Wednesday, November 14, 2007 at 11:51 AM |  

 


 


W32/Naki.G


16
Desember 2006




Giliran file ZIP anda yang di grogoti




 




Penyebaran virus lokal saat ini semakin pesat, varian yang
dihasilkan juga semakin banyak untuk aksi yang dilakukan jangan
ditanya karena virus lokal semakin hari semakin ganas dari hanya
sebatas membuat file duplikat sampai mengancurkan data, media
penyebarannnyapun sudah naik kelas dari yang hanya sebatas menyebar
melalui Disket/Flash Disk kini mulai merambah ke jaringan/email dan
media chatting [MIRC]. Salah satunya adalah virus dengan julukan
Grogotix yang menurut pantauan Vaksincom termasuk virus yang banyak
mengakibatkan ribuan insiden infeksi merata di seluruh di Indonesia.



 




Jika
anda menemukan file duplikat di Hard Disk anda dengan icon “Folder”
serta mempunyai ukuran acak [contoh: 221 KB, 1,273 KB, 264 KB, 302
KB, 442 KB, 516 KB atau 520 KB] terlebih lagi jika muncul pesan
dibawah ini (lihat gambar 1) kemungkinan besar komputer anda
terinfeksi virus W32/Naki.G atau biasa disebut Grogotix.A begitu
antivirus Norman memberi nama untuk virus ini (lihat gambar 2).



 



src="http://www.vaksin.com/grogotix_files/image002.jpg" v:shapes="_x0000_s1025">




Gambar 1, Pesan yang ditampilkan oleh virus W32/Naki.G




 



src="http://www.vaksin.com/grogotix_files/image004.jpg" v:shapes="_x0000_s1026">




Gambar 2, Norman mendeteksi Naki.G




 



Naki.G
masih dibuat dengan menggunakan Bahasa Visual Basic dan mempunyai
 file induk yang acak [contohnya 221 KB atau 1,273KB], untuk
mengelabui user Naki.G akan menggunakan icon “Folder” suatu icon
yang umum digunakan oleh virus lokal lainnya karena lebih mudah
untuk menjebak user untuk menjalankan file tersebut. (lihat gambar
3)



 



src="http://www.vaksin.com/grogotix_files/image006.jpg" v:shapes="_x0000_s1027">





Gambar 3, File yang terinfeksi W32/Naki.G



 




Aktif pada Safe Mode




File
induk yang akan dibuat oleh Naki.G cukup banyak dan acak serta
mempunyai lokasi penyimpan yang berbeda-beda [biasanya akan disimpan
didirektori C:\Windows atau C:\Windows\System32], file
induk inilah yang akan dijalankan pertama kali setiap kali komputer
dinyalakan agar W32/Naki.G dapat secara otomatis aktif tanpa bantuan
manusia dan W32/Naki.G ini akan aktif walaupun komputer di booting
pada mode “safe mode”.



 




Berikut beberapa contoh file induk yang akan dibuat oleh W32/Naki.G




 



-         
C:\Windows\system32\tiliy.exe




-         

C:\Windows\system32\juset.exe



-         
C:\windows\system32\keqib.exe



-         
C:\windows\system32\jeyag.exe




-         
C:\Windows\system32\xetah.exe



-         
C:\Windows\pluto.ocx




-         
C:\Windows\devil.ocx



-         
C:\Windows\kisiw.exe



-         

C:\Windows\bureg.exe



-         
C:\Windows\Cidag.exe



-         
C:\Windows\Xisiy.exe




-         
C:\windows\Yubul.exe



 



Agar
file tersebut dapat di jalankan secara otomatis setiap kali komputer
restrat/booting, W32/Naki.G akan membuat string pada regsitry
berikut, untuk value yang dibuat juga berbeda-beda tegantung dari
nama file induk yang dibuat, contohnya:




 



-         

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run



-         

Grogotix= C:\WINDOWS\System32\juset.exe   atau



-         
Grogotix= C:\WINDOWS\System32\xisiy.exe



 




-         
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon



-         
Shell = Explorer.exe C:\WINDOWS\System32\tiliy.exe   atau




-         
Shell = Explorer.exe C:\WINDOWS\System32\kisiw.exe



 



