Serangan Virus Cetix dari Bali

Bali, merupakan salah satu tujuan wisata yang tak pernah bosan untuk dikunjungi. Selain karena panorama alamnya yang indah, Bali juga terkenal dengan keunikan budaya dan adat istiadat yang tidak dapat dijumpai di daerah wisata lainya.

Kali ini, kita akan membahas tentang salah satu virus komputer yang berasal dari Bali yang lumayan berbahaya, yaitu CETiX. Sejak tahun lalu, virus ini sudah memunculkan berbagai macam varian virus. Dan varian yang terbaru, yaitu W32/CETiX.XZ oleh Norman Virus Control teridentifikasi sebagai W32/VBDoor.HYI. Seperti halnya sebuah racun/cetix, virus ini termasuk dalam kategori yang berbahaya, karena memiliki efek yang besar yaitu salah satunya dengan menghapus data/dokumen office.

Gambar 1. Norman mendeteksi virus CETiX.XZ sebagai W32/VBDoor.HYI

Ciri-ciri file virus

Ciri-ciri dari file virus ini, diantaranya sebagai berikut :

Memiliki ukuran file sebesar “45 kb”.

Mempunyai type file “Application”.

Berextension file “exe”.

Memiliki icon yang berbeda-beda (dalam hal ini belajar dari pengalaman pendahulunya, yang hanya ber-icon folder).

Jika dilihat dalam tampilan list/detail, maka virus akan ber-icon application. Jika dilihat dalam tampilan icon, maka virus akan ber-icon microsoft word. Jika dilihat dalam tampilan tiles/thumbnails, maka virus akan ber-icon folder.

Gejala/efek virus

Jika anda sudah terinfeksi oleh virus CETIX.XZ, maka akan menimbulkan gejala/efek sebagai berikut :

Melakukan blok beberapa fungsi windows seperti task manager, registry editor serta command prompt.

Melakukan blok beberapa program aplikasi yang dikenal virus tsb (seperti WinRAR, MSN Explorer, Total Commander, dll).

Tidak bisa melakukan copy file (menu paste akan di-disable).

Tidak bisa melakukan copy isi file ke dalam file yang lain, setiap melakukan paste isi file kedalam isi file yang lain akan muncul tulisan “Hello ! My Name is CETiX, nice to meet you…

Membuat duplikat file virus pada setiap file yang dieksekusi.

Membuat duplikat file virus pada setiap folder/drive yang diakses.

Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb.

Menghapus file office yang berextension *.doc, *.xls, *.ppt, *.mdb, *.pdf, *.xml, dan menggantinya dengan file duplikat virus pada setiap folder/drive yang diakses.

Menghapus file multimedia yang berextension *.mp3, *.3gp, *.dat, *.mov, *.wav, dan menggantinya dengan file duplikat virus pada setiap folder/drive yang diakses.

Menghapus file compress yang berextension *.zip, *.rar, dan menggantinya dengan file duplikat virus pada setiap folder/drive yang diakses.

Menghapus file gambar yang berextension *.jpg, *.bmp, *.gif dan menggantinya dengan file duplikat virus pada setiap folder/drive yang diakses.

Menghapus file executable yang berextension *.bat, *.com, *.scr, dan menggantinya dengan file duplikat virus pada setiap folder/drive yang diakses.

Menghapus program aplikasi security yang dikenal oleh virus tsb (seperti program antivirus, program pengganti task manager), dan menggantinya dengan file duplikat virus pada setiap folder/drive yang diakses.

Memunculkan pesan jika ada program aplikasi security yang berusaha mematikan virus tsb.

Melakukan restart komputer jika menjalankan program aplikasi security yang berusaha mematikan virus tsb (contohnya aplikasi process explorer).

Membatalkan proses instalasi program yang kita lakukan (seandainya kita ingin melakukan proses instalasi suatu program).

Membuat schedule task dengan subject ctxwarrior, pada saat kita menggunakan Ms. Outlook.

Membuat file pesan pada root drive C:\, yaitu “infoBali.txt”.

Membuat file pesan “aboutCetix.html”, pada desktop dan root drive C

File file virus

Virus CETiX.XZ dibuat dengan menggunakan bahasa pemrograman visual basic. Jika virus berhasil menginfeksi, maka ia akan membuat beberapa file virus diantaranya :

C:\autorun.inf (pada semua root drive)

C:\%User%’s Files.exe (pada semua root drive)

C:\Untitled.exe (pada semua root drive)

C:\xz.exe (pada semua root drive)

C:\Documents and Settings\%User%\Start Menu\Programs\Startup\vserve.exe

C:\WINDOWS\cetix.exe

C:\WINDOWS\racun.exe

C:\WINDOWS\system32\poison.exe

C:\WINDOWS\system32\toxic.exe

Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb.

Registry windows

Agar dapat aktif saat komputer dijalankan, virus akan membuat string registry sebagai berikut :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Cetix = C:\WINDOWS\cetix.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Poison = C:\WINDOWS\system32\poison.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = Explorer.exe “C:\WINDOWS\system32\poison.exe”

Userinit = C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\poison.exe

Agar dapat aktif pada mode safe mode, virus akan membuat string registry sebagai berikut :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

AlternateShell = C:\WINDOWS\cetix.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

AlternateShell = C:\WINDOWS\cetix.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

AlternateShell = C:\WINDOWS\cetix.exe

Agar dapat memunculkan nama virus disamping jam komputer, maka akan dibuat string sebagai berikut :

HKEY_CURRENT_USER\Control Panel\International.

s1159 = AM | CETiX

s2359 = PM | CETiX

Selain itu, virus membuat string registry untuk merubah owner pada system properties, yaitu :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

RegisteredOrganization = CETiX BALi

RegisteredOwner = xz

Walaupun Folder Options tidak di block, virus mencegah untuk menampilkan file yang tersembunyi. Untuk itu, ia membuat string registry sebagai berikut :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

ShowSuperHidden = 0

SuperHidden = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

UncheckedValue = 0

Agar dapat aktif setiap saat, virus mencoba mengalihkan beberapa file executable dengan menjalankan file virus, untuk itu ia membuat string sebagai berikut :

HKEY_CLASSES_ROOT\batfile\shell\open\command

Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\comfile\shell\open\command

Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\exefile\shell\open\command

Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\lnkfile\shell\open\command

Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\piffile\shell\open\command

Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

Metode Penyebaran

Dengan memanfaatkan system autoplay windows, virus ini menggunakan removable drive/usb sebagai sarana penyebaran dirinya. Beberapa file yang akan di buat virus yaitu :

autorun.inf

%User%’s Files.exe

Untitled.exe

xz.exe

serta membuat file virus dan menggandakan diri pada setiap folder yang ada

Cara pembersihan virus CETIX.XZ

o Sebaiknya lakukan pembersihan pada mode safe mode.

o Matikan proses virus. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager (dapat anda download pada alamat berikut)

http://majorgeeks.com/Itty_Bitty_Process_Manager_d4690.html

Lakukan kill process, pada beberapa file virus yang aktif yaitu :

C:\Documents and Settings\%User%\Start Menu\Programs\Startup\vserve.exe

C:\WINDOWS\cetix.exe

C:\WINDOWS\system32\poison.exe



Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]

Signature=”$Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCR, batfile\shell\open\command,,,”””%1″” %*”

HKCR, comfile\shell\open\command,,,”””%1″” %*”

HKCR, exefile\shell\open\command,,,”””%1″” %*”

HKCR, piffile\shell\open\command,,,”””%1″” %*”

HKCR, lnkfile\shell\open\command,,,”””%1″” %*”

HKCR, scrfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, ProductName,0, “Windows”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, “Organization”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, “Owner”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, userinit,0, “C:\WINDOWS\system32\userinit.exe,”

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1

HKCU, Control Panel\International, s1159,0, “AM”

HKCU, Control Panel\International, s2359,0, “PM”

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run,cetix

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,poison

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableSR

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig

Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

o Hapus file virus yang mempunyai ciri-ciri sebagai berikut :

ü Icon application/folder/word

ü Ext. exe

ü Ukuran 45 kb

Catatan

o Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.

o Untuk mempermudah proses pencarian sebaiknya gunakan “Search Windows” dengan filter file *.exe yang mempunyai ukuran 45 KB.

o Hapus file virus yang biasanya mempunyai date modified yang sama.



***Artikel dikutip dari Milis Professional IT Bali www.itbali.org. Sumber: www.vaksin.com

Similar Posts:


Comments

Leave a Reply

Your email address will not be published. Required fields are marked *