Menu

  • 0812 7124 5514
  • 0878 9929 7914
  • Pin BB 587FBF31
  • frwebhost@gmail.com

FR-System

Detail Artikel

Home/ Virus/Detail Artikel

SmallTroj.BEPS / EXTR3M3

Vaksincom mempostingkan satu virus SmallTroj.BEPS, virus (sok) religius yang satu ini (lha iya, religius kok bikin virus nyusahin orang lain) jika anda terinfeksi virus ini, ia akan menampilkan pesan seperti pada gambar 1 dibawah ini.

Gambar 1, Kutipan pesan yang disampaikan oleh virus Extr3m3

EXTR3M3
Selamat Datang !
Perhatian !
Kapan manusia akan sadar ? Insaf kembali kepada jalan yang benar. Gempa, banjir, Tsunami, bukankah pertanda kiamat? Tapi selain itu, sekarang banyak tanda-tanda kiamat lain yang sudah terlihat, bahkan akan terjadi. Jika Anda seorang muslim yang beriman dan bertaqwa kepada Allah SWT. Kenapa harus takut mencegah perbuatan tercela? Satu orang berbuat maksiat, semua akan mendapat malapetaka!

Apabila bumi diguncangkan dengan goncangan (yang dashyat), dan bumi telah mengeluarkan beban-beban berat (yang dikandung)nya, dan manusia bertanya: Mengapa bumi (menjadi begini)?, pada hari itu bumi menceritakan beritanya, karena sesungguhnya Tuhanmu telah memerintahkan (yang sedemikian itu) kepadanya. Pada hari itu manusia ke luar dari kuburnya dalam keadaan bermacam-macam, supaya diperlihatkan kepada mereka (belasan) pekerjaan mereka. Barangsiapa yang mengerjakan kebaikan seberat dzarrahpun, niscaya dia akan melihat (balasan)nya. Dan barangsiapa yang mengerjakan kejahatan dzarrahpun, niscaya dia akan melihat (balasan)nya pula (QS. Al Zalzalah: 1 - 8)

Virus Sholat kembali berulang, tidak seperti varian sebelumnya virus ini tidak menampilkan pesan peringatan Sholat sehingga tidak terlalau mencolok. Virus ini kemungkinan dibuat dengan menggunakan program Visual Basic Script [VBS] dan untuk mengelabui user  virus ini dikemas dengan menggunakan converter menjadi file executable [exe] dan merubah type file dari VBS menajadi EXE serta merubah icon menjadi icon gambar sehingga user tidak akan terlalu curiga apalagi file tersebut mempunyai nama yang tidak religius [CewekGirls.EXE] (lihat gambar 3) yang membuat kita penasaran untuk membukanya. Virus ini mempunyai ukuran sekitar 151 KB

Dengan Update terbaru Norman Security Suite sudah dapat mendeteksi virus ini sebagai SmallTroj.BEPS (lihat gambar 2)

Gambar 2, Hasil Scan Norman Security Suite

Gambar 3, File induk SmallTroj.BEPS

Bagaimana kita mengetahui bahwa komputer terinfeksi SmallTroj.BEPS?

Virus ini sebenarnya tidak terlalu sulit dikenali, pada saat kompuer terinfeksi virus ia akan meninggalkan beberapa jejak diantaranya:

 

1.     Merubah halaman utama [Intenet Explorer] dengan mengakases file C:\Windows\Help\Log.html (lihat gambar 1)

2.     Merubah judul [Internet Explorer]  menjadi “Kiamat Sudah Dekat ! by – EXTR3M3-

3.     Akan menampilkan program kalkulator pada saat menjalankan “notepad.exe” “rstrui.exe” [system restore] (lihat gambar 4)

 

Gambar 4, Program yang muncul saat menjalankan “msconfig”  atau “system restore”

Apa yang dilakukan oleh SmallTroj.BEPS?

Pada saat file yang terinfeksi virus ini dijalankan, akan memanggil sebuah image yang berada di direktori [C:\WINDOWS\Web\Wallpaper\follow.jpg] (lihat gambar 5)

Gambar 5, Gambar yang tampil pada saat menjalankan file virus

Kemudian akan membuat beberapa file induk  yang akan dijalankan pertama kali pada saat komputer tersebut di nyalakan

§  C:\Documents and Settings\%user%\My Documents\CeweGirls.exe

§  C:\Windows\system32\ulib.dll

§  C:\Windows\system32\atrun.dll

§  C:\Windows\system32\1pconfig.EXE

§  C:\Windows\system32\illegal.vbs

§  C:\Windows\system32\Setup\Admin.dll

§  C:\Windows\system32\cewek.dll

§  C:\Windows\system32\girl.dll

§  C:\Windows\system32\log.wri

 

Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat string pada registri editor berikut:

 

§  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

-       services = %systemroot%\system32\1pconfig.EXE

-       system = %systemroot%\system32\illegal.vbs

 

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

-       Shell = Explorer.exe "%systemroot%\system32\1pconfig.EXE"

 

Blok Fungsi Windows

Untuk memperlancar aksinya, ia akan mencoba untuk blok beberapa fungsi Windows diantaranya:

§  Registry Editor

§  Msconfig

§  Task Manager

§  Folder Option

§  System Restore

§  Menyembunyikan ekstensi File

§  Enable Autorun Windows

§  Notepad

 

Untuk blok fungsi Windows tersebut, ia akan membuat registry berikut :

§  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

-       NoControlPanel = 0

-       NoFind = 1

-       NoFolderOption = 1

-       NoRun = 1

-       NoDriveTypeAutoRun = 145

 

§  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

-       DisableRegistryTools = 1

-       DisabletaskMgr = 1

 

§  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

-        HideFileExt = 1

§  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced

-       Hidden = 0

 

§  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced          

-       ShowSuperHidden = 0

 

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN

-       Text = Show hidden files and folders

 

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

-       Text = Do not show hidden files and folder

 

Selain itu ia juga akan merubah beberapa string registry berikut:

 

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

-       AltDefaultUserName = EXTR3M3

-       DefaultUserName = EXTR3M3

 

§  HKEY_CURRENT_USER\Control Panel\Desktop

-       MenuShowDelay = 0

 

§  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp

-       Disable = 0

 

§  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

-       HideIcons = 0

 

§  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced          

-       FolderContentsInfoTip = 0

 

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

-       Text = Hidden files and folders

 

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN

-       Type = radio

 

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

-       Type = radio

 

Hapus File

Kabar baiknya, virus ini tidak akan  menghapus file data Anda melainkan hanya menghapus beberapa file bawaan Windows seperti regedit.exe, msconfig.exe, rstrui.exe [System Restore] dan program Notepad. Sebagai pengganti ia akan mengganti file yang di hapus [kecuali file TaskMgr.exe dan Regedit.exe]  dengan file CALC.exe [Kalkulator], sehingga pada saat user menjalankan file [notepad.exe] dan [rstrui.exe] maka akan muncul program kalkulator tersebut [calc.exe].

 

Virus ini juga cukup baik dengan menghapus semua file yang ada di [C:\Wndows\temp]. Untuk mengapus file tersebut ia akan menjalankan perintah DOS  /c Del /s /f /q systemroot\Temp secara terus menerus dengan membuka aplikasi MS.DOS, hal ini menyebabkan komputer manjadi tidak stabil dan terkesan hang.

 

Pesan Moral

Tak lupa SmallTroj.BEPS juga akan meninggalkan pesan moral untuk mengajak kepada kebaikan dengan membuat pesan yang dituangkan pada file [C:\Windows\query.log], sayangnya pesan ini tidak akan ditampilkan. Selain itu ia juga akan menampilkan pesan lain dalam bentuk file HTML, dimana pesan ini akan langsung ditampilkan pada saat user membuka program [Internet Explorer],  file HTML ini akan di simpan di direktori [C:\Windows\Help\log.HTML]

 

Agar pesan tersebut dapat dijalankan setiap kali user akses [Internet Explorer] ia akan membuat string pada registry berikut:

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

            - Start page = C:\WINDOWS\Help\log.html

            - Window Title = EXTR3M3 -

 

Lihat gambar 6, Pesan yang akan disampaikan oleh pembuat file [query.log]

 

Task Scheduler

Virus ini juga dapat aktif secara otomatis dengan cara membuat jadwal task [Task Scheduler] yang akan menjalankan file virus yang berada di direktori [C:\Windows\system32\log.wri]. ia akan membuat 7 jadwal task yang akan di jalankan setiap hari pada waktu-waktu yang telah ditentukan (lihat gambar 7 dan 8)

 

§  C:\Windows\task

 

-       At1  akan dijalankan setiap jam  1 AM

-       At2  akan dijalankan setiap jam  6 AM

-       At3  akan dijalankan setiap jam  9 AM

-       At4  akan dijalankan setiap jam  1 PM

-       AT5 akan dijalankan setiap jam  3 PM

-       At5  akan dijalankan setiap jam  6 PM

-       At7  akan dijalankan setiap jam  9 PM

 

Gambar 7, Jadwal Task yang dibuat oleh Virus

 

           

Gambar 8, Properties file Jadwal Task yang akan di aktifkan

 

Media Penyebaran

Media Flash Disk masih menjadi “idaman” untuk dapat menyebarkan dirinya bagi setiap virus khususnya virus lokal. Kali ini ia akan membuat 2 buah file dengan nama  [Autorun.inf] dan [CewekGirls.exe], file autorun.inf ini sendiri berisi script untuk menjalankan file [CewekGirls.exe] yang akan di aktifkan secara otomatis setiap kali user mengakses Flash Disk tersebut dengan memanfaatkan fitur Autorun Windows dan ke dua file tersebut akan di copykan ke 5 [lima] drive [drive D-H] . (lihat gambar 9)

 

Gambar 9, File Autorun.inf yang memungkinkan dapat menjalankan file virus secara otomatis

 

Bagaimana membersihkan SmallTroj.BEPS?

