| Author |
Message |
|
|
Post subject: INFO3  Posted: Mar 28, 2006 - 08:02 AM |
|
Member Aktif III
Joined: 08-12-05
Posts: 103
|
|
W32/Codex.A - E
Apakah pembuat Codex korban AIDS ?
Jika sebelumnya Smal.KI [Blackmall.E] menyebar dan mencapai puncaknya pada tanggal 3 bulan Februari dimana ia akan mencoba untuk menulis ulang semua file Office [Ms.Word, MS. Excel dan MS. Power Point] dan file-file yang dikompresi dengan menggunakan WINZIP [ZIP] dan WINRAR [RAR] dengan menambahkan kode tertentu pada file tersebut, sehingga file yang telah diubah oleh virus akan mempunyai ukuran 1 KB, dengan kemampuan menyebar melalui email dan LAN/WAN virus ini berhasil menyebar dengan sukses.
Virus ini dapat menyebar melalui email dan menyebar melalui jaringan dengan memanfaatkan Default share Windows seperti C$, ADMIN$, disamping itu Small.KI akan mencoba untuk menghapus file dengan ext EXE dan .DLL dari setiap program antivirus yang sudah masuk dalam “daftar hitam” seperti Symantec, Trendmicro, Mcaffe atau Kaspersky sehingga antivirus tersebut tidak dapat berfungsi dengan baik.
Jika ditanya virus apa yang baik ? Jawabannya tentu Anda pasti akan tahu, karena sebenarnya virus dibuat oleh sekelompok orang dengan tujuan “biasanya” negatif. Baru-baru ini telah muncul satu jenis virus baru, dimana virus ini dibuat dengan menggunakan bahasa Visual Basic dengan ukuran 308 KB atau 248KB dan kemungkinan produksi dalalm negeri.
Untuk virus dengan ukuran 308 KB [Norman mendeteksi sebagai W32/Codex.E] sedangkan untuk virus dengan ukuran 248 KB [Norman mendeteksi sebagai W32/Small.KL], sebenarnya kedua jenis virus tersebut mempunyai karakteristik yang sama, sehingga dapat dipastikan bahwa virus tersebut adalah satu jenis yaitu W32/Codex [walaupun memang ada perbedaaan pada nama file yang dibuat] dan kemungkinan besar Codex sudah mengeluarkan varian-varian lainnya. (Lihat Gambar 1)
Gambar 1, Norman sudah mendeteksi Codex sampai varian ke 5 sejak awal Februari 2006
Untuk mengelabui user codex akan menyamarkan icon yang digunakan [menggunakan icon MS Word], tetapi sebenarnya merupakan file aplikasi hal ini dapat dilihat dari type file tersebut [sebagai application]. Pada varian awalnya virus ini tidak berbahaya karena tidak menyentuh data, virus ini hanya akan menampilkan beberapa pesan yang bersifat moral contohnya tantang AIDS/HIV serta kata-kata mutiara lainnya yang ditampilkan dalam format HTML.
Pada saat file ini dijalankan ia akan menampilkan message box yang berisi EULA [Perjanjian], jadi jika anda klik [OK] dan “sialnya” anda tidak diberi pilihan lain kecuali klik tombol [OK] karena hanya tombol ini yang tersedia  , hal ini menunjukkan bahwa Codex berusaha belajar dari perusahaan Software dengan Eulanya, tetapi cara yang dipakai Aming (Extravaganza) ..... ngaco.
Gambar 2, OK atau OK ??
Jika pesan tersebut muncul dan Anda telah menyetujui, maka codex akan mulai menjalankan aksinya.
Codex akan membuat beberapa file induk yang akan dijalankan pertama kali ketika komputer dinyalakan yaitu:
Jika file tersebut mempunyai ukuran sebesar 308 KB [Codex.E] maka ia akan membuat file
C:\Documents and Settings\%User%\My Documents
PiecesOfThePeace.exe
LoveOfYourLife.exe
LiveForever.exe
PiecesOfThePeace.html [ukuran file 13 KB]
LoveOfYourLife.html [Ukuran flile 2 KB]
· C:\NeverStop.exe
· C:\Windows\inf\CouldNotBreak.exe
· C:\Windows\Media\EverComes.scr
Selain itu Codex juga akan membut folder !Submit pada direktori [C:\] , dimana folder ini berisi 2 buah file dengan nama
liveforever.exe
loveofyourlife.exe (lihat gambar 3)
Gambar 3, File induk yang dibuat oleh Codex.E
Sedangkan jika file virus tersebut mempunyai ukuran 248 [Small.KL] maka ia akan membuat file didirektori
C:\Documents and Settings\%User%\My Documents
AllMyLifeToLive.exe [248 KB]
LiveForever.exe [248 KB]
WelcomeToSystem.exe [248 KB]
AllMyLifeToLive.html [2 KB]
WelcomeToSystem.html [ 16 KB]
· C:\StillAlive.exe
· C:\windows\temp\NewName.BAT
· C:\!Submit (lihat gambar 4)
Gambar 4, File induk yang dibuat oleh Small.KL
Agar file tersebut langsung dijalankan Codex akan membuat string pada registry key:
Codex .E [308 KB]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
YourUnintendes = C:\NeverStop.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets
BornToPeace
ServiceOurLife
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
SvrsShell
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
NtfsCDR
Small.KL [248 KB]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ToBeFree
YourUnintended
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets
IwillSurvive
ThinkDifferent
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
Crlxss
Sebagai pendukung Codex juga akan menambahkan beberapa option pada menu startup [msconfig] yang akan dijalankan pertama kali ketika komputer dinyalakan.
NeverStop [Codex.E]
LiveForever [Codex.E dan Small.KL]
StillAlive [Small.KL] (lihat Gambar 5)
Gambar 5, Beberapa tambahan yang dilakukan Codex pada Start Menu
Untuk memperlancar aksinya Codex akan membuat string lain dengan tujuan untuk menyembunyikan file yang telah dibuatnya
ShowSuperHidden=0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Codex juga akan merubah string pada registry dengan tujuan untuk merubah halaman WEB pada Internet Explorer sebagai Default WEB dan merubah judul dari Internet Explorer.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Start Page= C:\Documents and Settings\Administrator\My Documents\PiecesOfThePeace.html [Codex.E]
Start Page= C:\Documents and Settings\Administrator\My Documents\ WelcomeToSystem.html [Small.KL]
Window Title= Presented By CODE-X [Codex. A dan Small.KL]
Gambar 6, Default page IE yang sudah diubah CODEX menjadi perkenalan pada AIDS
Task Manager/Msconfig/Registry Editor
Untuk varisn awal Codex tidak sampai mematikan ketiga fungsi tersebut atau tools-tools lain yang biasa digunakan untuk mematikan proses virus, tetapi walaupun demikian virus ini cukup sulit untuk dibersihkan karena proses dari virus tersebut “sulit dimatikan “ sehingga perlu dilakukan cara lain untuk membasmi virus tersebut, jika pada varian awalnya saja sudah cukup merepotkan apalagi jika Mpunya virus mengeluarkan varian baru, pasti akan lebih sulit lagi L.
Aktif di mode “safe mode” dan “safe mode with command prompt”
Rupanya banyak virus lokal yang menggunakan trik yang digunakan oleh Rontokbro sehingga untuk memastikan mereka [virus] dapat tetap aktif baik di mode”safe mode” ataupun dimode “safe mode with command prompt”. Agar Codex dapat aktif dimode “safe mode” ia akan merubah string pada registry key:
Shell=explorer.exe C:\NeverStop.exe [Codex.E]
Shell=explorer.exe C:\StillAlive.exe [Small.KL]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Sedangkan agar Codex aktif di mode “safe mode with command prompt” ia akan membuat perubahan pada registry key:
AlternateShell = C:\NeverStop.exe [Codex.E]
AlternateShell = C:\StillAlive.exe [Small.KL]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
MISI Kemanuasiaan CODEX
Dari hasil pengetesan, untuk varian awal tidak telalu berbahaya virus ini dibuat lebih pada kegiatan sosial, artinya mencoba untuk berkampanye atau menyerukan kata-kata mutiara. Tetapi jika ada suatu program [antivirus] yang berusaha untuk membasi mereka [virus] kemungkinan Mpunya virus juga akan bereaksi dengan mengeluarkan varian baru yang bisa saja akan lebih “ganas” dibandingkan varian awal, hal ini dipertegas dengan pernyataan mereka [Red:pembuat virus] yang isinya antara lain:
