Hati-hati Flu Burung Menyerang Komputer Anda
W32/Gnurbulf.A 10 Juli 2006
Flu Burung menular dari komputer ke manusia ? Tentunya tidak, hal ini adalah perbuatan programmer iseng yang memanfaatkan issue terupdate untuk menyebarkan virus ciptaannya. Vaksincom menerima sample virus yang terdeteksi sebagai W32/Gnurbulf.A yang juga dikenal dengan nama virus komputer Flu Burung. Mirip dengan FLu Burung asli, virus Flu Burung mulai menyebar melebarkan sayapnya dan kini sudah mulai menginfeksi komputer-komputer yang tidak mempunyai cukup kekebalan terhadap penyakit ini.
Dengan up-date terakhir Norman sudah dapat mengenali virus ini dengan nama W32/Gnurbulf.a yang merupakan aksara terbalik dari Flubrng. (lihat gambar 1).
Gambar 1, Norman sudah dapat mengenali virus Gnurbulf.A dengan baik
Untuk mengelabui user, virus ini sudah tidak lagi menggunakan icon Folder [mungkin karena sudah terlalu umum digunakan sehingga mudah di ketahui], kali ini ia akan menggunakan icon tengkorak manusia, virus ini dibuat dengan menggunakan Borland Delpi dan mempunyai ukuran sebesar 93 KB.
Gambar 2, File induk W32/Gnurbulf.A
Jika file tersebut dijalankan maka virus ini akan langsung mengkopikan file induk tersebut ke Floppy Disk [Disket] dengan nama file random, jika Floppy Disk tersebut tidak terdapat disket maka ia akan menampilkan pesan error berikut (lihat gambar 3) :
Gambar 3, Gnurbulf.A mencoba menyalin file induk ke dalam media Disket
Pesan tersebut akan terus muncul jika virus ini belum berhasil menyalin dirinya ke dalam media Disket selain itu pesan ini juga akan muncul setiap kali komputer dinyalakan.
Untuk memperpanjang usianya virus ini akan membuat beberapa file induk, dimana file induk yang dibuat akan random [berbeda-beda] tetapi mempunyai ciri-ciri yang sama diantaranya:
• Menggunakan icon tengkorak manusia
• Ukuran file 93 KB
• Type file “Application”
Gambar 4, File induk yang dibuat oleh Gnurbulf.A
Berikut beberapa file induk yang akan dibuat oleh Gnurbulf.A:
• C:\Windows\Revenge.exe
• C:\Windows\The Revengeration.exe
• C:\Windows\Balas Dendam!!!.exe
• C:\Windows\system32\The Revengeration.exe
• C:\Windows\system32\Revenge.exe
• C:\WIndows\Time To Payback!!.exe
• C:\Windows\Revenge Has Come!.exe
• C:\Windows\Pembalasan.exe
• C:\WIndows\system32\Time To Payback!!.exe
• C:\Windows\system32\Revenge Has Come!.exe
• C:\WIndows\system32\Pembalasan.exe
• C:\Windows\system32\Balas Dendam!!!.exe
Sebagai penunjang virus ini akan menanamkan beberapa string pada registry editor dengan tujuan agar file induk yang sudah dibuat dapat langsung dijalankan setiap kali komputer dinyalakan.
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Balas Dendam!!!.exe
Revenge.exe
The Revengeration.exe atau
Revenge Has Come!.exe
Time To Payback!!.exe
Pembalasan.exe
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = 0
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Balas Dendam!!!.exe
Revenge.exe
The Revengeration.exe atau
Revenge Has Come!.exe
Time To Payback!!.exe
Pembalasan.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Revenge Has Come!.exe
Revenge.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe Explorer.exe "C:\WINDOWS\Balas Dendam!!!.exe"
Virus ini juga akan membuat option pada [startup] msconfig (Gambar 5)
Gambar 5, Perubahan yang dilakukan virus Flu Burung pada MSConfig
Masih untung virus ini tidak sampai disable fungsi windows [regedit/msconfig/task manager] atau blocking tools lainnya [proceexp/hijackthis/pocket killlbox] sehingga lebih mudah untuk mematikan virus ini, walaupun demikian virus ini akan mencoba untuk menghapus file regedit.exe yang berada didirektori [C:\Windows].
Protect Desktop Windows
Satu hal yang dilakukan oleh virus ini adalah kemampuannya untuk blocking desktop Windows sehingga setiap kali komputer dinyalakan maka yang ada hanya tampilan desktop dengan latar belakang warna biru sehingga komputer tidak dapat digunakan [komputer tidak aktif sebagai mana mestinya], jika hal ini terjadi anda hanya perlu mematikan proses virus yang sedang aktif di memori dengan terlebih dahulu memanggil Task Manager [tekan tombol CTRL+ALT+DEL secara bersama-sama] perhatikan gambar dibawah ini (gambar 6) :
GAmbar 6, Gnurbulf.A mencoba untuk proteksi Desktop Windows
Gambar 7, Dengan menggunakan task Manager, Anda dapat mematikan proses virus di memori
Sebagai penutup virus ini akan mencoba untuk membuat file duplikat disetiap folder dengan ciri-ciri:
• Icon yang digunakan tengkorak manusia
• Ukuran file 93 KB
• Type File “Application” (lihat gambar 8)
Gambar 8, File duplikat yang dibuat oleh Gnurbulf.A
Cara mengatasi Gnurbulf.A
1. Putuskan hubungan komputer dari jaringan selama proses pembersihan
2. Lakukan pembersihan melalui “safe mode”
3. Matikan [system restore] untuk sementara selama proses pembesrihan [jika menngunakan Windows ME/XP]
4. Matikan proses virus yang sedang aktif di memori, untik mematikan proses virus ini gunakan tools pengganti Task Manager seperti procexp, setelah itu matikan proses yang mempunyai icon tengkorak manusia, perhatikan gambar 9 di bawah ini:
Gambar 9, Dengan menggunakan procexp file induk yang aktif di memori lebih mudah di matikan
5. Hapus file induk yang telah dibuat oleh Gnurbulf.A
C:\Windows\Revenge.exe
C:\Windows\The Revengeration.exe
C:\Windows\Balas Dendam!!!.exe
C:\Windows\system32\The Revengeration.exe
C:\Windows\system32\Revenge.exe
C:\WIndows\Time To Payback!!.exe
C:\Windows\Revenge Has Come!.exe
C:\Windows\Pembalasan.exe
C:\WIndows\system32\Time To Payback!!.exe
C:\Windows\system32\Revenge Has Come!.exe
C:\WIndows\system32\Pembalasan.exe
C:\Windows\system32\Balas Dendam!!!.exe
6. Hapus string registry yang dibuat oleh Gnurbulf.A, untuk mempercepat proses pengapusan copy script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf setelah itu jalankan file tersebut dengan cara:
o Klik kanan repair.inf
o Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Run,Balas Dendam!!!.exe
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Pembalasan.exe
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Revenge.exe
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,The Revengeration.exe
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Revenge Has Come!.exe
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Time To Payback!!.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Balas Dendam!!!.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Pembalasan.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Revenge.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,The Revengeration.exe
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Revenge Has Come!.exe
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Time To Payback!!.exe
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, Revenge Has Come!.exe
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, Revenge.exe
7. Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri
o Icon yang digunakan [tengkorang manusia]
o Ukuran file 93 KB
o Type File “Application”
File duplikat yang dibuat oleh Gnurbulf.A
8. Untuk pembersihan lebih optimal, gunakan anti virus yang sudah dapat mengenali virus ini dengan baik.
salam,
yoe
(sumber kutipan:http://www.vaksin.com)