-         

HKEY_LOCAL_MACHINE\SOFTWARE\Grogotix.A



-         
AppAll = xetah.exe  atau cidaq.exe




-         
AppMirc = keqib.exe atau bureg.exe



-         
AppOther = tily.exe atau xisiy.exe




-         
AppSetan = jeyag.exe atau yubul.exe



-         
AppUtama = juset.exe atau xisiy.exe




-         
Lokasi = C:\WINDOWS\System32 atau C:\Windows



 



Blok
Fungsi Windows dan Tools Security





W32/Naki.G akan mencoba untuk melakukan blok tehadap beberapa fungsi
Windows dan beberapa tools security sehingga akan mempersulit proses
pembersihan, berikut beberapa fungsi Windows dan tools security yang
akan di blok:



-         
Registry editor




-         
Task Manager



-         
CMD



-         

Folder Options



-         
Fungsi Klik kanan



-         
Search




-         
Control Panel



-         
Documents Recent




-         
HijackThis



-         
Kill box



-         

Proceexp



 



Untuk
blok fungsi Windows, W32/Naki.G akan membuat string pada registry
berikut:



-         


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer



-         
NoFind



-         

NoFolderOptions



-         
NoRecentDocsMenu



-         
NoRun




-         
NoSetFolders



-         
NoTrayContextMenu




-         
NoViewContextMenu



 



-         


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System



-         
DisableCMD



-         
DisableRegistryTools




-         
DisableTaskMgr



 



Harap
hati-hati.. jika komputer anda terinfeksi virus ini sebaiknya jangan
coba-coba untuk akses ke direktori C:\Windows atau

C:\Windows\System32
karena W32/Naki.G akan memblok akses Desktop
sehingga komputer tidak bisa digunakan dan harus restart secara
manual, selain itu W32/Naki.G  juga akan mencoba blok dialog box
konfirmasi mengapusan suatu file/folder. (lihat gambar 4)



 



src="http://www.vaksin.com/grogotix_files/image008.jpg" v:shapes="_x0000_s1028">





Gambar 4, Konfirmasi penghapusan file/folder yang akan diblok oleh
Naki.G



 




Merubah file Host windows



Naki.G
juga akan mencoba untuk blok beberapa Website  termasuk Website
antivirus dengan merubah HOST file Windows yang berada di direktori
[C:\Windows\system23\drivers\etc\hosts] dengan menambahkan link url
seperti terlihat pada list dibawah ini:




 




127.0.0.1  localhost





127.0.0.1 ww.google.com




127.0.0.1 ww.yahoo.com




127.0.0.1 ww.hotmail.com





127.0.0.1 ww.microsoft.com




127.0.0.1 ww.symantec.com





127.0.0.1 ww.trendmicro.com




127.0.0.1 ww.mcafee.com




127.0.0.1 messenger.yahoo.com





127.0.0.1 messenger.msn.com




127.0.0.1 ww.kazaa.com





127.0.0.1 ww.emule.com




127.0.0.1 ww.winmx.com




127.0.0.1 ww.limewire.com





127.0.0.1 ww.winguides.com




127.0.0.1 ww.vet.com





127.0.0.1 ww.ebay.com




127.0.0.1 ww.msn.com




127.0.0.1 ww.hotmail.com





127.0.0.1 ww.mp3.com




127.0.0.1 ww.grisoft.com





127.0.0.1 ww.zonelabs.com




127.0.0.1 ww.lavasoft.com




127.0.0.1 update.microsoft.com





127.0.0.1 morpheus.com




127.0.0.1 ww.imesh.com





127.0.0.1 ww.edonkey200.com




127.0.0.1 ww.bearshare.com




127.0.0.1 ww.agsatellite.com





127.0.0.1 ww.zeropaid.com




127.0.0.1 ww.bittorrent.com





127.0.0.1 ww.securityfocus.com




127.0.0.1 ww.geocities.com




127.0.0.1 ww.sophos.com





127.0.0.1 ww.pandasoftware.com




127.0.0.1 ww.ibm.com





127.0.0.1 ww.dell.com




127.0.0.1 ww.hp.com




127.0.0.1 ww.sec1.com





127.0.0.1 ww.kaspersky.com



 




Blok Antivirus





W32/Naki.G juga berusaha untuk blok program antivirus seperti Norman
Virus Control, Kaspesky, McAfee dengan mencoba untuk menghapus semua
file disemua folder dan sub folder antivirus tersebut.



