Virus Fullhouse, AutoRun.GUB
Han Ji Eun menyembunyikan data anda ?
Tidak seperti kebanyakan virus lokal yang sibuk menggunakan artis Indonesia sebagai sarana rekayasa sosial guna mengelabui calon korbannya agar menjalankan file virus, virus yang satu ini justru terinspirasi oleh film seri Korea FullHouse. Dan sebagai informasi Han Ji Eun bukan saudaranya Dong Yang (merek eskalator) melainkan pemeran utama dalam seri tersebut, kalau film Fullhouse di ibaratkan flim Transformer ... kira-kira Han Ji Eun ini seperti peran Optimus Prime. Ciri khas virus ini adalah membuat satu drive tambahan dengan nama FullHouse Drive, apakah pembuat virus ini memiliki tujuan untuk membantu mempopulerkan film FullHouse di Indonesia, yang jelas tindakan ini termasuk ke dalam tindakan kurang bertanggung jawab dan tidak layak di tiru. Jika anda memiliki kemampuan programming yang tinggi, Vaksincom menyarankan anda untuk menjaga integritas anda, karena meskipun anda programmer yang sangat hebat dengan integritas yang diragukan akan sulit sekali mencari kerja karena integritas merupakan harga mati di dunia kerja.
Meskipun FullHouse bukan tergolong virus baru di
Norman Security Suite mendeteksi virus FullHouse sebagai AutoRun.GUB (lihat gambar 1)
Gambar 1.
FullHouse memiliki ciri diantaranya sebagai berikut :
v Mempunyai ukuran file sebesar “168 kb” dengan “Date Modified” 07-08-2009
v Tipe file “File Folder” yang sebenarnya adalah “Application” dengan teknik memanipulasi registri
v Berekstensi file “.exe” yang tidak terlihat karena virus ini menambahkan string “NeverShowExt” pada registry sehingga extesions file tidak ditampilkan
v Menggunakan icon folder
v Membuat drive tambahan dengan nama “FullHouse Drive” pada Desktop, My Computer dan Contol panel (lihat gambar 2)
Gambar 2. AutoRun.GUB membuat drive dengan nama FullHouse Drive
v Jika drive tersebut di klik akan menampilkan foto artis cantik pemeran dalam serial Fullhouse (lihat gambar 3)
Gambar 3. Foto Han Ji Eun akan ditampilkan ketika
Teknik Infeksi
ü Jika file virus berhasil aktif maka akan membuat file induk pada direktori C:\RECYCLER (lihat gambar 4)
Gambar 4. File induk yang dibuat oleh virus Fullhouse
ü Menyembunyikan folder pada setiap Removable Disk (flashdisk, hdd external, etc.) virus ini membuat duplikat folder sesuai dengan nama folder yang telah disembunyikannya dengan tujuan mengelabuhi user agar mengaktifkan virus. (lihat gambar 5)
Gambar 5. Membuat duplikat folder untuk mengelabuhi user
Teknik Pertahanan
M Agar tetap dapat berjalan di proses tanpa diketahui korbannya virus ini memblok Regedit dan Task Manager dengan teknik yang cukup unik yaitu menjalankan kedua aplikasi ini terlebih dahulu di background sehingga jika user membuka fungsi tersebut akan muncul pesan error (lihat gambar 6)
Gambar 6. Blocking fungsi registry windows
M Untuk dapat berjalan otomatis pada saat komputer dihidupkan, virus menyisipkan string pada registri sehingga akan langsung aktif ketika masuk windows
Ø HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, Task Manager
Ø HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, Manager Task
String registry tersebut memanggil file induk yang berada pada direktori (lihat gambar 7)
ü C:\RECYCLER\S-1-5-21-1202660629-412668190-725345543-500\smss.exe
Gambar 7. File induk yang aktif pada saat masuk windows
Teknik Penyebaran virus
ü Membuat duplikat file virus pada media removable disk (flashdisk, external disk) dengan menyembunyikan (hidden) folder asli dan menggantinya dengan file virus yang memiliki icon folder sehingga user akan mengira membuka folder tetapi sebenarnya mengaktifkan file virus.
Cara Mengatasi virus
ð Scan file virus yang berada pada direktori C:\RECYCLER dengan antivirus yang sudah dapat mendeteksi virus ini dengan baik. Vaksincom menggunakan Norman Security Suite. (lihat gambar 8)
Gambar 8, Gunakan Norman Security Suite untuk mendeteksi dan membasmi virus FullHouse.
ð Setelah selesai scan terdapat file virus dengan status file delete (defered) artinya file akan di hapus ketika windows restart
ð Klik tombol Clean lalu Close pada saat itu juga Norman Security Suite akan meminta komputer untuk restart (lihat gambar 9)
Gambar 9, Deffered Delete merupakan fitur Norman untuk membasmi virus yang membandel dan sulit di delete.
ð Untuk menormalkan kembali registri yang telah dibuat oleh virus buka Notepad lalu copy script di bawah
[Version]
Signature="$
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=
[UnhookRegKey]
HKCR, batfile\shell\open\command,,,"""%1"" %*"
HKCR, comfile\shell\open\command,,,"""%1"" %*"
HKCR, exefile\shell\open\command,,,"""%1"" %*"
HKCR, piffile\shell\open\command,,,"""%1"" %*"
HKCR, lnkfile\shell\open\command,,,"""%1"" %*"
HKCR, scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
HKLM, SOFTWARE\Classes\exefile\DefaultIcon,,,""%1""
HKLM, SOFTWARE\Classes\exefile,,,"Application"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
[
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, Task Manager
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, Manager Task
HKCR, exefile, NeverShowExt
HKCR, CLSID\{10020D75-0000-0000-C000-000000000000}
HKLM, SOFTWARE\Classes\CLSID\{10020D75-0000-0000-C000-000000000000}
ð Simpan dengan nama “repair.inf” pilih Save As Type menjadi All Files
ð Jalankan repair.inf dengan klik kanan kemudian pilih install
ð Hapus file yang dibuat oleh virus dengan ciri berikut :
§ Type file “application”
§ Extension “exe”
§ Ukuran 168 kb
ð Untuk mempermudah proses pencarian file virus gunakan "Search Windows" dengan filter file *.exe yang mempunyai ukuran 168 KB dan date modified pertanggal 7/8/2008 (lihat gambar 10)
Gambar 10. Hapus file virus dengan menggunakan search windows
ð Selanjutnya hapus “FullHouse Drive” pada Desktop, My Computer dan Contol Panel
Gambar 10. Hapus fullhouse drive pada Desktop, My Computer dan Contol Panel
Recovery Folder pada Flash Disk yang telah di Hidden
Untuk menampilkan kembali folder yang disembunyikan pada flashdisk. Gunakan perintah “ATTRIB” pada command prompt.
§ Klik “Start”
§ Klik “Run”
§ Ketik “CMD”, kemudian tekan tombol “Enter”
§ Pindahkan posisi directori ke drive Flash Disk, misalkan E maka ketik perintah E: lalu tekan “enter”
§ Kemudian ketik perintah ATTRIB –s –h –r /s /d kemudian tekan tombol “enter (lihat gambar 11)
Gambar 11. Menampilkan file yang disembunyikan
Tidak ada komentar:
Posting Komentar