virus yang mengatasnamakan AVG

ilustrasi

Sebuah virus telah kembali heboh dan beredar. Ciri utamanya, terdapat file bernama “AVG 2007″ di setiap Drive termasuk di media Flash Disk.

Sepintas file ini mirip dengan file installer antivirus AVG dengan ikon yang sama persis dengan ikon yang digunakan oleh antivirus AVG dengan ukuran file 101 KB.

Rupanya sang pembuat virus menggunakan rekayasa ini lantaran banyak para pengguna komputer yang menggunakan antivirus AVG. Mereka mencoba memanfaatkan kebiasaan pengguna komputer untuk mendapatkan program gratisan.

Ciri lainnya dari virus ini adalah terdapat file bernama “W32.Piglet II.jpg” di Flash Disk. Pembuat virus ini tampaknya merupakan fans Winnie The Pooh karena mencoba memunculkan gambar kartun Piglet yang agak seronok. Karena itulah virus ini juga dikenali sebagai virus Piglet.

Vaksincom mengimbau agar para pengguna komputer waspada jika mendapati file ini di komputer, terlebih jika file tersebut ada di dalam Flash Disk. Pasalnya, virus ini menyebar melalui Flash Disk serta menginfeksi komputer otomatis melalui Flash Disk setiap kali Flash Disk terhubung ke komputer.

Dikenali sebagai Worm:VBWorm.NOI

Oleh Norman Virus Control, virus ini dikenali sebagai Worm:VBWorm.NOI. Jika file tersebut dijalankan maka virus ini akan membuat beberapa file induk yang akan dijalankan setiap kali komputer dinyalakan. Berikut beberapa file yang akan dibuat oleh VBWorm.NOI:

• C:\msvbvm60.dll [Disetiap Drive]
• C:\Desktop.ini [Disetiap Drive]
• C:\AVG_update_2007.exe [Disetiap Drive]
• C:\AVG 2007.exe [Disetiap Drive]
• C:\Autorun.inf [Disetiap Drive]
• C:\update (berisi file Folder.htt)
• C:\Windows\msvbvm60.dll
• C:\windows\Resources\system.scr
• C:\windows\system32

1. notepad.scr
2. proposal.scr

Aktif pada safe mode

Bahkan VBWorm.NOI akan membuat registri sebagai pendukung agar file tersebut dapat dijalankan. VBWorm.NOI juga akan aktif pada mode “safe mode” dan “safe mode with comand prompt” dengan membuat string pada registry.

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

EYORE = C:\WINDOWS\System32\Notepad.scr

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

EYORE = C:\WINDOWS\System32\Notepad.scr

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

EYORE = C:\WINDOWS\System32\Notepad.scr

Sebagai pendukung agar file tersebut dapat dijalankan, VBWorm.NOI akan membuat registri berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

EYORE = C:\WINDOWS\System32\Notepad.scr

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

EYORE = C:\WINDOWS\System32\Notepad.scr

Selain aktif pada mode “safe mode”, VBWorm.NOI juga akan aktif pada mode “safe mode with comand prompt” dengan membuat string pada registry berikut:

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

AlternateShell = C:\WINDOWS\System32\Notepad.scr

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

AlternateShell = C:\WINDOWS\System32\Notepad.scr

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot

AlternateShell = C:\WINDOWS\System32\Notepad.scr

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Control\SafeBoot

AlternateShell = C:\WINDOWS\System32\Notepad.scr %1 %*

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

AlternateShell = C:\WINDOWS\System32\Notepad.scr

memblokir dan mengalihkan Beberapa Fungsi Windows

Sebagai pertahanan, virus ini akan mencoba memblokir beberapa fungsi Windows seperti Task Manager/Regedit/CMD/MSConfig/Folder Options serta beberapa tools security dengan membaca caption text dari tools tersebut seperti ProceeXP atau Security Task Manager. dan mengalihkan kepada program lain, seperti:

• ketika anda membuka msconfig, yang muncul adalah On-Screen Keyboard

• ketika anda membuka regedit maka yang muncul adalah clipboard

• Jika menjalankan System Restore maka akan muncul program tourstart

VBWorm.NOI juga akan mencoba untuk menghilangkan beberapa opsi yang terdapat pada Folder Option seperti :

• Do Not show hidden file and folder
• Hide protected operating system file (recommended)
• Hide exstension for known file types
• Show hidden file and folders

Menyebar Otomatis melalui Flash Drive

Untuk mempercepat proses penyebaran, virus ini menggunakan media Flash Disk dengan membuat beberapa file seperti:

• Desktop.ini
• Autoexec.bat
• AVG_update_2007.exe
• AVG 2007.exe
• update (berisi file Folder.htt)
• Autorun.inf
• W32.Piglet II.jpg

VBWorm.NOI bisa aktif secara otomatis tanpa harus diklik karena virus ini akan membuat beberapa script pada setiap Drive termasuk Flash Disk.

Untuk menghindari infeksi virus secara otomatis melalui Flash Disk, Vaksincom menyarankan agar pengguna menonaktifkan fitur Autoplay/Autorun pada komputer.
Hapus Program Antivirus

Tak hanya menyebar otomatis, VBWorm.NOI juga bisa mematikan program antivirus dengan menghapus file dari program antivirus tersebut. Program antivirus yang dapat dihapus virus ini antara lain: AVG, AVP, BitDefender, F-Prot, Inoculate IT, Kaspersky, McAfee, Norman, Panda, Trend Micro, Norton dan Zone Alarm.

