VNE (Rieysha)
sayang kapan kamu kembali ke indonesia?
apa kamu kembali dengan hatimu yang dulu?
Cirri-ciri virus: Trojan: W32/VBTroj.VNE (Rieysha)
Di komputer anda menampilkan pesan notepad dengan nama file
“system32pesan_dari_rieysha.txt” sebagai berikut
sayang kapan kamu kembali ke indonesia?
apa kamu kembali dengan hatimu yang dulu?
by:rieysha
Begitu pula pesan tersebut muncul di file MS Word anda dengan nama “system32pesan.doc”
dengan pesan:
yanx kapan kamu balik?
aku sudah kangen berat nih
kenapa sih mesti pergi jauh dariku
apa kamu kembali dengan hatimu yang dulu
apa aku akan merasakan kehangatan cinta yang dulu
Virus ini juga membuat icon gambar dengan rupa seorang gadis bersanggul Icon yang akan
menyertai file virus
Ciri-Ciri komputer yang terinfeksi
• Mengganti tampilan walpaper/desktop
Ciri-ciri yang dapat dikenali dari virus ini adalah dimana virus ini akan menutup
desktop/wallpaper dengan wallpaper dirinya yang berisi pesan error, dengan digantinya walpaper
ini maka user sudah tidak bisa mengakses komputer tersebut, jadi pembersihan hanya dapat
dilakukan pada mode “DOS” atau dengan menggunakan software lain seperti “Mini PE”
• Merubah format penanggalan dari PM/AM menjadi [Rieysha]
• Merubah nama Organisasi dan pemilik OS menjadi
- RegisteredOrganization = kamu kembali
- RegisteredOwner = sayang kapan
• Disable beberapa fungsi Windows seperti
o Disable Task Manager
o Menyembunyikan menu ShutDown komputer
o Menyembunyikan Drive
o Mengaktifkan fungsi Autorun, agar virus dapat aktif secara otomatis pada saat user mengakses
Drive/Flash Disk
o Menyembunyikan fungsi pencarian file/folder [Search]
o Menyembunyikan [Folder Options]
o Menyembunyikan [Run]
o Menyembunyikan [Start Menu Programs]
Cara membersihkan W32/VBTroj.VNE ((Rieysha)
Untuk pembersihan kali ini, kita akan menggunakan software Mini PE, silahkan download tools
tersebut di alamat www.minipe.org, kemudian burn ke CD dan booting komputer dengan
menggunakan CD tersebut. Setelah berhasil booting dengan menggunakan CD tersebut lakukan
langkah pembersihan selanjutnya.
1. Hapus file virus di drive
Gunakan tools [Windows explorer] untuk memudahkan dalam mencari dan menghapus file
induk virus.
- Klik [miniPE2XT]
- Klik [Programs]
- Klik [File Management]
- Klik [Windows Explorer]
Kemudian hapus file berikut:
o [C:\] atau Drive lain termasuk Flash disk
o C:\Windows
o C:\Windows\system32
o C:\Documents and Settings\%user%\Application Data%angka%Admin.exe
[Contoh: Application Data90Admin.exe]
o C:\Documents and Settings\%user%\Local Settings\Application Data%angka%r13y5h4ku.exe
[Contoh: Application Data90r13y5h4ku.exe]
o C:\Documents and Settings\%user%\Start Menu\Programs\Startup%angka%AVG Test
Center.exe
[Contoh: Startup90AVG Test Center.exe] 26 files
o C:\Documents and Settings\win321.exe
o C:\WINDOWS\Web\Printers\Write.exe
o C:\WINDOWS\Web\download.exe
o C:\Windows\Cursors\newCursor.exe
o C:\Windows\Debug\adminMode.exe
o C:\Windows\Font\rieyshaTrueType.exe
o C:\Windows\Help\userhelping.exe
o C:\Windows\java\packet.exe
o C:\Windows\Media\newmedia.exe
o C:\Windows\msagent\agentkvr.exe
o C:\Windows\registration\registy.exe
o C:\Windows\repair\setup.exe
o C:\windows\tasks\newScedule.exe
o C:\windows\system32\win34.exe
o C:\WINDOWS\system\oeminfo.exe
o C:\Windows\softwaredistribution\downloads.exe
o C:\Program Files\Internet Explorer
hacker.exe
IEfree.exe
Catatan:
Hapus file virus yang mempunyai ciri-ciri:
- Menggunakan icon
- Ukuran 228 KB
- Type file “Application”
- Ekstensi EXE
Untuk mempercepat pencarian sebaiknya menggunakan tools pencarian [Search], caranya:
- Buka [Windows Explorer]
- Klik tombol [Search]
- Pada kolom “Search for files or folders names” isi dengan format *.exe
- Pada kolom “Look in:” pilih drive yang akan di periksa
- kKik opsi [Search Options >>]
- Pilih opsi “Size”
? Pilih “At most”
? Isi 229
- Klik opsi “Advanced Options”
? Pilih opsi “Search System folders”
? Pilih opsi “Search hidden files and folders”
? Pilih opsi “Search subfolders”
- Klik tombol “Search Now” untuk memulai pencarian
- Kemdian hapus file virus yang berhasil ditemukan sesai dengan ciri-ciri yang telah disebutkan
di atas.
Hapus juga file berikut:
- C:\CeweNakal.scr
- C:\Windows
? Oemlogo.pif
? TAKSMAN.com
? system32folder.htt
? system32desktop.ini
? system32pesan_dari_rieysha.txt
? system32pesan.doc
? system32Autorun.inf
? system32pesanku.bat
? system32pesanQ.htm
? system32klikAku.bat
? system32klik2kali.bat
? system32rieysha.jpg
- D:\Puisi.txt
2. Hapus/edit kembali registry yang sudah diubah virus
o Masih di Mini PE, klik
o Klik MiniPE2XT]
o Klik [Programs]
o Klik [Avast! Registry Editor]
o Klik [Registry Editor]
o Setelah muncul layar [Select File With Registry], klik tombol [Load selected OS registry], jika
muncul layar konfirmasi, klik tombol [OK] (lihat gambar)
o Kemudian cari dan ubah registry berikut:
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
? Klik 2x pada string [Shell], kemudian pada kolom “string value data” ubah menjadi
[explorer.exe], Kemudian klik tombol [OK]
? Klik 2x pada string [Userinit], kemudian pada kolom “string value data” ubah menjadi
[%System%:\userinit.exe,], Kemudian klik tombol [OK]
Catatan:
%system% ini berbeda-beda:
• [C:\Windows\system32] ? Windows XP/2003
• [C:\Winnt\system32] ? Windows 2000
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Run
? Hapus string [r13y5h4.exe]
- _LOCAL_MACHINE_SYSTEM\ControlSet001\Control\SafeBoot
? Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi
CMD.exe, kemudian klik tombol [OK]
- _LOCAL_MACHINE_SYSTEM\ControlSet002\Control\SafeBoot
? Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi
CMD.exe, kemudian klik tombol [OK]
- _LOCAL_MACHINE_SYSTEM\CurrentControlSet\Control\SafeBoot
? Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi
CMD.exe, kemudian klik tombol [OK]
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies, kemudian
hapus string berikut:
? Explorer
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer,
kemudian hapus string berikut:
? NoClose
? NoDrives
? NoDriveTypeAutoRun
? NoFind
? NoFolderOptions
? NoRun
? NoStarMenuMorePrograms
? NoViewOnDrive
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System,
kemudian hapus string berikut:
? DisableCMD
? DisableRegistryTools
? DisableTaskMgr
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer,
kemudian hapus string berikut:
? NoCLose
? NoControlPanel
? NoDrives
? NoFind
? NoFolderOptions
? NoLOgoff
? NoRun
? NoSetFolders
? NoTrayContextMenu
? NoViewOnDrive
? NoWindowsUpdate
? StartMenuLogOff
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System,
kemudian hapus string berikut:
? NoDispCPL
? DisableRegistryTools
? DisableTaskMgr
- _LOCAL_MACHINE_SOFTWARE\Microsoft\WindowsNT
? Pada string [RegisteredOrganization] ubah “string value data” sesuai dengan keinginan Anda
? Pada string [RegisteredOwner] ubah “string value data” sesuai dengan keinginan Anda
- _USER_%user%Software\Microsoft\Windows\CurrentVersion\Run
? Hapus string [r13y5h4.exe]
- _User_%user%\Software\Microsoft\Internet Explorer\Main
? Pada string [Start Page] ubah “string value data” menjadi [about:blank]
- _User_%user%\Control Panel\International
? Pada string [s1159] ubah “String value data” menjadi [AM]
? Pada string [s2359] ubah “string value data” menjadi [PM]
3. Restart komputer
4. Fix ulang registry untuk memastikan semua registry sudah di perbaiki, silahkan copy script
dibawah ini pada program “notepad” kemudian simpan dengan nama repair.inf
Catatan
Jalankan file repair.inf ini setelah komputer restart
Berikut script yang harus di copy
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
“Explorer.exe”
HKCU, Control Panel\Desktop, Wallpaper,0,
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, “about:blank”
HKCU, Control Panel\International, s1159,0, “AM”
HKCU, Control Panel\International, s2359,0, “PM”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SOFTWARE\Classes\exefile,,,application
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0,
“Organization”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, “Owner”
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoDriveTypeAutoRun,0×000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,
NoDriveTypeAutoRun,0×000000ff,255
[del]
HKCU, Softawre\microsoft\Windows\currentVersion\Run, r13y5h4.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies, explorer
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRecentDocsMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoViewContextMenu
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives
HKCU,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStarMenuMorePrograms
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoControlPanel
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFind
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoLogoff
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoRun
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoSetFolders
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoTrayCOntextMenu
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoWindowsUpdate
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStartMenuLogoff
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispCPL
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableTaskMgr
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
5. Restart komputer, kemudian login tanpa menggunakan CD Mini PE
6. Jalankan repair.inf untuk membersihkan registry yang sudah di buat/diubah oleh virus
caranya:
o Klik kanan repair.inf
o Klik Install
7. Untuk pembersihan optimal dan mencegah infeksi ulang, silahkan scan dengan antivirus yang
up-to-date atau dengan menggunakan removal tools. Anda dapat menggunakan Normal Malware
Cleaner dengan mendownload di alamat berikut:
http://www.norman.com/support/support_tools/58732/en
November 4th, 2009 at 11:07 am
VBS/Cryf.A merupakan virus yang membuat CD-ROM/DVD-ROM selalu terbuka dan juga
menampilkan gambar seram, gambar tersebut disebut-sebut mirip gambar mbah surip maka virus
VBS/Cryf.A dikenal juga dengan sebutan virus mbah Surip yang terkenal dengan lagunya “tak
gendong’.
Komputer yang terinfeksi VBS/Cryf.A mudah dikenali dengan beberapa jejak yang
ditinggalkannya, diantaranya:
* Pada saat komputer pertama kali dinyalakan, akan muncul program [Internet Explorer] yang
menampilkan sosok yang cukup “menyeramkan”.
* Mengubah halaman utama [start page] program [Internet Explorer] untuk menjalankan file
yang berada didirektori [C:\WINDOWS\windows.html] yang berisi pesan dari pembuat virus.
MY WORLD
WELCOME
SHEMALE
IN TO
THE
MY WORLD
KING OF WORLD
* Ada folder “Album BOKEP” di setiap drive dan Flash Disk yang isinya seakan-akan file
movie porno yang sebenarnya merupakan file virus yang siap “menggendong” komputer anda
bila anda jalankan.
* Mengubah nama organisasi dan nama pemilik Windows menjadi Registered to CRY Shemale
* Mengubah type file “Shortcut” [.lnk] mejadi “Movie Clip” yang sebenarnya adalah suatu
rekayasa sosial yang cukup cerdik sehingga korbannya akan mengira file virus “.lnk” adalah file
film.
1. Matikan proses virus yang sedang aktif di memori. Untuk mematikan proses virus ini silahkan
gunakan tools pengganti task manager seperti Currproses, kemudian matikan proses yang
mempunyai product name ‘Microsoft (r) Windows Script Hosta’ dengan cara:
* Pilih [blok] proses yang mempunyai product name ‘Microsoft (r) Windows Script Hosta’
* Klik kanan pada proses yang sudah di blok
* Pilih [Kill Selected Processes]
2. Blok agar file virus tidak dapat dijalankan untuk sementara selama proses pembersihan dengan
menggunakan fitur ‘Software Restriction Policiesa’, fitur ini hanya ada di Windows
XP/2003/Vista/2008. Untuk blok file tesebut lakukan langkah berikut:
3. Fix Registry dengan menjalankan file [FixRegistry.exe], silahkan download di alamat berikut
http://www.4shared.com/file/117095567/3ea8e8ce/_4__FixRegistry.html
4. Hapus file induk virus yang telah dibuat. File induk virus ini akan disembunyikan. Jika file
induk tersebut tidak dapat ditampilkan silahkan gunakan tools penggganti Windows Explorer
seperti ‘Explorer XP’. Silahkan download di alamat berikut:
http://www.explorerxp.com/explorerxpsetup.exe
Setelah software tersebut di install, cari dan hapus file berikut: svchost.vbs, desktop.ini,
drvconfg.drv. SHELL32.dll, %Drive%:\Album BOKEP\Naughty America dan C:\windows.
