W32.VBInject.MF
Jangan Bunuh Saya Biarkan Saya Hidup Di Komputer Anda.
Saya Sudah Tidak Punya Tempat Lagi Untuk Hidup. Saya Tidak Menggagu System Anda Terima Kasih.
Salam Bocah Ndeso.
Sragen L0r0471 Community
Saya Sudah Tidak Punya Tempat Lagi Untuk Hidup. Saya Tidak Menggagu System Anda Terima Kasih.
Salam Bocah Ndeso.
Sragen L0r0471 Community
Kalau Michael Learns To Rock patah hati lantas menyanyikan lagu 25 minutes yang oleh sebagian penggemarnya lagunya di dengarkan sambil airmatanya bercucuran karena simpati sama nasibnya si Michael yang malang. (bukan nama tempat). Lain lagi pembuat virus, kalau dia patah hati, maka dia membuat virus yang terkadang membuat korbannya bercucuran airmata karena meratapi nasib datanya yang malang. Kali ini adalah pembuat virus patah hati dari Sragen (nama tempat) yang nasibnya mirip-mirip dengan Michael.
Walaupan penyebaran virus beberapa bulan ini masih di dominasi oleh virus mancanegara, tetapi bukan berarti “tangan-tangan jahil” berhenti berkreasi membuat virus, tema yang di usungpun tidak terlepas dari ciri khas yang selalu melekat pada virus lokal yakni seputar kisah asmara seperti yang dilakukan oleh salah satu virus lokal ini.
Walaupan penyebaran virus beberapa bulan ini masih di dominasi oleh virus mancanegara, tetapi bukan berarti “tangan-tangan jahil” berhenti berkreasi membuat virus, tema yang di usungpun tidak terlepas dari ciri khas yang selalu melekat pada virus lokal yakni seputar kisah asmara seperti yang dilakukan oleh salah satu virus lokal ini.
Virus ini mempunyai ukuran yang cukup besar sekitar 232 KB dengan tetap mengusung program Bahasa Visual Basic. Untuk mengelabui user ia akan menyertakan sebuah icon 
dengan tipe file “Application”serta menyamarkan dirinya sebagai sebuah program permainan (GameHouse) dari “KraiSoft Entertainment”. (lihat gambar 1)
dengan tipe file “Application”serta menyamarkan dirinya sebagai sebuah program permainan (GameHouse) dari “KraiSoft Entertainment”. (lihat gambar 1)
Gambar 1, File induk W32/VBInject.MF
Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai W32/VBInject.MF (lihat gambar 2) sedangkan Dr.Web antivirus mendeteksi virus ini sebagai W32.HLLW.Autoruner.37884 (lihat gambar 3)
Gambar 2, Deteksi Norman Security Suite
Gambar3, Hasil Scan Dr.Web antivirus
Secara umum, virus ini tergolong virus jinak karena tidak melakukan perusakan terhadap data, tetapi virus ini cukup merepotkan dan menyebabkan komputer korban menjadi lambat karena ia akan mengaktifkan dirinya serta menampilkan pesan secara otomatis pada waktu yang telah ditentukan. Sebagai bentuk pertahanan ia akan mematikan beberapa fungsi Windows yang terkenal seperri Task Manager, Regedit, System Restore ataupun Folder Options serta blok akses Safe Mode serta Safe Mode with Command Prompt. Hal yang melegakan karena virus ini tidak akan menyembunyikan atau menghapus file baik yang berada di Hard Disk maupun di Flash Disk.
File induk virus
Pada saat virus tersebut menginfeksi komputer korban, ia akan membuat beberapa file induk berikut yang akan dijalankan secara otomatis pada saat komputer diaktifkan.