 




Mencoba menyebar via IRC





Disket/Flash Disk masih menjadi media andalan untuk menyebarkan
dirinya dengan membuat file duplikat disetiap folder dan sub folder
sesuai dengan  nama folder/subfolder tersebut, selain melaui media
tersebut di atas, W32/Naki.G juga akan mencoba untuk menyebarkan
dirinya melalui media chatting [Mirc] dengan melakukan koneksi ke
server IRC dan join ke beberapa alamat yang sudah ditentukan serta 
mengirimkan sejumlah link ke sejumlah ID yang ditemukan, berikut
beberapa lokasi server yang akan coba untuk di susupi oleh Naki.G



 




-         


plasa.id.allnetwork.org



-         



haarlem.nl.eu.undernet.org



-         


mozilla.se.eu.dal.net




-         


rumble.fl.us.dal.net



-         



punch.va.us.dal.net





 





Berikut beberapa  Chanel yang akan disinggahi oleh W32/Naki.G



-         
bandung



-         

medan



-         
jakarta



-         
surabaya




 




Berikut beberapa contoh pesan yang akan di kirimkan W32/Naki.G
melalui IRC



 




-         
nick, free picture indonesia sex double klik url



-         
nick mo liat artis majalah playboy indo



-         

nick Ada info baru ne Marshanda, Agnes Monica, Dian Sastro,
Bunga.C Dah Berani Bugil, Untuk liat Fotonya double klik url



-         
nick Ada info baru ne Marshanda, Agnes Monica, Dian Sastro,
Bunga.C Dah Berani Bugil, Untuk liat Fotonya double klik url



-         
nick mo liat artis




-         
artis indonesia nude, double klik url



-         
nick , indo artis majalah playboy double klik url




-         
nick indonesia free porn, double klik url



-         
nick mo liat karya ce



-         

ce bangsa indo, double klik url



 




Duplikat file





W32/Naki.G akan membuat file duplikat disetiap folder dan sub folder
dimana file ini akan mempunyai nama yang sama dengan folder dan sub
folder tersebut selain itu W32/Naki.G juga akan membuat file
duplikat yang akan diambil dari caption suatu program yang
dijalankan, contohnya jika anda menjalankan program notepad
dan menyimpan nama tersebut sebagai readme maka akan
terbentuk file dengan nama readme - notepad.exe. (lihat
gambar 5)



src="http://www.vaksin.com/grogotix_files/image011.gif" v:shapes="_x0000_s1029 _x0000_s1030 _x0000_s1031 _x0000_s1032 _x0000_s1033">





Gambar 5, W32/Naki.G membuat duplikat sesuai dengan caption dari
program yang dijalankan



 



Selain
itu W32/Naki.G akan mencoba untuk menghapus file .exe dan membuat
file duplikat sesuai dengan nama file yang dihapus  tersebut. (lihat
gambar 6)




 


src="http://www.vaksin.com/grogotix_files/image013.jpg" v:shapes="_x0000_s1034">




Gambar 6, File duplikat yang dibuat oleh W32/Naki.G



 




Untuk
ukuran file duplikat akan acak, contohnya 221 KB, 264 KB, 302 KB,
442 KB, 516 KB atau 520 KB.



 



Jika
komputer anda pernah terinfeksi Naki.G sebaiknya install ulang
program-program yang sudah anda install sebelumnya selain itu
dikarenakan virus ini akan mencoba untuk menghapus file EXE maka
pada kondisi tertentu komputer menjadi kacau seperti tidak bisa
booting ke windows sehingga anda terpaksa harus install ulang OS
anda.



