Virus Solow (Hack By Jay)

July 12, 2007 at 8:38 am (Information Technology)

Awas, komputer anda di hack ayam…

Binatang apa yang sangar dan akhir-akhir ini sangat sering dipakai namanya dalam dunia IT dan menurut peneliti memiliki hubungan erat dengan ayam ?? Jawabannya bukan burung elang ….. Brontok, bukan masih kalah sangar, burung Garuda Panca…. hus… itu sih lambang negara😛. Ternyata jawabannya bukan dari jenis unggas, melainkan jenis dinosaurus. Lhoooo, kok dinosaurus ?? Menurut penelitian terakhir merupakan nenek moyangnya ayam. Kalau mau ngadu keren, memang nenek moyangnya ayam ini yang paling sangar dan tidak ada matinya. Mengapa ? Karena di tengarai oleh peneliti bahwa nenek moyang ayam ternyata adalah T-Rex. Tidak percaya ?? Saya juga tidak percaya, tetapi ini jelas bukan HOAX dan memiliki dasar ilmiah yang kuat http://www.france24.com/france24Public/en/news/science/20070415-trex-chicken.html. Mungkin karena keren itulah yang membuat penulis virus (yang ditengarai awalnya menyebar meluas di Thailand namun akhir-akhir ini variannya banyak menyebar dalam pesan Bahasa Indonesia) menggunakan “motto” Hacked by Godzilla pada virus yang diciptakannya. 

Jika anda membuka program “Internet Explorer” dan mendapatkan capion text bertuliskan “Hacked by Godzilla” <untuk varian awal> atau Hacked by Zay” <untuk varian terbaru> kemungkinan besar komputer anda terinfeksi virus Solow, begitulah Norman Virus Control memberikan nama untuk virus yang satu ini 

 Virus ini sampai saat ini sudah menghasilkan banyak varian dan masing-masing varian mempunyai karakteristik yang sama walaupun ada sedikit perbedaan yang muncul dari aksi yang dilakukannya. Solow ini sendiri dibuat dari program bahasa pemrograman umum VBScript dengan ukuran sebesar 4 KB <Untuk varian awal> dan 8 KB untuk varian terbaru, dan agar dapat menyebar secara otomatis ia akan membuat file Autorun.inf yang berisi skrip untuk menjalankan file induk dari virus tersebut. JIka virus tersebut aktif ia akan membuat berapa file induk yang akan dijalankan setiap kali komputer dinyalakan diantaranya: 

·         %Drive%:\MS32DLL.dll.vbs <untuk Solow varian awal> atau r4n694-24y.dll.vbs <untuk solow varian terbaru>

·         C:\MS32DLL.dll.vbs  atau C:\WINDOWS\r4n694-24y.dll.vbs

·         %Drive%:\Autorun.inf Catatan:%Drive% menunjukan Partisi Hard Disk termasuk Flash Disk Solow akan membuat string pada registri berikut dengan tujuan agar dapat aktif secara otomatis setiap kali komputer dihidupkan. 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

§  r4n694-24y = C:\WINDOWS\r4n694-24y.dll.vbs atau

§  ms32dll = C:\WINDOWS\MS32DLL.dll.vbs

Untuk Solow varian awal tidak sampai melakukan blok fungsi Windows sehingga lebih mudah untuk dibersihkan sedangkan untuk varian terakhir ia akan berusaha untuk melakukan blok terhadap beberapa fungsi Windows seperti : 

§  Task manager

§  Msconfig

§  Regedit

§  Folder Option

§  CMD 

Dengan membuat string pada registri berikut:

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

§  NoFind

§  NoFoldderOptions

§  NoRun

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced

§       Hidden

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

§  DisableRegistriTools

§  DisableTaskMgr 

Anda tentu masih ingat dengan kasus Lightmoon, dimana jika anda menjalankan fungsi regedit/msconfig maka akan muncul program notepad dengan isi bahasa ASCII. Solow juga akan melakukan hal yang sama, selain regedit dan msconfig solow juga akan debugger program CMD/setup dan Install. Jadi setiap kali anda menjalankan program regedit/msconfig/cmd dan menjalankan file setup/install maka Solow akan mengarahkan untuk menjalankan program notepad dengan  isi bahasa ASCII. Untuk melakukan hal tersebut ia akan membuat string berikut: 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe 

           – debugger = notepad

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe           

 – debugger = notepad

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe           

– debugger = notepad

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe           

 – debugger = notepad

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe           

 – debugger = notepad

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegistriEditor.exe           

– debugger = notepad

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe

   debugger = notepad

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe           

– debugger = notepad 

Selain itu Solow juga akan membuat string pada registri berikut:

·         HKEY_CLASSES_ROOT\VBSFile

§  DefaultIcon = shell32.dll,2 Solow juga akan meninggalkan jejak lainnya yakni dengan merubah nama pemilik Windows menjadi  r4n694-24y dan organisasi pemilik Windows menjadi  Don’t Panic, System anda sudah kami ambil alih !”. Untuk Solow varian awal tidak akan merubah registri “Owner” dan “Organization”. Untuk melakukan hal tersebut ia akan merubah string registri berikut : 

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion§  RegisteredOrganization = Don’t Panic, System anda sudah kami ambil alih !

