W32/VBTroj.DAAA : Virus Yang Menjadikan Komputer Menjadi Tempat Sampah ( Recycle Bin )
Rupanya bukan hanya Chris Angel yang jago melakukan sulap yang menakjubkan. Pembuat virus rupanya banyak yang mirip dengan Chris Angel. Salah satunya adalah VBTroj.DAAA yang setelah menginfeksi komputer korbannya, ia akan mengubah “My Computer” menjadi “Recycle Bin” atau tong sampah :p. Selain mengubah komputer menjadi Tong Sampah, virus ini juga membuat banyak file duplikasi yang berekstensi.exe sehingga komputer akan di penuhi file virus layaknya tong sampah yang menampung sesuatu yang tidak digunakan lagi dan akhirnya akan membuat kapasitas hardisk menjadi penuh alias Low Disk space.
Dilihat dari namanya W32/VBTroj.DAAA ini dibuat dengan menggunakan bahasa pemograman Visual basic. Virus ini memanfaatkan file folder yang di duplikasi untuk mengelabui user agar dapat diklik / dijalankan dan menyebarkan file duplikasinya kesemua folder dengan ukuran file 356 kb.
Ciri file Virus
Ciri-ciri dari file virus ini, diantaranya sebagai berikut :
- Memiliki ukuran file sebesar 356 kb
- Mempunyai type file Application
- Berekstensi .exe
- Memiliki icon (gambar 1di bawah)
Bila virus aktif maka akan membuat file di beberapa lokasi berikut : (lihat gambar 1)
- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Startup.exe
- C:\Documents and Settings\%User%\Start Menu\Programs\Startup\Angel2.exe
- C:\Documents and Settings\%User%\Start Menu\Programs\Startup\Startup.exe
Gambar 1.File yang dibuat virus di setiap folder.
Gejala yang ditimbulkan
Saat pertama kali masuk windows muncul pesan error “Microsoft Windows” karena virus aktif bersamaan dengan proses Explorer windows saat startup (lihat gambar 2)
Gambar 2.Windows explorer menjadi error
Terkadang bila menuju ke suatu situs Microsoft internet Explorer tidak dapat menampilkan alamat situs tersebut dan muncul pesan error (lihat gambar 3)
Gambar 3.Internet Explorer tidak dapat menampilkan situs
Membuat banyak file duplikat dari setiap folder yang kita klik dengan nama yang sama dengan folder tersebut namun berekstensi .exe misalnya saat kita buka folder dengan nama Data maka virus akan membuat salinannya menjadi Data.exe (lihat gambar 4)
Gambar 4. File Duplikasi yang di timbulkan Virus
Apabila setiap file virus tersebut kita klik maka akan berjalan di memori serta mengambil resource memory sekitar 7000kb jadi bisa dibayangkan bila kita tidak sengaja mengklik file – file virus tersebut maka akan menguras memori dan berakibat computer menjadi lambat (lihat gambar 5)
Gambar 5. File Virus yang aktif memakan memory.
Blok fungsi windows
Beberapa hal yang dilakukan virus adalah blok beberapa fungsi Windows seperti Task Manager, CMD, Folder Options, dan Registry dengan membuat beberapa string pada berikut:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
o Value: Hidden
o Data: [REG_DWORD, value: 00000001]
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
o Value: DisableThumbnailCache
o Data: [REG_DWORD, value: 00000001]
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
o Value: DisableTaskMgr
o Data: [REG_DWORD, value: 00000001]
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
o Value: DisableRegistryTools
o Data: [REG_DWORD, value: 00000001]
- HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
o Value: disableCMD
o Data: [REG_DWORD, value: 00000002]
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
o Value: NoFolderOptions
o Data: [REG_DWORD, value: 00000001]
Aktif saat startup
Virus ini membuat string pada registri agar dapat berjalan secara otomatis pada saat pertama kali user login komputer.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Startup.exe
o C:\Documents and Settings\%User%\Start Menu\Programs\Startup\Angel2.exe
o C:\Documents and Settings\%User%\Start Menu\Programs\Startup\Startup.exe
Merubah halaman awal (default page) Internet Explorer
Selain itu juga virus merubah tampilan halaman utama dan halaman default page pada browser Internet Explorer dan dialihkan kealamat website dewasa dengan tujuan mengelabui user untuk access www.booble.com hampir mirip dengan situs www.google.com yaitu mesin pencari segala informasi di internet akan tetapi website www.booble.com malah justru menampilkan konten dewasa atau mengandung unsur pornografi. String yang di ubah dari registry tersebut adalah
- HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
- HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
Merubah My computer menjadi recycle Bin
Kelebihan dari virus ini yaitu merubah My computer menjadi Recycle Bin untuk mengelabuhi agar user salah mengklik folder atau menaruh file data. (lihat gambar 6)
Gambar 6. Merubah nama My Computer menjadi Recycle Bin
Trojan W32/VBTroj.DAAA merubah My Computer menjadi Recycle Bin dan begitu sebaliknya adapun key registri yang di rubah :
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}
o Value: LocalizedString
o Data: @%SystemRoot%\system32\SHELL32.dll,-8964
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}
o Value: LocalizedString
o Data: @%SystemRoot%\system32\shell32.dll,-9216
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\DefaultIcon
o Data: %SystemRoot%\System32\shell32.dll,31
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon
o Value: empty
o Data: %SystemRoot%\Explorer.exe,0
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon
o Value: full
o Data: %SystemRoot%\Explorer.exe,0
Media Penyebaran
- Removable drive/disk : Membuat file dengan nama angel.exe dan Menduplikasi file folder pada Flashdisk menjadi file virus.
