Rabu, 06 Agustus 2008

Antivirus Xp 2008 / W32/Agent.GPKB

Untuk pengguna komputer awam.

Jika anda memenuhi kriteria di bawah ini :

  1. Pengguna email.

  2. Penggemar Angelina Jolie.

  3. Memiliki kecenderungan sindroma Gasulik (gatal suka mengklik) [Yes], [Ok], [Next], [Finish]. [Download].

  4. Tidak menggunakan antivirus atau menggunakan antivirus yang tidak terupdate untuk mendeteksi virus lokal dan virus mancanegara.

Harap berhati-hati jika menerima email dibawah ini (lihat gambar 1) :

Gambar 1, Email yang “menjanjikan” video polos Anjelina Jolie

Karena isi email tersebut dapat dikatakan 100 % bohong. Bukan Angelina Jolie atau Microsoft yang bohong :P, tetapi pembuat spyware tersebut yang bohong. Email tersebut menjanjikan gambar video polos Anjelina Jolie FREE alias Gratis dengan embel-embel seakan-akan email tersebut merupakan Fitur dari Microsoft MSN. Vaksincom menyarankan, JANGAN sekali-kali mengklik link tersebut. Bukan karena anda masih dibawah umur atau karena dilarang oleh agama.

Kalau anda masih tidak percaya juga dan mengklik link tersebut (seperti teknisi lab Vaksincom yang bandel2 lakukan) maka link tersebut akan membuka browser yang otomatis akan mendownload file yang membuat banyak laki-laki di dunia ini deg-degan “video-nude-anjelina.avi.exe”.

Vaksincom menyarankan, JANGAN di [save], sebaiknya cancel saja (lihat gambar 2).

Gambar 2, Jika anda terlanjur mengklik link pada email akan mengarahkan pada download file.

Tetapi kalau anda (bandel) lakukan juga save file tersebut. JANGAN dijalankan, percayalah pada team lab Vaksincom yang telah mendownload file tersebut dan terinfeksi spyware :P (tentunya pada komputer test virus).

Kalau karena satu dan lain hal, meskipun sudah di bilang JANGAN berkali-kali dan anda tetap mendownload dan menjalankan file tersebut, maka saatnya anda bermetamorfosis dari pengguna komputer awam menjadi pengguna komputer pusing ..... karena anda sudah terinfeksi virus Anjelina yang terdeteksi oleh Norman sebagai W32/Agent.GPKB. (lihat gambar 3).

Gambar 3, Norman Security Suite mendeteksi Anjelina sebagai W32/Agent.GPKB

W32/Agent.GPKB atau kita sebut saja virus Anjelina merupakan virus yang menggabungkan Spam, Spyware dan Virus :

  • SPAM, malware ini secara sukarela memberikan atribut [SPAM] pada Subject email (lihat Subject email di gambar 1) dengan tujuan untuk mengelabui spam server dan dapat meloloskan diri dari saringan spam. Selain itu, rangka membuat dirinya dijalankan oleh penerima email, ia menggunakan rekayasa sosial nama Angelina Jolie (belahan jiwanya Brad Pitt) sengaja diplesetkan menjadi Anjelina Jolie. Tujuannya juga untuk menghindari saringan dari antispam yang pada umumnya akan menyaring kata Angelina Jolie. Ingat kata Viagra yang sering diplesetkan menjadi V1agra.

  • Spyware dan Virus. Sebenarnya batas antara spyware dan virus sudah sangat tipis, walaupun secara definitif spyware adalah malware (kode jahat) yang sangat bandel jika sudah nempel pada komputer ibarat cicak basah yang lengket dan sangat sulit dilepaskan, memfokuskan pada penyerangan yang memanfaatkan browser populer seperti Internet Explorer dan Firefox. Tetapi pada beberapa aksinya malware ini tidak membutuhkan browser sehingga ia juga masuk ke dalam kategori virus.

Untuk lebih detailnya, silahkan simak analisa dari Laboratorium Virus Vaksincom yang dilakukan oleh Adang Juhar Taufik dibawah ini.

