Varian virus Formalin

Postingan yang lalu, saya hanya mengira-ngira saja nama virus tersebut. Saya sebut virus formalin karena terdapat di registry namun tidak menunjuk ke file manapun. Dan kali ini saya kembali bertemu win32.formalin.beta dan kali ini menunjuk ke sebuah file virus.

Jika dibandingkan, kedua virus ini memiliki kelakuan yang sama dengan sedikit variasi. Maka tak salah lagi kalau ini virus yang sama dengan varian yang berbeda.

Spesifikasi:
Laptop ACER ASPIRE 5315, Windows XP SP2, Antivirus AVG terinstall namun tidak aktif. Filenya error. Ada juga Folder Kaspersky namun tidak aktif.

Gejala:
- sebelum login muncul warning

maaf jika kebahagiaan yang aku minta adalah teman sepanjang hidupku...meskipun kebersamaan kita hanya sebentar tapi bagiku sangat berarti...Mencintaimu adalah al terindah dalam hidupku Memimpikanmu adalah sesuatu yang sangat membahagiakanku Merindukanmu tak pernah membosankan Namun aku sadar, sangat menyadari bahwa keberadaanku bukanlah disisimu tapi hanya lamunan dalam sesal Untuk memilikimu adalah hal yang paling tak mungkin Ada sebuah dinding pemisah terbentang luas membatas untuk kekasih yang tak pernah kumiliki I'm sorry good by

good by... haha! duduk depan kompie bikin virus, bahasa Inggris parah, ga heran lah engkau tak laku.

- Task Manager, Folder Option, Regedit semua disabled.

- Colok portable drive, muncul file: "Master Baru.exe"
file ini menggunakan icon folder di Windows Vista. Karena laptop ini menggunakan Windows XP, jadi file ini terlihat beda sendiri.

Walaupun terlihat cupu dan n00b, file ini tidak terdeteksi oleh AVG.



Solusi:
Kurang lebih mirip dengan postingan saya sebelumnya di sini.
- Buka CurrProcess.
Ada 4 file virus terdeteksi. Ciri-cirinya:
> file .exe dengan icon berbentuk folder (untuk penyamaran)
> Product Name: Project1 (nama default ketika membuat program dengan Visual Basic dll)

Catat dulu masing-masing lokasi file tersebut lalu kill keempat proses tersebut.

C:\Windows\system32\drivers\csrss.exe
C:\Windows\system32\Duhur.exe
C:\Windows\system32\Magrib.exe
C:\Windows\system32\Subuh.exe



- Jalankan unhook.inf
untuk membuka registry.
Cara membuat file ada di sini. Maaf, untuk sementara saya belum menyiapkan link untuk download.

- Periksa registry berikut ini:
(HKey_Local_Machine) HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon
pada jendela sebelah kanan, cari: LegalNoticeText
double click, lalu hapus isi pesannya.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
di kanan, cari lalu hapus:
Optimize Windows --- Magrib.exe
System32 --- csrss.exe
W32.formalin.Beta --- Subuh.exe

(HKey_Current_User) HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
untuk membuka folder options.
di kanan, cari: NoFolderOptions
double click, lalu ganti nilainya menjadi 0 (nol)

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
untuk mengaktifkan Task Manager.
di kanan, cari: DisableTaskMgr
double click, lalu ganti nilainya menjadi 0 (nol)

- Hapus File Virus.
- buka folder options, pilih "show all hidden files"

- hilangkan contreng pada "hide file extension..." dan "hide system files..."

Hapus file sesuai dengan alamat yang sudah dicatat di atas.
C:\Windows\system32\drivers\csrss.exe
C:\Windows\system32\Duhur.exe
C:\Windows\system32\Magrib.exe
C:\Windows\system32\Subuh.exe

dan juga hapus:
X:\Master Baru.exe
X = semua drive penyimpanan data, termasuk flash disk. CD/DVD drive tidak termasuk.

- Selesai
Restart komputer anda. Jika masih ada masalah, kemungkinan besar ada virus lain yang belum ditangani.

More info
Saya coba mengirim file "Master Baru.exe" ke http://virusscan.jotti.org/
hasilnya adalah sebagai berikut:

A-Squared	Found BehavesLike!IK
AntiVir	Found nothing
ArcaVir	Found nothing
Avast	Found nothing
AVG Antivirus	Found nothing
BitDefender	Found BehavesLike:Win32.Malware (probable variant)
ClamAV	Found nothing
CPsecure	Found nothing
Dr.Web	Found nothing
F-Prot Antivirus	Found nothing
F-Secure Anti-Virus	Found nothing
Ikarus	Found BehavesLike
Kaspersky Anti-Virus	Found nothing
NOD32	Found probably a variant of Win32/VB.NPV (probable variant)
Norman Virus Control	Found nothing
Panda Antivirus	Found nothing
Quick Heal	Found nothing
Sophos Antivirus	Found nothing
VirusBuster	Found nothing
VBA32	Found nothing

Virus Formalin (update)

Postingan sebelumnya:
http://virusdiary.blogspot.com/2009/03/virus-formalin.html

dengan menggunakan fasilitas scan virus online di:
http://virusscan.jotti.org/

hasil deteksi beberapa antivirus adalah sebagai berikut:

A-Squared	Found BehavesLike.Win32.Malware!IK
AntiVir	Found HEUR/Malware
ArcaVir	Found nothing
Avast	Found nothing
AVG Antivirus	Found nothing
BitDefender	Found BehavesLike:Win32.Malware (probable variant)
ClamAV	Found nothing
CPsecure	Found nothing
Dr.Web	Found nothing
F-Prot Antivirus	Found nothing
F-Secure Anti-Virus	Found nothing
Ikarus	Found BehavesLike.Win32.Malware
Kaspersky Anti-Virus	Found nothing
NOD32	Found a variant of Win32/VB.NPV
Norman Virus Control	Found nothing
Panda Antivirus	Found nothing
Quick Heal	Found nothing
Sophos Antivirus	Found nothing
VirusBuster	Found nothing
VBA32	Found nothing

catatan tambahan:
Saya juga tidak tahu pasti nama virus ini. Saya menamakannya virus Formalin sebab ada entry dalam register yang menunjuk ke nama virus Formalin (beta). Entry ini tidak link ke file manapun dalam hard-disk.

Virus Formalin

Spesifikasi:
Microsoft Windows XP SP3 dengan Antivirus Avast yang diupdate baru 2 hari yang lalu dari tanggal pemeriksaan (8 maret 2009)

Gejala:
- sebelum login, muncul warning:

Aq Mencari T4 Tp Tak KuDapatkan Org Yg Mau Menerimaku Akhirx Aq Mendapatkan Kamu Biarkanlah Aq Hidup Dan Berkembang Dalam Kom Kamu...BY 614D

- task manager, regedit, folder option tidak aktif (ciri khas virus Indonesia)

- di seluruh drive terdapat file berikut, juga jika flash disk dicolok akan muncul file-file berikut:
(dengan icon winrar)
150 trik windows
1000 cara registry
bocoran soal UAN dan UAS
bug telkomsel
cara buat spyware
cara hack indosat
cara masuk ke komputer org lain
cara membuat virus VB
cara ngeblog
cara telpon gratis
cheat games
crack password
data-data
jgn dibuka !!!
lyric plus kord gitar
mendapatkan uang via internet
my password dont open!!!
Nitip Data (jgn dihapus)
situs-situs bokep
top-secret



pemeriksaan:
- dengan menggunakan CurrProcess, maka proses virus yang menyamar dengan icon winrar akan terlihat semua. I See You now! :D



- lihat properties proses-proses ini untuk mengetahui letak virus tersebut. dalam kasus ini, letak-letaknya ada di:
C:\Windows\system32\driver\csrss.exe
C:\Windows\system32\I.exe
C:\Windows\system32\See.exe
C:\Windows\system32\You.exe

- matikan/kill proses yang bericon winrar tersebut!

- Install "unhook.inf" untuk membuka regedit

- browse ke:
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText
dobel klik, hapus isinya

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cari item yang berdata
C:\Windows\system32\I.exe
C:\Windows\system32\See.exe
C:\Windows\system32\You.exe

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFind ganti nilainya menjadi 0
NoFolderOptions ganti nilainya menjadi 0

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr ganti nilainya menjadi 0

- Jika hingga langkah ini folder options belum muncul, lakukan hal berikut:
* buka task manager
* pindah ke tab processes
* cari explorer.exe
* pilih lalu tekan end task
* kembali ke tab applications
* klik new task
* ketik explorer lalu OK/ENTER

- buka folder options, pilih "show all hidden files"

- hilangkan contreng pada "hide file extension..." dan "hide system files..."

- masuk ke system32, hapus
I.exe
See.exe
You.exe
drivers\csrss.exe

- semua virus sudah terhapus. restart komputer dan selesai.

Membuka Regedit yang terkunci oleh virus

Ini tool sederhana yang dapat dibuat di komputer manapun.

- Buatlah sebuah file text baru.

- Ganti namanya menjadi "unhook.inf"
*nama bisa terserah anda tetapi dengan ekstensi .inf dan bukan .txt
*untuk yang menyembunyikan ekstensi file, harus membuka dulu lewat folder options (lihat catatan tambahan di bawah). Hal ini penting sebab "unhook.inf" berbeda dengan "unhook.inf.txt"
*saya terus menggunakan nama "unhook.inf" dalam blog ini

- Jika ada warning, cukup klik OK!

- buka file "unhook.inf" dengan notepad

- copy-paste script di bawah ini:

[Version]
Signature="$Chicago$"
Provider=Symantec

[DefaultInstall]
AddReg=UnhookRegKey

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0

- save dan tutup notepad

- untuk menggunakannya, cukup klik kanan file tersebut dan pilih "install"

==============
catatan tambahan
==============
memunculkan ekstensi/tipe file:

- buka sebuah windows

- pilih menu Tools -> Folder Options

- pada jendela folder options, pilih tab "view"

- scroll ke bawah, cari pilihan "hide extensions for known file types"

- hapus tanda contrengnya lalu klik OK/APPLY



folder options terkunci
- virus seringkali menghilangkan ekstensi file dan mengunci folder options sehingga anda tidak dapat mengubah .txt menjadi .inf

- tujuannya agar penyamaran virus tidak terbongkar. Misalnya virus tersebut menggunakan icon MsWord, maka seharusnya ekstensi file adalah .doc. namun berhubung virus bukan dokumen tetapi .exe maka ekstensinya mereka sembunyikan

- untuk itu, buatlah file ini dari komputer lain yang bersih.

- cara lain:
*copy sebuah file kecil tanpa ekstensi atau yang ekstensinya tidak tersembunyi.
*carilah file semacam ini di dalam folder Windows. Misalnya file .tmp atau .dll
*rename file tersebut menjadi "unhook.inf"
*buka dengan notepad lalu paste script di atas
*save dan siap dipakai

terbaru: AVG 8.5

Bulan Maret 2009 ini AVG mengeluarkan update versi 8.5
Sekilas tidak ada perubahan yang terlihat. Jika anda rajin mengupdate AVG, sepertinya versi 8.0 pun sudah sama dengan 8.5

Saat mengupdate 8.0 ke 8.5, instalasi AVG tidak memiliki pilihan "upgrade" atau "remove old programs" dan semacamnya. Pilihan yang muncul malah seperti biasa: "add/remove component, repair installation, & uninstall product" - sehingga tidak terasa ada perbedaan antara versi 8.0 dan 8.5

diambil dari
http://forum.notebookreview.com/showthread.php?t=358983
berikut (unofficial) changelog untuk AVG 8.5

changelog:
* Core: Added general detection algorithm for Swizzor family.
* Core: More polymorphic trojans (Sinowal) detected.
* Core: Faster detection of polymorphic malware.
* Core: New type of malware definitions allowing polymorphic malware detection without creating any specialized algorithm.
* Core: PDF file Scanning process optimization.
* Core: Improved possibility of new virus variants detection without program update.
* Core: Preliminary support for scanning engine plugins spread via AVI update.
* Core: Fixed problem with blocking Chkdsk utility.
* Firewall: Fixed problem with possible traffic blocking in a newly connected network after FW switch off/on.
* Firewall: Fixed problem with network traffic blocking if more adapters with the same default gate settings connected to the same network segment.
* Firewall: Windows Security Center status on XP is 'ON' when Firewall has no configuration.
* General: Fixed random crash when stopping Watchdog service.
* SafeSearch: Fixed problem with address bar navigation in Firefox 3.1.
* SafeSurf: Fixed possible flyover generation crash in Firefox.
* User interface: Fixed problem with wrong fonts on some localications (English with Greek locales).
* Web Shield: Fixed problems with incoming and outgoing video/voice calls.