- Jaringan LAN : Bila dalam jaringan terdapat folder Maping Drive yang di beri akses Full dan salah satu computer telah teinfeksi maka akan membuat duplikat file virus pada setiap folder yang di akses sehingga kemungkinan dapat di klik oleh user lain yang tertarik membuka file virus tersebut
Cara mengatasi Trojan:W32/VBTroj.DAAA
- Nonaktifkan “System Restore”, saat proses pembersihan virus.
- Gunakan Norman Malware cleaner untuk membasmi secara tuntas file induk virus beserta file duplikat yang dibuat oleh virus tersebut.
- Program Norman Malware Cleaner dapat anda temukan di dalam CD "My PC Defender 2012" atau dapat anda download pada alamat berikut : http://normanasa.vo.llnwd.net/
Gambar 7, Norman malware cleaner membasmi W32/VBTroj.DAA dengan tuntas
- Fix registri Windows yang sudah diubah oleh virus, untuk mempercepat proses perbaikan salin script dibawah ini pada program “notepad” kemudian simpan dengan nama “repair.bat”. Jalankan file tersebut dengan double klik file
msg %username% /time:5 /w /v "Repair >>>> Registry !"
Reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v gpmce /f
Reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v gpmce /f
Reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /f
Reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /f
Reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions /f
Reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableCMD /f
Reg delete "HKCU\Software\Policies\Microsoft\Windows\System" /v disableCMD /f
Reg delete "HKU\S-1-5-21-1214440339-1450960922-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}" /f
Reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v Start Page /t REG_SZ /d "www.google.com" /f
Reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v Search Page /d www.google.com
Reg add "HKLM\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}" /v localizedString /t REG_EXPAND_SZ /d "@%SystemRoot%\system32\SHELL32.dll,-9216" /f
Reg add "HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}" /v localizedString /t REG_EXPAND_SZ /d "@%SystemRoot%\system32\SHELL32.dll,-8964" /f
Reg add "HKLM\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\Defaulticon" /v "" /t REG_SZ /d "%SystemRoot%\Explorer.exe,0" /f
Reg add "HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\Defaulticon" /v "" /t REG_SZ /d "%SystemRoot%\System32\shell32.dll,31" /f
Reg add "HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\Defaulticon" /v "Empty" /t REG_EXPAND_SZ /d "%SystemRoot%\System32\shell32.dll,31" /f
Reg add "HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\Defaulticon" /v "Full" /t REG_EXPAND_SZ /d "%SystemRoot%\System32\shell32.dll,32" /f
Reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v DisableThumbnailCache /t REG_DWORD /d "0" /f
Pause
- Fix halaman utama Internet Explorer dengan menyalin script dibawah ini pada program “notepad” kemudian simpan dengan nama “repair.inf” jalankan script dengan cara klik kanan pilih install
[Version]
Signature="$Chicago$"
Provider=VaksincomOyee 2012
[DefaultInstall]
AddReg=UnhookRegKey
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"
HKCU, Software\Microsoft\Internet Explorer\Main, Search Page,0, “www.google.com”
- Untuk pembersihan secara menyeluruh atau optimal dan mencegah agar tidak terjadi infeksi ulang. Install antivirus di computer anda sehingga dapat memproteksi komputer anda dari serangan virus, atau Scan dengan menggunakan antivirus yang up-to-date.
Sumber : http://vaksin.com
Komentar
Posting Komentar