Untuk pengguna komputer pusing :

Banyak cara untuk mempromosikan sesuatu, hal ini semakin mudah dengan adanya internet maka ruang dan waktu serta jarak bukanlah suatu penghalang. Salah satu cara yang dilakukan adalah dengan memasang iklan di internet, tetapi cara ini rupanya belum cukup jitu karena tidak semua user akan mengunjungi web tersebut, bahkan menghindari iklan internet. Lalu bagaimana caranya?

Lihatlah apa yang dilakukan oleh perusahaan yang “mengklaim” menjual program dengan nama Antivirus XP 2008.

Hal ini juga dilakukan oleh salah satu perusahaan yang membuat program antivirus dan antispyware dengan nama Antivirus XP 2008 (lihat gambar 4)

Gambar 4, Website Antivirus XP 2008

Sebagai informasi Antivirus XP 2008 adalah salah software security yang “jahat” dan berpura-pura sebagai antispyware yang mengklaim dirinya sebagai Anti-Malware, Anti-Virus, Anti-Trojan, Anti-Backdoor, Anti-Worm and Anti-PornoDial.

Setelah virus tersebut aktif ia akan membuat beberapa file yang akan di jalankan setiap kali komputer di nyalakan diantaranya :

  • C:\Windows\services.exe

  • C:\WINDOWS\system32\lphc7nvj0e52e.exe.

  • C:\WINDOWS\system32\phc7nvj0e52e.bmp

  • C:\WINDOWS\system32\blphc7nvj0e52e.scr

  • C:\Windows\system32\pphc7nvj0e52e.exe

  • C:\Documents and Settings\Elvina\Local Settings\Temp\.ttxx.tmp

Dimana xx=acak

Seperti yang sudah dijelaskan di atas dimana pada saat komputer terinfeksi virus, secara otomastis akan menginstalkan sebuah program antispyware dengan nama Antivirus XP 2008, dimana software ini sebenarnya merupakan sebuah program spyware yang menyamar sebagai antipsyware (maling teriak maling), dia akan membasmi spyware yang lain dan memastikan hanya dirinya saja yang aktif di komputer korban. (lihat gambar 5)

Gambar 5, "Antivirus" XP 2008 beraksi

Program ini akan terinstall di direktori C:\Program Files\rhc3nvj0e52e

Agar dirinya dapat aktif secara otomatis setiap kali pc dihidupkan, ia akan membuat beberapa string pada registry berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • lphc7nvj0e52e = C:\WINDOWS\system32\lphc7nvj0e52e.exe

    • services = C:\WINDOWS\services.exe

    • SMrhc3nvj0e52e = C:\Program Files\rhc3nvj0e52e\rhc3nvj0e52e.exe

Ubah Screan Saver Windows dan Desktop Windows

Anjelina juga akan merubah screensaver Windows untuk menjalankan file yang berada di direktori C:\WINDOWS\system32\blphc7nvj0e52e.scr.

Selain merubah screensaver Windows, Anjelina juga akan merubah desktop windows dengan menjalankan file C:\WINDOWS\system32\phc7nvj0e52e.bmp yang berisi peringatan seperti yang terlihat pada gambar 6 dibawah ini :

Gambar 6, Pesan peringatan dari Antivirus XP 2008

Untuk merubah desktop windows tersebut, ia akan membuat string pada registry berikut :

HKEY_USERS\S-1-5-21-1757981266-1202660629-839522115-1003\Control Panel\Desktop

  • SCRNSAVE.EXE = C:\WINDOWS\system32\blphc7nvj0e52e.scr

  • ConvertedWallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp

  • OriginalWallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp

  • Wallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp

HKEY_CURRENT_USER\Control Panel\Desktop

  • ConvertedWallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp

  • OriginalWallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp

  • SCRNSAVE.EXE = C:\WINDOWS\system32\blphc7nvj0e52e.scr

  • Wallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp

Agar user sulit untuk merubah screen saver dan desktop Windows tersebut, ia akan menghilangkan tabulasi “Desktop” dan “Screen saver” pada menu “Display Properties (klik kanan desktop | klik properties) dengan membuat string pada registry berikut : (lihat gambar 7)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

  • NoDispBackgroundPage

  • NoDispScrSavPage

Gambar 7, Disable tabulasi “Desktop” dan Screen saver”

Menyebar melalui SPAM

Untuk menyebarkan dirinya ia akan memanfaatkan email dengan mengirimkan email yang seolah-olah dikirim oleh MSN (Microsoft), lihat gambar 1 di atas.

