W32/Fawn.A 18 September 2005 Saudara Kembar Kangen
Kangen dapat dikatakan sebagai jawara virus lokal di Indonesia dan sudah membentuk klan karena banyaknya varian yang ditemukan (dan terus bermunculan), jika anda merasa Kangen varian Kangen sudah banyak kini kami perkenalkan saudara kembar Kangen yang dijamin akan membuat korbannya "kecele" dan mengira dia terinfeksi Kangen. Tetapi setelah mengikuti langkah-langkah pembersihan Kangen, ternyata virusnya berbeda dan tentunya tidak bisa dibersihkan dengan cara membersihkan Kangen. Ciri khas dari virus ini adalah tampilnya kalimat Win32.anf pada header dari dokumen MS Word dan terdeteksi oleh Norman Virus Control sebagai W32.Fawn. Dari forum antivirus yang digawangi Vaksincom http://forum.vaksin.com dan email ke virus@vaksin.com dapat diketahui bahwa sebenarnya Fawn sudah mengganas di Indonesia sejak awal 2005 bergandengan dengan Kangen dan umumnya korban Kangen (yang didapatkan dari Warnet) sekalian juga mendapatkan "paket hemat" bonus virus Fawn. Sebenarnya Norman sudah mendeteksi W32/Fawn.A ini sejak 28 Juli 2005 (dimana sampai saat ini beberapa antivirus top masih belum mendeteksi W32/Fawn.A), namun kami tengarai munculnya varian baru Fawn karena ada beberapa kasus yang mirip tetapi cirinya berbeda dengan W32/Fawn.A sehingga Vaksincom merasa perlu mempublikasikan informasi ini kepada netter Indonesia dan jika anda merasa terinfeksi oleh virus yang tidak anda kenal dan tidak terdeteksi antivirus top yang anda miliki, silahkan kirim sample virus tersebut ke virus@vaksin.com, jika benar yang anda kirimkan virus baru dan tidak terdeteksi oleh Norman, kami akan memberikan anda GRATIS Antivirus Original Norman Virus Control for workstation + update 1 tahun.
PENTING : Norman Virus Control www.norman.com adalah antivirus kelas dunia buatan Norwegia yang selain memiliki kemampuan deteksi virus lokal yang sangat baik karena dukungan Vaksincom, juga memiliki kemampuan deteksi virus konvensional, baik Worm, Trojan, Virus Email, Key Logger dan malware lainnya dan terupdate secara otomatis. Bukti dari kemampuan Norman adalah sertifikasi dari organisasi Internasional Virus Bulletin www.virusbtn.com yang sampai saat ini telah memberikan 29 pengharggan VBA (Virus Bulletin Award) atas konsistensi mendeteksi "semua" virus di berbagai platform dari tahun 1986 sampai hari ini. Selain itu sertifikasi ICSA, Checkmark, SC Magazine juga menjadi koleksi Norman Virus Control memberikan jaminan bahwa Norman adalah produk dengan kualitas internasional terbaik yang mendapatkan nilai tambah kemampuan deteksi virus lokal dan dukungan support (instalasi dan kunjungan rutin GRATIS) Vaksincom untuk seluruh pelanggan Vaksincom.
------------------------------------------ Baru-baru ini Labs Vaksincom, kembali melakukan analisa terhadap keberadaan virus baru, yang tentunya masih “racikan lokal”, virus ini merupakan penggabungan dari 2 jenis virus lokal yaitu W32/kangen dan W32/Lavist. Kenapa bisa dikatakan demikian ?, karena virus ini mempunyai karakteristik yang hampir sama dengan virus W32/Kangen dan virus W32/Lavist.A, walapun metode yang digunakan berbeda. Seperti biasa keberadaan virus lokal selalu luput dari pantauan vendor antivirus, begitupun dengan keberadaan virus lokal yang satu ini. Virus ini dibuat dengan menggunakan bahasa pemograman Visual Basic dan dikompresi dengan menggunakan UPX dengan ukuran file sebesar 16 kb. Virus ini sebenarnya sudah lama beredar, hal ini dibuktikan dengan banyaknya laporan yang diterima dan terdeteksi oleh antivirus Norman pada tanggal 28 Juli 2005. Sebagian pengguna komputer menduga mereka terinfeksi virus kangen, karena memiliki karakteristik yang hampir sama, setelah mengikuti cara pembasmian virus kangen (secara manual), virus tersebut masih saja “bercokol” dikomputer dan setelah diselidiki ternyata bukanlah virus kangen yang di duga selama ini tetapi jenis virus baru yang memiliki karasteristik yang hampir sama dengan virus kangen, Norman Virus Control menamakan virus tersebut sebagai W32/Fawn.A atau lebih dikenal dengan sebutan W32.ANF, dikatakan demikian karena setiap kali user akan membuka atau membuat file MS.WORD, virus ini selalu menambahkan kata W32.ANF pada lembar kerja file yang dibuka atau dbuat.
