Member baru? Bingung? Perlu bantuan? Silakan baca panduan singkat untuk ikut berdiskusi.

User

Welcome to Forum Sains Indonesia. Please login or sign up.

April 20, 2024, 04:51:35 AM

Login with username, password and session length

Topik Baru

Artikel Sains

Stats

Anggota
Stats
  • Total Tulisan: 139,653
  • Total Topik: 10,405
  • Online today: 188
  • Online ever: 1,582
  • (Desember 22, 2022, 06:39:12 AM)
Pengguna Online
Users: 0
Guests: 159
Total: 159

Aku Cinta ForSa

ForSa on FB ForSa on Twitter

[Remover] Virus Bulu Bebek

Dimulai oleh insan sains, Mei 01, 2009, 04:23:56 PM

« sebelumnya - berikutnya »

0 Anggota dan 1 Pengunjung sedang melihat topik ini.

Cetak
Turun Halaman1
User actions

insan sains

Mei 01, 2009, 04:23:56 PM
Tadi pagi temen saya datang ke rumah. Bawa berita besar (menurutnya). Flash disknya kena virus. Katanya file-file penting di flashdisknya hilang. Sebenarnya saya sudah lama gak maen-maen lagi dgn virus sejak dua tahun yg lalu menggunakan Linux. Tapi sebagai seorang teman, saya coba usahakan sebisa saya. Flash disknya saya "colokin" ke notebook Ubuntu saya. Dan taraaaaaaaaa.... ternyata ada sebuah file menclok di sana, yang namanya "Bulu bebek.exe". File inilah masalahnya. Dan ternyata file-file (dan juga folder) yang teman saya cari ini masih ada. Jadi saya simpulkan, si virus ini hanya meng-hidden file saja. Setelah saya explore dengan Ubuntu. Dan saya delete-delete file-file yang mencurigakan (sbg virus). Serta meng-aktifkan kembali atribut semula (menghilangkan attribut hidden). Akhirnya file-file tersebut bisa dibaca kembali di komputer Windows.

Jika yang kena adalah flash disk, solusinya mungkin gampang. Tapi gimana kalo yang kena adalah PC kita? Nah.. karena saya gak pakai Windows, saya copy paste saja dari link yang cukup kompeten di masalah ini.

--------------------------------------------------------------------------------------------------------------------

Bulubebek dibuat menggunakan Visual Basic dengan ukuran file sebesar 53 KB (lihat gambar 1) yang terdiri dari 2 jenis file yakni .EXE dan .INI. Dengan update terbaru Norman Virus Control dan Norman Security Suite telah mendeteksi virus ini sebagai VbWorm.QXE (lihat gambar 2)


Gambar 1, File induk virus


Gambar 2, Hasil deteksi Norman Security Suite


File Induk
Pada saat virus ini aktif ia akan membuat sejumlah file yang akan dijalankan pertama kali pada saat komputer dinyalakan serta membuat file autorun.inf agar virus tersebut dapat aktif secara otomatis setiap kali user akses folder. Berikut beberapa file induk yang akan dibuat oleh VBWorm.QXE

    * C:\Windows\Script.exe
    * C:\Windows\LSASS.exe
    * C:\Documents and Settings\%user%\autorun.inf
    * C:\Documents and Settings\%user%\bulubebek.ini
    * C:\bulubebek.ini
    * C:\autorun.inf

Auto start registry
Untuk memastikan agar file tersebut dapat dijalankan, ia akan membuat string pada registry berikut:

    * HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
          o Shell = explorer.exe script.exe
    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
          o Shell = explorer.exe script.exe

Blok Fungsi Windows
Sebagai bentuk pertahanan ia akan mencoba untuk blok beberapa fungsi Windows seperti Task Manager, Folder Option atau CMD. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\HideFileExt
- CheckedValue=2
- DefaultValue = 2
- UncheckedValue = 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
- CheckedValue= 0
- DefaultValue = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
- CheckedValue= 2
- DefaultValue = 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPath
- CheckedValue= 0
- DefaultValue = 0
- UncheckedValue = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPathAddress
- CheckedValue= 0
- DefaultValue = 0
- UncheckedValue = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden
- CheckedValue= 2
- DefaultValue = 2
- UncheckedValue = 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
- CheckedValue= 1
- DefaultValue = 1

KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden
- CheckedValue= 0
- DefaultValue = 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFolderOptions

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- Hidden = 2
- HideFileExt = 1
- ShowSuperHidden = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
    * AutoRun = exit

HKEY_CURRENT_USER\Software\Microsoft\Command Processor
    * AutoRun = exit

Ia juga akan mencoba blok eksekusi file "Microsoft Visual Studio Spy Debugging Tools" yang mempunyai nama file SPYXX.exe dengan menampilkan pesan berikut saat file tersebut di eksekusi dengan terlebih dahulu membuat string pada registry berikut : (lihat gambar 3)

    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPYXX.EXE
                + debugger = TAI BEBEK


Gambar 3, Pesan Error saat menjalankan file Spyxx.exe


Penyebaran otomatis

Flash Disk adalah salah satu media yang akan digunakan untuk menyebarkan dirinya dengan memanfaatkan celah autorun Windows yakni dengan membuat file autorun.inf dan bulubebek.ini (lihat gambar 4)


Gambar 4, Script yang terdapat pada file autorun.inf


Hidden folder dan membuat duplikat folder

Tidak seperti virus lain yang jahat menginjeksi atau menghancurkan file komputer korbannya, pembuat Bulu Bebek ini kelihatannya tidak memiliki niat jahat menghancurkan data komputer korbannya. Bulubebek akan mencoba untuk menyembunyikan folder/subfolder pada flash disk, untuk mengelabui user ia akan membuat file duplikat disetiap folder/subfolder sesuai dengan nama older/subfolder tersebut. File duplikat ini mempunyai ciri-ciri : (lihat gambar 5)

    * Menggunakan icon Folder
    * Ukuran file 53 KB
    * Ekstensi EXE
    * Type File "Application


Gambar 5, File duplikat yang dibuat oleh VBWorm.QXE / bulubebek
Menuju Indonesia sebagai THE COUNTRY MASTER OF TECHNOLOGY, 2030

insan sains

#1
Mei 01, 2009, 04:24:41 PM
Membersihkan virus Bulubebek

   1. Sebaiknya putuskan komputer yang akan dibersihkan dari jaringan (jika terhubung ke LAN)
   2. Disable "System Restore" untuk sementara selama proses pembersihan berlangsung (jika menggunakan Windows ME/XP)
   3. Matikan proses virus yang sedang aktif di memori, untuk mematikan proses virus ini gunakan tools penggganti taks manager seperti procexp, kemudian matikan proses virus yang mempunayi icon "Folder". (lihat gambar 6)


Gambar 6, Mematikan proses virus yang aktif dimemory

   4. Repair registry Windows yang sudah di ubah oleh virus. Untuk mempercepat proses tersebut salin script dibawah ini pada program notepad kemdian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:

          o Klik kanan repair.inf
          o Klik Install

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Command Processor, AutoRun,0,
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue, 0x00010001,2
HKCU, Software\Microsoft\Command Processor, AutoRun,0,

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAYXX.exe
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\HideFileExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPath
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPathAddress
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

   5. Cari dan hapus file duplikat yang dibuat oleh virus. Untuk mempercepat proses pencarian sebaiknya gunakan fungsi "Search Windows" dengan terlebih dahulu menampilkan file yang disembunyikan. (lihat gambar 7)


Gambar 7, Menampilkan file yang disembunyikan

Jika Folder Option belum muncul sebaiknya LogOff komputer terlebih dahulu kemudian tampilkan file yang tersebunyi.

Setelah file duplikat ditemukan, hapus file yang mempunyai ciri-ciri : (lihat gambar 8)

                + Menggunakan icon Folder
                + Ukuran file 53 KB
                + Ekstensi EXE
                + Type File "Application


Gambar 8, Mencari dan menghapus file duplikat Bulubebek

   6. Tampilkan kembali file/folder pada Flash Disk yang sudah disembunyikan. Untuk menampilkan file yang disembunyikan anda dapat menggunakan bebarapa tools alternatif seperti Batch File Utility atau dengan menggunakan perintah ATTRIB

Berikut cara menampilkan file/folder yang disembunyikan dengan menggunakan ATTRIB (lihat gambar 9)

    * Klik "Start"
    * Klik "Run"
    * Ketik "CMD", kemudian tekan tombol "Enter"
    * Pindahkan posisi kursor ke drive Flash Disk
    * Kemudian ketik perintah ATTRIB –s –h –r /s /d kemudian tekan tombol "enter"


Gambar 9, Menampilkan file yang disembunyikan

   7. Untuk pembersihan optimal dan mencegah infeksi ulang scan, dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini.

Aj Tau


PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160

Sumber : [pranala luar disembunyikan, sila masuk atau daftar.]

---------------------------------------------------------------------------------------------------------

Bagi yang sudah nyobain langkah2 diatas, tolong di bagi-bagi hasilnya yaaaa...!!!
Menuju Indonesia sebagai THE COUNTRY MASTER OF TECHNOLOGY, 2030
Cetak
Naik Halaman1
User actions