Fantasi Biru merasuki komputer Indonesia
Surabaya in my birthday
Don't kill me, i'm just send message from your computer
Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti
Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku
Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah
lamunan dalam sesal
Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0
Setelah virus Banjir menyebar dan melakukan aksi harakiri pada data komputer korbannya, yang secara tidak langsung menghambat penyebaran dirinya. Ada satu virus yang cara berpikirnya terbalik dibandingkan dengan virus Banjir, virus ini dapat dikatakan tidak jahat dan aksi yang dilakukannya “hanya” menyembunyikan file / folder di komputer yang menjadi korbannya dan membuat duplikat sebagai dirinya. Mungkin dampak aksi ini agak berbahaya jika korbannya memiliki penyakit jantung, melihat semua data di komputernya hilang dan terkejut tentunya “agak-agak” berbahaya bagi penderita jantung. Tetapi tentunya ini tidak bedanya dengan menonton film “Lewat Tengah Malam” atau “Terowongan Casablanca”. Padahal data komputer yang menjadi korban Blue Fantasy ini hanya di hidden dan dapat dikembalikan.
Jika virus Banjir (W32/PoisonIvy.NQ) menginfeksi komputer korbannya dan melakukan aksi bumi hangus pada data komputer korbannya, satu bulan belakangan ini muncul virus baru yang penyebarannya cukup merata / meluas di Indonesia, tetapi kabar baiknya, virus ini tidak menghancurkan data korbannya tetapi menyembunyikan data di komptuer yang menjadi korbannya. Virus dengan ukuran 40 KB ini akan mengelabui korbannya dengan memalsukan dirinya sebagai icon folder dan memiliki kemampuan autorun (berjalan otomatis) menginfeksi komputer korban jika anda mencolokkan UFD (USB Flash Disk) yang sudah terinfeksi virus ini. Ciri khas virus ini adalah menampilkan pesan dengan header 81u3f4nt45y – 24.01.2007.
Setiap kali komputer login Blue Fantasy yang “mengaku” dari Surabaya ini akan menampilkan pesan (lihat gambar 1), selain itu ia juga akan mencoba untuk menyembunyikan file/folder yang ada di Flash Disk atau disetiap Drive dan untuk mengelabui user ia akan membuat file duplikat sesuai dengan folder yang disembunyikan.
Jika VBworm.MYE sudah aktif pada komputer target ia akan membuat beberapa file yang akan dijalankan setiap kali jika komputer dinyalakan diantaranya:
C:\Documents and Settings\%user%\Start Menu\Programs\Startup
Adobe Online.com
Adobe update.com
C:\Documents and Settings\%user%\Autoexec.bat
%Drive%:> autorun.inf
%Drive%:> Thumbs.com
%Drive%:> thumbs .db
Catatan: %Drive% ini menunjukan lokasi Drive [contoh Drive C:\ atau D:\]
Tidak Blok Fungsi Windows
Dilihat dari aksi yang dilakukan, VBWorm,MYE tidaklah terlalu membahayakan karena hanya sebatas menyembunyikan file/folder saja tidak seperti virus lain yang mencoba untuk menghapus file. Disamping itu untuk varian awalnya tidak akan melakukan blok terhadap fungsi Windows seperti Regedit, msconfig atau task manager serta beberapa tools security lainnya [HijackThis/killbox atau prosesxp]. Secara tidak langsung, virus ini menyebar meluas karena aksinya yang tidak terlalu jahat membuat virus ini “kurang” menjadi prioritas untuk diatasi dibandingkan dengan virus lain yang aksinya jahat seperti menghancurkan data atau memblok login.