Cara mengatasi VBWorm.NOI

• Putuskan hubungan komputer yang akan dibersihkan dari jaringan

• Matikan Autorun pada Drive Anda, hal ini dilakukan agar virus ini tidak aktif ketika user akses ke setiap Drive atau Flash Disk. (Untuk mematikan Autorun tersebut klik disini)

• Matikan proses virus yang aktif dimemori. Untuk mematikan proses virus tersebut gunakan Currprocess atau process explorer atau program pengganti task manager sejenisnya

• Hapus string registry yang sudah dibuat oleh virus. Untuk mempermudah proses Repair registry dengan menyalin script berikut pada program notepad kemdian simpan dengan nama Repair.inf, jalankan file tersebut dengan cara:

1. Klik kanan Repair.inf
2. Klik Install

————————————script repair.inf———————————-

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Piglet

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, “”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0,”"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot,AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\ControlSet002\Control\SafeBoot,AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\ControlSet003\Control\SafeBoot,AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\CurrentContolSet\Control\SafeBoot,AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot,AlternateShell,0, “cmd.exe”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN,type,0, “Radio”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,type,0, “Radio”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,type,0, “Checkbox”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,type,0, “Checkbox”

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetFolders

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetTaskbar

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, EYORE

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, EYORE

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstui.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, EYORE

HKLM, SYSTEM\CurrentContolSet

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

————————————akhir script ———————————-

Hapus file induk yang sudah dibuat oleh virus dengan terlebih dahulu menampilkan file yang disembunyikan

• Kemudian hapus file berikut:

1. C:\msvbvm60.dll [Disetiap Drive/Flash Disk]
2. C:\Desktop.ini [Disetiap Drive/Flash Disk]
3. C:\AVG_update_2007.exe [Disetiap Drive]
4. C:\AVG 2007.exe [Disetiap Drive/Flash Disk]
5. C:\Autorun.inf [Disetiap Drive/Flash Disk]
6. C:\update [Disetiap Drive/Flash Disk
7. Folder.htt
8. C:\Windows\msvbvm60.dll
9. C:\windows\Resources\system.scr
10. C:\windows\system32

- notepad.scr
- proposal.scr

• Tampilkan folder C:\Windows yang diembunyikan oleh virus dengan cara:

- Klik [Start]

- Klik [Run]

- Pada dialog box Run, ketik CMD atau

- klik tombol “OK”
- pastikan kursor berada di root C:\ kemudian ketik perintah berikut

ATTRIB –s –h C:\Windows

- kemudian tekan “enter”

untuk pembersihan yang lebih optimal dan mencegah akan terulangnya kejadian ini, instal antivirus yang telah terupdate

tentang virus stARgatE

Jika ingin menggapai mimpi yang lebih indah
laksanakan dan kerjakan

Virus yang dikenal oleh PC Media Antivirus ini bernama Virus Stargate. Ia merupakan virus local yang menggunakan Visual basic. Ia menipu korbanya dengan menggunakan icon folder. Virus yang mempunyai ukuran file sebesar 46.592 bytes ini dalam kondisi terkompres menggunakan UPX. Dan setelah diselidiki ternyata ia memiliki kode yang hamper serupa dengan virus aksika (barangkali virus ini modifikasi dari virus aksika.

Induk virus
Saat pertama kali virus ini menyerang komputer korbannya, virus ini akan meng-copy-kan dirinya ke komputer korban, yaitu:
- st4rg4te.exe pada direktori windows
- 4st4rg4te.exe, material.exe msload.exe dan winlop.scr pada direktori System32
- Dan file bt.exe pada direktori \%windows%\ime

Untuk dapat aktif otomatis, ia membutuhkan registry. Maka dari itu, virus inipun membuat item autorun baru pada registry, yaitu di:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\st4rg4te
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run sys%username%
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SystemMonitoring

Sedangkan untuk membuat virus ini aktif pada safe mode, virus ini memanipulasi item Alternate Shell di registry pada key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro\SafeBoot\AlternateShell Nilai itu akan dialihkan kepada file induk \Windows\st4rg4te.exe

Dan virus ini akan menyampaikan pesan dengan nama St4rgt.html yang disimpan pada direktori Windows dan mengubah nilai dari
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start page
agar menuju file tersebut. Hal ini mengakibatkan halaman pertama yang muncul adalah isi dari file St4rgt/html.

Agar virus ini kebal terhadap hal-hal yang mengancam kelangsungan hidupnya, ia menghalau setiap program yang memiliki nama:
- msconfig.exe
- Avguard.exe
- Winzip.exe
- Winrar.exe
- attrib.exe
- PCMAV-CLN.exe
- PCMAV-RTP.exe
- killvb.exe
- Zanda.exe
- Zlh.exe
- Nvccf.exe
- Nvcoss.exe
Dan masih banyak lagi
Selain itu ia juga mematikan:
- Task Manager
- Registry Editor
- Command prompt
- System Restore
- Dan Fungsi Find/Search

Penyebaran virus
Tidak membutuhkan waktu lama bagi virus ini untuk beranakpinak di dalam computer korban. Karena saat pertama kali virus ini masuk ke komputer korban, virus ini akan menggandakan setiap file atau folder yang ia temui bahkan hingga ke start menu. Akibatnya, komputer korban akan dibanjiri dengan file ber-icon-kan folder. Virus inipun akan menguras resource dari processor, hingga operating system ataupun aplikasi yang dijalankan akan terasa lama sekali