Berikut beberapa file yang akan dibuat oleh virus:
- C:\Windows\system32\Windows.vbs
- C:\windows\system32\oeminfo.ini
- %Drive%:\L0r0471.doc (%Drive%, menunjukan lokasi drive)
- C:\Documents and Settings\All Users\Desktop\L0r0471.doc
- C:\Windows\System32\4n174L0r0471.exe
- %Drive%:\SexyGame.exe dan autorun.inf (%Drive%, menunjukan lokasi drive)
Registry Windows
Agar file tersebut dapat di aktifkan secara otomatis pada saat komputer di aktifkan, ia akan membuat string pada registri berikut:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- WindowsProtect = C:\Windows\System32\4n174L0r0471.exe
- WindowsUpdate = C:\Windows\System32\Windows.vbs
Blok fungsi windows
Sebagai pertahanan agar tidak mudah dibasmi oleh user, ia akan berupaya untuk blok beberapa fungsi Windows seperti Task Manager, CMD, System Restore, Folder Options, Regedit atau RUN dengan membuat beberapa string pada registry berikut:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFind
- NoFolderOptions
- NoRun
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
o DisableRegistryTools
o DisableTaskMgr
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
o DisableMSI
o LimitSystemRestoreCheckpointing
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
o DisableConfig
o DisableSR
Selain menghilangkan menu “Folder Options”, ia akan mempersulit user untuk menampilkan file yang tersembunyi sehingga semakin mempersulit untuk menghapus file induk virus tersebut, untuk melakukan hal ini ia akan melakukan perubahan pada registry berikut:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
- CheckedValue = 0
- DefaultValue = 0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
- CheckedValue = 1
- DefaultValue = 1
Aktif pada pada mode “Safe Mode with Command Prompt”
Pembersihan pada mode “Safe Mode atau Safe Mode with Command Prompt” bukan merupakan jaminan dapat melumpuhkan virus tersebut karena metode tersebut sudah diketahui oleh pembuat virus sehingga dapat diatasi dengan melakukan perubahan pada string registri sehingga virus akan tetap aktif walaupun komputer boot pada mode “safe mode” atau “safe mode with command prompt”
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
- AlternateShell = C:\Windows\System32\4n174L0r0471.exe
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
- AlternateShell = C:\Windows\System32\4n174L0r0471.exe
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
- AlternateShell = C:\Windows\System32\4n174L0r0471.exe
Blok akses Safe mode
Tidak tanggung-tanggung, virus ini juga akan blok akses safe mode dan safe mode with command prompt dengan menghapus beberapa registri berikut
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys\
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys\
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys\
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys\
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys\
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys\
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys\
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys\
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys\
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys\
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys\
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys\
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys\
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys\
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys\
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys\
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys\
Pesan
Seperti yang kita ketahui, virus lokal sangat kental dengan masalah “asmara” yang biasanya akan disampaikan dalam bentuk pesan-pesan yang akan ditampilkan pada waktu yang telah ditentukan. Begitupun yang dilakukan W32/VBInject.MF yang akan menampilkan pesan baik pada saat komputer booting atau pada waktu yang telah ditentukan. Untuk menampilkan pesan tersebut, ia akan menjalankan file yang berada di direktori “C:\Windows\system32\Windows.vbs”. (lihat gambar 4 dan 5)
Gambar 4, pesan yang di tampilkan pada saat booting
Titip Salam buat RIDWAN DAN NITA.
Selamat Buat Kalian Berdua Semoga Bahagia Sepanjang Masa Bahagia Dunia Akherat.
Buat RIDWAN Jaga Dia Baik-baik Jangan Kecewakan Dia, Awas Kalau Macam-macam, Jangan Nyerah.
Buat Anita D.N. Jadilah Istri Yang Baik, Patuh Terhadap Suami, Setia, Satu Lagi NRIMO.
Buat Kalian Berdua Tidak Usah Kawatir Aku Bukan Orang Yang Suka Mengganggu Pasangan Orang Lain Tenang Saja.
Meskipun Masih Pacaran Atau Belum Ada JANUR MELENGKUNG.
Gambar 5, Pesan yang akan ditampilkan oleh W32/VBInject.MF pada waktu yang telah ditentukan
Selain menampilkan pesan di atas, ia juga akan meninggalkan jejak lain dengan menambahkan informasi pada system properties Windows [lihat gambar 6) dengan membuat file yang di simpan di direktori “C:\Windows\system32\oeminfo.ini”
Gambar 6, VBInject menambahkan informasi pada “system properties” Windows
Mengenang Tragedi Palang Sepor.