Gambar1 Dari hasil pengujian virus ini tidak akan menginfeksi windows 2000, karena virus ini akan selalu membuat kopi dirinya pada direktori C:\windows, dengan nama file systray.exe Lalu apa yang dilakukan oleh virus W32/Fawn.A pada waktu menginfeksi komputer ? Untuk mengelabui pengguna komputer, setiap file yang mengandung virus akan mempunyai icon MS. WORD dan “selalu” mempunyai ukuran sebesar 16kb
File yang dibuat virus W32/Fawn.A Jika file tersebut dijalankan, virus tersebut akan langsung aktif tanpa permisi (tidak menampilkan pesan) seperti pada kebanyakan virus, jika virus ini sudah menginfeksi komputer ia akan melakukan serangkaian aksi sbb: Disable Registry Editor, MSCONFIG, TASK MANAGER Seperti pada kebanyakan virus lokal yang beredar, virus ini juga akan menonaktifkan program yang dimungkinkan akan mempersingkat umur dari virus tersebut, yaitu registry editor, msconfig dan Task Manager, dengan dimatikannya ke tiga program tersebut diharapkan virus ini akan tetap “hidup” dalam komputer tersebut, dan mencoba untuk menyebar ke komputer lain. Untuk disable registry editor dan Tasks Manager virus W32/Fawn.A akan menambahkan 2 string dengan nama :
Pada registry key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System Sehingga bila user mencoba untuk mengakses program registry, maka akan muncul pesan error.
Gambar2 USB, Disket dan file Sharing Dalam penyebarannya virus w32/Fawn.A tidak menggunakan metode yang biasa digunakan oleh virus kangen, pesin atau riyani_jangkaru, virus ini hanya menyebar dengan memanfaatkan file sharing, walaupun tidak menyebar menggunakan Disket/USB virus ini cukup berbahaya, karena virus ini dengan cerdik akan menampilkan icon MS.WORD pada setiap file yang terinfeksi, hal ini didukung pula dengan setting default windows yang tidak akan memunculkan extensi file, inilah yang menjadi salah satu faktor yang bisa menyebabkan virus tersebut lolos dari pantauan pengguna komputer, kecuali jika option [hide extensions for known files types] pada [folder option] dimatikan, maka akan terlihat sebenarnya file tersebut adalah file “aplikasi”, lihat gambar 3 dan 4
Gambar3
Gambar4 Tetapi jika option [hide extension for known file type] di aktifkan, maka nama file akan terlihat seperti gambar dibawh ini:
Gambar5 Sehingga pengguna komputer akan “terkecoh” dan dengan santai akan menjalankan file tersebut, tetapi apa yang terjadi, isi dari file yang dijalankan tersebut tidak tampil, yang ada Anda telah mengaktifkan virus tersebut. Walaupun demikian kita harus tetap waspada karena virus ini bisa saja menginfeksi file MS. WORD yang ada di USB atau Disket dan virus ini bisa saja menyebar melaui Disket/USB dengan cara :
Untuk melancarkan aksinya, virus ini akan membuat file pada direktori C:\Windows, file ini mempunyai ukuran 16 kb
Membuat folder !submit pada direktori C:\, folder ini berisi file dengan nama systray.exe dengan ukuran file 16 kb. Virus ini juga akan menambahkan 1 option pada msconfig pada menu [startup], yaitu (Win 9X/ME)
Agar virus ini dapat aktif setiap komputer dijalankan, maka ia akan membuat string value pada registry key yaitu:
Pada registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Menyembunyikan Folder Option Rupanya virus ini belajar dari rekan-rekannya, dimana virus ini akan menghilangkan [folder options] pada menu [tools] pada [Windows explorer], sehingga user tidak akan bisa menampilkan setiap file yang disembunyikan (hidden) oleh virus tersebut, dengan menambahkan string value :
pada registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Gambar6 Selain itu virus ini juga akan selalu mengaktifkan pilihan
Pada menu [folder option], [View], [hidden file and folders]
Gambar7 Walaupun user berusaha untuk mematikan salah satu dari pilihan tersebut, maka pilihan tersebut akan kembali seperti semula (ke dua option diaktifkan), sehingga setiap file yang disembunyikan tidak bisa ditampilkan, untuk melakukan hal tersebut, virus ini akan merubah string pada registry key:
Hal ini juga pernah dilakukan oleh virus lokal lainnya yaitu W32/Lavist.A, bedanya kalau virus w32/lavist.A ke dua option tersebut akan dimatikan sedangkan pada virus W32/fawn.A kedua option tersebut akan diaktifkan. Menyembunyikan menu [Control Panels], [Network connections] dan [Printers and Faxes] yang terdapat pada [Start] >> [Settings] Jika tampilan Start Menu yang Anda pilih adalah option [Classic Start Menu] maka jangan kaget jika menu [Control Panels], [Network Connections] dan [Printer and Faxes] tidak akan tampak, yang ditampilkan hanyalah menu [Taskbar and start menu] saja, (dapat dilihat dengan cara : klik [start] | [Settings]) seperti terlihat pda gambar 8, Untuk melakukan hal tersebut virus W32/Fawn.A akan menambahkan string :
Pada registry key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Gambar 8 Menambahkan kata-kata W32.anf setiap kali membuka file MS. WORD Yang membuat kita geram W32.fawn.A akan selalu menambahkan kata-kata W32.anf setiap kali membuka program MS. WORD, jika kata-kata (w32.anf) tersebut muncul itu berarti menandakan bahwa file asli anda telah disembunyikan dan akan diganti dengan file bervirus, jadi begitu program aplikasi MS. Word tersebut ditutup, maka file yang terlihat di Windows Explorer adalah file yang telah mengandung virus. Sebagai informasi penting “file yang sudah terinfeksi virus Fawn.A tidak akan bisa dijalankan/dibuka”, karena file yang dijalankan bukan dokumen (MS.WORD) Anda melainkan virus Fawn.A, hal inilah yang membuat user mencurigai bahwa data mereka telah hancur (karena tidak bisa dibuka), sebenarnya data mereka masih utuh dan hanya disembunyikan saja, masih untung virus ini menyembunyikan data pada folder/direktori yang sama, coba kalau dipindahkan ke folder/direktori lain....... L
Gambar 11 Menyembunyikan file MS. WORD Seperti yang dilakukan oleh Virus Kangen, virus ini juga akan menyembunyikan file MS. WORD, tetapi dengan metode yang berbeda, dimana virus Kangen akan “langsung” menyembunyikan file MS. WORD, sedangkan virus W32/Fawn.A hanya akan menyembunyikan setiap file yang dibuka atau ketika pertama kali user membuat file baru, jadi selama file MS. WORD tidak dijalankan maka file tersebut tidak akan disembunyikan, tetapi yang jadi masalah adalah setiap kali user membuat file baru, maka file asli tersebut akan langsung disembunyikan dan digantikan dengan file bervirus yang mempunyai nama yang sama dengan file asli, file bervirus tersebut mempunyai ciri-ciri :
Berikut perbedaan antara virus kangen dan virus W32/Fawn.A:
Virus W32/Fawn.A
Virus W32/Kangen Sebenarnya virus W32/Fawan.A lebih membawa dampak yang lebih besar dibandingkan dengan virus kangen, dimana pada pada komputer yang terinfeksi virus kangen, setiap file yang telah terinfeksi oleh virus ini (kangen) masih dapat dilihat isi dari file tersebut, walaupun file tersebut merupakan file Menyembunyikan file EXCEL Selain menyembunyikan file MS.WORD, Fawn.A juga akan menyembunyikan file MS.EXCEL, Jadi, setiap kali user membuka dan membuat file baru di program EXCEL (MS. EXCEL) maka file asli tersebut akan disembunyikan kemudian virus ini akan menggantikan dengan file lain (yang tentunya telah terinfeksi virus) dimana file tersebut mempunyai nama yang sama dengan file yang disembunyikan, tetapi mempunyai icon MS.WORD “bukan” MS.EXCEL, file ini mempunyai ukuran 16 kb .  Gambar12 Lalu apa yang harus dilakukan ? Sebenarnya ada cara paling mudah untuk mengatasi virus W32/Fawn.A yaitu dengan melakukan instalasi antivirus yang sudah dapat mengenali dan menghapus virus tersebut, tetapi anda dapat saja menghapus secara manual walaupun hal ini hanya untuk waktu yang tidak lama, karena selama komputer tersebut terhubung ke jaringan, selama ada USB dan Disket, komputer Anda akan tetap rentan terhadap serangan virus ini.
Bagi Anda yang menggunakan Windows XP/Server 2003 dapat menggunakan perintah “taskkill” untuk mematikan proses tersebut, sedangkan untuk OS diluar XP/Server 2003 dapat mematikan proses tersebut dengan menggunakan tools-tools freeware seperti (killbox atau proses XP) Untuk mematikan proses dengan menggunakan perintah taskkill, caranya adalah : · Klik [Start] [Run] · Ketik [cmd] · Matikan proses ”systray.exe” dengan menggunakan perintah Taskkill dengan mengetikkan [taskkill /f /im systray.exe], dan tekan enter Sedangkan bagi yang menggunakan windows selain XP/Server2003 dapat menggunakan tools dengan nama KilllBox. Tools ini dapat di download di alamat: http://www.bleepingcomputer.com/files/killbox.php Tools ini bisa digunakan pada versi semua OS Cara menggunakannya: · Jalankan Killbox.exe pada komputer yang terinfeksi virus · Cari proses systray.exe pada kolom [system prosess] · Kemudian isi lokasi file tersebut pada kolom [Full path file of file to delete] o C:\Windows\systray.exe · Setelah itu klik [delete file] pada tanda gambar silang merah
Gambar13
· System tray Pada registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Catatan: Bagi yang menggunakan windows 9x, Tulis script dibawah ini dengan menggunakan notepad untuk mengaktifkan kembali registry editor REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000 kemudian simpan menjadi nama file repair.reg dan jalankan file tersebut.
· NoFolderOptions · NoSetFolders Pada regsitry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Jika Anda menggunakan Windows XP/Server 2003, tulis script dii bawah ini, kemudian simpan menjadi nama file FOLDER OPTION.reg, kemudian jalankan file tersebut, setelah itu restart komputer. Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSetFolders"=dword:00000000 "NoFolderOptions"=dword:00000000 Tulis script di bawah ini (untuk 9X), kemudian simpan menjadi nama file FOLDER OPTION.reg, kemudian jalankan file tersebut, setelah itu restart komputer REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSetFolders"=dword:00000000 "NoFolderOptions"=dword:00000000
Dengan merubah registy key :
· Systray.exe
o Klik [Start] [Run] o Ketik [cmd] untuk masuk ke command prompt. o Pada layar command promprt, ketikan perintah “Attrib –s –h c:\*.doc /s” (tanpa tanda kutip) Catatan: Jika drive anda lebh dari satu (contoh drive D:\ atau E:\ ), gunakan perintah diatas untuk menampilkan file yang disembunyikan dengan mengganti lokasi drive, contoh “attrib –s –h d:\*.doc /s” Berikut hasil setelah menjalankan baris perintah diatas.
Gambar13 Jika terdapat nama file yang sama tetapi dengan ext. yng berbeda (file tersebut ada dalam satu folder) dengan salah satu file mempunyai ukuran 16 kb, sebaiknya hapus file tersebut secara manual (ingat !!! jangan sampai Anda salah dalam menghapus file tersebut, hapus file yang mempunyai icon MS. WORD dengan ext. EXE dan mempunyai ukuran 16 kb) 9. Tampilkan kembali file MS. EXCEL yang disembunyikan, caranya: o Klik [Start] [Run] o Ketik [cmd] untuk masuk ke command prompt. o Pada layar command promprt, ketikan perintah “Attrib –s –h c:\*.xls /s” (tanpa tanda kutip)
Gambar 14 Catatan: Jika drive anda lebh dari satu (contoh drive D:\ atau E:\ ), gunakan perintah diatas untuk menampilkan file yang disembunyikan dengan mengganti lokasi drive, contoh “attrib –s –h d:\*.xls /s” Berikut hasil setelah menjalankan baris perintah tersebut.
Gambar15
Adang Juhar Taufik (AJT) PT. Vaksincom Jl. Tanah Abang III /19 E Ruko Tanaga Mas Jakarta 10160 Telp : 62-21-3456 850 Email : info@vaksin.com |