§  RegisteredOwner = r4n694-24y 

Selain  merubah registered owner dan registered organization, Solow juga akan menambahkan caption text pada  program “Internet Explorer” dengan tulisan “Hacked by Gozilla” atau “Hacked by zay” <tergantung dari varian Solow yang mengifeksi> , untuk melakukan hal tersebut ia akan membuat string registri berikut: 

·         HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title

§  Window Title = Hacked by Zay Atau

§  Window Title = Hacked by Godzilla (lihat gambar 4) 

Jika komputer anda sudah terinfeksi Solow maka anda tidak akan dapat membuka Drive pada komputer anda. Untuk melakukan hal tersebut Solow akan membuat string pada registri berikut : 

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2de6727b-e43a-11db-9ad6-806d6172696f}\Shell\AutoRun\command

§  Default = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2de6727e-e43a-11db-9ad6-806d6172696f}\Shell\AutoRun\command

§  Default = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs Aktif secara otomatis saat mencolokkan Flash Disk sebagai media penyebarannya, Solow masih menggunakan Disket/Flash Disk dengan membuat file Autorun.inf dan r4n694-24y.dll.vbs atau MS32DLL.dll.vbs . File Autorun.inf ini berisi script untuk menjalankan file r4n694-24y.dll.vbs atau MS32DLL.dll.vbs sehingga Solow akan aktif secara otomatis setiap kali user mencolokkan Disket/Flash Disk tanpa perlu menjalankan file tersebut. Kedua file ini juga akan dibuat di setiap Drive yang ada dengan tujuan agar ia dapat aktif secara otomatis dengan hanya mengkases Drive tersebut. 

Cara membersihkan Solow secara manual

·         Putuskan jhubungan komputer yang akan dibersihkan dari jaringan.

·        Matikan / Disable  “System Restore” untuk sementara selama proses pembersihan berlangsung <Jika menggunakan Windows ME/XP>.

·         Matikan proses virus yang aktif di memori. Untuk mematikan proses virus ini anda dapat menggunakan tools “proceexp” http://download.sysinternals.com/Files/ProcessExplorer.zip, kemudian matikan proses “wsscript” (lihat gambar 5) Gambar 5, Mematikan proses “WSScript” 

·         Hapus file induk dan autorun.inf di disetiap drive termasuk flash disk

§  %Drive%:\>MS32DLL.dll.vbs <untuk Solow varian awal> atau r4n694-24y.dll.vbs <untuk solow varian terbaru>

§  “C:\MS32DLL.dll.vbs”  atau “C:\WINDOWS\r4n694-24y.dll.vbs”

§  %Drive%:\>Autorun.infCatatan:%Drive% menunjukan Partisi Hard Disk termasuk Flash Disk Untuk mempermudah proses penhapusan anda dapat menggunakan tools Pocket Killbox http://www.bleepingcomputer.com/files/killbox.php kemudian hapus file tersebut diatas dengan menentukan lokasi  file tersebut berada. (lihat gambar 6) Gambar 6, Menghapus file induk Solow 

·         Hapus string registri yang dibuat oleh virus, untuk mempercepat proses penghapusan, salin skrip dibawah ini pada program notepad dan simpan dengan nama Repair.inf kemudian jalankan dengan cara: 

§  Klik kanan Repair.inf

§  Klik Install 

[Version]Signature=”$Chicago$”Provider=Vaksincom Oyee [DefaultInstall]AddReg=UnhookRegKeyDelReg=del [UnhookRegKey]HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner,0, “Owner”HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization,0, “Organization” [del]HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistriToolsHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgrHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptionsHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFindHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORunHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, hiddenHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, r4n694-24yHKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ms32dllCKCR, VBSFile, DefaultIconHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exeHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exeHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exeHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exeHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exeHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exeHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exeHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegistriEditor.exeHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe ·         Untuk pembersihan optimal dan mencegah infeksi ulang gunakan Norman Virus Control dengan update terakhir yang dapat mendeteksi dan membasmi virus ini dengan baik.

·         Aktifkan kembali / enable “System Restore” <jika menggunakan Windows ME/XP> 

Tips menghadapi autorun Flash Disk

Kebanyakan virus yang beredar akan membuat file Autorun.inf/Desktop.ini/Folder.htt disetiap Drive termasuk di Disket/Flash Disk dengan tujuan agar virus tersebut dapat aktif secara otomatis setiap kali user akses ke Drive tersebut. Berikut tips yang dapat dilakukan agar skrip tersebut tidak akan dijalankan setiap kali user akses ke Drive tersebut yakni:

·         Klik  [Start]

·         Klik tombol [Run]

·         Pada dialog box “Run” ketik  “GPEDIT.SMC” kemudian tekan tombol “enter”

·         Pada layar “Group Policy” klik “Administrative  Templates” pada menu “User Configuration” (lihat gambar 7) Gambar 7, Membuka Group Policy Windows 

·         Kemudian klik “System”

·         Pada menu “system”  tersebut klik kanan “Turn off Autoplay”  kemudian pilih  “Properties”

·         Pada layar  “Turn off Autoplay properties”  o        Klik tabulasi “Setting” o        Pilih option “Enable”o        Pada menu “Turn off Autoplay on”  pilih  “All Drives”o        Klik Tombol “Apply” o        Klik Tombol “OK”

·         Kemudian tutup layar “Group Policy” 

Aj Tau

 info@vaksin.com 

PT. VaksincomJl. Tanah Abang III / 19EJakarta 10160 

Ph : 021 3456850Fx : 021 3456851

4 Comments

  1. fals said,

    Tanya broo, klo di flashdisk ku ada tiba2 ada file autorun yang meloading file cmd.exe yang bersibul kupu2 msn ini virus ap? karn di flshdisk kau ada 2 file yang asing autorun dan cmd.exe
    aku pake norton cororate dan updatetan terbaru ga ke detek,
    trims

  2. if4n said,

    kalo’ aq pake ERD COMMENDER 2005 AJAX…. kayaknya pake’ ini, virus apa aja lewaaaaaaaaattttttttttttt……………………………………

  3. Aco said,

    Anti virus Kaspersky paling mantapss..
    Ga ada duanya..
    Apapun virusnya Kaspersky pembasminya..

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: