINDOWS\Desktop.ini
*

C:\WINDOWS\NDETECK.BAT
*

C:\WINDOWS\LagiLembur.txt

Serta hapus beberapa file berikut pada seluruh root drive termasuk flashdisk/card reader.

*

Autorun.inf
*

Desktop.ini
*

Document1.exe
*

MSLib\Folder.htt
*

MSLib\OfficeLib.exe

Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.

Sumber Diambil dari Vaksin.com