Selamat Buat Kalian Berdua Jadilah.
Yang Terbaik Semoga Bahagia Dunia Akherat.
Banyak Rejeki Banyak Anak Amin
Sragen, 21 Juli 2008
Good Luck !
Selain itu, ia juga akan membuat pesan yang akan di tuangkan pada sebuah file yang akan di simpan di beberapa tempat “%Drive%:\L0r0471.doc & C:\Documents and Settings\All Users\Desktop\L0r0471.doc (%Drive% menunjukan lokasi Drive) (lihat gambar 7)
Gambar 7, Pesan L0r0471 yang dituangkan dalam sebuah file
Media Penyebaran
Untuk menyebarkan dirinya, ia akan mengggunakan media flash disk (UFD) atau removable disk dengan membuat 2 buah file dengan nama file “SexyGame.exe” dan Autorun.inf. File Autorun ini sendiri digunakan untuk mengaktifkan file “SexyGame.exe” secara otomastis pada saat user mengakses “flash disk”. (lihat gambar 8)
Gambar 8, Isi script pada file Autorun.inf
Cara membasmi W32/VBinject.MF
- Putuskan komputer yang akan dibersihkan dari jaringan
- Matikan proses virus yang aktif di memori yang mempunyai nama “GameHouse” dengan menggunakan tools “Security Task Manager” (lihat Gambar 9). Silahkan download tools tersebut di alamat http://www.neuber.com/taskmanager/
Gambar 9, mematikan proses virus dengan menggunakan Security Task Manager
- Perbaiki registri Windows yang sudah diubah oleh virus. Untuk mempermudah proses perbaikan silahkan salin script di bawah ini pada program “notepad” kemudian simpan dengan nama REPAIR.INF.
Install file tersebut dengan cara : Klik kanan [REPAIR.INF] kemudian klik [Install]
Berikut script yang harus di copy
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, WindowsProtect
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, WindowsUpdate
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
- Agar komputer dapat booting safe mode dan safe mode command prompt kembali, salin script di bawah ini pada program “notepad” kemudian simpan dengan nama FIXSafeMode.reg. Jalankan file tersebut dengan cara klik ganda (klik 2x) file [FIXSafeMode.reg]
Berikut script yang harus di salin
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]
@="FSFilter System Recovery"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]
@="Driver"
- Hapus file virus. Untuk mempermudah penghapusan, sebelum menghapus file virus sebaiknya tampilkan file yang tersembunyi terlebih dahulu dengan cara:
a. Windows XP
· Buka [Windows Explorer]
· Klik menu [Tools]
· Klik [Folder Options]
· Klik tabulasi [View]
· Check list pada opsi [Show hidden files and folders]
· Hilangkan tanda check list pada opsi [Hide protected operating system files (Recommended)]
· Klik [Apply | OK]
b. Windows 7
· Buka [Windows Explorer]
· Klik [Organize]
· Klik [Folder and search options]
· Pada layar “Folder Options”, klik tabulasi [View]
· Check list opsi [Show hidden files, folders and drives]
· Hilangkan tanda check list pada opsi [Hide protected operating system files (Recommended)]
· Klik [Apply | OK] (lihat gambar 10)
Gambar 10, menampilkan file yang tersembunyi
Kemudian hapus file berikut:
· C:\Windows\System32\Windows.vbs
· C:\windows\System32\oeminfo.ini
· %Drive%:\L0r0471.doc (%Drive%, menunjukan lokasi Drive)
· C:\Documents and Settings\All Users\Desktop\L0r0471.doc
· C:\Windows\System32\4n174L0r0471.exe
· C:\SexyGame.exe dan Autorun.inf
Hapus juga file [SexyGame.exe] dan [Autorun.inf] pada Removble media (Flash Disk).
- Untuk pembersihan optimal scan dengan antivirus yang sudah terupdate dan mengenali virus ini dengan baik.
Anda juga dapat mendownload tools Norman Malware Cleaner dari antivirus Norman (http://www.norman.com/support/support_tools/malware_cleaner/) atau Dr.Web CureIt! (http://www.freedrweb.com/cureit/?lng=en)
