virus yang mengatasnamakan AVG

ilustrasi

Sebuah virus telah kembali heboh dan beredar. Ciri utamanya, terdapat file bernama “AVG 2007″ di setiap Drive termasuk di media Flash Disk.

Sepintas file ini mirip dengan file installer antivirus AVG dengan ikon yang sama persis dengan ikon yang digunakan oleh antivirus AVG dengan ukuran file 101 KB.

Rupanya sang pembuat virus menggunakan rekayasa ini lantaran banyak para pengguna komputer yang menggunakan antivirus AVG. Mereka mencoba memanfaatkan kebiasaan pengguna komputer untuk mendapatkan program gratisan.

Ciri lainnya dari virus ini adalah terdapat file bernama “W32.Piglet II.jpg” di Flash Disk. Pembuat virus ini tampaknya merupakan fans Winnie The Pooh karena mencoba memunculkan gambar kartun Piglet yang agak seronok. Karena itulah virus ini juga dikenali sebagai virus Piglet.

Vaksincom mengimbau agar para pengguna komputer waspada jika mendapati file ini di komputer, terlebih jika file tersebut ada di dalam Flash Disk. Pasalnya, virus ini menyebar melalui Flash Disk serta menginfeksi komputer otomatis melalui Flash Disk setiap kali Flash Disk terhubung ke komputer.

Dikenali sebagai Worm:VBWorm.NOI

Oleh Norman Virus Control, virus ini dikenali sebagai Worm:VBWorm.NOI. Jika file tersebut dijalankan maka virus ini akan membuat beberapa file induk yang akan dijalankan setiap kali komputer dinyalakan. Berikut beberapa file yang akan dibuat oleh VBWorm.NOI:

• C:\msvbvm60.dll [Disetiap Drive]
• C:\Desktop.ini [Disetiap Drive]
• C:\AVG_update_2007.exe [Disetiap Drive]
• C:\AVG 2007.exe [Disetiap Drive]
• C:\Autorun.inf [Disetiap Drive]
• C:\update (berisi file Folder.htt)
• C:\Windows\msvbvm60.dll
• C:\windows\Resources\system.scr
• C:\windows\system32

1. notepad.scr
2. proposal.scr

Aktif pada safe mode

Bahkan VBWorm.NOI akan membuat registri sebagai pendukung agar file tersebut dapat dijalankan. VBWorm.NOI juga akan aktif pada mode “safe mode” dan “safe mode with comand prompt” dengan membuat string pada registry.

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

EYORE = C:\WINDOWS\System32\Notepad.scr

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

EYORE = C:\WINDOWS\System32\Notepad.scr

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

EYORE = C:\WINDOWS\System32\Notepad.scr

Sebagai pendukung agar file tersebut dapat dijalankan, VBWorm.NOI akan membuat registri berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

EYORE = C:\WINDOWS\System32\Notepad.scr

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

EYORE = C:\WINDOWS\System32\Notepad.scr

Selain aktif pada mode “safe mode”, VBWorm.NOI juga akan aktif pada mode “safe mode with comand prompt” dengan membuat string pada registry berikut:

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

AlternateShell = C:\WINDOWS\System32\Notepad.scr

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

AlternateShell = C:\WINDOWS\System32\Notepad.scr

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot

AlternateShell = C:\WINDOWS\System32\Notepad.scr

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Control\SafeBoot

AlternateShell = C:\WINDOWS\System32\Notepad.scr %1 %*

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

AlternateShell = C:\WINDOWS\System32\Notepad.scr

memblokir dan mengalihkan Beberapa Fungsi Windows

Sebagai pertahanan, virus ini akan mencoba memblokir beberapa fungsi Windows seperti Task Manager/Regedit/CMD/MSConfig/Folder Options serta beberapa tools security dengan membaca caption text dari tools tersebut seperti ProceeXP atau Security Task Manager. dan mengalihkan kepada program lain, seperti:

• ketika anda membuka msconfig, yang muncul adalah On-Screen Keyboard

• ketika anda membuka regedit maka yang muncul adalah clipboard

• Jika menjalankan System Restore maka akan muncul program tourstart

VBWorm.NOI juga akan mencoba untuk menghilangkan beberapa opsi yang terdapat pada Folder Option seperti :

• Do Not show hidden file and folder
• Hide protected operating system file (recommended)
• Hide exstension for known file types
• Show hidden file and folders

Menyebar Otomatis melalui Flash Drive

Untuk mempercepat proses penyebaran, virus ini menggunakan media Flash Disk dengan membuat beberapa file seperti:

• Desktop.ini
• Autoexec.bat
• AVG_update_2007.exe
• AVG 2007.exe
• update (berisi file Folder.htt)
• Autorun.inf
• W32.Piglet II.jpg

VBWorm.NOI bisa aktif secara otomatis tanpa harus diklik karena virus ini akan membuat beberapa script pada setiap Drive termasuk Flash Disk.

Untuk menghindari infeksi virus secara otomatis melalui Flash Disk, Vaksincom menyarankan agar pengguna menonaktifkan fitur Autoplay/Autorun pada komputer.
Hapus Program Antivirus

Tak hanya menyebar otomatis, VBWorm.NOI juga bisa mematikan program antivirus dengan menghapus file dari program antivirus tersebut. Program antivirus yang dapat dihapus virus ini antara lain: AVG, AVP, BitDefender, F-Prot, Inoculate IT, Kaspersky, McAfee, Norman, Panda, Trend Micro, Norton dan Zone Alarm.

Cara mengatasi VBWorm.NOI

• Putuskan hubungan komputer yang akan dibersihkan dari jaringan

• Matikan Autorun pada Drive Anda, hal ini dilakukan agar virus ini tidak aktif ketika user akses ke setiap Drive atau Flash Disk. (Untuk mematikan Autorun tersebut klik disini)

• Matikan proses virus yang aktif dimemori. Untuk mematikan proses virus tersebut gunakan Currprocess atau process explorer atau program pengganti task manager sejenisnya

• Hapus string registry yang sudah dibuat oleh virus. Untuk mempermudah proses Repair registry dengan menyalin script berikut pada program notepad kemdian simpan dengan nama Repair.inf, jalankan file tersebut dengan cara:

1. Klik kanan Repair.inf
2. Klik Install

————————————script repair.inf———————————-

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Piglet

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, “”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0,”"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot,AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\ControlSet002\Control\SafeBoot,AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\ControlSet003\Control\SafeBoot,AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\CurrentContolSet\Control\SafeBoot,AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot,AlternateShell,0, “cmd.exe”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN,type,0, “Radio”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,type,0, “Radio”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,type,0, “Checkbox”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,type,0, “Checkbox”

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetFolders

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetTaskbar

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, EYORE

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, EYORE

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstui.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, EYORE

HKLM, SYSTEM\CurrentContolSet

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

————————————akhir script ———————————-

Hapus file induk yang sudah dibuat oleh virus dengan terlebih dahulu menampilkan file yang disembunyikan

• Kemudian hapus file berikut:

1. C:\msvbvm60.dll [Disetiap Drive/Flash Disk]
2. C:\Desktop.ini [Disetiap Drive/Flash Disk]
3. C:\AVG_update_2007.exe [Disetiap Drive]
4. C:\AVG 2007.exe [Disetiap Drive/Flash Disk]
5. C:\Autorun.inf [Disetiap Drive/Flash Disk]
6. C:\update [Disetiap Drive/Flash Disk
7. Folder.htt
8. C:\Windows\msvbvm60.dll
9. C:\windows\Resources\system.scr
10. C:\windows\system32

- notepad.scr
- proposal.scr

• Tampilkan folder C:\Windows yang diembunyikan oleh virus dengan cara:

- Klik [Start]

- Klik [Run]

- Pada dialog box Run, ketik CMD atau

- klik tombol “OK”
- pastikan kursor berada di root C:\ kemudian ketik perintah berikut

ATTRIB –s –h C:\Windows

- kemudian tekan “enter”

untuk pembersihan yang lebih optimal dan mencegah akan terulangnya kejadian ini, instal antivirus yang telah terupdate