Your Ad Here

Tuesday, September 4, 2007

W32/Gultung (Tunggul Kawung), File MS Office anda berubah jadi soal

W32/Gultung (Tunggul Kawung) 4 September 2007

File MS Office anda berubah jadi soal Ujian Negara

Donald terkaget-kaget ketika membuka file MS Wordnya, kok file
skripsiku berubah jadi soal ujian negara SMA ? Waks ……apa gara-gara
dulu suka nyontek yah, sekarang jadi harus mengerjakan soal ujian
negara lagi ? Jangan terlalu percaya dengan tahayul, apalagi di zaman
kuda gigit prosesor sekarang ini. File MS Office anda berubah jadi
file ujian negara disebabkan oleh aksi virus Gultung, yang lebih
populer dengan nama Tunggul Kawung (yang diperkirakan berasal dari
kota hujan Bogor) dan sangat marak di kota-kota satelit Jakarta.
Menurut pengamatan Vaksincom, ibarat strategi bisnis motor Kaizen atau
Mao Tze Dong virus ini menyebar dengan cara menguasai desa terlebih
dahulu untuk menuju Jakarta. Karena itu para pengguna komputer yang
memiliki data MS Office diperingatkan untuk melakukan Back Up data MS
officenya segera karena data yang menjadi korban aksi virus ini sangat
sulit di recover.

Menyembunyikan file merupakan salah satu trend yang sering digunakan
oleh kebanyakan virus lokal yang menyebar saat ini, sehingga terkadang
membuat panik para penguna komputer terutama bagi mereka yang awam
terhadap komputer apalagi terhadap virus. Sebenarnya masih untung file
tersebut hanya disembunyikan saja, jadi data masih aman dan dengan
mudah semua file yang tersembunyi dapat ditampilkan kembali baik
menggunakan Tools atau menggunakan Command line (ATTRIB) dengan
catatan sang vius harus sudah dimusnahkan terlebih dahulu. Saat ini
aksi menyembunyikan file sudah mulai dirasakan "basi" (bagi para VM)
karena sudah terlalu banyak virus lokal yang melakukan hal itu,
sehingga muncullah virus-virus baru yang sudah tidak lagi
menyembunyikan file tetapi berusaha untuk menghapus bahkan
menginjeksi file. File yang sering di incar biasanya adalah file MS
Office seperti MS.Word atau MS.Excel dan tak menutup kemungkinan file
lain juga akan di incar tergantung keperluannya. Semenjak kemunculan
Kespo, dimana virus ini akan berusaha untuk menginjeksi file MS Office
(MS.Word dan MS.Excel) bahkan berusaha untuk menginjeksi file Database
(DBF/MDF/SQL). Kini arah penyerangannya mulai sedikit berubah bukan
lagi menyembunyikan file tetapi mulai menginjeksi file sehingga file
yang terinfeksi akan mempunyai ukuran yang berbeda-beda, hal inilah
yang menjadi salah satu penyebab penyebaran yang sangat cepat karena
user (terutama user awam) tidak dapat membedakan antara file asli dan
file yang sudah terinfeksi virus.

Setelah merebaknya kasus Kespo yang sempat menghebohkan beberapa waktu
lalu bahkan sampai saat ini Kespo dan teman-temannya masih menghantui
para pengguna komputer hal ini di perparah dengan banyaknya antivirus
mancanegara yang langsung menghapus setiap file yang terinfeksi
alhasil banyak diantara mereka yang mencoba menggunakan jurus lain
untuk menangkal serangan Kespo baik dengan menggunakan tools atau
software antivirus lokal yang memang terbukti ampuh untuk menghalau
virus Kespo karena dapat merecovery file yang telah terinfeksi oleh Kespo.

Kini telah muncul virus lain yang mempunyai karakteristik seperti
kespo, tetapi boleh dibilang virus satu ini mempuyai aksi yang lebih
ganas dibandingkan kespo walaupun untuk saat ini masih terbatas
menyerang file Office (MS.Word dan MS.Excel). Virus ini juga mampu
menggunakan rekayasa sosial yang canggih. Seperti apa rekayasa sosial
yang digunakan oleh virus ini?, seperti yang sudah dijelaskan diatas
bahwa virus ini mempunyai aksi yang lebih jahat dibandingkan Kespo,
yakni dengan mengganti (replace/overwrite) dokumen yang terinfeksi
untuk kemudian mengganti dengan dokumen dari virus tersebut plus kode
jahatnya, dengan kondisi seperti ini kemungkinan kecil dokumen yang
sudah terinfeksi dapat diselamatkan. File yang sudah terinfeksi
tersebut akan mempunyai icon "Folder" atau "kamera" (tergantung dari
variannya) dengan ekstensi EXE dan sebagai bentuk
"pertanggungjawabannya" virus ini juga akan membuat file duplikat
lainnnya dengan ukuran yang sama (sama seperti file duplikat yang
mempunyai ekstensi EXE) tetapi mempunyai icon MS.Word dengan attribut
HIDDEN (disembunyikan) dan mempunyai ekstensi DOC dengan type file
sebagai "Microsoft Word Documents" sehingga user beranggapan bahwa
file mereka masih "AMAN", sungguh penyamaran yang luar biasa. Jika
file file tersebut dibuka maka akan muncul pesan error seolah-olah
file tersebut rusak, jika diteliti lebih dalam sebenarnya file
tersebut adalah file yang sudah terinfeksi dan jika kita ubah ekstensi
dari file tersebut maka icon yang menyertai virus tersebut akan
berubah menjadi "Folder" atau "kamera" (tergantung variannya) yang
jika dijalankan maka akan membangkitkan kembali virus tersebut (virus
akan aktif).

Dengan update terbaru Norman Virus Control mengelai sebagai
W32/Gultung.A dan W32/Gultung.B (lihat gambar 1) atau sering disebut
sebagai virus Aniee atau Tunggul Kawung.

Gambar 1, Norman mendeteksi virus Tunggul Kawung sebagai W32/Gultung.A
dan W32/Gultung.B

Saat ini Gultung sudah mengeluarkan 2 versi dimana untuk masing-masing
versi mempunyai tujuan yang sama tetapi ada sedikit perbedaan walaupun
tidak terlalu banyak. Jika sebelumnya Kespo dibuat dengan Bahasa
Delphi kini W32.Gultung kembali dibuat dengan menggunan bahasa Visual
Basic.

Kira-kira seganas apa aksi yang dilakukan oleh W32/Gultung dan apa
yang membedakan Gultung.A dan Gultung.B ?

Icon yang digunakan

Untuk mengelabui user Gultung.A akan menggunakan icon "kamera", dengan
ukuran sekitar 677 KB dengan ekstensi EXE dan mempuyai type file
sebagai "Application". (lihat gambar 2)

Gambar 2, File induk Gultung.A

Sedangkan untuk Gultung.B akan menggunakan icon "Folder" dengan ukuran
sebesar 177 KB, mempunyai ekstensi EXE dengan type file sebagai
"Application" (lihat gambar 3)

Gambar 3, File induk Gultung.B

File induk

Setelah file virus ini dijalankan, maka W32/Gultung akan menampilkan
satu lembar notepad yang berisi perasaan si mpunya virus (lihat gambar
4 dan 5), setelah ia akan membuat file induk yang akan dijalankan
pertama kali setiap komputer dinyalakan. Kedua varian ini akan membuat
nama file induk yang yang sama diantaranya :

* C:\Windows\system32\hanny.exe
* C:\windows\system23\aniee.exe
* C:\autoexec.bat
* S:\tunggul.vbs
* C:\aniee.txt
* C:\windows\iexplorer.exe (Gultung.A)

Gambar 4, Pesan yang akan ditampilkan oleh W32/Gultung.A

Gambar 5, Pesan yang akan ditampilkan oleh W32/Gultung.B

String Registry yang dibuat W32/Gultung

Agar file induk tersebut dapat di jalankan, maka W32/Gultung akan
membuat beberapa string pada registry berikut:

Gultung.A

* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

- microfost = C:\windows\system32\hanny.exe

- sysedit = C:\windows\iexplorer.exe

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- winsystem = c:\windows\system32\aniee.exe

Gultung.B

* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

- Microfost = G:\WINDOWS\system32\hanny.exe

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- winsystem = G:\WINDOWS\system23\aniee.exe

Blok Fungsi Windows

Sebagai upaya untuk mempertahankan dirinya, W32/Gultung akan berupaya
untuk blok beberapa fungsi Windows maupun software security seperti
antivirus, berikut beberapa fungsi Windows dan software security yang
akan diblok oleh W32/Gultung.

- AVG

- ClamAV

- Ansav

- PCMAV

- Viremoval

- antv-md5-pattern

- Task Manager

- Msconfig

- Attrib

- Cmd

- Command

- Regedit

- Setup

- Winamp

- Winrar

Untuk melakukan hal tersebut, ia akan membuat beberapa string pada
registry berikut :

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer

§ NoFolderOptions = 1

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\ansav.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\ansavgd.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\Avguard.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\attrib.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\Avscan.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\ClamWinPortable.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\cmd.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\command.com

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\firefox.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\iexplore.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\msconfig.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\PCMAV-SE.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\regedit.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\setup.exe\\debugger

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\taskmgr.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\ViRemoval.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\Winamp.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\Winrar.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\Winzip.exe

§ Debugger = ""

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\antv-md5-pattern.exe

§ Debugger = ""

-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN

§ CheckedValue = 2

§ DefaultValue = 2

-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

§ CheckedValue = 1

§ DefaultValue = 1

Babat file DOC dan XLS

Target utama yang diincar Gultung kemungkinan besar adalah file MS
Office seperti MS Word atau MS.Excel dengan merubah isi dari file asli
kemudian menggantikannya dengan data lain berupa lembar ujian dari
sebuah "Sekolah Menengah Atas (Al-kholidin)" plus di tambah juga kode
jahat dari virus tersebut sehingga ukuran dari file tersebut akan
membengkak.

Jika pada kasus Kespo semua data yang telah terinfeksi masih bisa
diselamatkan baik dengan menggunakan Tools atau antivirus lokal,
tetapi untuk kasus virus W32/Gultung ini kecil kemungkinan datanya
dapat diselamatkan hal ini karena virus tersebut sudah mengganti isi
dari dokumen asli dengan dokumen virus tersebut.

Seperti yang kita ketahui bahwa kebanyakan virus akan mencoba untuk
menyembunyikan file dan sebagai upaya untuk mengelabui user ia akan
membuat file duplikat sesuai dengan nama file yang disembunyikan,
sehingga data mereka masih aman karena tidak dihapus.

Rupanya celah ini digunakan oleh W32/Gultung untuk mengelabui user,
bagaimana caranya ?

Untuk mengelabui user Gultung akan menggunakan reyakasa sosial yang
cukup rumit dengan membuat 2 buah file duplikat (yang keduanya sudah
terinfeksi virus) dimana kedua file tersebut akan mempunyai ukuran
yang sama, satu file dengan ekstensi EXE dan satu file dengan ekstensi
DOC. Khusus untuk file dengan ekstensi DOC ini akan disembunyikan
(hidden), hebatnya lagi icon yang digunakan adalah icon MS.Word dengan
type file sebagai "Microsoft Word Document", sehingga user yang pernah
disembunyikan filenya oleh virus lokal lain akan beranggapan bahwa
file mereka masih aman dan dengan santai mereka mencoba untuk
menampilkan kembali file yang disembunyikan tersebut dengan
menghilangkan atribut SYSTEM dan HIDDEN baik menggunakan perintah
ATTRIB atau dengan menggunakan Tools. Tetapi jika file tersebut
dijalankan maka akan muncul pesan error seolah-olah file tersebut
rusak ( lihat gambar 6). Jika diteliti lebih jauh sebenarnya file
duplikat yang mempunyai ekstensi DOC tersebut merupakan virus,
sehingga antivirus akan menghapus file ini, untuk membuktkannya coba
ubah ekstensi dari file tersebut maka icon dari file tersebut akan
berubah menjadi icon "kamera" atau icon "Folder", dan jika file ini
dijalankan maka secara tidak langsung akan mengaktifkan W32/Gultung.
Walaupun file tersebut berhasil di recover (dipisahkan antara file
asli dengan virus) maka isi file yang terinfeksi tersebut akan berubah
dan digantikan dengan lembar Ujian Negara Agama. (lihat gambar 7)

Gambar 6 Pesan error ketika menjalankan file duplikat yang mempunyai
ekstensi DOC

Gambar 7 Isi Ujian Negara Agama yang "dikerjakan" oleh korban virus :PA

Cara membersihkan W32/Gultung (tunggul kawung)

1. Matikan proses virus yg aktif di memori. Untuk mematikan proses
virus ini gunakan beberapa tools yang tidak diblok oleh W32/Gultung,
seperti tools "Security Task Manager", kemudian hapus file yang
mempunyai icon "Kamera" atau icon "Folder".
2. Bersihkan registry yang sudah diubah virus. Untuk mempercepat
proses penghapusan salin script dibawah ini pada program NOTEPAD
kemudian simpan dengan nama REPAIR.INF, jalankan file tersebut dengan
cara:

· Klik Kanan repair.inf

· Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oye

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM< SOFTWARE\Classes\lnkfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0,
"cmd.exe"

HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,UncheckedValue,0x00010001,1

HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN,
CheckedValue,0x00010001,2

HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN,
DefaultValue,0x00010001,2

HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
CheckedValue,0x00010001,1

HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
DefaultValue,0x00010001,1

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegistriTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegistriTools

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\Msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\cmd.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\taskmgr.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\cmd.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\regedit32.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\RegistriEditor.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\rstrui.exe

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, winsystem

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Microfost

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysedit

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\ansav.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\ansavgd.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\Avguard.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\attrib.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\Avscan.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\ClamWinPortable.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\command.com

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\firefox.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\iexplore.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\PCMAV-CLN.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\PCMAV-RTP.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\PCMAV-SE.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\setup.exe, debugger

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\ViRemoval.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\Winamp.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\Winrar.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\Winzip.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\antv-md5-pattern.exe

3. Hapus file induk dan file dulikat (exe dan doc), bisanya file
DOC dan EXE ini akan berada di direktori yang sama. Khusus untuk file
dengan icon DOC yang di sembunyikan sebaiknya tampilkan terlebih
dahulu. Setelah itu hapus file duplikat tersebut dengan ciri-ciri:

* Icon "Folder" atau "Kamera"
* Icon "MS.Word" , biasanya file yang mempunyai icon MS.Word
berada didirektori yang sama dengan file lain yang berbentu k"Folder"
atau @Print"
* Ukuran file random, tetapi biasanya untuk file duplikat
yang mempunyai ekstensi EXE dan DOC akan mempunyai ukuran yang sama.

4. Untuk pembersihan optimal dan mencegah infeksi ulang, scan
dengan menggunakan antivirus yang up-to-date.
5. Gunakan software data recovery untuk recovery file.

No comments: