HATI-HATI! VIRGEAR MENGHAPUS SEMUA MP3!
“WAH, ada lagu Agnes Monica yang “Matahariku””, sahutDencu. Karena itu lagu kesenangannya, tanpa ragu ia punlangsung menjalankannya dengan cara mengklik ganda filetersebut. Namun apa yang terjadi, bukan lagu Agnes yang iadapatkan, tapi semua file MP3 beserta file video kesayangan miliknya hilang dalam sekejap. Kok bisa? Itu salah satu tandanya telah terinfeksi oleh Virgear.
Tipuan Virgear
Virgear memang virus biasa saja, artinya ia tidak memiliki teknikinfeksi yang kompleks seperti halnya yang dilakukan virus lama Brontok maupun Maxtrox yang baru–baru ini menyebar.
Virgear dibuat menggunakan Visual Basic. Sampai tulisan ini dibuat, terdapat tiga varian dari Virgear yang kami dapat. Varian pertama yang kami temukan memiliki ukuran fi le sebesar 16.896 bytes, yang kemungkinan besar di-pack menggunakan UPX dan di-scramble untuk menyembunyikan identitas dari packer yang digunakan. Yang kedua, memiliki ukuran fi le sebesar 49.152 bytes, murni tanpa di-pack. Dan yang ketiga, atau Virgear.C, memiliki ukuran sebesar 19.968, yang juga kemungkinan besar di-pack menggunakan UPX dan di-scramble seperti halnya varian pertama.
Yang akan coba dibahas kali ini adalah varian Virgear.A. Walaupun sebenarnya perbedaan dari setiap varian tidaklah terlalu signifikan, hanya di nama–nama fi le virus yang digunakan untuk menyebar. Dan satu hal yang tidak berubah antara varian yang satu dengan yang lainnya adalah icon yang digunakan. Ia menggunakan icon yang mirip dengan file .MP3 milik aplikasi WinAmp. Yang dilakukannya ini cukup banyak menipu para korbannya. Walaupun sebenarnya hal ini tidak perlu terjadi, jika Anda mampu membedakannya antara file asli dan file virus.
Bersarang di System
Ia akan meng-copy-kan beberapa file yang merupakan duplikat dari dirinya ke direktori yang ia beri nama system. Direktori ini terletak di bawah direktori System32 milik Windows. Pada direktori tersebut akan terdapat beberapa file dengan nama VirGear.exe, smss.exe, Gazette.exe, Gazerock.exe, dan Nugen. exe. Direktori system dan kelima file tersebut ber-attribut hidden dan system, jadi secara setting-an default Windows tidak akan terlihat oleh kasat mata. Lalu, kelima file itu akan ia jalankan.
Untuk dapat aktif otomatis, ia membuat beberapa item baru di Registry Run dengan nama seperti Winamps, Nullsoft, JetAduio, CoolEditV2, dan AdobeAudition. Nama yang dibuat memang terlihat mirip dengan nama beberapa aplikasi multimedia. Tentu saja ini bertujuan untuk tidak membuat user curiga.
Saat user menjalankan file virus, ia akan mencoba untuk membuka file Clock.avi yang secara default terletak pada direktoriWindows untuk dijalankan pada Windows Media Player. Pada rutin virusnya terlihat bahwa fungsi ini akan diaktifkan apabila virus dijalankan bukan pada direktori induknya, yakni system.
Matikan UAC
Untuk melancarkan aksinya ia mengeset registry untuk tidak menampilkan file hidden dan system, serta menyembunyikan setiap extension yang dikenali oleh Windows. Selain itu, fungsi windows lainnya seperti System Restore dan Find/Search juga ia disable. Serta, ia pun mencoba untuk mematikan UAC (User Account Control) yang ada pada Windows Vista. Walaupun sebenarnya, virus ini tidak dapat berjalan mulus di Vista pada user account selain administrator, tentu saja karena terbentur masalah privilages yang lebih ketat dibandingkan operating system sebelumnya, terkecuali memang Anda dengan sengaja menjalankan dengan perintah “Run as administrator”.
Matikan Virus Lain
Untuk menjadi penguasa tunggal di komputer terinfeksi, ia mencoba untuk mematikan virus lain dengan memasukkan nama file yang dikenal sebagai nama file induk virus tersebut pada Registry Image File Execution Options, seperti kspoold. exe, HokageFile.exe, atau HOKAGE4.exe. Selain itu, ia pun menambahkan beberapa nama file lain seperti Setup.exe, In-stall.exe, msiexec.exe, regedit.exe, dan juga nama file antivirus termasuk PCMAV-CLN.exe dan PCMAV-RTP.exe.
Selain itu, virus ini juga menghalau user untuk masuk dalam modus safe-mode, dengan menghapus setingan yang berkaitan ini di Registry.
Timer Penyebaran
Virus ini memiliki komponen Timer. Salah satunya komponen Timer yang ia namakan Penyebaran. Timer ini diset untuk memiliki interval sebesar 60000ms. Ia bertugas untuk membuat file induk dan menyebarkan diri ke setiap drive yang ia temukan, termasuk Remote Drive. Artinya, ia juga dapat menyerang drive yang di share pada jaringan setempat.
Pada saat menyerang removable drive ataupun remote drive, ia akan menciptakan dua buah fi le baru dengan nama Autorun.inf dan Winamps.exe dengan attribut hidden dan system. Selain itu, sebuah direktori baru dengan nama My Music 2008 juga akan diciptakan, pada direktori tersebut akan berisi banyak sekali file MP3 palsu yang sebenarnya merupakan virus itu sendiri. Nama yang ia gunakan seperti Agnes_Monica_-_Mataha-riku__Ost._Jelita_.mp3 ,.exe, Dewiq_feat_Kaka_-_BeTe.mp3,.exe, dan masih banyak lagi yang lainnya. Dan nama – nama ini yang selalu di-update di setiap varian barunya.
Jika Anda lebih teliti, terdapat beberapa kejanggalan pada nama file tersebut. Contohnya pada virus ini, terdapat tanda titik setelah ekstensi, misalkan “Agnes Monica.mp3.”. Tanda titik tersebut mengisyaratkan bahwa sebenarnya terdapat extension asli dibelakang extension tersebut. Secara default Windows, extension asli ini tidak akan diperlihatkan, apalagi virus ini pun juga mengeset Windows untuk tidak menampilkan extension asli. Selanjutnya, Anda ubah tampilan Windows Explorer ke modus Details (View -> Details), di bagian Type akan terlihat tipedari file tersebut. File MP3 yang asli memiliki Type contohnya seperti “MPEG Layer 3 Audio File”, “MP3 Format Sound”, atau sejenisnya. Jika Type nya adalah Application, bisa dipastikan itu adalah virus. Selain itu, lihat juga tampilan dari fi le tersebut. Apabila file yang Anda curigai memiliki jumlah spasi yang sangat banyak terutama di bagian akhir, Anda juga harus waspada, karena bisa jadi diakhir spasi yang segitu banyak terdapat extension asli virus yang sebenarnya, misalkan seperti yang dilakukan oleh virus ini “Dewiq_feat_Kaka_-_BeTe.mp3 [%spasi yang sangat banyak%] ,.exe”. Terlihat bahwa extension asli file tersebut adalah EXE (executable) dan bukanlah MP3. Maka dari itu, lebih baik setting-lah Windows Explorer Anda dengan masuk ke menu Folder Options, lalu memilih “Show hidden files and folders”, serta menghapus centangan ([1]) pada “Hide extensions for known fi le types” dan “Hide protected operating system fi les (Recommended)”.
Cari dan Hapus!
Beberapa pembaca mengaku bahwa saat melakukan pembasmian menggunakan PCMAV, ia menghapus setiap file MP3 yang telah terinfeksi oleh virus ini. Padahal kenyataan sebenarnya adalah virus ini tidak menginfeksi atau lebih tepatnya menginjeksi masuk ke dalam file MP3 tersebut. Yang ia lakukan adalah mencari ke setiap penjuru drive akan keberadaan file MP3, jika ia menemukannya, maka akan langsung ia hapus dan digantikan dengan file virus dengan nama yang hampir mirip dengan nama file aslinya. Jadi, file MP3 Anda yang asli memang benar–benar dihapus oleh virus ini tanpa ampun. Dan sedihnya lagi, hal ini tidak ia lakukan hanya pada fi le MP3 saja, melainkan juga pada file .3GP, .AVI, .RM, .WMV, .ASF, .MPG, .MPEG, dan .MP4.
Basmi Virgear!
Silakan gunakan PCMAV yang telah disempurnakan ini. Dan dikarenakan virus ini dapat memblok PCMAV, Anda diharuskan merename terlebih dahulu file PCMAV-CLN.EXE sebelum digu-nakan, misalkan menjadi 123456.EXE ataupun nama lain dengan extension .EXE. Sementara untuk file yang telah terlanjur dihapus oleh virus ini, segeralah lakukan recovery.
VBSCRIPT GANAS INFEKSI DOKUMEN
TREN VIRUS jenis VBScript memang belum selesai, tiada hent para pembuat virus lokal melakukan aksinya. Kali ini kami akan mencoba membahas salah satu virus berjenis VBScript, yang menggunakan teknik lain dalam penginfeksiannya. Dikena oleh PC Media Antivirus sebagai Repvblik.vbs. Memang dike tahui virus ini sepertinya bukanlah virus keluaran terbaru, tap teknologi yang diusung lain daripada virus VBScript biasanya dan beberapa pembaca masih ada yang mengeluhkan virus ini. Virus ini memiliki ukuran file asli sebesar 5915 bytes. Cukup kecil, kan? Inilah salah satu keunggulan yang dimiliki oleh virus jenis VBScript, karena ukuran file virus terbilang kecil meru pakan nilai tambah baginya untuk dapat mempercepat laju penyebaran virus ini.
Virus ini dapat berjalan mulus pada operating system Windows XP yang kami uji cobakan. Sekilas, jika dilihat secara visual menggunakan Notepad, jenis virus yang memiliki extension .VBS ini hadir dalam kondisi terenkripsi. Bisa diketahu pada saat dibuka, karena yang muncul hanya karakter aneh Namun jika lebih teliti, di bagian paling atas terdapat string “RPVBLK=True” atau “RPVBLK=False”, dan di bagian bawah terdapat rutin yang biasa disebut sebagai decryptor yang tentunya dapat terbaca
Enkripsi
Tidak sulit dalam melakukan deskripsi atas tubuh virus tersebut. Karena secanggih apapun enkripsi yang ia terapkan, past dapat terbongkar juga karena sebenarnya dalam tubuhnya pun terdapat rutin decryptor yang akan menerjemahkan byte per byte ke dalam bentuk aslinya. Enkripsi yang ia lakukan hanyalah permainan karakter saja, hanya memaju atau memundurkan karakter saja, biasa dikenal dengan Caesar Cipher. Yang kam lakukan hanya menyisipkan beberapa rutin yang nantinya akan melakukan dumping pada teks yang telah terdekripsi dan kam pun dapat dengan mudah mempelajari gerak–gerik virus tersebut dari source code-nya.
Saat seluruh tubuh virus berhasil di-decrypt, tepat di bagian atas source script tersebut, terlihat beberapa string comment yang bertuliskan seperti “Repvblik Ver 2.0 ^_^!”, dan juga beberapa pesan yang ia sampaikan.
Virus di StartUp
Yang pertama ia lakukan adalah tentunya menciptakan file induk. Jadi, saat virus dieksekusi di komputer yang bersih, ia akan menciptakan sebuah file induk asli yang ia tempatkan pada direktori StartUp yang bisa Anda temukan pada Start Menu > StartUp dengan nama Repvblik.vbs. Bagaimana ia mengenali dirinya sendiri, apakah file tersebut merupakan file induk atau file yang sudah terinfeksi? Ia memiliki pengenal di bagian pa ling atas source script-nya, yakni “RPVBLK” yang bisa bernilai True atau False. File induk virus ini juga akan running otomatis pada saat memulai Windows.
Pesan
Bersamaan dengan itu pula, ia akan menciptakan direktori baru pada drive C:\ dengan nama Repvblik. Di dalam direktori atau folder tersebut, Anda akan menemukan sebuah file teks dengan nama Repvblik.txt yang merupakan pesan dari sang pembuat virus. Tidak hanya di situ saja, karena di setiap direktori tingkat pertama yang ia temukan pun pasti akan terdapat file Repvblik.txt.
Dan saat aktif di memory, jika dilihat menggunakan Task Manager, user tidak akan dapat melihat process virus dengan nama menyerupai nama file VBS, karena saat sebuah file VBS diklik atau diakses, Windows secara otomatis akan menjalankan program wscript.exe yang bisa dibilang sebagai penerjemah dari script tersebut. Jadi saat virus ini aktif, process virus yang tampak di Task Manager hanyalah process wscript.exe. Cukup sulit memang menentukannya, apakah wscript.exe tersebut menjalankan file VBS virus atau bukan, karena bisa saja sebagian user masih memanfaatkan bahasa VBScript ini untuk membuat script kecil yang dapat mempermudah kerjanya. Namun, jika menggunakan program yang lebih advanced, seperti misalnya Process Explorer, Anda bisa lebih detail menelusuri setiap process yang ada. Hanya dengan mengklik kanan process yang diinginkan, lalu klik Properties, Anda akan menemukan informasi script apa yang dijalankan oleh wscript.exe itu pada editbox Command Line di Process Explorer.
Infeksi Dokumen!
Setelah file induk berhasil dibuat, ia pun segera melancarkan jurus pamungkas, yakni menginfeksi dokumen Anda yang terdapat pada direktori My Documents. File yang akan diinfeksi oleh virus ini adalah file–file dengan extension DOC, XLS, PPT, PPS, dan RTF yang pasti sudah tidak asing lagi di mata Anda. Semua alur penginfeksiannya bisa dipelajari dengan jelas dengan membaca rutin fungsi yang ia beri nama explore_folder_and_infect_file yang terdapat pada tubuhnya. Cara yang ia lakukan sebenarnya sangatlah sederhana, ia akan mencari di direktori My Documents file–file dengan extension tersebut termasuk ke dalam subdirektori, jika ia menemukannya maka dengan sigap ia akan menginfeksinya. Dengan sebelumnya ia pun telah menghapus isi dari folder Recent yang berisi data file–file yang terakhir kali dibuka.
Caranya menginfeksi adalah dengan cara meng-append file dokumen yang akan diinfeksi di bagian bawah tubuh sang virus. Jadi apabila Anda memiliki file dengan nama misalkan Skripsi. doc, maka virus ini akan membaca keseluruhan isi dari file tersebut, lalu ditaruhnya isi dari file dokumen itu di bagian paling bawah tubuh sang virus, dan memberikan tanda berupa string “RPVBLK=False” di bagian awal tubuh sang virus, yang artinya virus tersebut sudah menginfeksi file. Ini biasa juga dilakukan oleh virus lain yang memiliki kemampuan injeksi, agar file yang sudah diinfeksi tidak diinfeksi lagi. File yang sudah diinfeksi namanya akan menjadi Skripsi.doc.vbs. Dan file dokumen yang asli pun akan dihapusnya. Tentu saja kini file dokumen Anda sudah menjadi file VBScript, yang sudah tentu tidak bisa dibuka dengan Microsoft Word. Namun Anda tidak perlu bingung, biarkan PCMAV melakukan tugasnya mengembalikan dokumen Anda ke keadaan seperti semula.Nanti pada saat file terinfeksi dijalankan, virus ini akan terlebih dahulu meng-extract file dokumen yang terdapat pada tubuhnya pada current directory, lalu menjalankan kembali dirinya dan seolah-olah tidak terjadi apa-apa.
Manipulasi Registry
Virus Repvblik ini pun akan dengan cerdik mencoba untuk mengubah default icon dari setiap file VBS agar menggunakan icon Microsoft Word. Serta mengubah file type nya menjadi “Microsoft Word Document”, dan menghilangkan tampilan extension .VBS pada Windows Explorer dengan menambahkan item NeverShowExt pada key VBSFile di Registry Windows. Tentunya jika sudah begini, user awam tidak akan bisa membedakan antara file asli dengan file virus.
Rename MP3
Tidak hanya menginfeksi dokumen, ia pun mulai mengerjai file musik MP3 koleksi Anda. Setiap file MP3 yang ia temukan akan di-rename olehnya. Yang ia lakukan adalah menambahkan string “Repvblik_” di depan nama file MP3 yang akan ia kerjai.
Flash Disk
Behati–hatilah jika menemukan file dengan nama–nama seperti “I am So Sorry.txt.vbs”,”SMS Gratis via GPRS.txt. vbs”,”Indonesian and their corruption!! .txt.vbs”,”Never be touched!! .txt.vbs”,”Make U lofty.txt.vbs”,”Thank U Ly.txt. vbs”,”The Power of Midwife.txt.vbs”, dan atau “NenekSihir and her Secrets.txt.vbs” pada perangkat removable disk Anda, itu adalah nama file yang biasa ia gunakan untuk menyebar.
Sumber : http://www.pc media.co.id
