Bali, merupakan salah satu tujuan wisata yang tak pernah bosan untuk dikunjungi. Selain karena panorama alamnya yang indah, Bali juga terkenal dengan keunikan budaya dan adat istiadat yang tidak dapat dijumpai di daerah wisata lainya.
Kali ini, kita akan membahas tentang salah satu virus komputer yang berasal dari Bali yang lumayan berbahaya, yaitu CETiX. Sejak tahun lalu, virus ini sudah memunculkan berbagai macam varian virus. Dan varian yang terbaru, yaitu W32/CETiX.XZ oleh Norman Virus Control teridentifikasi sebagai W32/VBDoor.HYI. Seperti halnya sebuah racun/cetix, virus ini termasuk dalam kategori yang berbahaya, karena memiliki efek yang besar yaitu salah satunya dengan menghapus data/dokumen office.
Ciri-ciri file virus
Ciri-ciri dari file virus ini, diantaranya sebagai berikut :
Memiliki ukuran file sebesar “45 kb”.
Mempunyai type file “Application”.
Berextension file “exe”.
Memiliki icon yang berbeda-beda (dalam hal ini belajar dari pengalaman pendahulunya, yang hanya ber-icon folder).
Jika dilihat dalam tampilan list/detail, maka virus akan ber-icon application. Jika dilihat dalam tampilan icon, maka virus akan ber-icon microsoft word. Jika dilihat dalam tampilan tiles/thumbnails, maka virus akan ber-icon folder.
Gejala/efek virus
Jika anda sudah terinfeksi oleh virus CETIX.XZ, maka akan menimbulkan gejala/efek sebagai berikut :
Melakukan blok beberapa fungsi windows seperti task manager, registry editor serta command prompt.
Melakukan blok beberapa program aplikasi yang dikenal virus tsb (seperti WinRAR, MSN Explorer, Total Commander, dll).
Tidak bisa melakukan copy file (menu paste akan di-disable).
Tidak bisa melakukan copy isi file ke dalam file yang lain, setiap melakukan paste isi file kedalam isi file yang lain akan muncul tulisan “Hello ! My Name is CETiX, nice to meet you…”
Membuat duplikat file virus pada setiap file yang dieksekusi.
Membuat duplikat file virus pada setiap folder/drive yang diakses.
Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb.
Menghapus file office yang berextension *.doc, *.xls, *.ppt, *.mdb, *.pdf, *.xml, dan menggantinya dengan file duplikat virus pada setiap folder/drive yang diakses.
Menghapus file multimedia yang berextension *.mp3, *.3gp, *.dat, *.mov, *.wav, dan menggantinya dengan file duplikat virus pada setiap folder/drive yang diakses.
Menghapus file compress yang berextension *.zip, *.rar, dan menggantinya dengan file duplikat virus pada setiap folder/drive yang diakses.
Menghapus file gambar yang berextension *.jpg, *.bmp, *.gif dan menggantinya dengan file duplikat virus pada setiap folder/drive yang diakses.
Menghapus file executable yang berextension *.bat, *.com, *.scr, dan menggantinya dengan file duplikat virus pada setiap folder/drive yang diakses.
Menghapus program aplikasi security yang dikenal oleh virus tsb (seperti program antivirus, program pengganti task manager), dan menggantinya dengan file duplikat virus pada setiap folder/drive yang diakses.
Memunculkan pesan jika ada program aplikasi security yang berusaha mematikan virus tsb.
Melakukan restart komputer jika menjalankan program aplikasi security yang berusaha mematikan virus tsb (contohnya aplikasi process explorer).
Membatalkan proses instalasi program yang kita lakukan (seandainya kita ingin melakukan proses instalasi suatu program).
Membuat schedule task dengan subject ctxwarrior, pada saat kita menggunakan Ms. Outlook.
Membuat file pesan pada root drive C:\, yaitu “infoBali.txt”.
Membuat file pesan “aboutCetix.html”, pada desktop dan root drive C
File file virus
Virus CETiX.XZ dibuat dengan menggunakan bahasa pemrograman visual basic. Jika virus berhasil menginfeksi, maka ia akan membuat beberapa file virus diantaranya :
C:\autorun.inf (pada semua root drive)
C:\%User%’s Files.exe (pada semua root drive)
C:\Untitled.exe (pada semua root drive)
C:\xz.exe (pada semua root drive)
C:\Documents and Settings\%User%\Start Menu\Programs\Startup\vserve.exe
C:\WINDOWS\cetix.exe
C:\WINDOWS\racun.exe
C:\WINDOWS\system32\poison.exe
C:\WINDOWS\system32\toxic.exe
Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb.
Registry windows
Agar dapat aktif saat komputer dijalankan, virus akan membuat string registry sebagai berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Cetix = C:\WINDOWS\cetix.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Poison = C:\WINDOWS\system32\poison.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe “C:\WINDOWS\system32\poison.exe”
Userinit = C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\poison.exe
Agar dapat aktif pada mode safe mode, virus akan membuat string registry sebagai berikut :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
AlternateShell = C:\WINDOWS\cetix.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
AlternateShell = C:\WINDOWS\cetix.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
AlternateShell = C:\WINDOWS\cetix.exe
Agar dapat memunculkan nama virus disamping jam komputer, maka akan dibuat string sebagai berikut :
HKEY_CURRENT_USER\Control Panel\International.
s1159 = AM | CETiX
s2359 = PM | CETiX
Selain itu, virus membuat string registry untuk merubah owner pada system properties, yaitu :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
RegisteredOrganization = CETiX BALi
RegisteredOwner = xz
Walaupun Folder Options tidak di block, virus mencegah untuk menampilkan file yang tersembunyi. Untuk itu, ia membuat string registry sebagai berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
SuperHidden = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
UncheckedValue = 0
Agar dapat aktif setiap saat, virus mencoba mengalihkan beberapa file executable dengan menjalankan file virus, untuk itu ia membuat string sebagai berikut :
HKEY_CLASSES_ROOT\batfile\shell\open\command
Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*
HKEY_CLASSES_ROOT\comfile\shell\open\command
Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*
HKEY_CLASSES_ROOT\exefile\shell\open\command
Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*
HKEY_CLASSES_ROOT\lnkfile\shell\open\command
Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*
HKEY_CLASSES_ROOT\piffile\shell\open\command
Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*
Metode Penyebaran
Dengan memanfaatkan system autoplay windows, virus ini menggunakan removable drive/usb sebagai sarana penyebaran dirinya. Beberapa file yang akan di buat virus yaitu :
autorun.inf
%User%’s Files.exe
Untitled.exe
xz.exe
serta membuat file virus dan menggandakan diri pada setiap folder yang ada
Cara pembersihan virus CETIX.XZ
o Sebaiknya lakukan pembersihan pada mode safe mode.
o Matikan proses virus. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager (dapat anda download pada alamat berikut)
http://majorgeeks.com/Itty_Bitty_Process_Manager_d4690.html
Lakukan kill process, pada beberapa file virus yang aktif yaitu :
C:\Documents and Settings\%User%\Start Menu\Programs\Startup\vserve.exe
C:\WINDOWS\cetix.exe
C:\WINDOWS\system32\poison.exe
Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCR, batfile\shell\open\command,,,”””%1″” %*”
HKCR, comfile\shell\open\command,,,”””%1″” %*”
HKCR, exefile\shell\open\command,,,”””%1″” %*”
HKCR, piffile\shell\open\command,,,”””%1″” %*”
HKCR, lnkfile\shell\open\command,,,”””%1″” %*”
HKCR, scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, ProductName,0, “Windows”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, “Organization”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, “Owner”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, userinit,0, “C:\WINDOWS\system32\userinit.exe,”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
HKCU, Control Panel\International, s1159,0, “AM”
HKCU, Control Panel\International, s2359,0, “PM”
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,cetix
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,poison
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableSR
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
o Hapus file virus yang mempunyai ciri-ciri sebagai berikut :
ü Icon application/folder/word
ü Ext. exe
ü Ukuran 45 kb
Catatan
o Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.
o Untuk mempermudah proses pencarian sebaiknya gunakan “Search Windows” dengan filter file *.exe yang mempunyai ukuran 45 KB.
o Hapus file virus yang biasanya mempunyai date modified yang sama.
***Artikel dikutip dari Milis Professional IT Bali www.itbali.org. Sumber: www.vaksin.com
Similar Posts:
Leave a Reply