W32/Agent.GYMR 17 September 2008
Virus iseng yang mendesah dan mengakses Playboy.com
-= GoldenGhost Was Here =-
Hasil copy / paste teks komputer terinfeksi akan digantikan dengan desahan
Kalau Hellboy dalam pertarungannya menyelamatkan bumi harus menghadapi Pasukan Emas (Golden Army), maka pengguna internet Indonesia tanpa bantuan Hellboy harus menghadapi Hantu Emas (Golden Ghost). Bagi anda yang terinfeksi virus ini, harap berhati-hati karena ia akan merubah default page browser Internet Explorer ke www.playboy.com.
Saat ini virus lokal bukan saja sekedar membuat file duplikat, menyembunyikan file atau injeksi file data (Ms. Office) tetapi sudah sampai menginjeksi file executable (exe file) walaupun file yang diserang masih sebatas single file (bukan hasil file instalasi) media penyebarannya pun sudah semakin canggih bukan saja melalui media Flash Disk atau jaringan tetapi sudah menggunakan aplikasi email atau media chating seperti IRC walaupun virus lokal seperti ini masih jarang tetapi ini merupakan kemajuan yang sangat pesat.
Setelah kemunculan virus Maxtrox yang sempat membuat panik end user karena menyebabkan semua program tidak dapat dijalankan, kini muncul jenis virus baru yang sedang mengintai para mengguna komputer.
Virus ini mempunyai target akan menginjeksi file executable (exe) dan Norman Security Suite sudah dapat memperbaiki file yang sudah di injeksi tersebut.
Ciri-Ciri Virus
-
Ciri-ciri yang mudah dikenali dari virus ini adalah munculnya pesan error “16 bit MS-DOS Subsystem” pada saat komputer dinyalakan. (lihat gambar 1)
Gambar 1, Pesan error saat komputer dinyalakan
-
Merubah nama pemilik dan nama Organisasi komputer manjadi (lihat gambar 2)
- RegisteredOrganization = GoldenGhost.Inc
- RegisteredOwner = GoldenGhost
Gambar 2, Nama pemilik Windows yang sudah diubah virus
-
Menambahkan string -= GoldenGhost Was Here =- pada file C:\Boot.ini sehinga pada saat booting Windows akan muncul menu tambahan dengan nama GoldenGhost Was Here =- (lihat gambar 3)
Gambar 3, Menu tambahan saat komputer booting
Virus ini dibuat menggunakan program bahasa Visual Basic dan dikompres menggunakan UPX, ukuran Virus ini cukup besar sekitar 1,312 KB. Untuk mengelabui user ia akan menggunakan icon “Windows media player”. (lihat gambar 4)
Gambar 4, File induk W32/Agent.GYMR
Dengan update terbaru Norman Security Suite mendeteksi virus ini dengan nama W32/Agent.GYMR (lihat gambar 5)
Gambar 5, Norman Security Suite mendeteksi GoldenGhost sebagai W32/Agent.GYMR
File induk W32/Agent.GYMR
Pada saat file virus di jalankan ia akan membuat beberapa file induk yang akan dijalankan setiap kali komputer dihidupkan/restart di lokasi berikut:
-
C:\Windows\%folder%\%file%.exe (acak)
-
C:\Windows\system32\%folder%\%file%.exe (acak)
Berikut beberapa nama file yang akan di buat (acak)
-
devil.ocx
-
pluto.ocx
-
capiw.exe
-
dusiw.exe
-
gexuw.exe
-
GoldenGhost.exe
-
mamuv.exe
-
ridec.exe
-
msvbvm60.dll
-
heluh.exe
-
muxim.exe
-
quniw.exe
-
gutum.exe
-
helef.exe
-
kabuh.exe
-
mideg.exe
-
tixec.exe
-
vuvey.exe
Autostart Registry
Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat string pada registry berikut:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run
-
GoldenGhost =C:\%SystemRoot%\%Folder%\%File%.exe atau C:\%Windir%\folder%\%Files%.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
-
Shell = Explorer.exe C:\%SystemRoot%\%Folder%\%File%.exe atau C:\%Windir%\folder%\%Files%.exe
-
Blok Fungsi Windows
Untuk mempertahankan dirinya ia akan blok beberapa fungsi windows seperti:
-
Disable fungsi “paste”
-
Disable run
-
Disable Searh
-
Disable FolderOptions
-
Disable menu Recent Documents
-
Disble Klik kanan
-
Disable CMD
-
Disable RegistryTools
-
Disable TaskMgr
-
Tidak dapat menampilkan file yang disembunyikan
Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
-
Hidden = 2
-
HideFileExt = 1
-
ShowSuperHidden= 0
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
-
Explorer = NoClose
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer
-
NoFInd
-
NoFOlderOption
-
NoRecentDocsMenu
-
NoRUn
-
NoSaveSettings
-
NoSetFolders
-
NoTrayContextMenu
-
NoViewContextMenu
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-
DisableCMD
-
DisableRegistryTools
-
DisableTaskMgr
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
-
type = -
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
-
type = -
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
-
type = -
Virus ini juga akan membuat sting pada registri berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\GoldenGhost.A
- AppAll = tupin.exe (random)
- AppMirc = heluh.exe (random)
- AppOther = quniw.exe (random)
- AppSetan = gutum.exe (random)
- AppUtama = muxim.exe (random)
- Lokasi = C:\WINDOWS\System32\config (random)
Selain blok fungsi Windows di atas, ia juga akan mencoba untuk blok tools security seperti proceexp, curr preoces, pocket killbox, security task manager serta tools lainnya.
Hapus file program antivirus
Selain itu ia juga akan mencoba untuk menghapus file dari program antivirus Norman Virus Control, Kaspersky dan McAfee yang mempunyai ekstensi *.exe, *.zip, *.dll.
Merubah informasi Windows
Untuk menunjukan eksistensinya ia akan merubah nama pemilik Windows menjadi :
- RegisteredOrganization = GoldenGhost.Inc
- RegisteredOwner = GoldenGhost
Dengan merubah string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- RegisteredOrganization = GoldenGhost.Inc
- RegisteredOwner = GoldenGhost
HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info
- DefCompany = GoldenGhost.Inc
- DefName = GoldenGhost
HKEY_USERS\S-1-5-21-2025429265-527237240-725345543-1003\Software\Microsoft\MS Setup (ACME)\User Info"
- DefCompany = GoldenGhost.Inc
- DefName = GoldenGhost
(lihat gambar 2 di atas)
Mengakses Playboy dan mengeluarkan teks nakal saat copy and paste
Selain merubah nama pemilik Windows, ia juga akan merubah alamat utama Internet Explorer menjadi http://www.playboy.com/ dengan terlebih dahulu membuat string pada registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Start Page = http://www.playboy.com/
Host file windows juga tak luput dari serangan virus ini yakni dengan manghapus isi dari file “C:\Windows\System32\Drivers\etc\host”. Selain menghapus isi file Host tersebut ia juga akan menambahkan string @echo off pada file “C:\autoexec.bat” dan menambahkan string -= GoldenGhost Was Here =- pada file “C:\boot.ini” sehingga setiap kali komputer booting akan muncul satu menu tambahan dengan nama GoldenGhost Was Here =-, jika menu ini dipilih maka komputer akan restart. (lihat gambar 3 di atas)
Merubah hasil Copy and Paste teks menjadi desahan
Virus ini juga akan menampilkan text Oohhh... Aughhhh... yess... babbby...!! setiap kali user copy paste isi text file. (lihat gambar 6 dan 7)
Gambar 6, Teks yang di [copy] adalah “The type of the file system is FAT”
Gambar 7, Hasil [paste] yang seharusnya “The type of the file system is FAT” dirubah menjadi desahan “Oohhh ... Aughhhh... yess... babbby”
Membuat file duplikat dan menginjeksi EXE file
Virus ini juga akan membuat file duplikat disetiap folder yang di akses sesuai dengan nama folder tersebut atau sesuai dengan caption text dari suatu file / aplikasi yang dijalankan. (lihat gambar 8)
Gambar 8, File duplikat yang dibuat oleh virus
Selain membuat file duplikat, virus ini juga akan mencoba untuk menginjeksi file yang mempunyai ekstensi EXE, ukuran file yang berhasil di injeksi ini akan bertambah sekitar 1.312 KB dari ukuran semula, sehingga jika user menjalankan file tersebut maka secara otomatis akan menjalankan dirinya, dengan update terbaru Norman Security Suite sudah dapat memperbaiki setiap file yang di injeksi.
“Error 16 bit MS-DOS Subsystem”
Setiap kali komputer dinyalakan virus ini akan memunculkan pesan “error 16 bit MS-DOS Subsystem”, pesan error ini juga akan mucul setiap berapa menit sesuai dengan waktu yang sudah ditentukan serta membuat file duplikat (random) di direktori “C:\Windows” yang kemudian file yang sudah dibuat tersebut akan dihapus kembali.
Media penyebaran
Virus ini akan berusaha untuk join kesejumlah channel IRC seperti Surabaya, Jakarta, Medan, Bandung, Jogja, Malang, Solo, Sembarang dengan menggunakan aplikasi chat IRC dengan terlebih dahulu melakukan koneksi ke salah satu server IRC berikut punch.va.us.dal.net, rumble.fl.us.dal.net, mozilla.se.eu.dal.net, swiftco.wa.us.dal.net, haarlem.nl.eu.undernet.org dan plasa.id.allnetwork.org dalam rangka menyebarkan dirinya.
Berikut beberapa pesan yang akan dikirimkan :
-
nick, free picture indonesia sex double klik url
-
nick Ada info baru ne Marshanda, Agnes Monica, Dian Sastro, Bunga.C Dah Berani Bugil, Untuk liat Fotonya double klik url
-
artis indonesia nude, double klik url
-
nick , indo artis majalah playboy double klik url
-
nick mo liat artis majalah playboy indo
-
nick indonesia free porn, double klik url
-
ce bangsa indo, double klik
Karena itu, para pengguna IRC harap berhati-hati dan jangan mudah percaya janji-janji gombal yang menyebar di IRC. Mengharapkan gambar, anda malah akan mendapatkan virus.
Selain menyebar dengan menggunakan media chating (IRC), ia juga akan menggunakan flash disk sebagai media penyebaran dirinya dengan membuat file duplikat dengan ciri-ciri:
-
Icon Windows Media Player
-
Ukuran 1.312 KB
-
Ekstensi EXE
-
Type File “Application”
Menghapus file pada flash disk
Aksi terakhir yang dilakukan adalah mencoba untuk menghapus file yang mempunyai ekstensi *.mov,*.wmv, *.3gp, *.avi, *.mpg, *.mpeg pada drive E:\
Cara membersihkan W32/Agent.GYMR
-
Matikan proses virus. Untuk mempercepat proses penghapusan gunakan tools “Ice Sword”. Blok proses yang mempunyai icon Windows Media Player kemudian klik kanan pada proses tersebut dan klik “Terminate Process”. Silahkan download tools tersebut di alamat berikut : (lihat gambar 9)
http://www.4shared.com/file/62289467/cf8da562/Ice_Sword_v122.html?dirPwdVerified=feea1d94
Gambar 9, Gunakan program Ice Sword untuk menghentikan proses virus
-
Repair registry yang sudah di ubah / dibuat oleh virus. Untuk mepercepat perbaikan registri salin script dibawah ini pada program "notepad" kemudian simpan dengan nama "repair.vbs" kemudian jalankan file tersebut dengan klik 2x file repair.vbs.
Dim oWSH: Set oWSH = CreateObject("WScript.Shell")
on error resume Next
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command\","""%1"" /S"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\system",""
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization","Your Organization"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","YourOwner"
oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page","about:Blank"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\type","Group"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\type","checkbox"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\type","checkbox"
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\GoldenGhost")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSaveSettings")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Nofind")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\GoldenGhost.A\")
-
Hapus file induk dan file duplikat virus. Untuk mempercepat proses penghapusan gunakan search windows dengan terlebih dahulu menampilkan file yang tersembunyi. Jika folder option dan search belum muncul restart / logoff komputer terlebih dahulu. (lihat gambar 10)
Gambar 10, Menampilkan file yang tersembunyi
Setelah file ditemukan, hapus file yang mempunyai ukuran 1,312 KB. selain itu hapus juga file :
- devil.ocx = 1 KB
- pluto.ocx = 1 KB
- GoldenGhost.exe =1 KB
-
Hapus string @echo off pada file [C:\Autoexec.bat]
-
Hapus string -= GoldenGhost Was Here =- pada file [C:\boot.ini]
-
Restore Host File Windows dengan menggunakan tools Hoster.
Silahkan download tools tersebut di alamat berikut:
http://www.4shared.com/file/62290120/73265114/HostsXpert.html?dirPwdVerified=feea1d94
Untuk merestore host file windows, klik tombol "Restore MS Host File " pada tools HosterExpert tersebut. (lihat gambar 9)
Gambar 11, Mengembalikan Host File Windows dengan Hoster
-
Jika menggunakan antivirus Norman / Mcafee / Kaspersky sebaiknya install ulang antivirus tersebut kemudian scan komputer untuk memastikan komputer benar-benar bersih dari virus. Bagi pengguna Norman yang membutuhkan support untuk masalah antivirus anda, silahkan hubungi support@vaksin.com untuk mendapatkan bantuan dari teknisi Vaksincom (gratis) dengan menunjukkan Kartu Lisensi.
Norman Virus Contol disinfected W32/Agent.GYMR
Update terbaru Norman Security Suite sudah dapat memperbaiki setiap file yang diinjeksi oleh W32/Agent.GYMR. Silahkan download antivirus Noman atau removal tools berikut.
-
Download antivirus Norman
http://www.norman.com/Download/Trial_versions/
-
Download removal tools
http://www.4shared.com/file/63315440/4932579b/AgentGYMR_Cleaner.html?dirPwdVerified=feea1d94
salam,
Aj Tau
Tidak ada komentar:
Posting Komentar