Walaupun demikian VBWorm.MYE ini akan tetap mencoba untuk bermain-main dengan folder option dengan “selalu” mengaktifkan option “Do Not Show hidden files and folders” dan “Hide Extension for known files types” hal ini dimaksudkan agar user kesulitan untuk menampilkan file/folder yang sudah disembunyikan dan mempersulit user untuk mengetahui ekstensi dari file tersebut. Untuk melakukan hal tersebut ia akan merubah string pada registry berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\HideFileExt
UncheckedValue = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 0
DefaultValue = 2
Hati-hati dengan file berbentuk folder berukuran 40 KB
Seperti yang sudah dijelaskan sebelumnya bahwa VBWorm.MYE akan menyembunyikan file/folder dan mencoba untuk membuat file duplikat sesui dengan folder yang disembunyikan dimana file duplikat tersebut akan di buat disetiap folder dan subfolder dengan ciri-ciri:
Menggunakan icon “Folder”
Ukuran 40 KB
Ekstensi .SCR
Type file “File Folder”
Agar file duplikat tersebut tampak seolah-olah berupa folder maka VBWorm.MYE akan merubah type file duplikat tersebut dari “Screen saver” menjadi “File Folder” selain itu VBWorm.MYE juga akan menyembunyikan ekstensi dari file duplikat tersebut sehingga semakin sempurnalah penyeramaran yang dilakukan oleh virus tersebut dengan demikian user akan mudah terjebak untuk menjalankan file tersebut, jika anda selalu ingat bahwa suatu folder (ditektori) TIDAK akan mempunyai ukuran semakin memperkecil peluang virus tersebut untuk menyebar dan memperkecil kemungkinan komputer anda terinfeksi virus ini. Untuk melakukan hal tersebut diatas ia akan membuat string pada registry berikut : (lihat gambar 3)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile
Default = File Folder
InfoTip
NeverShowExt
TileInfo
Menyebar secara Otomatis melalui Flash Disk
Sebagai media penyebarannya, VBWorm.MYE masih menggunakan Flash Disk dengan menyembunyikan file/folder yang ada dalam Flash Disk tersebut dan membuat file duplikat sesuai dengan file/folder yang disembunyikan dengan ukuran 40 KB dimana file tersebut akan menyamarkan dirinya dengan menggunakan icon “Folder”, selain itu VBWorm.MYE juga akan membuat 3 buah file utama sebagai file induk yang akan di aktifkan setiap kali user mencoba untuk akses Flash Disk yakni Autorun.inf, Thumbs.com dan thumbs .db, file Thumbs .db ini terdeteksi oleh Norman Virus Contol sebagai VBTroj.dam.
Agar virus ini dapat aktif secara otomatis setiap kali user akses Flash Disk tersebut tanpa harus menjalankan file yang terinfeksi secara manual, VBWorm.MYE akan membuat file Autorun.inf (lihat gambar 4) dimana script ini berisi perintah untuk menjalankan file Thumbs.com dan sebagai pendukung agar dirinya dapat aktif VBWorm.MYE juga akan membuat file Thumbs .db di direktori yang sama. Ke tiga file ini juga akan dibuat disetiap Drive sehingga setiap kali user akses terhadap drive tersebut maka secara tidak langsung akan mengaktifkan kembali VBWorm.MYE.
VBWorm.MYE juga akan menampilkan pesan seperti gambar 1 setiap kali komputer login dengan terlebih dahulu melakukan perubahan pada registri berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
LegalNoticeCaption = 81u3f4nt45y - 24.01.2007 – Surabaya
LegalNoticeText = Surabaya in my birthday. Don't kill me, i'm just send message from your computer. Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti. Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah lamunan dalam sesal Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0.
Membuat File Duplikat
Sebagai penutup ia akan membuat file duplikat disetiap folder dan sub folder dengan terlebih dahulu menyembunyikan file/folder asli yang dijumpainya. File duplikat tersebut mempunyai ciri-ciri : (lihat gambar 5)
Menggunakan icon “Folder”
Ukuran 40 KB
Ekstensi .SCR
Type file “File Folder”
Cara mengatasi VbWorm.MYE
Putuskan hubungan komputer dari jaringan.
Usahakan untuk memberishkan virus dari Safe Mode.
Jika menggunakan Windows ME/XP Disable “System restore” untuk sementara selama proses pembersihan
Matikan proses virus yang aktif di memori, untuk mematikan proses virus tersebut anda dapat menggunakan tools CurrProcess (lihat gambar 6), tools ini dapat didownload di alamat http://www.nirsoft.net/utils/cprocess.html, kemudian matikan proses yang mempunyai nama :
1. Adobe Online.com
2. Adobe update.com
Wednesday, April 18, 2007
Subscribe to:
Posts (Atom)
