jump to navigation

W32/KillAV.XF 08/07/2007

Posted by oasisnet in Berita Utama, Virus.
trackback

Satu lagi dari Tegal yang otomatis menginfeksi dari UFD tanpa klik

23 Januari 2007

Sampai saat ini penyebaran virus lokal sudah semakin banyak dengan jumlah virus yang sudah mencapai ribuan karakteristik yang beragam serta daya sebar yang semakin luas. Tidak saja mengandalkan disket / UFD bahkan saat ini virus local sudah mampu mengaktifkan dirinya tanpa bantuan manusia walaupun file yang terinfeksi tidak dijalankan oleh user itu sendiri. Biasanya virus ini akan menggunakan media disket / UFD dengan membuat satu file autorun.inf untuk menjalankan file infeksi yang ada di Disket/Flash Disk tersebut, sungguh perkembangan yang luar biasa.

Virus lokal biasanya sangat mudah dikenali dari ciri-ciri nya seperti Folder Option yang hilang, regedit, msconfig atau task manager yang tidak bisa di jalankan dan masih banyak lagi ciri-ciri lain yang dibawa oleh virus lokal. Salah satunya adalah W32/KillAV.XF dimana jika anda mencoba untuk membuka aplikasi CMD atau Command maka secara otomatis komputer akan melakukan restart, hal ini juga pernah dilakukan oleh virus Rontokbro. Bedanya KillAV.XF akan menjalankan file melati.bat terlebih dahulu yang berada didirektori C:\ sebelum me-restart komputer.

—- read —-

Ciri lain yang dibawa oleh virus ini adalah dimana semua file MS Word akan disembunyikan dan munculnya file duplikat dengan ukuran 22 KB (lihat gambar 1) sesuai dengan nama file yang disembunyikan serta munculnya file tugas.exe dalam bentuk MS Word disetiap Drive termasuk dimedia Disekt / Flash Disk dengan ukuran 22KB dengan ekst. EXE. Seperti kebanyakan virus lokal, KillAV.FX juga ditulis dengan Visual Basic dan dilihat dari scriptnya kemungkinan virus ini berasal dari belahan Jawa Tengah tepatnya daerah “TEGAL”.

Gambar 1, File yang terinfeksi W32/KillAV.XF

Dengan up-date terbaru Norman Virus Control sudah dapat mendeteksi virus ini sebagai Trojan:W32/KillAV.XF (lihat gambar 2)

gbr2.jpg

Gambar 2, Norman Virus Control sudah mendeteksi TrojanW32/:KillAV.XF

Jika virus ini dijalankan, ia akan membuat beberapa file induk dibawah ini:

C:\melati.bat

C:\Windows\system32\caudio.exe

C:\windows\system32\startup

– svchost.exe

– scan.com

C:\Documents and Settings\%user%\Start Menu\Programs\Startup\scan.com

C:\C:\Windows\system\winexec.com

C:\Windows\winlog.com

Agar file tersebut dapat dijalankan , KillAV.XF akan membuat beberapa string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Logon = C:\WINDOWS\winlog.com

ccApp = C:\WINDOWS\system\winexec.com

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = explorer.exe “C:\WINDOWS\winlog.com”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Audio = C:\WINDOWS\system32\caudio.exe

Seperti biasanya virus lokal akan mencoba blok beberapa fungsi Windows, kali ini KillAV.XF akan mencoba blok fungsi regedit, msconfig, task manager, folder option dan search dengan membuat string pada registry berikut :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoFind

NoFolderOptions

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

DisableRegistryTools

DisableTaskMgr

Seperti yang sudah dijelaskan diatas bahwa jika user manjalankan aplikasi DOS [CMD / command] maka secara otomatis komputer user akan restart dengan terlebih dahulu menjalankan file melati.bat yang disimpan di direktori C:\. Agar tidak mudah dihapus file ini akan disembunyikan dan jika kita buka file tersebut maka akan muncul perintah shutdown.exe -r -t 0 –f, untuk melakukan hal tersebut ia akan membuat string pada registry berikut :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor

AutoRun = C:\Melati.bat

Untuk menyenyebarkan dirinya, ia akan menggunakan media Disket/Flash Disk dan File Sharing dengan membuat file induk dengan nama TUGAS.EXE, file ini akan mempunyai ukuran 22 KB dengan icon MS Word dan mempunyai type file sebagai “Application” (lihat gambar 3)

Gambar 3, File induk yang dibuat oleh KillAV.XF pada media Disket/Flash Disk

Sebagai penutup virus ini akan menyembunyikan semua file MS Word yang ditemuinya dan untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan dengan ciri-ciri : (lihat gambar 1)

Menggunakan icon MS Word

Mempunyai ukuran 22 KB

Ext. EXE

Type File “Application”

Cara membersihkan KillAV.XF :

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan

2. Matikan “system restore” selama proses pembersihan berlangsung [jika menggunakan Windows XP]

3. Matikan proses virus yang aktif di memori, anda dapat menggunakan tools Proccexp kemudian matikan proses yang mempunyai nama file : (lihat gambar 4)

– winlog.exe

– caudio.exe

– svchost.exe

Gambar 4, Gunakan Process Explorer mematikan proses virus KillAV.XF yang aktif dimemori

4. Hapus string registry yang dibuat oleh virus, salin script dibawah ini pada program “notepad” kemudian simpan dengan nama “repair.inf” dan jalankan dengan cara:

– klik kanan repair.inf

– klik install

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Melati

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SOFTWARE\Microsoft\Command Processor,AutoRun ,0,

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Audio

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Logon

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ccApp

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\system, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\system, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOption

5. Hapus file induk yang dibuat oleh virus didirektori:

C:\Windows\system32\caudio.exe

C:\windows\system32\startup

– svchost.exe

– scan.com

C:\Documents and Settings\%user%\Start Menu\Programs\Startup\scan.com

C:\C:\Windows\system\winexec.com

C:\Windows\winlog.com

C:\melati.bat

5. Hapus file duplikat yang dibuat oleh virus. sebelum menghapus file tersebut pastikan anda sudah menampilkan semua file yang disembunyikan, kemudian hapus file yang mempunyai ciri-ciri:

5. Icon “MS Word”

6. Ukuran file 22 KB

7. Ext. exe

8. Type file “application”

6. Untuk pembersihan optimal dan mencegah infeksi ulang gunakan antivirus yang sudah dapat mengenali virus ini dengan baik.

7. Tampilkan kembali file MS Word yang sudah disembunyikan oleh virus dengan menulis perintah berikut pada DOS Prompt [pastikan kursor berada di root C:\ atau D:\ tergantung Drive mana yang akan anda cek, seperti contoh dibawah ini : (lihat gambar 5)

ATTRIB -s -h *.doc /s /d kemudian tekan tombol “enter’ pada keyboard.

Gambar 5, Menampilkan kembali file MS Word yang disembunyikan oleh KillAV.XF

Comments»

1. bond - 09/07/2007

hehehehe…
gw no. 1………..


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: