Trojan:Autorun.ATSJ

Hadiah Tahun Baru… file gambar anda hilang, diganti virus

Di akhir tahun ini, fenomena virus facebook menjadi primadona di Indonesia. Bukan hanya demam facebook, tetapi juga ikut mendorong bagi para pembuat virus (khususnya mancanegara) lebih mudah menginfeksi user yang umumnya menggunakan jejaring sosial facebook.

Secara umum, dengan facebook anda dapat saling berbagi informasi baik itu artikel, gambar, foto maupun berbagai dokumentasi yang tersebar di internet. Bagi anda yang sering berbagi foto atau memiliki kumpulan koleksi gambar, harap berhati-hati karena telah menyebar salah satu varian virus Autorun yang memiliki kemampuan menyembunyikan gambar/foto anda. Virus autorun yang menjadi jawara di peringkat virus Indonesia November – Desember 2009 ini di akhir tahun menelurkan satu varian yang menghilangkan file gambar anda. Kabar baiknya, file gambar anda tidak benar-benar hilang dan hanya disembunyikan oleh virus ini.

Masih ingatkah anda akan penyebaran sebuah virus lokal yang bernama “Amburadul” ??? Yup, varian virus tersebut merupakan virus yang menduplikasi file gambar (menyembunyikan file asli dan membuat file duplikasi virus ber-ikon gambar). Dengan menyembunyikan gambar/foto anda yang asli dan membuat file duplikasi virus, sehingga mengelabui user untuk menjalankan file virus dan atau mengirimkan file virus tersebut ke orang lain (tentu tanpa sepengetahuan user tersebut bahwa yang dikirim adalah file virus).

Norman Security Suite mendeteksi varian trojan tsb dengan nama Autorun.ATSJ. (lihat gambar 1)

Gambar 1. Norman Security Suite mendeteksi varian baru virus sebagai Autorun.ATSJ.

Ciri File Virus

Secara umum, virus ini dibuat dengan script bahasa C menggunakan software Autoit versi 3 yang kemudian di kompress dengan program UPX. Dengan program UPX, virus dapat di kompres sehingga ukurannya tidak terlalu besar dan dapat memudahkan dalam penyebaran.

Setelah di kompress dengan UPX, virus memiliki ciri-ciri sebagai berikut : (lihat gambar 3)

o Menggunakan icon gambar

o Ukuran file 353 kb

o Extension file *.exe

o Type file “Application”

Gambar 2. File virus Autorun.ATSJ

Karakteristik Virus

Jika sudah terinfeksi virus Autorun.ATSJ, maka virus akan menimbulkan gejala berikut :

o Munculnya 2 proses aneh pada task manager (file virus). File inilah yang aktif pada start-up dan menginfeksi komputer. File dengan nama Jview dan shimgvw. (lihat gambar 3)

Gambar 3. File aneh pada task manager.

o Mencoba mematikan fungsi User Account Control (UAC). Seperti halnya virus “huhuhaha” yang berjalan di Windows Vista, Autorun.ATSJ memiliki script untuk men-disable UAC, untungnya saat di coba di implementasikan pada Windows Vista dan Windows 7 hal ini tidak berhasil. (lihat gambar 4)

Gambar 4. File tidak bisa ter-eksekusi di Windows 7

o Mematikan fungsi Security Center. Hal ini digunakan agar dapat mematikan fungsi update dan warning dari Antivirus maupun program keamanan yang lain. (lihat gambar 5)

Gambar 5. Virus men-disable Security Center

o Mematikan fungsi eksekusi dari beberapa antivirus seperti : Ansav Guard, Eset (NOD32), Norman Security Suite, dan McAfee Security Center.

o Berusaha mematikan peran dari virus lokal yang sudah menginfeksi seperti Sohanad/Autoit, yang menggunakan file virus dengan nama :

- Blastclnn.exe

- Blastclnnn.exe

- New Folder.exe

- SSCVIHOST.exe

o Duplikasi file virus pada seluruh file gambar pada drive dan folder (baik root maupun sub folder). File gambar yang di duplikasi yang ber-extension “jpeg, bmp, png, gif”

File virus dan penyebarannya

Jika virus Autorun.ATSJ berhasil menginfeksi, maka virus akan membuat file virus diantaranya :

o C:\Documents and Settings\%user%\Application Data\Java\[]Jview[].exe

o C:\Documents and Settings\%user%\Application Data\Java\[]shimgvw[].exe

o Duplikasi file virus pada seluruh file gambar (seluruh drive)

Sama seperti virus lokal umumnya, virus Autorun.ATSJ akan menyebar melalui media usb flash/external drive. Virus menyebar dengan memanfaatkan fungsi autoplay Windows, dengan membuat 2 file yaitu autorun.inf dan thumbs.db (yang berada pada folder RECYCLER). Selain menyertakan 2 file utama, virus juga akan menduplikasi file virus pada semua file gambar pada seluruh drive/folder.

Bagi anda yang menggunakan sharing folder/drive (terutama yang menggunakan mapping drive). Virus ini mudah dan cepat menyebar pada jaringan yang menggunakan fasilitas mapping drive pada seluruh komputer klien/user. (lihat gambar 6)

Gambar 6. Virus menginfeksi usb flash/external drive/mapping drive

Manipulasi Registry Windows

Agar dapat aktif saat komputer dijalankan, virus akan membuat string registry sebagai berikut :

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Jre[] = C:\Documents and Settings\%user%\Application Data\Java\[]Jview[].exe

%hostname komputer% = C:\Documents and Settings\%user%\Application Data\Java\[]shimgvw[].exe

Untuk mematikan fungsi User Account Control (UAC), virus membuat string berikut :

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\System

EnableLUA = 0

Untuk mematikan fungsi Security Center, virus membuat string berikut :

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

AntiVirusOverride = 1

AntiVirusDisableNotify = 1

FirewallDisableNotify = 1

FirewallOverride = 1

UpdatesDisableNotify = 1

UacDisableNotify = 1

FirstRunDisable = 1

Untuk melakukan blok terhadap fungsi virus dan antivirus, virus membuat key berikut :

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

ansavgd

attrib.exe

autorunme.exe

blastclnn.exe

blastclnnn.exe

csript.exe

egui.exe

EHttpSrv.exe

Ekrn.exe

ise32.exe

MSASCui.exe

Nbrowser.exe

New Folder.exe

Njeeves.exe

nod32.exe

nod32krn.exe

nod32kui.exe

npcsvc32.exe

npc_login.exe

npc_tray.exe

npflgutl.exe

npfports.exe

npfrules.exe

npfsvc32.exe

npfuser.exe

npfwiz.exe

nprosec.exe

nuaa.exe

Nvcoa.exe

nvcsched.exe

nvoy.exe

rtpsvc.exe

scsaver.exe

SSCVIHOST.exe

wscript.exe

Untuk menyembunyikan file dari ekstensi (fungsi Folder Options), virus membuat key berikut :

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

HideFileExt = 1

· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

NeverShowExt =

· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\jpegfile

NeverShowExt =

· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\jpegfile\DefaultIcon

(Default) = C:\Documents and Settings\%user%\Application Data\Java\[]shimgvw[].exe,0

Untuk menyembunyikan file system (fungsi Folder Options), virus membuat key berikut :

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

ShowSuperHidden = 0

Cara pembersihan virus

· Putuskan komputer yang akan dibersihkan dari jaringan.

· Sebaiknya lakukan pembersihan pada mode safe mode.

· Matikan proses virus. Gunakan tools pengganti task manager, seperti CurProcess. Anda dapat men-download tools pada alamat berikut : (lihat gambar 7)

http://www.nirsoft.net/utils/cprocess.zip

Gambar 7. Kill proses virus

Lakukan kill process, pada file virus yang aktif yaitu :

o ?Jview?.exe

o ?shimgvw?.exe

· Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run,[]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, StartMenuLogoff

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Repair

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Repair

Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

· Hapuskan file induk serta file duplikat yang telah dibuat oleh virus Autorun.ATSJ, dimana file tsb mempunyai ciri-ciri sebagai berikut :

o Ukuran file 353 kb

o Icon file gambar

o Extension file *.exe

o Type file “Application”

Catatan : untuk mempermudah penghapusan dapat menggunakan fasilitas [search] (lihat gambar 8)

Gambar 8. Fasilitas search untuk mencari file virus

• Tampilkan semua file gambar yg di sembunyikan dengan menggunakan command prompt.

  • Klik [start]

  • Klik [run]

  • Ketik [cmd]

  • Pada dos prompt, ketik perintah attrib -s -h /s /d, kemudian tekan enter [sebelumnya pastikan anda berada pada direktori C:\], contoh C:\>attrib -s -h /s /d

  • Untuk mengambalikan file yang disembunyikan di drive lain, lakukan langkah di atas tetapi sebelumnya anda ganti terlebih dahulu lokasi drive yang akan di cek [contoh D:\>attrib -s -h /s /d]

· Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya gunakan antivirus yang sudah dapat mengenali dan membasmi virus ini dengan baik. (lihat gambar 9).

Sumber : http://vaksin.com/2009/1209/autorun-atsj/autorun-atsj.html