W32/Decoy.A       28 Desember 2005

The Chronicles of Local Virus

 

Jika internet diandaikan sebagai dunia Narnia dan virus diandaikan sebagai ratu jahat Jadis, maka para pengguna internet harus berhati-hati atas munculnya Jadis baru dari Wonosobo dengan nama W32/Decoy.A.

Anda tentu masih kenal dengan virus Kangen atau Fawn, walaupun sampai saat ini sudah tidak terdengar lagi tapi tetap menjadi ancaman bagi kita. Kangen dan Fawn merupakan virus karya programer lokal dimana virus ini akan berusaha menyembunyikan data terutama MS Word, dengan cerdik Kangen dan Fawn juga akan mengganti file tersebut dengan kopi dirinya sesuai dengan nama file yang disembunyikan, alhasil jika menjalankan file duplikat tersebut berarti secara tidak langsung anda telah membantu menyebarkan mereka [Kangen dan Fawn] dan sebagai informasi Vaksincom baru menemui satu varian dari Kangen yang “jahat” dimana varian ini bukan menyembunyikan data MS Word anda tetapi benar-benar menghilangkannya [delete], jadi hati-hati jika menemukan file dengan nama Diary.exe dengan ukuran 21 kb dan mempunyai ext. EXE sebaiknya anda hapus jika tidak ingin data Anda “lenyap”. Namun Vaksincom menyarankan anda untuk secara teratur melakukan back up atas data anda secara teratur pada media yang terpisah.

 

Rupanya bukan hanya Kangen atau Fawn yang dapat melakukan menyembunyikan data MS Word, baru-baru ini Team Vaksincom kembali melakukan analisa terhadap virus yang mirip dengan Kangen atau Fawn, walaupun aksi yang dilakukan berbeda tetapi virus ini juga mempunyai misi yang sama, Norman mendeteksi virus tersebut dengan nama  W32/Decoy.A atau lebih sering disebut W32/Decoil (lihat gambar 1)

 

Gambar 1, Norman mendeteksi virus lokal baru dari Wonosobo sebagai W32/Decoy.A

 

Seperti kebanyakan virus lokal yang beredar dimana biasanya akan menggunakan program bahasa Visual Basic untuk membuatnya begitupun dengan Decoy.A  dikompresi dengan menggunakan UPX.

 

Rupanya para pembuat virus di Indonesia mulai menyebar, jika sebelumnya Geng dari Makasar, Bandung dan Yogyakarta, kini giliran Jawa Tengah tepatnya daerah Wonosobo mendapat giliran untuk berkreasi dan kemungkinan Decoy.A dibuat oleh mereka yang berasal dari sebuah perguruan tinggi di Jawa Tengah dengan nama UNSIQ (Universitas Sains Al-Quran) mudah-mudahan hal ini bukan disengaja untuk mencari publisitas :-(.

 

Pada varian awalnya Decoy.A memang tidak terlalu “jahat” dan masih relatif mudah untuk dibersihkan dibandingkan dengan Kangen atau Fawn dan virus sejenisnya, karena virus ini tidak mematikan fungsi windows seperti Regedit/Msconfig/Task Manager atau Folder option, Decoy.A hanya berusaha untuk menyembunyikan file MS Word dan membuat file duplikat sesuai dengan file yang disembunyikan seperti yang dilakukan Kangen atau Fawn, tetapi bagaimanapun juga “biasanya” setiap pembuat tidak hanya cukup sekali dalam membuat program jadi kemungkinan besar akan keluar varian lain yang tentunya lebih ganas dari varian awal jadi sebaiknya anda berhati-hati, karena sang pembuat virus telah memberi peringatan sebelumnya.

 

Seperti pada kebanyakan virus yang menyebar pasti akan membutuhkan file induk yang akan dijalankan pertama kali jika komputer dinyalakan dimana hal ini dimaksudkan agar virus dapat langsung aktif tanpa memerlukan bantuan dari manusia, kali ini Decoy.A akan membuat 2 buah file induk yang akan dijalankan  yaitu pada direktori :

 

·        C:\windows\system32\i75-d2\dkernel.exe

·        C:\Windows\ LEXPLORER

 

Sebagai penunjang agar file tersebut dijalankan Decoy.A akan membuat registry key:

  • dkernel.exe

  • lExplorer

Pada registry HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

Selain itu Decoy.A juga akan menambahkan 2 option pada menu [startup] Msconfig.

  • dkernel.exe

  • lExplorer

 

(lihat gambar 2)

Gambar 2, Decoy menambahkan dua Startup item pada [Startup]

 

Dan terakhir Decoy.A akan menambahkan baris perintah [Lexplorer.exe] setelah shell=explorer.exe pada file SYSTEM.INI [jika menggunakan Windows 9X/ME] sedangkan pada Windows NT/2000/XP/2003 akan merubah  pada string  Shell

  • Explorer.exe menjadi Explorer.exe LExplorer.exe (lihat gambar 3)

 

 

 

 

 

 

 

Gambar 3, Penambahan string yang dilakukan oleh Decoy.A pada System.ini

 

Rupanya Decoy masih "berbaik hati" dengan tidak mematikan fungsi Regedit/Msconfig maupun Task Manager, hal ini berbeda dengan Kangen atau Fawn. Oleh karena itu relatif Decoy lebih mudah dibersihkan, walaupun demikian ada beberapa hal yang tidak dimiliki oleh Kangen atau Fawn, dimana Decoy akan membuat beberapa file yang menyerupai file aplikasi dengan icon yang berbeda-beda dengan ukuran 154 kb seperti :

 

  • AdultOnly.exe

  • Asian.exe

  • Virtual Girl.exe

  • Winamp590.exe

  • Winrar09.exe

  • WinZip XP Final.exe

  • X-Photos.exe

  • BestModel.exe

  • Cool Screen Saver.exe

  • DirectX10a.exe

  • Game Nude.exe

  • Hot Screen Saver.exe

  • HotBabe.exe

  • Model Asian.exe

  • Model VG.exe

  • V-Girl7.exe

  • JapaneseGirl.exe

 

Diperkirakan tujuan dari aksinya ini adalah untuk memancing korban pengguna komputer lain yang terhubung ke jaringan yang sama dengan untuk mendownload dan menjalankan file ini.

 

Decoy.A juga akan membuat folder  !Submit pada direktori C:\, dimana folder tersebut terdiri dari 4 file yaitu

·        dkernel.exe [28 kb]

·        LExplorer.exe [154 kb]

·        inz.d [1 kkb]

·        d2.mix [39 kb]

 

Untuk memperbanyak dirinya Decoy akan menggnakan Disket dan UFD serta menggunakan file sharing sebagai media penyebaran dirinya, Decoy akan menngkopikan dirinya ke dalam UFD/Disket dengan beberapa atau salah satu file dibawah ini:
 

    • AdultOnly.exe

    • Asian.exe

    • Virtual Girl.exe

    • Winamp590.exe

    • Winrar09.exe

    • WinZip XP Final.exe

    • X-Photos.exe

    • BestModel.exe

    • Cool Screen Saver.exe

    • DirectX10a.exe

    • Game Nude.exe

    • Hot Screen Saver.exe

    • HotBabe.exe

    • Model Asian.exe

    • Model VG.exe

    • V-Girl7.exe

    • JapaneseGirl.exe

 

Selain itu, Decoy.A juga akan menyembunyikan file MS.Word [jika ditemukan] yang berada di dalam USB/Disket untuk kemudian akan membut file duplikat sesuai dengan nama file yang disembunyikan, dengan menggunakan rekayasa sosial ini Decoy akan mencoba untuk mengelabui user sehingga setiap file yang terinfeksi terlihat sebagai file Dokumen (MS Word).

 

Menyembunyikan  File MS Word

Seperti yang dilakukan oleh Kangen dan Fawn, Decoy juga akan mencoba untuk menyembunyikan file MS Word didirektori yang sama, dengan cerdik Decoy akan membuat file duplikat dengan nama file yang sama tetapi mempunyai ukuran 154kb dengan extension ganda yaitu .doc.exe [contoh: laporan.doc.exe].

 

Sebagai pelengkap setiap system komputer menunjukan pukul 12.00, Decoy.A akan menampilkan pesan [selama ± 3 menit] yang berbunyi: (gambar 4)

 

“System komputer Anda kami ambil alih sementara

Kami harap anda tetap tenang

Karena komputer anda dibawah kendali kami

Tunggu sesaat hingga semua berjalan seperti biasa”

 

Gambar 4. Pesan yang ditampilkan Decoy.A

 

Jika pesan tersebut muncul user tidak dapat melakukan aktifitas lain selain hanya menunggu hingga proses yang dilakukan Decoy.A selesai, Setelah muncul pesan diatas kemudian Decoy.A akan membelah desktop menjadi 2 bagian dan memunculkan pesan lain, lihat gambar 5 dan 6

 

Gambar 5

 

Gambar 6

 

Bagaimana cara mengatasi Decoy.A ?

Sepertii yang tealh dijelaskan sebelumnya Decoy.A relatif mudah dibersihkan dibandingkan Kangen atau Fawn, karena tidak menonaktifkan Fungsi Msconfig/Regedit/Task manager ataupum Folder Option, berikut langkah-langkah pembershanya:

 

  1. Lakukan pembersihan melalui mode “safe mode”

  2. Jika menggunakan Windows ME/XP, matikan system restore untuk sementara selama proses pembersihan

  3. Matikan proses dari virus Decoy.A, anda dapat menggunakan tools seperti Pocket Killbox , tools ini selain dapat mematikan proses virus juga dapat langsung menghapus file tersebut, tools tersebut dapat di download dialamat http://www.scanwith.com/Pocket_KillBox_download.htm

Cara menggunakannya :

    • Jalankan tools Pocket Killbox

    • Cari 2 proses virus

      • Yang pertama cari proses virus dengan nama [dkernel.exe]

        • Pada kolom [Pull pacth of File to deleted] isi dengan alamat

          • C:\windows\system32\i75-d2\dkernel.exe

        • Kemudian klik tanda silang [X] untuk menghapus

      • Yang kedua cari proses virus dengan nama [LEXPLORER]

        • Pada kolom [Pull pacth of File to deleted] isi dengan alamat

          • C:\windows\Lexplorer.exe

        • Kemudian klik tanda silang [X] untuk menghapus

  1. Hapus direktori i75-d2, pada direktori [C:\windows\system32]

  2. Hapus file LExplorer.exe pada direktori [C:\Windows], jika ditemukan

  3. Hapus registry key yang dibuat oleh Decoy.A, untuk lebih cepat tulis script berikut di notepad dan simpan menjadi nama file repair.inf, kemudian jalankan file tersebut.

Dengan cara klik kanan repair.inf, kemudian pilih install

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

 

[del]

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, dkernel.exe

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, lExplorer

  1. Hapus file yang telah dibuat oleh Decoy.e dengan ukuran 154 kb

    • AdultOnly.exe

    • Asian.exe

    • Virtual Girl.exe

    • Winamp590.exe

    • Winrar09.exe

    • WinZip XP Final.exe

    • X-Photos.exe

    • BestModel.exe

    • Cool Screen Saver.exe

    • DirectX10a.exe

    • Game Nude.exe

    • Hot Screen Saver.exe

    • HotBabe.exe

    • Model Asian.exe

    • Model VG.exe

    • V-Girl7.exe

    • JapaneseGirl.exe

  1. Kembalikan file ms.word yang disembunyikan oleh Decoy.A

    • Klik [Start]

    • klik [Run]

    • ketik [cmd] kemudian tekan tombol [Enter]

    • Setelah masuk ke mode DOS PROMPT, ketik perintah

Attrib –s –h C:\*.doc /s , kemudian tekan tombol [Enter]

 

Cataatn: jika ingin mengembalikan data ms.word yang ada didrive lain [contoh: D atau USB] tulis perintah diatas dengan mengganti lokasi drive ayang akan diperiksa, dengan format  Attrib –s –h %lokasi drive%:\*.doc /s

Contoh : Attrib  –s –h  D:\*.doc /s

  1. Untuk pembersihan lebih cepat sebaiknya install antivirus yang sudah dapat mengenali Decoy.A dengan baik dan sebagai informasi antivirus Norman sudah dapat mengenali Decoy.A. (AJT)

salam,

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@vaksin.com