* Start]
* Klik [Run]
* Ketik CMD kemudian klik tombol [OK]
* Pada layar ‘Dos Prompt’ pindahkan posisi kursor ke drive yang akan di periksa
* Ketik perintah ATTRIB regedit.exe kemudian klik tombol
* Kemudian ketik perintah saya yang membedakan hanya nama file yang akan ditampilkan yakni
Taskmgr.exe, cmd.exe dan Logoff.exe
6. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan
antivirus yang up-to-date.
7. Jika komputer sudah benar-benar bersih dari virus, hapus rule blok file [WSCript.exe] yang
telah dibuat pada langkah nomor 2, caranya:
* Klik menu [Start]
* Klik [Run]
* Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
* Pada layar [Local Security Policy], klik 2x [Software restriction policies]
* Klik [Additional Rule]
* Hapus Rule yang pernah Anda buat sebelumnya
Referensi:
http://vaksin.com/2009/0709/Cryf/Cryf.html
VBS/Cryf.A
Di dunia virus lokal, bahasa pemrograman yang menjadi “Cinta Terlarang” adalah Visual Basic. Tetapi
rupanya bukan hanya Visual Basic saja yang bisa dijadikan sebagai program untuk membuat virus.
Berikut ini Vaksincom memberikan satu virus lokal yang sedang mengganas di Indonesia dan selain tidak
menggunakan bahasa “terlarang” Visual Basic melainkan VBS, virus ini memiliki banyak sekali
kecanggihan seperti mengenkripsi kodenya, merekayasa file virus menjadi file video dan menyebabkan
CD / DVD Rom anda terbuka terus dan kalau anda tutup akan terbuka lagi, sampai korbannya akan
bertanya “What this is ??”. Kalau di ranah musik pop, virus yang satu ini ibaratnya lagu Tak Gendong
yang lagi ngetop. Tertarik ? ... Follow me .... okay :P.
Virus lokal tidak selalu dibuat dengan menggunakan program Visual Basic, sudah banyak virus lokal yang
dibuat dengan menggunakan program bahasa lain yang tentunya mempunyai efek yang cukup
berbahaya, contohnya program VBS, walaupun virus ini “hanya” dibuat dengan menggunakan program
VBS tetapi aksi yang dilakukan cukup “menegangkan” juga.
Harap Waspada, saat ini telah beredar salah satu virus yang dibuat dengan menggunakan VBS, saat ini
penyebarannya masih di kawasan Jogjakarta [jadi bisa ditebak kira-kira asal dari virus ini). Tidak seperti
kebanyakan Virus made in VBS, kali ini ia akan mengenkripsi code nya sehingga tidak mudah untuk di
baca.
Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai VBS/Cryf.A (lihat gambar 1
dan 2)
Gambar 1, Hasil deteksi Norman Security Suite
Komputer yang terinfeksi VBS/Cryf.A mudah dikenali dengan beberapa jejak yang ditinggalkannya,
diantaranya:
Pada saat komputer pertama kali dinyalakan, akan muncul program [Internet Explorer] yang
menampilkan sosok yang cukup “menyeramkan”, tetapi kelihatannya bukan gambar Mbah
Surip :P (lihat gambar 3)
Gambar 3, Jendela Internet Explorer yang akan ditampilkan saat komputer dinyalakan
Merubah halaman utama [start page] program [Internet Explorer] untuk menjalankan file yang
berada didirektori [C:\WINDOWS\windows.html] yang berisi pesan dari pembuat virus. (lihat
gambar 4)
Gambar 4, Halaman utama yang sudah diubah oleh virus
Ada folder “Album BOKEP” di setiap drive dan Flash Disk yang isinya seakan-akan file movie
porno yang sebenarnya merupakan file virus yang siap “menggendong” komputer anda bila anda
jalankan.
Merubah nama organisasi dan nama pemilik Windows menjadi Registered to CRY Shemale (lihat
gambar 5)
Gambar 5, Nama organisasi dan nama pemilik windows yang sudah diubah oleh virus
Merubah type file “Shortcut” [.lnk] mejadi “Movie Clip” yang sebenarnya adalah suatu rekayasa
sosial yang cukup cerdik sehingga korbannya akan mengira file virus “.lnk” adalah file film. (lihat
gambar 6)
File induk VBS/Cryf.A ini mempunyai nama [drvconfg.drv] dengan ukuran file sebesar 218 KB, file ini
mempunyai ekstensi [.drv] dan mempunyai type file sebagai “device driver”, file ini akan di enkipsi
sehingga kode virusnya tidak mudah di baca.
Pada saat file virus di jalankan, pertama kali yang akan di lakukan adalah memanggil file [svchost.vbs]
yang sudah di ekript yang berada di direktori [%Driver%:\Recycled\S-1-5-21-343818398-18970151121-
842a92511246-500\Thumbs.db]. Kemudian file [svchost.vbs] ini akan menjalankan file utama virus yakni
file [drvconfg.drv], file inilah yang berisi runtime untuk menginfeksi dan menanamkan aksi-aksi lain nya di
dalam komputer target. (lihat gambar 6 dan 7)
Pada saat user menjalankan dirinya, VBS/Cryf.A akan memanggil program [Windows Media Player]
seperti yang terlihat pada gambar 8 dibawah ini :
Gambar 8, VBS/Cryf.A membuka program Windows Media Player saat dijalankan
Kemudian akan membuat beberapa file induk yang salah satunya akan dijalankan saat komputer
dinyalakan:
%Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db
o svchost.vbs
o desktop.ini
o drvconfg.drv
o SHELL32.dll
C:\windows
o appsys.exe
o Winupdt.scx
o appopen.scx
o Windowsopen.mht
o Windows.html
o Regedit.exe.lnk
o Help.htm
C:\Windows\system\svchost.exe
C:\WINDOWS\system32
o Svchost.dls
o Corelsetup.scx
o Appsys.dls
o Kernel32.dls
o Taskmgr.exe.lnk
C:\WINDOWS\system32\
o Winupdtsys.exe
o ssmarque.scr
C:\Program Files\FarStone\qbtask.exe
C:\Program Files\ACDsee\Launcher.exe
C:\Program Files\ExeLauncher
%ProgramFiles%\drivers\VGA\VGAdrv.lnk
Catatan:
Agar file tesebut dapat dijalankan secara otomatis pada saat komputer aktif, ia akan membuat beberapa
string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o ACDsee = c:\Program Files\ACDsee\Launcher.exe
o CorelSetup = C:\WINDOWS\system32\Corelsetup.scx
o updtsystem = C:\WINDOWS\system32\Winupdtsys.exe
o VGAdriver = %ProgramFiles%\drivers\VGA\VGAdrv.lnk
o WinSystem = c:\Windows\Windowsopen.mht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Untuk file induk virus yang mempunyai ekstensi [SCX] dan [DLS], agar file tersebut dapat dijalankan, ia
akan membuat registry di bawah ini. Agar file tersebut dapat dijalankan ia akan memanfaatkan file
[C:\Windows\System32\wscript.exe]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scxfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scxfile\shell\open\command
o [Default] = %SystemRoot%\System32\wscript.exe %1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dlsfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dlsfile\shell\open\command
o [Default] = %SystemRoot%\System32\wscript.exe %1
Untuk mempertahankan eksistensinya ia akan mencoba untuk blok beberapa fungsi windows seperti :
Task Manager
Regedit
CMD
MSCONFIG
Untuk melakukan hal tersebut, ia akan membuat beberapa string pada registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
NoChangingWallpaper
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
nobandcustomize
nochangestartmenu
NoDriveAutoRun
NoDrivetypeautorun
NoFileAssociate
nosavesettings
NOTOOLBARCUSTOMIZE
NoRecycleFiles
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableCMD
DisableRegistryTools
DisableTaskMgr
NoDispScrSavPage
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveAutoRun
NoDriveTypeAutoRun = 95
Selain dengan membuat registry di atas, agar user tidak dapat menjalankan fungsi Regadit/Task
Manager/CMD atau MSConfig, ia akan menyembunyikan file tersebut [regedit.exe, tskmgr.exe. cmd.exe
dan MSConfig.exe] dan sebagai gantinya ia akan membuat file yang sama bedanya ia akan mempunyai
dua ekstensi yakni [.exe.lnk], antara file “gadungan” dan file asli akan mempunyai icon yang sama. Jika
user mencoba untuk memanggil salah satu fungsi Windows tersebut maka akan muncul pesan error
berikut (lihat gambar 9 dan 10) :
Tetapi jika user mencoba untuk langsung menjalankan file “gadungan” yang telah dibuat oleh virus
sebagai pengganti file asli yang telah disembunyikan [contoh: regedit.exe.lnk] maka secara otomatis akan
menjalankan file virus yang berada di direktori [C:\WINDOWS\system32\svchost.dls].
