Senin, 09 Februari 2009

W32/Egac Manipulasi Winzip

Anda pasti sudah familiar dengan satu program kompresi dimana program ini salah
satunya berfungsi untuk memperkecil ukuran dari suatu file sehingga file tersebut
lebih ramping selain itu dilengkapi dengan system pengaman berupa password dan
system enkripsi, salah satu program yang paling populer saat ini adalah WINZIP
atau WINRAR.


Kepopuleran program Winzip ini dimanfaatkan oleh orang-orang tertentu yang
memandang ini sebagai kesempatan yang harus digunakan yang tentunya dengan
tujuan “negatif”, agar anda tidak menjadi korban berikutnya sebaiknya selalu
menampilkan ext. File dan menampilkan file secara Detail sebelum manjalankan
suatu file.


Agar ekstension dari suatu file dapat ditampilkan lakukan setting pada Folder
Option dengan cara : [klik menu “Tools”  Klik “Folder Options”  Klik tabulasi
“View”  Hilangkan tanda check list pada option [hide extension for known file
types]  klik tombol “Applay”  “OK”].


Untuk menampilkan file dengan mode Detail [Klik menu “View”  Klik “Detail”].
Menampilkan file dengan mode “Detail”

W32/Egac adalah salah satu dari sederetan virus yang memanipulasi icon yang
terinfeksi virus dengan menggunakan icon WINZIP, untuk varian pertama
mempunyai ukuran 78 KB dengan ext. EXE serta mempunyai type file sebagai
“Application” dan dilihat dari script kemungkinan virus ini kelahiran “solo”
File Induk W32/Egac

Ciri dan Gejala Virus Egac
Virus ini sebenarnya mudah untuk dikenali, berikut beberapa ciri-ciri yang ada pada
virus Egac siantaranya:
· Jika menjalankan MSCONFIG maka akan muncul sebuah program aplikasi
“notepad” yang berisi pesan “I N F E C T E D B Y Win32.Egac.B”
· Terdapat file pada drive C:\ dengan nama Cage_Message_09092006.txt jika
file tersebut dijalankan maka akan mucul pesan moral dari si pembuat virus
· Terdapat file duplikat disetiap folder dan sub folder dimana file tersebut akan
mempunyai nama yang sama sesuai dengan folde dan sub folder tersebut,


file duplikat tersebut akan mempunyai ciri-ciri:
o Menggunakan icon WINZIP
o Ukuran file 78 KB
o Ext. EXE
o Type File “Application”

Jika file bervirus tersebut dijalankan akan mucul pesan error seolah-olah file
tersebut rusak/error, setelah itu Egac akan membuat beberapa file induk yang akan
dijalankan pertama kali setiap komputer booting
Pesan error yang muncul jika menjalankan file bervirus
· C:\Windows\win\system\host32.exe
· C:\Windows\system32\msagent.exe
· C:\Windows\system32\services\taskmngr.exe
· C:\Cage_Message_09092006.txt
· C:\ 0x0000_log.txt

Sebagai penunjang agar file tesrebut dapat dijalankan secara “autorun”, Egac akan
membuat beberapa string pada registry berikut:
· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o kernel32 = C:\WINDOWS\System32\services\taskmngr.exe
o MSAgent = C:\WINDOWS\System32\msagent.exe
o Mshost = C:\WINDOWS\win\system\host32.exe
· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
o MSAgentService = C:\WINDOWS\System32\msagent.exe
· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
o Shell = Explorer.exe "C:\WINDOWS\win\system\host32.exe"


Satu tradisi yang sampai saat ini masih dipegang teguh oleh para pembuat virus
lokal adalah mempunyai kebiasaan untuk melakukan blok terhadap beberapa fungsi
Windows dengan tujuan agar user kesulitan untuk mengatasi virus tersebut,
walaupun demikian virus ini masih mempunyai kelemahan, karena virus ini masih
dibuat dengan menggunakan VB maka akan lebih mudah untuk mengatasinya
hanya dengan merubah file MSVBVM60.dll yang berada didirektori
[C:\Windows\system32].

Beberapa fungsi windows yang akan diblok oleh Egac diantaranya:
· Regedit
· Msconfig
· Cmd
· Fungsi Install pada file .INF

Egac mempunyai ciri khusus seperti yanng dilakukan virus Lighmoon, jika
sebelumnya jika user terinfeksi Lighmoon dan menjalankan regedit/msconfig maka
akan muncul “notepad” dengan tulisan bahasa mesin, kini setiap komputer yang
terinfeksi virus Egac dan jika user menjalankan fungsi MSCONFIG maka akan
muncul sebuah aplikasi notepad juga dengan pesan “.:: I N F E C T E D B Y
Win32.Egac.B”
Pesan error saat membuka “msconfig”

Untuk blok fungsi windows tersebut, Egac akan membuat beberapa string pada
regitry berikut:
· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command
o Default = C:\WINDOWS\System32\notepad.exeC:\0x0000_log.txt
· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command
o Default = C:\WINDOWS\win\system\host32.exe /ShowErrorINF
· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\p
olicies\Explorer
o NoFolderOptions = 1
· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\p
olicies\system
o DisableCMD = 1
o DisableRegistryTools =1
· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Polici
es\Explorer
o NoFolderOptions = 1
· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Polici
es\System
o DisableCMD = 1
o DisableRegistryTools =1
Selain aktif pada mode “normal” Egac juga akan aktif walaupun komputer di booting
pada mode “safe mode”
Media Penyebaran

Untuk menyebarkan dirinya, Egac masih menggunakan cara lama namun terbukti
ampuh yakni menggunakan media Disket/UFD atau file sharing, untuk menyebar
melalui Disket/UFD ia akan membuat file duplikat disetiap folder dan sub folder serta
copy beberapa file induk dari virus tersebut dengan nama :
· Artikel.exe
· Data.exe
· Foto-Cewek-Bugil.exe
· Gambar Bugil.exe
· Keparat.exe
· Porn-start.exe
· Rahasia.exe
File tersebut akan mempunyai ciri-ciri
· Icon WINZIP
· Ukuran 78 KB
· Ext. EXE
· Type file “Application”

File yang dibuat di Disket/UFD
Aksi lain yang dilakukan oleh Egac adalah berusaha untuk merubah volume Drive
[ C:\ ] menjadi “InFEcTeD By Egac (C)”
Egac merubah Volume Drive C:\
Egac juga akan membawa pesan moral seperti yang terlihat pada gambar di bawah
ini, tapi pesan ini tidak akan ditampilkan oleh Egac kecuali jika menjalankan file
tersebut.

Pesan moral yang disampaikan oleh Egac
Sebagai penutup Egac akan membuat file duplikat di setiap folder dan sub folder
sesuai dengan nama folder dan sub folder tersebut dengan ciri-ciri
· Icon WINZIP
· Ukuran 78 KB
· Ext. EXE
· Type file “Application”

Egac akan membuat file duplikat di setiap folder dan sub folder
Cara membersihkan Egac secara manual
1. Disconnect komputer yang akan di bersihkan dari jaringan [LAN/WAN]
2. Jika menggunakan Windows ME/XP, disable “system restore” selama proses
pembersihan
3. Matikan proses virus yang sedang aktif di memori untuk mempermudah
proses pembersihan selanjutnya, untuk mematikan proses tersebut gunakan
tools “Security Task Manager” karena tools ini selain dapat mematikan proses
di memori juga dapat menghapus file tersebut sekaligus, setelah menjalalankan
tools Security Task Manager kemudian matikan proses virus yang mempunyai icon
WINZIP dengan cara:

a. Klik kanan %proses virus%
b. Klik [Remove]
c. Agar file tersebut dapat langsung di hapus, pilih option [Move file to
Quarantine]
Gambar1
Gambar2

4. Hapus string yang dibuat oleh virus, sebagai informasi virus Egac akan
mencoba untuk blok file .INF untuk fungsi install, untuk mengaktifkan kembali
fungsi tersebut copy script dibawah ini pada program notepad kemudian
simpan dengan nama repair.bat setelah itu jalankan file tersebut [klik 2 x
repair.bat]
echo Y
reg add HKLM\SOFTWARE\Classes\inffile\shell\Install\command /ve /d
"C:\Windows\System32\rundll32.exe setupapi,InstallHinfSection
DefaultInstall 132 %%1" /f
reg add HKLM\SOFTWARE\Classes\regfile\shell\edit\command /ve /d
"C:\WINDOWS\System32\notepad.exe %%1" /f
Setelah itu untuk menghapus sisa string registry yang dibuat oleh virus, copy
script berikut pada program “notepad” kemudian simpan dengan nama
repair.inf” dan jalankan dengan cara:

· Klik repair.inf
· Klik install
[
Version]
Signature="$Chicago$"
Provider=Vaksincom
[
DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[
UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
Shell,0, "Explorer.exe"
[
del]
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistry
Tools
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptio
ns
HKLM,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptio
ns
HKLM,
Software\Microsoft\Windows\CurrentVersion\Policies\system,DisableCMD
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableRegi
stryTools
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\App
Paths\MSCONFIG.EXE
HKLM, software\microsoft\windows\currentversion\run, mshost
HKLM, software\microsoft\windows\currentversion\run, MSAgent
HKLM, software\microsoft\windows\currentversion\run, kernel32
HKLM, software\microsoft\windows\currentversion\RunOnce,
MSAgentService
5. Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri:
a. Icon WINZIP
b. Ukuran 78 KB
c. Ext. EXE
d. Type file “Application”
Untuk mempercepat proses pencarian file duplikat tersebut, gunakan fasilitas
“Search” dari Windows.
Mencari file duplikat yang dibuat oleh Egac dengan fasilitas Search
Hapus juga file berikut:
C:\ Cage_Message_09092006.txt
C:\ 0x0000_log.txt
6. Ubah kembali volume Drive C:\ yang sudah di ubah menjadi “sesuai dengan
nama volume drive asal [jika anda tahu].
7. Untuk pembersihan optimal gunakan antivirus yang sudah dapat mengenali
virus ini dengan baik.

(c) dakjelas.blogspot.com
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)