Varian virus Formalin

Postingan yang lalu, saya hanya mengira-ngira saja nama virus tersebut. Saya sebut virus formalin karena terdapat di registry namun tidak menunjuk ke file manapun. Dan kali ini saya kembali bertemu win32.formalin.beta dan kali ini menunjuk ke sebuah file virus.

Jika dibandingkan, kedua virus ini memiliki kelakuan yang sama dengan sedikit variasi. Maka tak salah lagi kalau ini virus yang sama dengan varian yang berbeda.

Spesifikasi:
Laptop ACER ASPIRE 5315, Windows XP SP2, Antivirus AVG terinstall namun tidak aktif. Filenya error. Ada juga Folder Kaspersky namun tidak aktif.

Gejala:
- sebelum login muncul warning

maaf jika kebahagiaan yang aku minta adalah teman sepanjang hidupku...meskipun kebersamaan kita hanya sebentar tapi bagiku sangat berarti...Mencintaimu adalah al terindah dalam hidupku Memimpikanmu adalah sesuatu yang sangat membahagiakanku Merindukanmu tak pernah membosankan Namun aku sadar, sangat menyadari bahwa keberadaanku bukanlah disisimu tapi hanya lamunan dalam sesal Untuk memilikimu adalah hal yang paling tak mungkin Ada sebuah dinding pemisah terbentang luas membatas untuk kekasih yang tak pernah kumiliki I'm sorry good by

good by... haha! duduk depan kompie bikin virus, bahasa Inggris parah, ga heran lah engkau tak laku.

- Task Manager, Folder Option, Regedit semua disabled.

- Colok portable drive, muncul file: "Master Baru.exe"
file ini menggunakan icon folder di Windows Vista. Karena laptop ini menggunakan Windows XP, jadi file ini terlihat beda sendiri.

Walaupun terlihat cupu dan n00b, file ini tidak terdeteksi oleh AVG.



Solusi:
Kurang lebih mirip dengan postingan saya sebelumnya di sini.
- Buka CurrProcess.
Ada 4 file virus terdeteksi. Ciri-cirinya:
> file .exe dengan icon berbentuk folder (untuk penyamaran)
> Product Name: Project1 (nama default ketika membuat program dengan Visual Basic dll)

Catat dulu masing-masing lokasi file tersebut lalu kill keempat proses tersebut.

C:\Windows\system32\drivers\csrss.exe
C:\Windows\system32\Duhur.exe
C:\Windows\system32\Magrib.exe
C:\Windows\system32\Subuh.exe



- Jalankan unhook.inf
untuk membuka registry.
Cara membuat file ada di sini. Maaf, untuk sementara saya belum menyiapkan link untuk download.

- Periksa registry berikut ini:
(HKey_Local_Machine) HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon
pada jendela sebelah kanan, cari: LegalNoticeText
double click, lalu hapus isi pesannya.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
di kanan, cari lalu hapus:
Optimize Windows --- Magrib.exe
System32 --- csrss.exe
W32.formalin.Beta --- Subuh.exe

(HKey_Current_User) HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
untuk membuka folder options.
di kanan, cari: NoFolderOptions
double click, lalu ganti nilainya menjadi 0 (nol)

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
untuk mengaktifkan Task Manager.
di kanan, cari: DisableTaskMgr
double click, lalu ganti nilainya menjadi 0 (nol)

- Hapus File Virus.
- buka folder options, pilih "show all hidden files"

- hilangkan contreng pada "hide file extension..." dan "hide system files..."

Hapus file sesuai dengan alamat yang sudah dicatat di atas.
C:\Windows\system32\drivers\csrss.exe
C:\Windows\system32\Duhur.exe
C:\Windows\system32\Magrib.exe
C:\Windows\system32\Subuh.exe

dan juga hapus:
X:\Master Baru.exe
X = semua drive penyimpanan data, termasuk flash disk. CD/DVD drive tidak termasuk.

- Selesai
Restart komputer anda. Jika masih ada masalah, kemungkinan besar ada virus lain yang belum ditangani.

More info
Saya coba mengirim file "Master Baru.exe" ke http://virusscan.jotti.org/
hasilnya adalah sebagai berikut:

A-Squared	Found BehavesLike!IK
AntiVir	Found nothing
ArcaVir	Found nothing
Avast	Found nothing
AVG Antivirus	Found nothing
BitDefender	Found BehavesLike:Win32.Malware (probable variant)
ClamAV	Found nothing
CPsecure	Found nothing
Dr.Web	Found nothing
F-Prot Antivirus	Found nothing
F-Secure Anti-Virus	Found nothing
Ikarus	Found BehavesLike
Kaspersky Anti-Virus	Found nothing
NOD32	Found probably a variant of Win32/VB.NPV (probable variant)
Norman Virus Control	Found nothing
Panda Antivirus	Found nothing
Quick Heal	Found nothing
Sophos Antivirus	Found nothing
VirusBuster	Found nothing
VBA32	Found nothing

Virus Formalin (update)

Postingan sebelumnya:
http://virusdiary.blogspot.com/2009/03/virus-formalin.html

dengan menggunakan fasilitas scan virus online di:
http://virusscan.jotti.org/

hasil deteksi beberapa antivirus adalah sebagai berikut:

A-Squared	Found BehavesLike.Win32.Malware!IK
AntiVir	Found HEUR/Malware
ArcaVir	Found nothing
Avast	Found nothing
AVG Antivirus	Found nothing
BitDefender	Found BehavesLike:Win32.Malware (probable variant)
ClamAV	Found nothing
CPsecure	Found nothing
Dr.Web	Found nothing
F-Prot Antivirus	Found nothing
F-Secure Anti-Virus	Found nothing
Ikarus	Found BehavesLike.Win32.Malware
Kaspersky Anti-Virus	Found nothing
NOD32	Found a variant of Win32/VB.NPV
Norman Virus Control	Found nothing
Panda Antivirus	Found nothing
Quick Heal	Found nothing
Sophos Antivirus	Found nothing
VirusBuster	Found nothing
VBA32	Found nothing

catatan tambahan:
Saya juga tidak tahu pasti nama virus ini. Saya menamakannya virus Formalin sebab ada entry dalam register yang menunjuk ke nama virus Formalin (beta). Entry ini tidak link ke file manapun dalam hard-disk.

Virus Formalin

Spesifikasi:
Microsoft Windows XP SP3 dengan Antivirus Avast yang diupdate baru 2 hari yang lalu dari tanggal pemeriksaan (8 maret 2009)

Gejala:
- sebelum login, muncul warning:

Aq Mencari T4 Tp Tak KuDapatkan Org Yg Mau Menerimaku Akhirx Aq Mendapatkan Kamu Biarkanlah Aq Hidup Dan Berkembang Dalam Kom Kamu...BY 614D

- task manager, regedit, folder option tidak aktif (ciri khas virus Indonesia)

- di seluruh drive terdapat file berikut, juga jika flash disk dicolok akan muncul file-file berikut:
(dengan icon winrar)
150 trik windows
1000 cara registry
bocoran soal UAN dan UAS
bug telkomsel
cara buat spyware
cara hack indosat
cara masuk ke komputer org lain
cara membuat virus VB
cara ngeblog
cara telpon gratis
cheat games
crack password
data-data
jgn dibuka !!!
lyric plus kord gitar
mendapatkan uang via internet
my password dont open!!!
Nitip Data (jgn dihapus)
situs-situs bokep
top-secret



pemeriksaan:
- dengan menggunakan CurrProcess, maka proses virus yang menyamar dengan icon winrar akan terlihat semua. I See You now! :D



- lihat properties proses-proses ini untuk mengetahui letak virus tersebut. dalam kasus ini, letak-letaknya ada di:
C:\Windows\system32\driver\csrss.exe
C:\Windows\system32\I.exe
C:\Windows\system32\See.exe
C:\Windows\system32\You.exe

- matikan/kill proses yang bericon winrar tersebut!

- Install "unhook.inf" untuk membuka regedit

- browse ke:
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText
dobel klik, hapus isinya

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cari item yang berdata
C:\Windows\system32\I.exe
C:\Windows\system32\See.exe
C:\Windows\system32\You.exe

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFind ganti nilainya menjadi 0
NoFolderOptions ganti nilainya menjadi 0

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr ganti nilainya menjadi 0

- Jika hingga langkah ini folder options belum muncul, lakukan hal berikut:
* buka task manager
* pindah ke tab processes
* cari explorer.exe
* pilih lalu tekan end task
* kembali ke tab applications
* klik new task
* ketik explorer lalu OK/ENTER

- buka folder options, pilih "show all hidden files"

- hilangkan contreng pada "hide file extension..." dan "hide system files..."

- masuk ke system32, hapus
I.exe
See.exe
You.exe
drivers\csrss.exe

- semua virus sudah terhapus. restart komputer dan selesai.

Membuka Regedit yang terkunci oleh virus

Ini tool sederhana yang dapat dibuat di komputer manapun.

- Buatlah sebuah file text baru.

- Ganti namanya menjadi "unhook.inf"
*nama bisa terserah anda tetapi dengan ekstensi .inf dan bukan .txt
*untuk yang menyembunyikan ekstensi file, harus membuka dulu lewat folder options (lihat catatan tambahan di bawah). Hal ini penting sebab "unhook.inf" berbeda dengan "unhook.inf.txt"
*saya terus menggunakan nama "unhook.inf" dalam blog ini

- Jika ada warning, cukup klik OK!

- buka file "unhook.inf" dengan notepad

- copy-paste script di bawah ini:

[Version]
Signature="$Chicago$"
Provider=Symantec

[DefaultInstall]
AddReg=UnhookRegKey

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0

- save dan tutup notepad

- untuk menggunakannya, cukup klik kanan file tersebut dan pilih "install"

==============
catatan tambahan
==============
memunculkan ekstensi/tipe file:

- buka sebuah windows

- pilih menu Tools -> Folder Options

- pada jendela folder options, pilih tab "view"

- scroll ke bawah, cari pilihan "hide extensions for known file types"

- hapus tanda contrengnya lalu klik OK/APPLY



folder options terkunci
- virus seringkali menghilangkan ekstensi file dan mengunci folder options sehingga anda tidak dapat mengubah .txt menjadi .inf

- tujuannya agar penyamaran virus tidak terbongkar. Misalnya virus tersebut menggunakan icon MsWord, maka seharusnya ekstensi file adalah .doc. namun berhubung virus bukan dokumen tetapi .exe maka ekstensinya mereka sembunyikan

- untuk itu, buatlah file ini dari komputer lain yang bersih.

- cara lain:
*copy sebuah file kecil tanpa ekstensi atau yang ekstensinya tidak tersembunyi.
*carilah file semacam ini di dalam folder Windows. Misalnya file .tmp atau .dll
*rename file tersebut menjadi "unhook.inf"
*buka dengan notepad lalu paste script di atas
*save dan siap dipakai

terbaru: AVG 8.5

Bulan Maret 2009 ini AVG mengeluarkan update versi 8.5
Sekilas tidak ada perubahan yang terlihat. Jika anda rajin mengupdate AVG, sepertinya versi 8.0 pun sudah sama dengan 8.5

Saat mengupdate 8.0 ke 8.5, instalasi AVG tidak memiliki pilihan "upgrade" atau "remove old programs" dan semacamnya. Pilihan yang muncul malah seperti biasa: "add/remove component, repair installation, & uninstall product" - sehingga tidak terasa ada perbedaan antara versi 8.0 dan 8.5

diambil dari
http://forum.notebookreview.com/showthread.php?t=358983
berikut (unofficial) changelog untuk AVG 8.5

changelog:
* Core: Added general detection algorithm for Swizzor family.
* Core: More polymorphic trojans (Sinowal) detected.
* Core: Faster detection of polymorphic malware.
* Core: New type of malware definitions allowing polymorphic malware detection without creating any specialized algorithm.
* Core: PDF file Scanning process optimization.
* Core: Improved possibility of new virus variants detection without program update.
* Core: Preliminary support for scanning engine plugins spread via AVI update.
* Core: Fixed problem with blocking Chkdsk utility.
* Firewall: Fixed problem with possible traffic blocking in a newly connected network after FW switch off/on.
* Firewall: Fixed problem with network traffic blocking if more adapters with the same default gate settings connected to the same network segment.
* Firewall: Windows Security Center status on XP is 'ON' when Firewall has no configuration.
* General: Fixed random crash when stopping Watchdog service.
* SafeSearch: Fixed problem with address bar navigation in Firefox 3.1.
* SafeSurf: Fixed possible flyover generation crash in Firefox.
* User interface: Fixed problem with wrong fonts on some localications (English with Greek locales).
* Web Shield: Fixed problems with incoming and outgoing video/voice calls.

http://free.avg.com/

CurrProcess - Freeware Process Viewer

CurrProcess adalah sebuah utility yang memperlihatkan seluruh proses yang sedang berjalan di Windows. Tools ini sering saya pakai untuk mendeteksi dan sekaligus menghentikan proses virus yang sedang berjalan.

Merupakan alternatif Task Manager yang handal

Kelebihan tools ini dibandingkan task manager bawaan Windows:
- menggunakan icon
seringkali virus menyamarkan dirinya menjadi csrss.exe atau services.exe dan semacamnya. Nama-nama ini juga merupakan proses Windows. Jika dilihat dari task manager, akan cukup sulit untuk membedakan mana yang merupakan virus dan mana yang merupakan proses dari Windows. Lewat CurrProcess, biasanya proses yang bervirus menggunakan icon Ms Word atau yang barusan saya ketemu, menggunakan icon winrar.

- sebagai task manager kedua
virus lokal sering menutup akses ke task manager. Untuk itu, CurrProcess dapat dijadikan alternatif. Namun ada beberapa virus yang memang membunuh semua program yang berjalan, termasuk CurrProcess.

- informasi lengkap
setelah sebuah proses terdeteksi sebagai virus, kita dapat mencatat alamat atau lokasi virus tersebut berada. Setelah prosesnya dihentikan, lalu cari sumber file tersebut untuk menghapus lebih bersih.

Download di sini:
http://www.nirsoft.net/utils/cprocess.html

enjoy!

sewot dengan dosen, malah bikin virus

Sebuah virus ringan menyerang komputer customer saya.
tidak banyak kerusakan yang ditimbulkan. Hanya saja program langsung mati / killed ketika dibuka, termasuk anti-virus.

Saya mencoba menggunakan task manager, tetapi tidak terlihat proses mana yang merupakan virus dan task manager juga langsung tertutup. Selanjutnya saya menggunakan CurrProcess dan melihat proses yang berjalan. CurrProcess juga langsung mati setelah beberapa detik. Saya sempat mengambil screenshotnya, gambarnya seperti yang ada di atas.

Dosen Blagu

Sebuah proses bernama services.exe dengan icon Microsoft Word dan product name "DosenBlagu" --> tanda pasti sebuah virus.

Untung saja komputernya termasuk lambat, maka saya sempat mematikan proses tersebut sebelum windowsnya tertutup. Setelah itu, dicari sumbernya lewat regedit, hapus file virusnya dan kemudian scan virus sampai selesai.

Komputer sudah bebas masalah.