W32/Naki.G
16
Desember 2006
Giliran file ZIP anda yang di grogoti
Penyebaran virus lokal saat ini semakin pesat, varian yang
dihasilkan juga semakin banyak untuk aksi yang dilakukan jangan
ditanya karena virus lokal semakin hari semakin ganas dari hanya
sebatas membuat file duplikat sampai mengancurkan data, media
penyebarannnyapun sudah naik kelas dari yang hanya sebatas menyebar
melalui Disket/Flash Disk kini mulai merambah ke jaringan/email dan
media chatting [MIRC]. Salah satunya adalah virus dengan julukan
Grogotix yang menurut pantauan Vaksincom termasuk virus yang banyak
mengakibatkan ribuan insiden infeksi merata di seluruh di Indonesia.
Jika
anda menemukan file duplikat di Hard Disk anda dengan icon “Folder”
serta mempunyai ukuran acak [contoh: 221 KB, 1,273 KB, 264 KB, 302
KB, 442 KB, 516 KB atau 520 KB] terlebih lagi jika muncul pesan
dibawah ini (lihat gambar 1) kemungkinan besar komputer anda
terinfeksi virus W32/Naki.G atau biasa disebut Grogotix.A begitu
antivirus Norman memberi nama untuk virus ini (lihat gambar 2).
src="http://www.vaksin.com/grogotix_files/image002.jpg" v:shapes="_x0000_s1025">
Gambar 1, Pesan yang ditampilkan oleh virus W32/Naki.G
src="http://www.vaksin.com/grogotix_files/image004.jpg" v:shapes="_x0000_s1026">
Gambar 2, Norman mendeteksi Naki.G
Naki.G
masih dibuat dengan menggunakan Bahasa Visual Basic dan mempunyai
file induk yang acak [contohnya 221 KB atau 1,273KB], untuk
mengelabui user Naki.G akan menggunakan icon “Folder” suatu icon
yang umum digunakan oleh virus lokal lainnya karena lebih mudah
untuk menjebak user untuk menjalankan file tersebut. (lihat gambar
3)
src="http://www.vaksin.com/grogotix_files/image006.jpg" v:shapes="_x0000_s1027">
Gambar 3, File yang terinfeksi W32/Naki.G
Aktif pada Safe Mode
File
induk yang akan dibuat oleh Naki.G cukup banyak dan acak serta
mempunyai lokasi penyimpan yang berbeda-beda [biasanya akan disimpan
didirektori C:\Windows atau C:\Windows\System32], file
induk inilah yang akan dijalankan pertama kali setiap kali komputer
dinyalakan agar W32/Naki.G dapat secara otomatis aktif tanpa bantuan
manusia dan W32/Naki.G ini akan aktif walaupun komputer di booting
pada mode “safe mode”.
Berikut beberapa contoh file induk yang akan dibuat oleh W32/Naki.G
-
C:\Windows\system32\tiliy.exe
-
C:\Windows\system32\juset.exe
-
C:\windows\system32\keqib.exe
-
C:\windows\system32\jeyag.exe
-
C:\Windows\system32\xetah.exe
-
C:\Windows\pluto.ocx
-
C:\Windows\devil.ocx
-
C:\Windows\kisiw.exe
-
C:\Windows\bureg.exe
-
C:\Windows\Cidag.exe
-
C:\Windows\Xisiy.exe
-
C:\windows\Yubul.exe
Agar
file tersebut dapat di jalankan secara otomatis setiap kali komputer
restrat/booting, W32/Naki.G akan membuat string pada regsitry
berikut, untuk value yang dibuat juga berbeda-beda tegantung dari
nama file induk yang dibuat, contohnya:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
-
Grogotix= C:\WINDOWS\System32\juset.exe atau
-
Grogotix= C:\WINDOWS\System32\xisiy.exe
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
-
Shell = Explorer.exe C:\WINDOWS\System32\tiliy.exe atau
-
Shell = Explorer.exe C:\WINDOWS\System32\kisiw.exe
-
HKEY_LOCAL_MACHINE\SOFTWARE\Grogotix.A
-
AppAll = xetah.exe atau cidaq.exe
-
AppMirc = keqib.exe atau bureg.exe
-
AppOther = tily.exe atau xisiy.exe
-
AppSetan = jeyag.exe atau yubul.exe
-
AppUtama = juset.exe atau xisiy.exe
-
Lokasi = C:\WINDOWS\System32 atau C:\Windows
Blok
Fungsi Windows dan Tools Security
W32/Naki.G akan mencoba untuk melakukan blok tehadap beberapa fungsi
Windows dan beberapa tools security sehingga akan mempersulit proses
pembersihan, berikut beberapa fungsi Windows dan tools security yang
akan di blok:
-
Registry editor
-
Task Manager
-
CMD
-
Folder Options
-
Fungsi Klik kanan
-
Search
-
Control Panel
-
Documents Recent
-
HijackThis
-
Kill box
-
Proceexp
Untuk
blok fungsi Windows, W32/Naki.G akan membuat string pada registry
berikut:
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-
NoFind
-
NoFolderOptions
-
NoRecentDocsMenu
-
NoRun
-
NoSetFolders
-
NoTrayContextMenu
-
NoViewContextMenu
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-
DisableCMD
-
DisableRegistryTools
-
DisableTaskMgr
Harap
hati-hati.. jika komputer anda terinfeksi virus ini sebaiknya jangan
coba-coba untuk akses ke direktori C:\Windows atau
C:\Windows\System32 karena W32/Naki.G akan memblok akses Desktop
sehingga komputer tidak bisa digunakan dan harus restart secara
manual, selain itu W32/Naki.G juga akan mencoba blok dialog box
konfirmasi mengapusan suatu file/folder. (lihat gambar 4)
src="http://www.vaksin.com/grogotix_files/image008.jpg" v:shapes="_x0000_s1028">
Gambar 4, Konfirmasi penghapusan file/folder yang akan diblok oleh
Naki.G
Merubah file Host windows
Naki.G
juga akan mencoba untuk blok beberapa Website termasuk Website
antivirus dengan merubah HOST file Windows yang berada di direktori
[C:\Windows\system23\drivers\etc\hosts] dengan menambahkan link url
seperti terlihat pada list dibawah ini:
127.0.0.1 localhost
127.0.0.1 ww.google.com
127.0.0.1 ww.yahoo.com
127.0.0.1 ww.hotmail.com
127.0.0.1 ww.microsoft.com
127.0.0.1 ww.symantec.com
127.0.0.1 ww.trendmicro.com
127.0.0.1 ww.mcafee.com
127.0.0.1 messenger.yahoo.com
127.0.0.1 messenger.msn.com
127.0.0.1 ww.kazaa.com
127.0.0.1 ww.emule.com
127.0.0.1 ww.winmx.com
127.0.0.1 ww.limewire.com
127.0.0.1 ww.winguides.com
127.0.0.1 ww.vet.com
127.0.0.1 ww.ebay.com
127.0.0.1 ww.msn.com
127.0.0.1 ww.hotmail.com
127.0.0.1 ww.mp3.com
127.0.0.1 ww.grisoft.com
127.0.0.1 ww.zonelabs.com
127.0.0.1 ww.lavasoft.com
127.0.0.1 update.microsoft.com
127.0.0.1 morpheus.com
127.0.0.1 ww.imesh.com
127.0.0.1 ww.edonkey200.com
127.0.0.1 ww.bearshare.com
127.0.0.1 ww.agsatellite.com
127.0.0.1 ww.zeropaid.com
127.0.0.1 ww.bittorrent.com
127.0.0.1 ww.securityfocus.com
127.0.0.1 ww.geocities.com
127.0.0.1 ww.sophos.com
127.0.0.1 ww.pandasoftware.com
127.0.0.1 ww.ibm.com
127.0.0.1 ww.dell.com
127.0.0.1 ww.hp.com
127.0.0.1 ww.sec1.com
127.0.0.1 ww.kaspersky.com
Blok Antivirus
W32/Naki.G juga berusaha untuk blok program antivirus seperti Norman
Virus Control, Kaspesky, McAfee dengan mencoba untuk menghapus semua
file disemua folder dan sub folder antivirus tersebut.
Mencoba menyebar via IRC
Disket/Flash Disk masih menjadi media andalan untuk menyebarkan
dirinya dengan membuat file duplikat disetiap folder dan sub folder
sesuai dengan nama folder/subfolder tersebut, selain melaui media
tersebut di atas, W32/Naki.G juga akan mencoba untuk menyebarkan
dirinya melalui media chatting [Mirc] dengan melakukan koneksi ke
server IRC dan join ke beberapa alamat yang sudah ditentukan serta
mengirimkan sejumlah link ke sejumlah ID yang ditemukan, berikut
beberapa lokasi server yang akan coba untuk di susupi oleh Naki.G
-
plasa.id.allnetwork.org
-
haarlem.nl.eu.undernet.org
-
mozilla.se.eu.dal.net
-
rumble.fl.us.dal.net
-
punch.va.us.dal.net
Berikut beberapa Chanel yang akan disinggahi oleh W32/Naki.G
-
bandung
-
medan
-
jakarta
-
surabaya
Berikut beberapa contoh pesan yang akan di kirimkan W32/Naki.G
melalui IRC
-
nick, free picture indonesia sex double klik url
-
nick mo liat artis majalah playboy indo
-
nick Ada info baru ne Marshanda, Agnes Monica, Dian Sastro,
Bunga.C Dah Berani Bugil, Untuk liat Fotonya double klik url
-
nick Ada info baru ne Marshanda, Agnes Monica, Dian Sastro,
Bunga.C Dah Berani Bugil, Untuk liat Fotonya double klik url
-
nick mo liat artis
-
artis indonesia nude, double klik url
-
nick , indo artis majalah playboy double klik url
-
nick indonesia free porn, double klik url
-
nick mo liat karya ce
-
ce bangsa indo, double klik url
Duplikat file
W32/Naki.G akan membuat file duplikat disetiap folder dan sub folder
dimana file ini akan mempunyai nama yang sama dengan folder dan sub
folder tersebut selain itu W32/Naki.G juga akan membuat file
duplikat yang akan diambil dari caption suatu program yang
dijalankan, contohnya jika anda menjalankan program notepad
dan menyimpan nama tersebut sebagai readme maka akan
terbentuk file dengan nama readme - notepad.exe. (lihat
gambar 5)
src="http://www.vaksin.com/grogotix_files/image011.gif" v:shapes="_x0000_s1029 _x0000_s1030 _x0000_s1031 _x0000_s1032 _x0000_s1033">
Gambar 5, W32/Naki.G membuat duplikat sesuai dengan caption dari
program yang dijalankan
Selain
itu W32/Naki.G akan mencoba untuk menghapus file .exe dan membuat
file duplikat sesuai dengan nama file yang dihapus tersebut. (lihat
gambar 6)
src="http://www.vaksin.com/grogotix_files/image013.jpg" v:shapes="_x0000_s1034">
Gambar 6, File duplikat yang dibuat oleh W32/Naki.G
Untuk
ukuran file duplikat akan acak, contohnya 221 KB, 264 KB, 302 KB,
442 KB, 516 KB atau 520 KB.
Jika
komputer anda pernah terinfeksi Naki.G sebaiknya install ulang
program-program yang sudah anda install sebelumnya selain itu
dikarenakan virus ini akan mencoba untuk menghapus file EXE maka
pada kondisi tertentu komputer menjadi kacau seperti tidak bisa
booting ke windows sehingga anda terpaksa harus install ulang OS
anda.
W32/Naki.G juga akan mencoba untuk menghapus semua file yang di
kompress [ZIP/RAR] dan membuat file duplikat didalam fle ZIP
tersebut sesuai dengan nama ZIP file tersebut, contohnya jika anda
mempunyai nama file virus.ZIP maka W32/Naki.G akan menghapus
semua isi dari file ZIP tersebut dan membuat file baru dengan nama
virus.exe dalam kondisi sudah di ZIP.
Ukuran
file ZIP tersebut akan random [acak] begitupun dengan ukuran file
setelah di unzip. File setelah di unzip biasanya akan mempunyai
ukuran sebesar 221 KB atau 1,273 KB, sedangkan jika file tersebut
dalam keadaan terkompresi [ZIP/RAR] akan mempunyai ukuran 206 KB
atau 760 KB, perhatikan gambar 7 dan 8 dibawah ini.
src="http://www.vaksin.com/grogotix_files/image015.jpg" v:shapes="_x0000_s1035">
Gambar 7, File virus dalam bentuk terkompres [ZIP/RAR]
src="http://www.vaksin.com/grogotix_files/image017.gif" v:shapes="_x0000_s1036 _x0000_s1037 _x0000_s1038">
Gambar 8, File virus setelah di unzip
W32/Naki.G juga akan mencoba untuk membuang semua file eksekusi yang
biasa dijalankan ke dalam direktori [C:\Windows\temp] dengan nama
%file asli.grogotix.A%. Contohnya: jika anda menjalankan file
internet explorer maka Naki.G akan menghapus file tersebut dari
lokasi asal [C:\Program files\internet explorer] dan membuang file
asli tersebut ke dalam folder [C:\Wndows\temp] dengan nama
iexplorer.grogotix.A, perhatikan gambar 9 berikut:
src="http://www.vaksin.com/grogotix_files/image019.jpg" v:shapes="_x0000_s1039">
Gambar 9, File yang sudah diubah oleh W32/Naki.G
Cara mengatasi W32/Naki.G :
Putuskan hubungan komputer yang akan dibersihkan dari jaringan
Matikan “System Restore” selama proses pembersihan [jika
menggunakan Windows ME/XP]
Matikan proses yang aktif dimemori, untuk mempermudah dalam
mematikan proses virus ini sebaiknya lakukan pembersihan pada
mode “safe mode with command prompt” karena pada mode ini
W32/Naki.G tidak akan aktif di memori sehingga pembersihan akan
lebih mudah dilakukan.
Jika
komputer booting pada mode “safe mode with command prompt” maka
setelah anda memasukkan username dan password maka akan muncul layar
Dos Prompt, pada layar Dos Prompt tersebut ketik perintah
EXPLORER kemudian tekan tombol [enter] hal ini dimaksudkan untuk
membuka Desktop Windows sehingga seolah-olah anda masuk ke dalam
lingkungan “safe mode” [lihat gambar 10 dan 11]
src="http://www.vaksin.com/grogotix_files/image021.jpg" v:shapes="_x0000_s1040">
Gambar 10 [Memanggil Deskop Windows]
src="http://www.vaksin.com/grogotix_files/image023.jpg" v:shapes="_x0000_s1041">
Gambar 11
Hapus string registry yang dibuat oleh virus. Seperti yang sudah
dijelaskan diatas bahwa W32/Naki.G akan mencoba untuk blok akses
klik kanan sehingga mempersulit untuk menjalankan file
repair.inf karena untuk menghapus string registry yang sudah
dibuat oleh virus kita akan menggunakan script repair.inf.
Untuk
mengembalikan fungsi klik kanan salin script dibawah ini pada
program notepad dan simpan dengan nama repair.vbs
kemudian jalankan file tersebut dengan cara klik 2x file tersebut.
Dim
oWSH: Set oWSH = CreateObject("WScript.Shell")
on
error resume Next
oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools")
oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu")
oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoTrayCOntextMenu")
Setelah menjalankan script di atas log off windows dan ketik
kembali perintah explorer pada dos prompt untuk memanggil
Desktop Windows, setelah fungsi klik kanan dapat digunakan hapus
sisa string registry yang sudah dibuat oleh virus dengan terlebih
dahulu menyalin script dibawah ini pada program notepad
kemudian simpan dengan nama repair.inf dan jalankan file
tersebut dengan cara:
Klik kanan repair.inf
Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM,
Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM,
Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,
type,0, "checkbox"
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,
Text,0, "Hide Extensions for known file types"
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden,
type,0, "group"
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,
type,0, "Checkbox"
[del]
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRecentDocsMenu
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetFolders
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoViewContextMenu
HKLM,
Software\Microsoft\Windows\CurrentVersion\Run,Grogotix
HKLM,
SOFTWARE\Grogotix.A
Hapus file induk yang dibuat oleh virus. Sebagai informasi
Naki.G akan membuat file induk dengan nama yang random tetapi
biasanya akan dibuat didirektori [C:\Windows] atau
[C:\Windows\system32] dengan ukuran file yang random pula
[contohnya: 221 KB atau 1,273 KB]. Sebelum menghapus file
tersebut pastikan anda sudah menampilkan semua file yang
disembunyikan.
Berikut beberapa contoh file induk yang dibuat oleh Naki.G dan hapus
file
tersebut bila ditemukan.
-
C:\Windows\system32\tiliy.exe
-
C:\Windows\system32\juset.exe
-
C:\windows\system32\keqib.exe
-
C:\windows\system32\jeyag.exe
-
C:\Windows\system32\xetah.exe
-
C:\Windows\system32\pluto.ocx
-
C:\Windows\system32\devil.ocx
-
C:\Windows\pluto.ocx
-
C:\Windows\devil.ocx
-
C:\Windows\kisiw.exe
-
C:\Windows\bureg.exe
-
C:\Windows\Cidag.exe
-
C:\Windows\Xisiy.exe
-
C:\windows\Yubul.exe
Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri
-
Ukuran acak [contoh: 221 KB, 264 KB, 302 KB, 442 KB, 516 KB
atau 520 KB]
-
Menggunakan icon "Folder"
-
Ext. EXE
-
Type file "Application" (lihat gambar 12)
src="http://www.vaksin.com/grogotix_files/image025.jpg" v:shapes="_x0000_s1042">
Gambar 12, File duplikat yang dibaut oleh W32/Naki.G
Hapus file yang kompresi [ZIP/RAR] yang mempunyai ukuran 206
atau 760. untuk menghindari kesalahan pada saat menghapus file
tersebut, sebaiknya anda extract terlebih dahulu file ZIP/RAR
tersebut, file yang sudah di ekstrak biasanya akan mempunyai
ciri-ciri
Menggunakan icon “Folder”
Ukuran acak [221 KB atau 1,273 KB]
Ext. EXE
Type File “Application”
Modifikasi kembali file HOST Windows yang ada didirektori
[C:\Windows\system32\drivers\etc\host] dengan menghapus alamat
url yang sudah disisipkan oleh W32/Naki.G
Untuk pembersihan optimal dan mencegah infeksi ulang gunakan
Norman Virus Control yang sudah dapat mengenali virus ini dengan
baik.
Catatan:
Sebaiknya anda install ulang program yang sudah pernah terinstall
sebelumnya [jika terdapat program yang error/rusak] hal ini
dikarenakan W32/Naki.G akan mencoba untuk menghapus semua file EXE
dan dalam kondisi tertentu jika komputar tidak bisa booting ke
windows re-install merupakan jalan yang harus dilakukan.
0 comments:
Post a Comment