W32/VBTroj.DAAA : Virus Yang Menjadikan Komputer Menjadi Tempat Sampah ( Recycle Bin )


Rupanya bukan hanya Chris Angel yang jago melakukan sulap yang menakjubkan. Pembuat virus rupanya banyak yang mirip dengan Chris Angel. Salah satunya adalah VBTroj.DAAA yang setelah menginfeksi komputer korbannya, ia akan mengubah “My Computer” menjadi “Recycle Bin” atau tong sampah :p. Selain mengubah komputer menjadi Tong Sampah, virus ini juga membuat banyak file duplikasi yang berekstensi.exe sehingga komputer akan di penuhi file virus layaknya tong sampah yang menampung sesuatu yang tidak digunakan lagi dan akhirnya akan membuat kapasitas hardisk menjadi penuh alias Low Disk space.

Dilihat dari namanya W32/VBTroj.DAAA  ini dibuat dengan menggunakan bahasa pemograman Visual basic. Virus ini memanfaatkan file folder yang di duplikasi untuk mengelabui user agar dapat diklik / dijalankan dan menyebarkan file duplikasinya kesemua folder dengan ukuran file 356 kb.


Ciri file Virus
Ciri-ciri dari file virus ini, diantaranya sebagai berikut :
  • Memiliki ukuran file sebesar 356 kb
  • Mempunyai type file Application
  • Berekstensi .exe
  • Memiliki icon (gambar 1di bawah)

Bila virus aktif maka akan membuat file di beberapa lokasi berikut : (lihat gambar 1)
  • C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Startup.exe
  • C:\Documents and Settings\%User%\Start Menu\Programs\Startup\Angel2.exe
  • C:\Documents and Settings\%User%\Start Menu\Programs\Startup\Startup.exe

Gambar 1.File yang dibuat virus di setiap folder. 


Gejala yang ditimbulkan
Saat pertama kali masuk windows muncul pesan error “Microsoft Windows” karena virus aktif bersamaan dengan proses Explorer windows saat startup (lihat gambar 2)

Gambar 2.Windows explorer menjadi error

Terkadang bila menuju ke suatu situs Microsoft internet Explorer tidak dapat menampilkan alamat situs tersebut dan muncul pesan error (lihat gambar 3)

Gambar 3.Internet Explorer tidak dapat menampilkan situs 

Membuat banyak file duplikat dari setiap folder yang kita klik dengan nama yang sama dengan folder tersebut namun berekstensi .exe misalnya saat kita buka folder dengan nama Data maka virus akan membuat salinannya menjadi Data.exe (lihat gambar 4)

Gambar 4. File Duplikasi yang di timbulkan Virus

Apabila setiap file virus tersebut kita klik maka akan berjalan di memori serta mengambil resource memory sekitar 7000kb jadi bisa dibayangkan bila kita tidak sengaja mengklik file – file virus  tersebut maka akan menguras memori dan berakibat computer menjadi lambat (lihat gambar 5)

Gambar 5. File Virus yang aktif memakan memory.



Blok fungsi windows
Beberapa hal yang dilakukan virus adalah blok beberapa fungsi Windows seperti Task Manager, CMD, Folder Options, dan Registry dengan membuat beberapa string pada berikut:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
         o   Value: Hidden 
         o   Data: [REG_DWORD, value: 00000001]
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
         o   Value: DisableThumbnailCache 
         o   Data: [REG_DWORD, value: 00000001]
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system 
         o   Value: DisableTaskMgr  
         o   Data: [REG_DWORD, value: 00000001]
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system  
         o   Value: DisableRegistryTools  
         o   Data: [REG_DWORD, value: 00000001]
  • HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
         o   Value: disableCMD 
         o   Data: [REG_DWORD, value: 00000002]
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
         o   Value: NoFolderOptions  
         o   Data: [REG_DWORD, value: 00000001]


Aktif saat startup
Virus ini membuat string pada registri agar dapat berjalan secara otomatis pada saat pertama kali user login komputer.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
         o C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Startup.exe
         o C:\Documents and Settings\%User%\Start Menu\Programs\Startup\Angel2.exe
         o C:\Documents and Settings\%User%\Start Menu\Programs\Startup\Startup.exe


Merubah halaman awal (default page) Internet Explorer
Selain itu juga virus merubah tampilan halaman utama dan halaman default page pada browser Internet Explorer dan dialihkan kealamat website dewasa dengan tujuan mengelabui user untuk access www.booble.com hampir mirip dengan situs www.google.com yaitu mesin pencari segala informasi di internet akan tetapi website www.booble.com malah justru menampilkan konten dewasa atau mengandung unsur pornografi. String yang di ubah dari registry tersebut adalah
  • HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
  • HKCU\Software\Microsoft\Internet Explorer\Main\Start Page


Merubah My computer menjadi recycle Bin
Kelebihan dari virus ini yaitu merubah My computer menjadi Recycle Bin untuk mengelabuhi agar user salah mengklik folder atau menaruh file data.  (lihat gambar 6)

Gambar 6.  Merubah nama My Computer menjadi Recycle Bin

Trojan W32/VBTroj.DAAA  merubah My Computer menjadi Recycle Bin  dan begitu sebaliknya adapun key registri  yang di rubah  :
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}
         o   Value: LocalizedString 
         o   Data: @%SystemRoot%\system32\SHELL32.dll,-8964
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}
         o   Value: LocalizedString  
         o   Data: @%SystemRoot%\system32\shell32.dll,-9216
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\DefaultIcon
         o   Data: %SystemRoot%\System32\shell32.dll,31
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon 
         o   Data: %SystemRoot%\Explorer.exe,0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon
         o   Value: empty
         o   Data: %SystemRoot%\Explorer.exe,0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon 
         o  Value: full  
         o  Data: %SystemRoot%\Explorer.exe,0


Media Penyebaran
  • Removable drive/disk : Membuat file dengan nama angel.exe dan Menduplikasi file folder pada Flashdisk menjadi file virus.
  • Jaringan LAN  : Bila dalam jaringan terdapat folder Maping Drive yang di beri akses Full dan salah satu computer telah teinfeksi maka akan membuat duplikat file virus pada setiap folder yang di akses sehingga kemungkinan dapat di klik oleh user lain yang tertarik membuka file virus tersebut


Cara mengatasi Trojan:W32/VBTroj.DAAA
  • Nonaktifkan “System Restore”, saat proses pembersihan virus. 
  • Gunakan Norman Malware cleaner untuk membasmi secara tuntas file induk virus beserta file duplikat yang dibuat oleh virus tersebut. 

  • Program Norman Malware Cleaner dapat anda temukan di dalam CD "My PC Defender 2012" atau dapat anda download pada alamat berikut : http://normanasa.vo.llnwd.net/

Gambar 7, Norman malware cleaner membasmi W32/VBTroj.DAA dengan tuntas
  • Fix registri Windows yang sudah diubah oleh virus,  untuk mempercepat proses perbaikan salin script dibawah ini pada program “notepad” kemudian simpan dengan nama “repair.bat”. Jalankan file tersebut dengan double klik file
msg %username% /time:5 /w /v "Repair >>>> Registry !"

Reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v gpmce /f

Reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v gpmce /f

Reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /f

Reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /f

Reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions /f

Reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableCMD /f

Reg delete "HKCU\Software\Policies\Microsoft\Windows\System" /v disableCMD /f

Reg delete "HKU\S-1-5-21-1214440339-1450960922-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}" /f

Reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v Start Page /t REG_SZ /d "www.google.com" /f

Reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v Search Page /d www.google.com 

Reg add "HKLM\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}" /v localizedString /t REG_EXPAND_SZ /d "@%SystemRoot%\system32\SHELL32.dll,-9216" /f

Reg add "HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}" /v localizedString /t REG_EXPAND_SZ /d "@%SystemRoot%\system32\SHELL32.dll,-8964" /f

Reg add "HKLM\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\Defaulticon" /v "" /t REG_SZ /d "%SystemRoot%\Explorer.exe,0" /f

Reg add "HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\Defaulticon" /v "" /t REG_SZ /d "%SystemRoot%\System32\shell32.dll,31" /f

Reg add "HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\Defaulticon" /v "Empty" /t REG_EXPAND_SZ /d "%SystemRoot%\System32\shell32.dll,31" /f

Reg add "HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\Defaulticon" /v "Full" /t REG_EXPAND_SZ /d "%SystemRoot%\System32\shell32.dll,32" /f

Reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v DisableThumbnailCache /t REG_DWORD /d "0" /f

Pause

  • Fix halaman utama Internet Explorer dengan menyalin script dibawah ini pada program “notepad” kemudian simpan dengan nama “repair.inf” jalankan script dengan cara klik kanan pilih install
[Version]

Signature="$Chicago$"

Provider=VaksincomOyee 2012

[DefaultInstall]

AddReg=UnhookRegKey



HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"

HKCU, Software\Microsoft\Internet Explorer\Main, Search Page,0, “www.google.com”

  • Untuk pembersihan secara menyeluruh atau optimal dan mencegah agar tidak terjadi infeksi ulang. Install antivirus di computer anda sehingga dapat memproteksi komputer anda dari serangan virus, atau Scan dengan menggunakan antivirus  yang up-to-date.

Komentar

Postingan populer dari blog ini

5 Alasan Mengapa "Wanita Cantik" Nikahi "Pria yang Kurang Menarik" ?

Mengenal Ludruk, Kesenian Khas Jawa Timur Yang Melegenda.

Inilah Kisah Lengkap Legenda Bharatayudha / Mahabharata.

Prosedur dan Persyaratan Pengajuan Kredit Bank.

Jika Naga Hidup di Dunia Nyata, Bagaimana Cara Mereka Semburkan Api?

Menguak Rahasia Isi Ruangan Dalam Ka'bah, Bangunan Tersuci Umat Islam

Mengenal Rsi Byasa (IAS Vyāsa) Filsuf Kuno Terbesar di India, Penulis Kisah Mahabarata.

20 Karakter Game Wanita Yang Cantik Dan Seksi Karya Computer-Generated Imagery (CGI).

Inilah : Satyrichthys welchi, Ikan Asal Aceh Yang Bentuknya Seperti Pesawat Tempur Siluman !

10 Video Dokumenter (Asli) Pada Jaman Penjajahan Belanda, Jepang dan Perang Kemerdekaan Indonesia : 1945 - 1949.