Anu Resep Gambar Berjalan

Loading...

Selasa, 02 September 2008

Virus Battosai

Giliran Battosai yang menyerang komputer anda


Tidak tahu apa hubungannya manga Jepang dengan Virus, tetapi yang jelas pembuat virus yang satu ini penggemar komik Samurai X yang jagoannya Kenshin Himura dan sering disebut Battosai. Virus yang terdeteksi oleh Norman Virus Control sebagai W32/Autorun.AD ini cukup merepotkan karena tetap aktif di Safe Mode dan Safe Mode with Command Prompt dan mengganti background komputer korbannya dengan gambar Battosai.

Perkembangan dan penyebaran virus semakin cepat, dan tentunya ada saja yang selalu dijadikan imajinasi oleh si pembuat virus. Begitupun yang terjadi pada worm ini, mungkin saja si pembuat virus adalah penggemar berat dari serial anime jepang ini atau sekedar iseng saja menggunakan karakter tokoh tsb.

Jika anda menemukan folder windows anda berubah menjadi background seorang samurai, maka anda dipastikan telah terinfeksi oleh W32/Autorun.AD.

Virus ini terbilang tidak terlalu rumit, karena dia tidak memblok program aplikasi windows seperti task manager, regedit dan msconfig. Selain itu dia juga tidak memblok fungsi windows seperti folder options. Jika virus ini aktif, dia akan berjalan di proses tanpa icon dan nama aplikasi yang berjalan.

File Virus
Seperti biasa, virus ini memiliki beberapa file induk yaitu diantaranya :
o C:\WINDOWS\desktop.ini
o C:\WINDOWS\System32\windxp.ini
o C:\WINDOWS\system32\restoration.msd
o C:\WINDOWS\system32\CommandPrompt.Sysm
o C:\WINDOWS\explore.exe
o Agar dapat aktif pada saat menyalakan komputer/reboot, ia membuat file pada startup windows, yaitu :
o C:\Documents and settings\%user%\Start Menu\Programs\Startup\AdobeGamma.pif
Serta membuat string registry pada saat windows login :
o HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell ===> Explorer.exe "c:\windows\explore.exe" (lihat gambar 3)
Gambar 3, Registry yang dirubah virus Battosai
Kemudian, virus akan membuat beberapa file duplikat, yaitu :
o C:\WINDOWS\Temp\Vel.exe
o C:\WINDOWS\Temp\Ngsys.exe
o C:\WINDOWS\Temp\rvshost.exe
o C:\WINDOWS\Temp\system31.exe
o C:\WINDOWS\Temp\userint.exe
o C:\WINDOWS\Temp\windxp.exe
o C:\WINDOWS\Temp\winzipt.exe
o C:\Documents and Settings\%user%\Local Settings\Temp\Ngsys
o C:\Documents and Settings\%user%\Local Settings\Temp\runer
o C:\Documents and Settings\%user%\Local Settings\Temp\rvshost
o C:\Documents and Settings\%user%\Local Settings\Temp\system31
o C:\Documents and Settings\%user%\Local Settings\Temp\userint
o C:\Documents and Settings\%user%\Local Settings\Temp\vel
o C:\Documents and Settings\%user%\Local Settings\Temp\windxp
o C:\Documents and Settings\%user%\Local Settings\Temp\winzipt
Semua file duplikat yang dibuat tersebut diatas mempunyai ciri sebagai berikut :
o Icon tidak ada (hilang)
o Ukuran file 91 kb
o Tipe file icon
o Extension exe
Untuk menyamarkan tipe file ia membuat string registry :
o HKCR\exefile
(default) ===> icon
Nevershowext ===>
o HKLM\SOFTWARE\Classes\exefile
(default) ===> icon
Nevershowext ===>
Seperti kita ketahui virus ini tidak memblok fungsi windows seperti folder options, tetapi akan mencoba melakukan perubahan terhadap setting folder options. Untuk itu ia akan membuat string registry (lihat gambar 4) :
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
ShowSuperHidden ===> 0
o HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
CheckedValue ===> 1
DefaultValue ===> 1
Sebagai penunjang, ia akan membuat string registry pada :
o HKLM\SOFTWARE\Microsoft\Windows|CurrentVersion\Run
def ===> C:\WINDOWS\Temp\Vel.exe
SysRestore ===> c:\windows\system32\restoration.msd
o HKCU\Control Panel\Desktop
SCRNSAVE.exe ===> C:\WINDOWS\Temp\%fileduplikat%.exe
Aktif pada Safe Mode & Safe Mode with Command Prompt
Selain aktif pada mode “normal”, virus ini pun aktif pada mode “safe mode” dan “safe mode with command prompt”. Untuk itu ia membuat string registry pada :
o HKLM\SYSTEM\ControlSet001\Control\SafeBoot
AlternateShell ===> c:\windows\system32\CommandPrompt.Sysm
o HKLM\SYSTEM\ControlSet002\Control\SafeBoot
AlternateShell ===> c:\windows\system32\CommandPrompt.Sysm
o HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
AlternateShell ===> c:\windows\system32\CommandPrompt.Sysm

Media Penyebaran
Sebagai media penyebarannya, ia menggunakan fitur autoplay/autorun pada windows sehingga akan lebih mudah baik pada disket, flashdisk ataupun removable drive yang lain. Ia akan membuat 2 file duplikat, yaitu : autorun.inf dan copy of desktop.ini.

Cara mengatasi W32/Autorun.AD
1. Disconnect komputer dari jaringan.
2. Disable system restore (windows XP/Vista/2003) selama proses pembersihan.
3. Matikan proses yang aktif di memory, dengan menggunakan task manager atau beberapa tools yang lain seperti curprocess atau procexp.
4. Hapus beberapa string registry yang dibuat virus.

[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCR, exefile,,,"Application"
HKLM, SOFTWARE\Classes\exefile,,,"Application"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0x00010001,1
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
[del]
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Classes\scrfile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, def
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SysRestore
HKCU, ControlPanel\Desktop, SCRNSAVE.EXE

5. Hapus file virus
File induk
o C:\WINDOWS\desktop.ini
o C:\WINDOWS\System32\windxp.ini
o C:\WINDOWS\System32\restoration.msd
o C:\WINDOWS\System32\CommandPrompt.Sysm
o C:\WINDOWS\explore.exe
o C:\Documents and settings\%user%\Start Menu\Programs\Startup\AdobeGamma.pif
o File duplikat
o C:\WINDOWS\Temp\Vel.exe
o C:\WINDOWS\Temp\Ngsys.exe
o C:\WINDOWS\Temp\rvshost.exe
o C:\WINDOWS\Temp\system31.exe
o C:\WINDOWS\Temp\userint.exe
o C:\WINDOWS\Temp\windxp.exe
o C:\WINDOWS\Temp\winzipt.exe
o C:\Documents and Settings\%user%\Local Settings\Temp\Ngsys
o C:\Documents and Settings\%user%\Local Settings\Temp\runer
o C:\Documents and Settings\%user%\Local Settings\Temp\rvshost
o C:\Documents and Settings\%user%\Local Settings\Temp\system31
o C:\Documents and Settings\%user%\Local Settings\Temp\userint
o C:\Documents and Settings\%user%\Local Settings\Temp\vel
o C:\Documents and Settings\%user%\Local Settings\Temp\windxp
o C:\Documents and Settings\%user%\Local Settings\Temp\winzipt

6. Untuk pembersihan secara optimal, gunakan Norman Virus Control yang sudah terupdate dan sudah dapat mengenali virus ini dengan baik.

Tidak ada komentar: