Panda, Virus Berbahaya Jangkiti Jutaan PC

China telah memberitahukan soal worm computer  terbaru yang merupakan update dari virus Panda Burning Incense. Virus tesebut pernah menginfeksi jutaan PC di negara tersebut 3 tahun lalu, menurut laporan dari McAfee. Worm Panda yang asli juga dikenal dengan nama Fujacks, yang menyebabkan kerusakan bertepatan dengan waktu ketika public mengetahui adanya kerawanan keamanan online, dan akhirnya menangkap penulis virus tersebut di tahun 2007.

“Virus ini lebih kompleks ketimbang rootkit.” ungkap Vu Nguyen, peneliti dari McAfee Labs. Worm Panda yang pertama dapat mengubah icon yang sudah terinfeksi dengan sebuah image bergambar seekor panda memegang 3 stick dupa. Image yang sama juga dapat berpindah ke layar komputer yang lain, namun tujuan utama worm ini adalah untuk meng-instal Trojan pencuri password.

Sedangkan untuk update virus terbaru ini akan langsung menyerang PC. Menurut Nguyen, vendor China dan pengguna Internet kini lebih berhati-hati dengan malware daripada beberapa tahun lalu. Hal ini dikarenakan adanya worm Panda pertama tersebut, tambahnya.

Iklan

Mengantasi Virus Kiamat

Kapan manusia akan sadar ? Insaf kembali kepada jalan yang benar. Gempa, banjir, Tsunami, bukankah pertanda kiamat? Tapi selain itu, sekarang banyak tanda-tanda kiamat lain yang sudah terlihat, bahkan akan terjadi. Jika Anda seorang muslim yang beriman dan bertaqwa kepada Allah SWT. Kenapa harus takut mencegah perbuatan tercela? Satu orang berbuat maksiat, semua akan mendapat malapetaka!

Apabila bumi diguncangkan dengan goncangan (yang dashyat), dan bumi telah mengeluarkan beban-beban berat (yang dikandung)nya, dan manusia bertanya: Mengapa bumi (menjadi begini)?, pada hari itu bumi menceritakan beritanya, karena sesungguhnya Tuhanmu telah memerintahkan (yang sedemikian itu) kepadanya. Pada hari itu manusia ke luar dari kuburnya dalam keadaan bermacam-macam, supaya diperlihatkan kepada mereka (belasan) pekerjaan mereka. Barangsiapa yang mengerjakan kebaikan seberat dzarrahpun, niscaya dia akan melihat (balasan)nya. Dan barangsiapa yang mengerjakan kejahatan dzarrahpun, niscaya dia akan melihat (balasan)nya pula ( QS. Al Zalzalah: 1 – 8 )

Ciri-ciri komputer terinfeksi virus SmallTroj.BEPS menurut Vaksin.com:

  • Halaman utama [Intenet Explorer] menjadi bentuk file C:\Windows\Help\Log.html
  • Judul [Internet Explorer]  menjadi “Kiamat Sudah Dekat ! by – EXTR3M3-
  • Menampilkan program kalkulator pada saat menjalankan “notepad.exe” “rstrui.exe” [system restore]
  • Beberapa file bawaan Windows seperti regedit.exe, msconfig.exe, rstrui.exe [System Restore] dan program Notepad akan dihapus, dan diganti dengan CALC.exe, kecuali file TaskMgr.exe dan Regedit.exe.
  • Semua file yang ada di [C:\Wndows\temp] akan dihapus, dan jika diakses akan muncul aplikasi MS DOS.
  • Menampilkan pesan di file [C:\Windows\query.log], dan dalam bentuk file HTML, yang di simpan di direktori [C:\Windows\Help\log.HTML]
  • Membuat Task Scheduler yang akan menjalankan file virus di direktori [C:\Windows\system32\log.wri].
  • Terdapat 2 buah file dengan nama  [Autorun.inf] dan [CewekGirls.exe] di flashdisk atau drive lain yang berukuran 151 KB, yang akan di aktifkan secara otomatis setiap kali user mengakses Flash Disk tersebut
  • Trik memberisihkan virus SmallTroj.BEPS ini :
  • Putuskan jaringan ke komputer yang terinfeksi
  • Matikan WSCRIPT.exe di Task Manager atau tool pengganti Task Manager, yang dapat di-download di alamat
  • http://download.sysinternals.com/Files/Process Explorer.zip
  • Copy script berikut pada program [Wordpad], lalu simpan dengan nama file REPAIR.INF
  • Klik kanan Repair.INF, lalu install file tersebut

Baca lebih lanjut

Virus Baru ditemukan!!

Sebuah  virus baru sudah ditemukan, dan digolongkan oleh Microsoft sebagai yang  paling merusak! Virus itu baru ditemukan pada hari Minggu siang yang  lalu oleh
McAfee, dan belum ditemukan vaksin untuk mengalahkannya.  Virus ini merusak Zero dari Sektor hard disc, yang menyimpan fungsi  informasi-informasi terpenting. Virus ini berjalan sebagai berikut :

– secara otomatis virus ini akan terkirim ke semua nama dalam daftar  alamat anda dengan judul “Sebuah Kartu Untuk Anda” (Une Carte Pour  Vous, atau A
Card For You);
– begitu kartu virtual itu  terbuka, virus itu akan membekukan komputer   sehingga penggunanya harus  memulainya kembali; kalau anda menekan CTRL+ALT+SUPPR
atau perintah untuk restart, virus itu akan merusak Zero dari Sektor  Boot hard disc, sehingga hard disc akan rusak secara permanen.
Menurut CNN, virus itu dalam beberapa jam sudah menimbulkan kepanikan  di New York. Peringatan ini telah diterima oleh pegawai Microsoft  sendiri. Jangan
membuka e-mail dengan judul “Sebuah kartu virtual untuk Anda” (Une Carte Virtuelle Pour Vous atau A Virtual Card For You).
– Kirimkan pesan ini kepada semua teman anda. Saya rasa bahwa sebagian  besar orang, seperti saya sendiri, lebih suka mendapat peringatan ini  25 kali daripada
tidak sama sekali.

AWAS!!!
Jangan terima kontak “pti_bout_de_chou hotmail.com”.
Ini virus yang akan memformat komputer anda.
Kirimkan pesan ini ke semua orang yang ada di dalam daftar alamat anda.

Kalau anda tidak melakukannya dan salah seorang teman anda  memasukkannya dalam   daftar alamatnya, komputer anda juga akan terkena

Bungas.VBS Menyembuyikan Decryptor

Beberapa pembuat virus lokal masih mengeksplorasi lebih jauh kemampuan dari bahasa VBScript. Kali ini, ikuti bagaimana mencari decryptor dari virus VBScript ini. Arief Prabowo

MEMILIKI UKURAN file sebesar 7222 bytes. Virus ini dikenal oleh PC Media Antivirus 1.9 sebagai Bungas.vbs. Virus berjenis VBScript seperti yang kita kenal memang sangat mudah untuk dilihat  source code-nya. Hanya dengan membuka file virus dengan Notepad contohnya. Jikalau virus tersebut dienkripsi,  pada tubuhnya pun kita dapat melihat source code dari rutin decryptor untuk membuka enkripsinya. Namun terlihat dari virus ini, sepertinya sang pembuatnya mencoba sebisa mungkin untuk menyembunyikan decryptor dari virusnya, yang kemungkinan besar bertujuan untuk mempersulit proses pendeteksian dan analisis.

Sampai tulisan ini dibuat, dari pengujian yang kami lakukan terhadap 36 antivirus luar, hanya 3 yang berhasil mendeteksi keberdaan virus ini. Walaupun baru  suspected, artinya yang mendeteksi adalah engine heuristic-nya saja. Logikanya, virus VBScript bisa lebih mudah dideteksi oleh heuristic. Jadi, apa saja dan bagaimana yang dilakukan oleh virus ini?

Tubuh Terenkripsi

Saat kali pertama membuka  jeroan virus ini, terlihat sekilas string–string yang dienkripsi. Bagaimana mengetahuinya? VBScript biasanya merupakan teks murni, jika Anda melihat terdapat karakter–karakter ASCII aneh, kemungkinan besar VBScript tersebut dienkrispi. Lalu, bagaimana cara mendapatkan plaintext (keadaan sebelum terenkripsi)?

Kebanyakan virus VBScript (VBS) yang menggunakan teknik enkripsi yang kami miliki, juga akan terdapat rutin dekripsi pada tubuhnya. Namun, kalau dilihat sekilas dari virus ini, kita tidak akan melihat rutin decryptor-nya. Bagaimana bisa?

Secara visual, jika dilihat di baris bagian tengah source code tersebut terdapat beberapa string yang ditulis terbalik seperti penggalan berikut ini “))1,I,nillA(diM(csA=orplA”, yang jika dibalik akan menjadi seperti ini “Alpro=Asc(Mid(Allin,I,1))”. Terlihat sepertinya ini merupakan permainan karakter, kemungkinan bagian dari rutin decryptor. Untuk mencoba membuktikannya, maka file virus tersebut kami jalankan. Dengan sekejap, setelah dijalankan, ia membuat sebuah file baru dengan nama Strukdat.bgs, tak lama kemudian file tersebut dihapus kembali olehnya. Untuk itu, kami coba menangkap isi dari file tersebut dan benar  seperti yang diduga, isinya meru-pakan rutin decryptor.

File tersebut hanya berisi sebuah function yang ia namakan MPC yang tak lain adalah function untuk melakukan deskripsi. Teknik yang ia gunakan sederhana saja, pertama dia akan mendapatkan nilai ordinal karakter per karakter, pada visual basic instruksinya dikenal dengan nama Asc. Yang kedua, nilai tersebut lalu di-mod (modulus, fungsi numeric sisa pembagian) dengan 2, jika hasil mod habis dibagi dengan nol, maka geser karakter ke kiri sebanyak 1, misalkan C menjadi B, dan sebaliknya. Setelah semua karakter ter-decrypt, terakhir ia akan melakukan  string reverse, yakni membalikan string tersebut untuk mendapatkan string asal.

File Strukdat.bgs yang merupakan decryptor tersebut, setelah di-extract akan langsung ia  execute, jadi rutin utama tubuh virus tersebut dapat memanfaatkan rutin decryptor-nya, pada VBScript hal tersebut memang dapat dilakukan. Cara yang ia gunakan memang ribet, tapi cukup untuk sedikit mengelabui pendeteksian beberapa antivirus.

Membelah Diri

Bukan hanya file decryptor saja yang ia keluarkan dari dalam tubuhnya, namun ada beberapa fi  le lain yang ia extract. Ada dua file lainnya, yakni statistics.bgs, 2656 bytes, dan Molin.bgs yang memiliki ukuran sebesar 3413 bytes. Kedua file tersebut sudah dalam kondisi ter-decrypt. Di kedua fi  le tersebut lah sebenarnya inti dari virus tersebut. Intinya, pada file virus utama, tidak ditemukan atau mencirikan adanya rutin yang membahayakan, dan lagi pada file virus utama kebanyakan string dalam keadaan terenkripsi.

Autorun

File statistics.bgs dan Molin.bgs yang bertugas melakukan infeksi. Pertama, virus tersebut akan membuat file induk pada direktori Windows dengan nama bungas.vbs dan Virusmaker.bat. Selain itu, pada direktori Temp user, C:\Documents and Settings\%username%\Local Settings\Temp, juga akan ada 3 file virus lainnya, yakni bungas.vbs, Virusmaker.bat, dan Virusmaker.bgs. Kesemua file tersebut ber-attribut hidden, read-only, dan system. Jadi, pada setting-an Windows default tidak akan terlihat.

Agar aktif otomatis, ia masuk ke registry dengan mencoba membuat item Run baru pada HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run dengan nama bungas, yang diarahkan pada file induknya yang terdapat pada direktori Temp. Lalu, ia juga mengubah nilai shell explorer, yang juga diarahkan pada file induknya bungas.vbs yang terdapat pada direktori Windows.

Restriction

Untuk mendukung kelangsungan hidupnya, ia akan melumpuhkan dan men-disable beberapa fungsi Windows. Diawali dari setingan Folder Options, ia akan mengeset untuk tidak menampilkan file hidden dan system. Selanjutnya, Regedit (regedit.exe) dan Task Manager (taskmgr.exe) pun tidak luput dari serangannya. Tapi tidak hanya itu saja, beberapa program lain pun tidak dapat dijalankan, seperti rstrui.exe, msconfi  g.exe, notepad.exe, wordpad.exe, agentsvr.exe, dan winword.exe.

Jika user mencoba menjalankan program yang diblok oleh virus tersebut, yang terjadi adalah muncul kotak Command Prompt yang berisi pesan “Bungas Operating System”, yang tentunya dibuat oleh si pembuat virus. Dan selanjutnya, program yang dituju tidak dapat diakses.

Ia melakukan tersebut dengan cara meregisterkan nama file program – program tersebut pada registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\, untuk dialihkan ke file pesan virus, yakni Virusmaker.bat yang berada di direktori Windows.

Infeksi Flash Drive

Ia akan mencoba untuk meng-copy-kan dirinya ke removable drive, seperti flash disk dengan menggunakan nama random yang menggunakan kombinasi dari Tanggal+Bulan+Tahun, misalkan 29112008.vbs. Selanjutnya, tak lupa ia pun membuat sebuah file autorun.inf, untuk mempermudah virus tersebut menyebar hanya dengan mengakses drive yang dituju. Namun pada file autorun.inf, ia menggunakan cara lain. Beberapa virus yang memanfaatkan file autorun.inf, biasanya akan ada menu baru jika user mengklik kanan drive flash disk yang terinfeksi dengan nama Autoply. Pada virus ini, autorun-nya didesain menggunakan field “shell\Properties\command”. Jadi, saat user mengklik kanan drive terinfeksi, dan memilih Properties, virusnya akan aktif.

Dan seperti yang terlihat pada source code-nya, virus tersebut juga akan mencoba mendapatkan sharing object yang ada pada jaringan setempat, jika berhasil, ia akan meng-copy-kan file bungas.vbs.

HATI-HATI! VIRGEAR MENGHAPUS SEMUA MP3!

Menipu, masih merupakan cara paling favorit yang dilakukan oleh virus-virus lokal dalam menggaet mangsanya. Tapi, masa sih hare gene masih ketipu sama virus? Ikuti kiat mengenalinya! Arief Prabowo

“WAH, ada lagu Agnes Monica yang “Matahariku””, sahutDencu. Karena itu lagu kesenangannya, tanpa ragu ia punlangsung menjalankannya dengan cara mengklik ganda filetersebut. Namun apa yang terjadi, bukan lagu Agnes yang iadapatkan, tapi semua file MP3 beserta file video kesayangan miliknya hilang dalam sekejap. Kok bisa? Itu salah satu tandanya telah terinfeksi oleh Virgear.

Tipuan Virgear

Virgear memang virus biasa saja, artinya ia tidak memiliki teknikinfeksi yang kompleks seperti halnya yang dilakukan virus lama Brontok maupun Maxtrox yang baru–baru ini menyebar.

  1. Virgear dibuat menggunakan Visual Basic. Sampai tulisan ini dibuat, terdapat tiga varian dari Virgear yang kami dapat. Varian pertama yang kami temukan memiliki ukuran fi   le sebesar 16.896 bytes, yang kemungkinan besar di-pack menggunakan UPX dan di-scramble untuk menyembunyikan identitas dari packer yang digunakan. Yang kedua, memiliki ukuran fi  le sebesar 49.152 bytes, murni tanpa di-pack. Dan yang ketiga, atau Virgear.C,  memiliki ukuran sebesar 19.968, yang juga kemungkinan besar di-pack menggunakan UPX dan di-scramble seperti halnya varian pertama.

Yang akan coba dibahas kali ini adalah varian Virgear.A. Walaupun sebenarnya perbedaan dari setiap varian tidaklah terlalu signifikan, hanya di nama–nama fi  le virus yang digunakan untuk menyebar. Dan satu hal yang tidak berubah antara varian yang satu dengan yang lainnya adalah icon yang digunakan. Ia menggunakan icon yang mirip dengan file .MP3 milik aplikasi WinAmp. Yang dilakukannya ini cukup banyak menipu para korbannya. Walaupun sebenarnya hal ini tidak perlu terjadi, jika Anda mampu membedakannya antara file asli dan file virus.

Bersarang di System

Ia akan meng-copy-kan beberapa file yang merupakan duplikat dari dirinya ke direktori yang ia beri nama system. Direktori ini terletak di bawah direktori System32 milik Windows. Pada direktori tersebut akan terdapat beberapa file dengan nama VirGear.exe, smss.exe, Gazette.exe, Gazerock.exe, dan Nugen. exe. Direktori system dan kelima file tersebut ber-attribut hidden dan system, jadi secara setting-an default Windows tidak akan  terlihat oleh kasat mata. Lalu, kelima file itu akan ia jalankan.

Untuk dapat aktif otomatis, ia membuat beberapa item baru di Registry Run dengan nama seperti Winamps, Nullsoft, JetAduio, CoolEditV2, dan AdobeAudition. Nama yang dibuat memang terlihat mirip dengan nama beberapa aplikasi multimedia. Tentu saja ini bertujuan untuk tidak membuat user curiga.

Saat user menjalankan file virus, ia akan mencoba untuk membuka file Clock.avi yang secara default terletak pada direktoriWindows untuk dijalankan pada Windows Media Player. Pada rutin virusnya terlihat bahwa fungsi ini akan diaktifkan apabila virus dijalankan bukan pada direktori induknya, yakni system.