Selain itu ia juga akan melakukan Debugger terhadap ketiga fungsi windows tersebut untuk menjalankan
file virus [C:\WINDOWS\appsys.exe] dengan membuat string pada registry berikut:
Debugger = C:\WINDOWS\appsys.exe
Debugger = C:\WINDOWS\appsys.exe
Debugger = C:\WINDOWS\appsys.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\regedt32.exe
Debugger = C:\WINDOWS\appsys.exe
Debugger = ntsd –d
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\Environment
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
Selain blok fungsi windows, ia juga akan blok beberapa tools security khususnya antivirus lokal seperti
PCMAV atau ANSAV. VBS/Cryf.A juga akan melakukan Debugger terhadap program yang telah
ditentukan dengan membuat string pada registry berikut :
Debugger = C:\WINDOWS\appsys.exe
Debugger =
Debugger = ntsd –d
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\NeroChkup.exe
Debugger = C:\WINDOWS\appsys.exe
Debugger = C:\WINDOWS\appsys.exe
Debugger = C:\WINDOWS\appsys.exe
Debugger = C:\WINDOWS\appsys.exe
Debugger = C:\windows\system\svchost.exe
"c:\windows\system32\Corelsetup.scx
Debugger = ntsd -d
Debugger = C:\WINDOWS\appsys.exe
Debugger = C:\WINDOWS\appsys.exe
Debugger = C:\windows\system\svchost.exe"c:\windows\appopen.scx"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\a.exe
Debugger = C:\WINDOWS\appsys.exe
Debugger = C:\WINDOWS\appsys.exe
Debugger = C:\WINDOWS\appsys.exe
Debugger = C:\WINDOWS\system32\wscript.exe
"c:\windows\system32\appsys.dls"
Debugger = ntsd -d
Virus ini juga akan mecoba untuk mengaktifkan dirinya secara otomatis dengan menjalankan file
[C:\windows\system\svchost.exe atau C:\windows\WinUpdt.scx] setiap kali user menjalankan file yang
mempunyai ekstensi berikut:
.reg
.vbs
.inf
Untuk melakukan hal ini, ia akan membuat string pada registry berikut:
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\comman
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Edit\Command
Command = C:\windows\system\svchost.exec:\windows\WinUpdt.scx
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regedit\shell\open\command
[Defalut] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx
o HKEY_CLASSES_ROOT\regfile\shell\edit\command
[Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx
o HKEY_CLASSES_ROOT\regfile\shell\open\command
[Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command
[Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command
[Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx
Untuk mempermudah dalam mengelabui user, ia akan menggunakan rekayasa sosial dengan membuat
sebuah folder dengan nama [Album BOKEP] disetiap Drive termasuk di Flash Disk. Dengan nama folder
tersebut di harapkan dapat menarik user untuk menjalankan salah satu dari 3 file shortcut yang berada di
dalam nya. File dengan icon “Windows Media Player” ini seolah-olah merupakan file Video “Mesum” yang
jika dijalankan maka akan mengaktifkan file [%Drive%:\Recycled\S-1-5-21-343818398-18970151121-
842a92511246-500\Thumbs.db\svchost.vbs] (lihat gambar 11)
Gambar 11, File shortcut virus yang akan mengaktifkan file [svchost.vbs]
Selain itu agar penyamarannya lebih sempurna ia akan merubah type file dari file LNK (shortcut) tersebut
menjadi “Movie Clip” sehingga seolah-olah merupakan file Video dan untuk lebih meyakinkan ia akan
menyembunyikan ekstensi yang kedua dari file tersebut [.LNK] dengan membuat string pada registry
berikut
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile
[Default] = Movie Clip
NeverShowExt
VBS/Cryf.A juga akan merubah type file dari “VBScript Script File” menjadi “Application” serta merubah
icon VBS menjadi icon Application serta menyembunyikan ekstensi dari file tersebut dengan merubah
string registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile
FriendlyTypeName = Application
NeverShowExt
[Default] = %SystemRoot%\system32\SHELL32.dll,2
Aktif pad mode “safe mode” dan “safe mode with command prompt”
Virus ini tidak hanya aktif pada mode Normal, tetapi akan aktf pada mode “safe mode” dan “safe mode”
with command prompt dengan membuat string pada registry berikut
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
o AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt.scx
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
o AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt.scx
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
o AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt.scx
Registry lain
VBS/Cryf.A juga akan membuat registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
o AltDefaultUserName = Shemale
o DefaultUserName = Shemale
HKEY_CURRENT_USER\Control Panel\International
o s1159 = [kosong]
o s2359 = [kosong]
Jejak virus
Sperti kebanyakan virus lokal, salah satu aksi yang dilakukan adalah meninggalkan jejak berupa pesan di
komputer target. VBS/Cryf.A juga akan meningalkan beberepa pesan yang dikemas dalam sejumlah file
diantara pesan terebut akan di tampilan secara otomatis saat komputer di nyalakan dan saat
menjalankan program Internet Explorer atau saat screen saver Windows aktif.
Merubah nama pemilik Windows dengan merubah string registry berikut (lihat gambar 5)
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
RegisteredOrganization = Shemale
RegisteredOwner = CRY
Menampilkan jendela Internet Explorer yang berisi gambar berikut , gambar ini akan di tampilkan
secara otomatis saat menghidupkan komputer sebagai salam pembuka. (lihat gambar 3)
Untuk melakukan hal ini ia akan merubah string pada registry berikut:
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinSystem = c:\Windows\Windowsopen.mht
Menampilkan pesan “King of The World” saat membuka jendela Internet Explorer (lihat gambar 4)
Untuk melakukan hal ini ia akan merubah string pada registry berikut:
o HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Menampilkan pesan “SHEMALE By CRY” saat screen saver Windows aktif dengan terlebih
dahulu merubah string pada registry berikut (lihat gambar 12)
o HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = C:\WINDOWS\system32\ssmarque.scr
Promosi
Seolah-olah untuk menebus segala “dosa-dosa” nya, ia akan menyertakan link untuk mendownload
removal tools untuk membersihkan komputer yang sudah terinfeksi. Link ini akan dibuat dalam sebuah
file yang disimpan di direktori [C:\Windows\help.html] (lihat gambar 13)
Gambar 13, Link yang ditampilkan oleh virus
Jika link [ANTIVIRUS.exe] tersebut di klik maka akan diarahkan ke sebuah jendela baru dengan alamat
[http://www.dinamikasolusi.co.nr], yang ternyata berisi “PROMOSI BUKU” tentang bagaimana “cara
membuat antivirus dengan Visual Basic”. (lihat gambar 14)
Gambar 14, Alamat promosi yang akan ditampilkan oleh Virus
Media Penyebaran
Untuk menenyebarkan dirinya, ia akan memanfaatkan Flash Disk dengan cara membuat file folder
berikut:
%Flash Disk%:\>Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db
o svchost.vbs
o desktop.ini
o drvconfg.drv
o SHELL32.dll
Autorun.inf
Dataku Penting Jangan Dihapus.lnk, jika di jalankan akan mengaktifkan file [%Flash Disk
%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db\svchost.vbs]
%Flash Disk%:>Album BOKEP\Naughty America, jika di jalankan akan mengaktifkan file [%Flash
Disk%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-
500\Thumbs.db\svchost.vbs]
Agar dirinya dapat aktif secara otomatis, ia akan memanfaatkan fitur autorun dengan nama [autorun.inf]
yang akan menjalankan file [Shell32.dll] kemudian file ini yang akan menjalankan file induk utama dari
virus yakni [drvconfg.drv]. (lihat gambar 15)
Catatan:
1. Matikan proses virus yang sedang aktif dimemori. Untuk mematikan proses virus ini silahkan
gunakan tools pengganti task manager seperti [Currproses], kemudian matikan proses yang
mempunyai product name “Microsoft (r) Windows Script Host” dengan cara : (lihat gambar 17)
o Pilih [blok] proses yang mempunyai product name “Microsoft (r) Windows Script Host”
2. Blok agar file virus tidak dapat dijalankan untuk sementara selama proses pembersihan dengan
menggunakan fitur “Software Restriction Policies”, fitur ini hanya ada di Windows
XP/2003/Vista/2008.
Untuk blok file tesebut lakukan langkah berikut : (lihat gambar 18)
Klik [Run]
Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
Klik kanan pada [software restriction policies] dan pilih [Create new policies]
Kemudian klik kanan di [Additional Rule], dan pilih [New Hash Rule].
Gambar 18, Menentukan file yang akan diblok
Di Kolom [File Hash], klik tombol [Browse] dan pilih file yang akan diblok. Pada
kolom [File information] akan terisi informasi dari file tersebut secara otomatis.
(lihat gambar 19)
Gambar 19, Pilih file yang akan diblok.
Pada kolom “description” isi deskripsi dari nama file tersebut (bebas),
Pilih [OK]
Catatan:
Pada saat user menjalankan file yang sudah di add tersebut maka akan mucul pessan
peringatan berikut : (lihat gambar 20)
Gambar 20, Pesan peringatan saat menjalankan file yang di blok
3. Fix Registry dengan menjalankan file [FixRegistry.exe], silahkan download di alamat berikut :
(lihat gambar 21)
http://www.4shared.com/file/117095567/3ea8e8ce/_4__FixRegistry.html
1. Pada kolom [Register Owner] isi sesuai dengan nama pemilik Windows
2. Pada kolom [Register Organization] isi sesuai dengan nama organisasi pemilik Windows
4. Hapus file induk virus yang telah dibuat. File induk virus ini akan disembunyikan. Jika file induk
tersebut tidak dapat ditampilkan silahkan gunakan tools penggganti Windows Explorer seperti
“Explorer XP”. Silahkan download di alamat berikut:
http://www.explorerxp.com/explorerxpsetup.exe
o svchost.vbs
o desktop.ini
o drvconfg.drv
o SHELL32.dll
C:\windows
o appsys.exe
o Winupdt.scx
o appopen.scx
o Windowsopen.mht
o Windows.html
o Regedit.exe.lnk
o Help.htm
C:\Windows\system\svchost.exe
C:\WINDOWS\system32
o Taskmgr.exe.lnk
o CMD.exe.lnk
o Svchost.dls
o Corelsetup.scx
o Appsys.dls
o Kernel32.dls
o Winupdtsys.exe
o ssmarque.scr
C:\Program Files\FarStone\qbtask.exe
C:\Program Files\ACDsee\Launcher.exe
C:\Program Files\ExeLauncher
%ProgramFiles%\drivers\VGA\VGAdrv.lnk
Catatan:
2. Klik [Run]
4. Pada layar “Dos Prompt” pindahkan posisi kursor ke drive yang akan di periksa
6. Kemudian ketik perintah saya yang membedakan hanya nama file yang akan ditampilkan
yakni Taskmgr.exe, cmd.exe dan Logoff.exe
Gambar 22, Menampilkan file yang disembunyikan
6. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan
antivirus yang up-to-date.
7. Jika komputer sudah benar-bernar bersih dari virus, hapus rule blok file [WSCript.exe] yang telah
dibuat pada langkah no. (2), cara nya : (lihat gambar 23)
Klik [Run]
Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
8. Untuk mencegah infeksi ulang, gunakan antivirus yang sudah dapat mendeteksi dan membasmi
virus ini dengan baik.
Salam,
Aj Tau
info@vaksin.com
PT. Vaksincom
Jakarta 10160
Ph : 021 3456850
Fx : 021 3456851
Bagi anda yang ingin memberikan komentar atau bertanya mengenai virus Cryf atau Shemale by Cry,
silahkan klik Forum khusus virus Cryf, http://www.facebook.com/topic.php?uid=44419857236&topic=8884