Jika text “Free Video Nude Anjelina Jolie” tersebut di klik maka secara otomatis akan membuka browser dan menggunakan fitur “Drive by Download” akan mendownload sebuah file dengan nama video-nude-anjelia.avi.exe dengan ukuran yang berbeda-beda (108 KB / 146 KB / 173 KB).

Cara membersihkan Agent.GPKB

  • Putuskan komputer yang akan dibersihkan dari jaringan/internet

  • Matikan proses virus yang aktif di memori. Untuk mematikan proses ini gunakan tools pengganti Task Manager seperti Currprocess, kemudian matikan proses yang mempunyai lokasi berikut : (lihat gambar 8)

    • C:\WINDOWS\system32\lphc7nvj0e52e.exe

    • C:\WINDOWS\services.exe

    • C:\Program Files\rhc3nvj0e52e\rhc3nvj0e52e.exe

    • C:\WINDOWS\system32\blphc7nvj0e52e.scr

    • C:\Windows\system32\pphc7nvj0e52e.exe

    • C:\Program Files\rhc3nvj0e52e\rhc3nvj0e52e.exe

Gambar 8, Gunakan CurrProcess untuk mematikan proses virus

  • Hapus registry yang dibuat oleh virus. Silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara :

    • Klik kanan repair.inf

    • Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, Control Panel\Desktop, ConvertedWallpaper,0, ""

HKCU, Control Panel\Desktop, OriginalWallpaper,0, ""

HKCU, Control Panel\Desktop, SCRNSAVE.EXEr,0, ""

HKCU, Control Panel\Desktop, Wallpaper,0, ""

[del]

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, lphc7nvj0e52e

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, services

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, SMrhc3nvj0e52e

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, NoDispBackgroundPage

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, NoDispScrSavPage

  • Hapus File virus berikut:

    • C:\WINDOWS\system32\blphc7nvj0e52e.scr

    • C:\WINDOWS\system32\phc7nvj0e52e.bmp

    • C:\Windows\services.exe

    • C:\WINDOWS\system32\lphc7nvj0e52e.exe.

    • C:\Windows\system32\pphc7nvj0e52e.exe

  • Hapus file temporary Windows.

  • Uninstall/remove program Antivirus XP 2008.

    • Pastikan proses antivirus xp 2008 telah di matikan, gunakan tools currprocess kemudian matikan file yang mempunyai nama rhc3nvj0e52e.exe (gambar 9)

Gambar 9, hapus file dengan nama rch3nvj0e52e.exe

    • Hapus folder yang dibuat virus berikut:

      • C:\Program Files\rhc3nvj0e52e\rhc3nvj0e52e.exe

      • C:\Documents and Settings\Elvina\Application Data\rhc3nvj0e52e

      • C:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008

      • C:\Documents and Settings\Elvina\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk

      • C:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008.lnk

      • C:\Documents and Settings\All Users\Desktop\Antivirus XP 2008.lnk

    • Hapus registry yang dibuat oleh virus

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

        • rhc3nvj0e52e

      • HKEY_LOCAL_MACHINE\SOFTWARE

        • rhc3nvj0e52e

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

        • rhc3nvj0e52e

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent

        • Post Platform

  • Untuk pembersihan optimal dan mencegah infeksi ulang, lindungi komputer anda dengan antivirus yang sudah dapat mengenali dan membasmi virus ini dengan baik.

  • Jika anda mengalami kesulitan dalam menghadapi serangan virus di jaringan komputer anda,jangan ragu untuk menghubungiVaksincom di info@vaksin.com.

Salam,

Aj Tau

Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)