 





W32/Naki.G juga akan mencoba untuk  menghapus semua file yang di
kompress [ZIP/RAR] dan membuat file duplikat didalam fle ZIP
tersebut sesuai dengan nama ZIP file tersebut, contohnya jika anda
mempunyai nama file virus.ZIP maka W32/Naki.G akan menghapus
semua isi dari file ZIP tersebut dan membuat file baru dengan nama
virus.exe dalam kondisi sudah di ZIP.



 




Ukuran
file ZIP tersebut akan random [acak] begitupun dengan ukuran file
setelah di unzip. File setelah di unzip biasanya akan mempunyai
ukuran sebesar 221 KB atau 1,273 KB, sedangkan jika file tersebut
dalam keadaan terkompresi [ZIP/RAR] akan mempunyai ukuran 206 KB
atau 760 KB, perhatikan gambar 7 dan 8 dibawah ini.



 



src="http://www.vaksin.com/grogotix_files/image015.jpg" v:shapes="_x0000_s1035">





Gambar 7, File virus dalam bentuk terkompres [ZIP/RAR]



src="http://www.vaksin.com/grogotix_files/image017.gif" v:shapes="_x0000_s1036 _x0000_s1037 _x0000_s1038">




Gambar 8, File virus setelah di unzip



 





W32/Naki.G juga akan mencoba untuk membuang semua file eksekusi yang
biasa dijalankan ke dalam direktori [C:\Windows\temp] dengan nama
%file asli.grogotix.A%.
Contohnya: jika anda menjalankan file
internet explorer maka Naki.G akan menghapus file tersebut dari
lokasi asal [C:\Program files\internet explorer] dan membuang file
asli tersebut ke dalam folder [C:\Wndows\temp] dengan nama
iexplorer.grogotix.A
, perhatikan gambar 9 berikut:




 



src="http://www.vaksin.com/grogotix_files/image019.jpg" v:shapes="_x0000_s1039">




Gambar 9, File yang sudah diubah oleh W32/Naki.G



 





Cara mengatasi W32/Naki.G :



 







  1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan





  2. Matikan “System Restore” selama proses  pembersihan [jika
    menggunakan Windows ME/XP]






  3. Matikan proses yang aktif dimemori, untuk mempermudah dalam
    mematikan proses virus ini sebaiknya lakukan pembersihan pada
    mode “safe mode with command prompt” karena pada mode ini
    W32/Naki.G tidak akan aktif di memori sehingga pembersihan akan
    lebih mudah dilakukan.




 



Jika
komputer booting pada mode “safe mode with command prompt” maka
setelah anda memasukkan username dan password maka akan muncul layar
Dos Prompt, pada layar Dos Prompt tersebut ketik perintah

EXPLORER
kemudian tekan tombol [enter] hal ini dimaksudkan untuk
membuka Desktop Windows sehingga seolah-olah anda masuk ke dalam
lingkungan “safe mode” [lihat gambar 10 dan 11]



 



src="http://www.vaksin.com/grogotix_files/image021.jpg" v:shapes="_x0000_s1040">




Gambar 10 [Memanggil Deskop Windows]




 



src="http://www.vaksin.com/grogotix_files/image023.jpg" v:shapes="_x0000_s1041">




Gambar 11




 






  1. Hapus string registry yang dibuat oleh virus. Seperti yang sudah
    dijelaskan diatas bahwa W32/Naki.G akan mencoba untuk blok akses
    klik kanan sehingga mempersulit untuk menjalankan file
    repair.inf
    karena untuk menghapus string registry yang sudah
    dibuat oleh virus kita akan menggunakan script repair.inf.





 



Untuk
mengembalikan fungsi klik kanan salin script dibawah ini pada
program  notepad dan simpan dengan nama repair.vbs
kemudian jalankan file tersebut dengan cara klik 2x file tersebut.




 



Dim
oWSH: Set oWSH = CreateObject("WScript.Shell")



on
error resume Next





oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools")




oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu")





oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoTrayCOntextMenu")



 




Setelah menjalankan script di atas log off windows dan ketik
kembali perintah explorer pada dos prompt untuk memanggil
Desktop Windows, setelah fungsi klik kanan dapat digunakan hapus
sisa string registry yang sudah dibuat oleh virus dengan terlebih
dahulu menyalin script dibawah ini pada program notepad
kemudian simpan dengan nama repair.inf dan jalankan file
tersebut dengan cara:




 







    1. Klik kanan repair.inf






    2. Klik Install





 





[Version]




Signature="$Chicago$"





Provider=Vaksincom



 




[DefaultInstall]





AddReg=UnhookRegKey




DelReg=del



 





[UnhookRegKey]



HKLM,
Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"



HKLM,
Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"




HKLM,
Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"



HKLM,
Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"




HKLM,
Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""



HKLM,
Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"



HKLM,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"




HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,
type,0, "checkbox"



HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,
Text,0, "Hide Extensions for known file types"



HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden,
type,0, "group"




HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,
type,0, "Checkbox"



 



 



[del]




HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools



HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr



HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD




HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions



HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun



HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind



HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRecentDocsMenu




HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetFolders



HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu



HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoViewContextMenu




HKLM,
Software\Microsoft\Windows\CurrentVersion\Run,Grogotix



HKLM,
SOFTWARE\Grogotix.A



 







  1. Hapus file induk yang dibuat oleh virus. Sebagai informasi
    Naki.G akan membuat file induk dengan nama yang random tetapi
    biasanya akan dibuat didirektori [C:\Windows] atau
    [C:\Windows\system32] dengan ukuran file yang random pula
    [contohnya: 221 KB atau 1,273 KB]. Sebelum menghapus file
    tersebut pastikan anda sudah menampilkan semua file yang
    disembunyikan.




 




Berikut beberapa contoh file induk yang dibuat oleh Naki.G dan hapus
file





tersebut bila ditemukan.



 



-         
C:\Windows\system32\tiliy.exe




-         
C:\Windows\system32\juset.exe



-         
C:\windows\system32\keqib.exe




-         
C:\windows\system32\jeyag.exe



-         
C:\Windows\system32\xetah.exe



-         

C:\Windows\system32\pluto.ocx



-         
C:\Windows\system32\devil.ocx



-         
C:\Windows\pluto.ocx




-         
C:\Windows\devil.ocx



-         
C:\Windows\kisiw.exe




-         
C:\Windows\bureg.exe



-         
C:\Windows\Cidag.exe



-         

C:\Windows\Xisiy.exe



-         
C:\windows\Yubul.exe



 







  1. Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri




-         
Ukuran acak [contoh: 221 KB, 264 KB, 302 KB, 442 KB, 516 KB
atau 520 KB]




-         
Menggunakan icon "Folder"



-         
Ext. EXE




-         
Type file "Application" (lihat gambar 12)


src="http://www.vaksin.com/grogotix_files/image025.jpg" v:shapes="_x0000_s1042">





Gambar 12, File duplikat yang dibaut oleh W32/Naki.G



 






  1. Hapus file yang kompresi [ZIP/RAR]  yang mempunyai ukuran 206
    atau 760. untuk menghindari kesalahan pada saat menghapus file
    tersebut, sebaiknya anda extract terlebih dahulu file ZIP/RAR
    tersebut, file yang sudah di ekstrak biasanya akan mempunyai
    ciri-ciri






    1. Menggunakan icon “Folder”






    2. Ukuran acak [221 KB atau 1,273 KB]





    3. Ext. EXE






    4. Type File “Application”







  2. Modifikasi kembali file HOST Windows yang ada didirektori
    [C:\Windows\system32\drivers\etc\host] dengan menghapus alamat
    url yang sudah disisipkan oleh W32/Naki.G






  3. Untuk pembersihan optimal dan mencegah infeksi ulang gunakan
    Norman Virus Control yang sudah dapat mengenali virus ini dengan
    baik.




 





Catatan:




Sebaiknya anda install ulang program yang sudah pernah terinstall
sebelumnya  [jika terdapat program yang error/rusak] hal ini
dikarenakan W32/Naki.G akan mencoba untuk menghapus semua file EXE
dan dalam kondisi tertentu jika komputar tidak bisa booting ke
windows re-install merupakan jalan yang harus dilakukan.


Posted by admin Labels: ,

0 comments:

Visit the Site
Privacy Statement
Copyright 2007, pirate-unsecure