 

1.     Putuskan komputer yang terinfeksi virus dari jaringan

2.     Matikan proses virus yang akif di memory.

Sebagai informasi virus ini dibuat dengan program VBS. Virus ini membutuhkan sebuah file dengan nama WSCRIPT.exe agar dirinya aktif. Oleh karena itu matikan file WSCRIPT.exe yang aktif dimemori, untuk memastikan proses virus ini dapat menggunakan tools pengganti Task Manager seperti Proceexp. (lihat gambar 10)

 

Gambar 10, Mematikan proses virus yang aktif di memory

 

Silahkan download tools tersebut di alamat url berikut:

http://download.sysinternals.com/Files/ProcessExplorer.zip

 

3.     Hapus string registry yang sudah dibuat oleh virus. Silahkan copy script berikut pada program [Wordpad], caranya : (lihat gambar 11)

 

§  Klik [Start] à [Programs] à [Accessories] à [WordPad]

§  Setelah cript tersebut di copy, simpan dengan cara:

§  Klik [File]

§  Klik [Save]

§  Pada kolom “Save In”, tentukan dimana lokasi file tersebut akan di simpan.

§  Pada kolom “File name”, isi dengan nama REPAIR.INF

§  Pada kolom “Save As Type”, pilih “Text Document”

 

Gambar 11, Menyimpan file repair.inf

 

§  Kemudian instal scipt tersebut dengan cara:

-       Klik kanan Repair.INF

-       Klik Install

 

 

Berikut script yang arus di copy

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, text,0, "Do not show hidden files and folders"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, Text,0, "Show hidden files and folders"

HKCU, Control Panel\Desktop, MenuShowDelay,0, "400"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, Hidden ,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, FolderContentsInfoTip, 0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden, 0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoControlPanel

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp, Disabled

 

4.     Hapus File virus dengan terlebih dahulu menampilkan file yang disembunyikan (lihat gambar 12)

 

-       Buka Windows Expplorer

-       Klik [Tools]

-       Klik [Folder Option]

-       Klik Tab [View]

-       Pilih Opsi “Show Hidden Files and  Folders”

-       Hilangkan tanda centang pada opsi “Hide Extension for known file types”

-       Hilangkan tanda centang pada opsi “Hide Protected Operating System files (Recommended)”

 

Gambar 12, Menampilkan file yang tersembunyi

 

Kemdian hapus file berikut:

§  C:\Documents and Settings\%user%\My Documents\CeweGirls.exe

§  C:\Windows\system32\ulib.dll

§  C:\Windows\system32\atrun.dll

§  C:\Windows\system32\1pconfig.EXE

§  C:\Windows\system32\illegal.vbs

§  C:\Windows\system32\Setup\Admin.dll

§  C:\Windows\system32\cewek.dll

§  C:\Windows\system32\girl.dll

§  C:\Windows\system32\log.wri

§  C:\Windows\Help\log.HTML

§  C:\Windows\query.log

§  C:\Windows\task\AT%1%

 

Catatan : %1% menunjukan angka [AT1 – AT7]

 

§     Hapus juga file [Autorun.inf] dan [CewekGirls.exe] yang ada di Drive lain termasuk Flash Disk

 

5.     Copy ulang file yang telah dihapus oleh virus dari komputer dengan OS yang sama  yang tidak terinfeksi.

 

-       C:\Windows\Regedit.exe

-       C:\Windows\System32\Notepad.exe

-       C:\Windows\System32\TaskMgr.exe

-       C:\WIndows\PCHealth\HelpCtr\Binaries\msconfig.exe

-       C:\Windows\system32\restore\rstrui.exe

6.     Untuk pembersihan optimal dan mencegah infeksi ulang silakan instal dan scan dengan antivirus yang up-to-date. Anda juga dapat mendownload Norman_Malware_Cleaner di alamat  (lihat gambar 13) http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

 

Gambar 13, Scan Norman Malware Cleaner

 

Salam,

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Artikel Lainnya

Komentar Anda

GP2Yz

0 Komentar

komentar masih kosong

Produk Kami

Popular Post

Facebook Page

Statistik Pengunjung

  • Hari ini
    :
    64
  • Kemarin
    :
    621
  • Bulan ini
    :
    13020
  • Tahun ini
    :
    187141
  • Total
    :
    1186353
  • Hits Count
    :
    2383457
  • Now Online
    :
    1 User