Matikan UAC

Untuk melancarkan aksinya ia mengeset registry untuk tidak menampilkan file hidden dan system, serta menyembunyikan setiap extension yang dikenali oleh Windows. Selain itu, fungsi windows lainnya seperti System Restore dan Find/Search juga ia disable. Serta, ia pun mencoba untuk mematikan UAC (User Account Control) yang ada pada Windows Vista. Walaupun sebenarnya, virus ini tidak dapat berjalan mulus di Vista pada user account selain administrator, tentu saja karena terbentur masalah privilages yang lebih ketat dibandingkan operating system sebelumnya, terkecuali memang Anda dengan sengaja menjalankan dengan perintah “Run as administrator”.

Matikan Virus Lain

Untuk menjadi penguasa tunggal di komputer terinfeksi, ia mencoba untuk mematikan virus lain dengan memasukkan nama file yang dikenal sebagai nama file induk virus tersebut pada Registry Image File Execution Options, seperti kspoold. exe, HokageFile.exe, atau HOKAGE4.exe. Selain itu, ia pun menambahkan beberapa nama file lain seperti Setup.exe, In-stall.exe, msiexec.exe, regedit.exe, dan juga nama file antivirus termasuk PCMAV-CLN.exe dan PCMAV-RTP.exe.

Selain itu, virus ini juga menghalau user untuk masuk dalam modus safe-mode, dengan menghapus setingan yang berkaitan ini di Registry.

Timer Penyebaran

Virus ini memiliki komponen Timer. Salah satunya komponen Timer yang ia namakan Penyebaran. Timer ini diset untuk memiliki interval sebesar 60000ms. Ia bertugas untuk membuat file induk dan menyebarkan diri ke setiap drive yang ia temukan, termasuk Remote Drive. Artinya, ia juga dapat menyerang drive yang di share pada jaringan setempat.

Pada saat menyerang removable drive ataupun remote drive, ia akan menciptakan dua buah fi  le baru dengan nama Autorun.inf dan Winamps.exe dengan attribut hidden dan system. Selain itu, sebuah direktori baru dengan nama My Music 2008 juga akan diciptakan, pada direktori tersebut akan berisi banyak sekali file MP3 palsu yang sebenarnya merupakan virus itu sendiri. Nama yang ia gunakan seperti Agnes_Monica_-_Mataha-riku__Ost._Jelita_.mp3 ,.exe, Dewiq_feat_Kaka_-_BeTe.mp3,.exe, dan masih banyak lagi yang lainnya. Dan nama – nama ini yang selalu di-update di setiap varian barunya.

Jika Anda lebih teliti, terdapat beberapa kejanggalan pada nama file tersebut. Contohnya pada virus ini, terdapat tanda titik setelah ekstensi, misalkan “Agnes Monica.mp3.”. Tanda titik tersebut mengisyaratkan bahwa sebenarnya terdapat extension asli dibelakang extension tersebut. Secara default Windows, extension asli ini tidak akan diperlihatkan, apalagi virus ini pun juga mengeset Windows untuk tidak menampilkan extension asli. Selanjutnya, Anda ubah tampilan Windows Explorer ke modus Details (View -> Details), di bagian Type akan terlihat tipedari file tersebut. File MP3 yang asli memiliki Type contohnya seperti “MPEG Layer 3 Audio File”, “MP3 Format Sound”, atau sejenisnya. Jika Type nya adalah Application, bisa dipastikan itu adalah virus. Selain itu, lihat juga tampilan dari fi  le tersebut. Apabila file yang Anda curigai memiliki jumlah spasi yang sangat banyak terutama di bagian akhir, Anda juga harus waspada, karena bisa jadi diakhir spasi yang segitu banyak terdapat extension asli virus yang sebenarnya, misalkan seperti yang dilakukan oleh virus ini “Dewiq_feat_Kaka_-_BeTe.mp3  [%spasi yang sangat banyak%]    ,.exe”. Terlihat bahwa extension asli file tersebut adalah EXE (executable) dan bukanlah MP3. Maka dari itu, lebih baik setting-lah Windows Explorer Anda dengan masuk ke menu Folder Options, lalu memilih “Show hidden files and folders”, serta menghapus centangan ([1]) pada “Hide extensions for known fi  le types” dan “Hide protected operating system fi  les (Recommended)”.