“Best Variant Will Be Released (As SOON As I Can)”
Setiap kali komputer dinyalakan Codex maupun Small.KL akan menampilkan satu pesan yang berisi kata-kata mutiara seperti contoh dibawah ini: (Gambar 7)
Gambar 7, Message of the day yang ditampilkan oleh Codex, selera desainnya konservatif tapi lumayan
Gambar 8, Codex memperkenalkan komputer korbannya dengan AIDS
Modifikasi System Properties My Computer
Sebagai pelengkap Codex akan sedikit melakukan perubahan pada system properties My Computer dengan menambahkan informasi lain yang berisi:
- Manufactured and supported by CODE-X
- Model = Never Stop
Dengan menyertakan sebuah logo dengan nama CODEX, lihat gambar dibawah
Gambar 9, Logo Codex pada System Properties
Untuk melakukan hal tersebut Codex akan membuat 2 buah file [hidden] pada direktori C:\Windows\%System%\, yaitu:
- oeminfo.ini
- oemlogo.bmp
Catatan: C:\Windows\%System32%\ adalah berbeda-beda
- C:\Wiindows\system [ME/98]
- C:\Winnt\System32 [NT/2000]
- C:\Windows\System32 [XP/2003]
Cara mengatasi W32.Codex Secara Manual
Jika mengunakan Windows ME/XP, matikan system restore untuk sementara selama proses pembersihan
Matikan proses dari virus tersebut, agar proses dari virus tersebut dapat dimatikan rename [ubah] nama file msvbvm60.dll yang berada didirektori [C:\Windows\System32] terlebih dahulu [untuk sementara] menjadi nama file lain [contoh : msvbvm60.dll1] hal ini dilakukan karena proses dari virus tersebut tidak dapat dimatikan baik menggunakan Task Manager, perintah Taskkill maupun menggunakan tools lainnya [seperti: ProceeXP]. Setelah itu matikan proses virus tersebut diantaranya:
Codex.E
LiveForever.exe
PiecesOfThePeace.exe
LoveOfYourLife.exe
Small.KL
WelcomeToSystem.exe
AllMyLifeToLive.exe
LiveForever.exe
Hapus string yang dibuat oleh Codex pada registry key.
Untuk lebih cepat tulis script dibawah ini pada program notepad kemudian simpan menjadi nama repair.inf setelah itu jalankan file tersebut [klik kanan nama file kemudian pilih [install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, BornToPeace
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, ServiceOurLife
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, YourUnintendes
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, YourUnintended
HKLM, SYSTEM\ControlSet001\Services\SvrsShell
HKLM, SYSTEM\ControlSet001\Services\NtfsCDR
HKCU, Software\Microsoft\Internet Explorer\main, window title
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, ToBeFree
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, YourUnintended
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, IwillSurvive
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, ThinkDifferent
HKLM, SYSTEM\ControlSet001\Services\crlxss
Hapus file yang dibuat oleh virus
Ø Codex.E
C:\Documents and Settings\%User%\My Documents
PiecesOfThePeace.exe
LoveOfYourLife.exe
LiveForever.exe
PiecesOfThePeace.html
LoveOfYourLife.html
C:\NeverStop.exe
C:\Windows\inf\CouldNotBreak.exe
C:\Windows\Media\EverComes.scr
C:\!Submit
Ø Small.KL
C:\Documents and Settings\%User%\My Documents
AllMyLifeToLive.exe
LiveForever.exe
WelcomeToSystem.exe
AllMyLifeToLive.html
WelcomeToSystem.html
C:\StillAlive.exe
C:\windows\temp\NewName.BAT
C:\!Submit
Hapus file oeminfo.ini dan oemlogo.bmp pada direktori C:\Windows\%System%\
Untuk pembersihan secara optimal gunakan antivirus yang sudah mendeteksi virus ini dengan baik.
Setelah memastikan komputer Anda bersih dari virus ini, rename kembali file msvbvm60.dll1 menjadi msvbvm60.dll
Catatan: sebagai langkah “preventif” agar virus yang dibuat dengan menggunakan Visual Basic tidak menyerang komputer Anda, rename file msvbvm60.dll, tetapi jika anda mengubah nama file tersebut bukan saja virus [yang dibuat menggunakan VB] yang tidak akan aktif tetapi juga program yang dibuat dengan menggunakan Visual Basic/program yang memerlukan file tersebut untuk mengaktifkan dirinya.
Jika Anda terinfeksi virus Codex varian baru, dan tidak dapat dibersihkan dengan langkah-langkah yang telah kami sertakan silahkan kirim sample virus tersebut ke alamat virus@vaksin.com dan cc ke teknisi@vaksin.com untuk kami analisa (AJT)
salam,
PT. Vaksincom
Jl. Tanah Abang III /19 E
Ruko Tanaga Mas
Jakarta 10160
Telp : 62-21-3456 850 |
|
|
| |
|
|
|
 |
|
|
| |
|
Register 
Lost Password 
Log-in : :
FAQ
Search
Register
Log in to check your private messages
Log in
