VB Worm. NVX

Posted: March 20, 2008 in IT

Di bulan Ramadhan ini, rupanya Virus meluncurkan religius baru. Pembuat virus juga tidak mau kalah meluncurkan virus yang “religius”. Lihat saja virus VBWorm.NVX yang setiap jam 13.00 (waktu Dzuhur) 16:00 (waktu Ashar), 18:30 (waktu Maghrib), 20:00 (waktu Isya) dan 5:30 (waktu Subuh) menampilkan pesan “Sudahkan Anda Shalat ?”. Hmm, mungkin lebih baik tidak membuat dan menyebarkan virus ya🙂.

Bagaimana dengan kehidupan para Hacker/Cracker dan pembuat virus khususnya virus lokal dalam meyikapi bulan puasa ini? Ternyata masuknya bulan puasa tidak berarti menyurutkan para VM untuk tetap berkreasi walaupun dalam konteks yang berbeda. Jika sudah berada didepan komputer dan mulai menulis sederetan kode mereka sudah tidak memikirkan dampak yang akan ditimbulkan bagi para pengguna komputer, singkat kata Puasa jalan coding juga jalan J, walaupun ada sebagian sang VM yang membuat virus demi untuk kebaikan dan mengajak kejalan kebenaran tetapi jumlahnya sangat sedikit seperti yang dilakukan oleh VBWorm.NVX begitulah Norman Virus Control (lihat gambar 1) memberikan nama untuk virus ini, tetapi justru sangat menggangu bagi sebagian orang yang tidak menghendaki kedatangan VBWorm.MVX ini.

Gambar 1, Norman mendeteksi virus pengingat Shalat sebagai VBWorm.NVX

Secara umum VBWorm.MVX tidak lah ganas, selain tidak membuat file duplikat, menyembunyikan file / folder juga tidak sampai melakukan blok terhadap fungsi Windows atau tools security. Tujuannya hanya bersisi seruan untuk melakukan ibadah Sholat seperti yang banyak dilakukan oleh virus Macro. Untuk menyebarkan dirinya VBWorm.MVX masih menggunakan Flash Disk dengan membuat file Explorer.exe dengan ukuran 56 KB.

Icon yang digunakan oleh VBWorm.MVX adalah Microsoft Windows Explorer dengan ukuran file sebesar 56 KB (sedangkan file aslinya berukuran 1 KB). File ini mempunyai ekstensi EXE dengan type file sebagai “Application”. Dengan type file yang menyerupai Windows Explorer maka dapat dipastikan akan banyak user yang terjebak untuk menjalankan file tersebut, apalagi saat menjalankan file tersebut akan terbuka jendela My Documents layaknya menjalankan Windows Explorer. (lihat gambar 2)

Gambar 2 File induk VBWorm.NVX

Untuk memastikan agar dirinya dapat langsung aktif setiap kali komputer dijalankan, ia akan membuat beberapa file induk yang akan di jalankan setiap kali komputer dinyalakan, diantaranya:

  • C:\explorer.exe (file ini akan dibuat disetiap drive)
  • C:\WINDOWS\windowsapp.exe
  • C:\Documents and Settings\virus\My Documents\explorer.exe
  • C:\Windows\Yoosa.a

Sebagai penunjang agar file tersebut dapat dijalankan, VBWorm.NVX akan membuat beberapa string pada registry berikut:

o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\4LLI

o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\ CurrentControlSet\Services\4LLI

o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\ CurrentControlSet\Services\4LLI

o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ CurrentControlSet\Services\4LLI

o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

§ windowsapp = C:\WINDOWS\windowsapp.exe

VBWorm.MXV ini tergolong masih baik karena tidak sampai melakukan blok terhadap fungsi Windows atau tools security, VBWorm.MVX juga tidak akan menyembunyikan file / dokumen dan tidak akan membuat file duplikat seperti yang dilakukan oleh virus lokal pada umumnya.

Misi tersembunyi VBWorm.MVX.

Apakah Anda seorang Muslim ?

Apakah Anda sudah sholat ?

Itu adalah sederetan pesan yang akan disuguhkan oleh VBWorm.MVX yang akan ditampilkan setiap waktu sholat tiba. Inilah yang menjadi Misi VBWorm.MVX yang mencoba untuk mengingatkan khususnya kaum muslim untuk senantiasa menjalankan sholat. Pesan ini muncul setiap pukul 13.00 (waktu Dzuhur) 16:00 (waktu Ashar), 18:30 (waktu Maghrib), 20:00 (waktu Isya) dan 5:30 (waktu Subuh). Untuk lebih jelasnya silahkan perhatikan gambar 3, 4 dan 5 berikut:

Gambar 3

Jika Anda pilih tombol “Ya” maka akan muncul pesan berikut (gambar 4) tetapi jika memilih tombol “Bukan” maka tidak akan terjadi reaksi apa-apa.

Gambar 4

Jika Anda memilih tombol “Sudah” maka akan muncul layar konfirmasi berikut (gambar 5), tetapi jika Anda memilih tombol “Belum”, maka komputer secara otomatis akan shutdown (mati).

Gambar 5

Mengatasi VBWotm.MVX secara manual

  1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan
  2. Disable “System Restore” selama proses pembersihan berlangsung
  3. Matikan proses virus yang aktif dimemori. Untuk mematikan proses virus ini Anda dapat menggunakan tools Proceexp kemudian matikan proses dengan nama Windowsapp.exe yang mempunyai icon Microsoft Windows Explorer, perhatikan gambar 6 dibawah ini.

Gambar 6, Mematikan proses virus VBWorm.MVX di memori

  1. Hapus file induk yang dibuat oleh Virus. Sebelum menghapus file duplikat tersebut pastikan Anda sudah menampilkan semua file / folder yang disembunyikan kemudian hapus file yang mempunyai ciri-ciri berikut:

    • Menggunakan icon Windows Explorer
    • Ukuran 56 KB
    • Ekstensi EXE
    • Type file Application

Berikut contoh file yang akan dibuat oleh VBWorm.MVX

o C:\explorer.exe (file ini akan dibuat disetiap drive)

o C:\WINDOWS\windowsapp.exe

o C:\Documents and Settings\%user% \My Documents\explorer.exe

o C:\Windows\Yoosa.a

  1. Hapus string registry yang dibuat oleh virus. Untuk mempercepat proses penghapusan silahkan copy script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:

    1. Klik kanan repair.inf
    2. Klik install

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oye

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, windowsapp

HKLM, SYSTEM\CurrentControlSet\Services\4LLI

HKLM, SYSTEM\ControlSet001\Services\4LLI

HKLM, SYSTEM\ControlSet002\Services\4LLI

HKLM, SYSTEM\ControlSet003\Services\4LLI

  1. Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya scan dengan Norman Virus Control yang up-to-date dan sudah dapat mengenali virus ini dengan baik.
  2. Jika komputer sudah benar-benar bersih, aktifkan (enable) kembali “System Restore”

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s