http://free.avg.com/

CurrProcess - Freeware Process Viewer

CurrProcess adalah sebuah utility yang memperlihatkan seluruh proses yang sedang berjalan di Windows. Tools ini sering saya pakai untuk mendeteksi dan sekaligus menghentikan proses virus yang sedang berjalan.

Merupakan alternatif Task Manager yang handal

Kelebihan tools ini dibandingkan task manager bawaan Windows:
- menggunakan icon
seringkali virus menyamarkan dirinya menjadi csrss.exe atau services.exe dan semacamnya. Nama-nama ini juga merupakan proses Windows. Jika dilihat dari task manager, akan cukup sulit untuk membedakan mana yang merupakan virus dan mana yang merupakan proses dari Windows. Lewat CurrProcess, biasanya proses yang bervirus menggunakan icon Ms Word atau yang barusan saya ketemu, menggunakan icon winrar.

- sebagai task manager kedua
virus lokal sering menutup akses ke task manager. Untuk itu, CurrProcess dapat dijadikan alternatif. Namun ada beberapa virus yang memang membunuh semua program yang berjalan, termasuk CurrProcess.

- informasi lengkap
setelah sebuah proses terdeteksi sebagai virus, kita dapat mencatat alamat atau lokasi virus tersebut berada. Setelah prosesnya dihentikan, lalu cari sumber file tersebut untuk menghapus lebih bersih.

Download di sini:
http://www.nirsoft.net/utils/cprocess.html

enjoy!

sewot dengan dosen, malah bikin virus

Sebuah virus ringan menyerang komputer customer saya.
tidak banyak kerusakan yang ditimbulkan. Hanya saja program langsung mati / killed ketika dibuka, termasuk anti-virus.

Saya mencoba menggunakan task manager, tetapi tidak terlihat proses mana yang merupakan virus dan task manager juga langsung tertutup. Selanjutnya saya menggunakan CurrProcess dan melihat proses yang berjalan. CurrProcess juga langsung mati setelah beberapa detik. Saya sempat mengambil screenshotnya, gambarnya seperti yang ada di atas.

Dosen Blagu

Sebuah proses bernama services.exe dengan icon Microsoft Word dan product name "DosenBlagu" --> tanda pasti sebuah virus.

Untung saja komputernya termasuk lambat, maka saya sempat mematikan proses tersebut sebelum windowsnya tertutup. Setelah itu, dicari sumbernya lewat regedit, hapus file virusnya dan kemudian scan virus sampai selesai.

Komputer sudah bebas masalah.

Peringatan mengenai Combofix

Orang-orang di komunitas pembasmi virus/malware melarang penggunaan combofix jika tidak diminta oleh penasehat-penasehat forum pembasmi virus.

Penggunaan combofix secara serampangan, separah-parahnya dapat mengakibatkan komputer anda tidak akan menyala lagi.

Maka, saat ini saya menyingkirkan link combofix dari halaman utama. Jika butuh nasehat, cobalah join di salah satu forum di bawah ini:

http://www.bleepingcomputer.com/forums/forum22.html
http://www.techsupportforum.com/
http://www.help2go.com/
http://www.geekstogo.com/
http://www.spywareinfoforum.com/
http://pcpitstop.ibforums.com/

list lengkap di:
http://www.bleepingcomputer.com/combofix/how-to-use-combofix#forums

JoniEzz.exe

Baru kali ini ketemu kasus virus seperti ini.

spesifikasi:
Laptop dengan WindowsXP SP2, antivirus kaspersky yg sudah expire.

gejala:
Windows loading desktop sangat lambat. Hanya layar biru muda sebagai background. Mulanya saya pikir sudah hang, tapi kemudian taskbar muncul walaupun tanpa jam dan tombol start. Kemudian saya matikan karena malas tunggu terlalu lama.

pemeriksaan:
Load ke safe mode. Login dengan account Administrator (bukan account user) dan ternyata berhasil.
Saya membuka hidden file dan hidden system file. Folder Option dan task manager tidak terkunci. Di C: terlihat beberapa file virus:
JoniEzz.exe
Autorun.inf
kedua file ini juga langsung menginfeksi flash disk yang saya colok.

Selanjutnya jalankan combofix. Tetapi ternyata gagal.
Saya memeriksa proses yang lagi berjalan dengan CurrProses.
di situ ada file-file yang berjalan dengan nama samaran:
smss.exe
smss.exe
smss.exe
smss.exe
dari lima proses smss.exe yang berjalan, ada 4 yang bentuk iconnya menggunakan icon Microsoft Word. Bahkan "product name" masih menggunakan nama "project1"
ini nama default jika seorang programmer membuat proyek dengan menggunakan Visual Basic atau software lainnya.

Setelah proses-proses aneh dimatikan, combofix dijalankan lagi dan kali ini berhasil. berikut sebagian dari lognya:

==================================================
Other Deletions

C:\Autorun.inf
c:\avg update 051108\_desktop.ini
C:\JoniEzz.exe
c:\windows\autorun.inf
c:\windows\system32\AutoRun.inf
c:\windows\system32\CommandPrompt.Sysm
c:\windows\system32\Desktop.sysm
c:\windows\system32\LoLOxz
c:\windows\system32\LoLOxz\msvbvm60.dll
c:\windows\system32\LoLOxz\smss.exe
c:\windows\system32\maxtrox.txt
c:\windows\system32\msmsgs.exe
c:\windows\system32\Windows 3D.scr
D:\Autorun.inf
D:\JoniEzz.exe
d:\recycler\_desktop.ini
E:\Autorun.inf
E:\JoniEzz.exe
e:\recycler\_desktop.ini
==================================================

Pembersihan sudah selesai. Komputer di-restart dan masuk ke mode normal. Sayangnya, gejala di atas tetap terjadi. Tidak ada perubahan sedikit pun. Desktop loading terlalu lama.

Komputer di-restart dan kembali masuk ke safe mode. Saya kembali menggunakan account Administrator. Kemudian saya membuat account baru dengan nama "WinXP".

Komputer di-restart dan login menggunakan account yg baru saja saya buat, account "WinXP" dan akhirnya desktop berhasil di-load tanpa masalah.

Account user yang pertama saya hapus (dan save file-filenya) kemudian pindahkan ke account yang baru.

Sekali lagi saya jalankan combofix dengan account baru ini dalam mode normal. berikut lognya:
==================================================
Other Deletions

c:\windows\system32\CommandPrompt.Sysm
c:\windows\system32\Desktop.sysm
c:\windows\system32\maxtrox.txt
c:\windows\system32\Windows 3D.scr
==================================================

tak disangka masih ada file yang terlewatkan. Dan akhirnya saya baru ingat kalau antivirusnya sudah expire. Kaspersky saya uninstall lalu ganti dengan AVG 8.0 update-an kemarin. Komputer di-scan dan ketemu banyak sekali file bervirus di dalamnya:
virus identified worm/generic.GKV
trojan horse dropper.Delf.AXK
Trojan horse downloader.generic8.FJX

sebagian virus menyamar dalam bentuk file Microsoft Word.

Virus selesai di-scan, komputer di-restart, tak ada masalah lagi.
Kasus selesai.

kamsoft.exe

spesifikasi:
Komputernya termasuk spesifikasi tinggi. Menggunakan Windows XP SP2 dan antivirus kaspersky yg selalu diupdate.

gejala:
Client mengeluhkan komputernya yang selalu muncul peringatan dan tidak bisa main game online.

pemeriksaan:
begitu masuk ke windows dengan lancar, kaspersky langsung memunculkan pesan warning:
C:\windows\system32\kamsoft.exe (virus detected)

Saya langsung memilih untuk memblokir virus ini. Kemudian menjalankan combofix terbaru.
Ini sebagian dari log combofix:
====================================================
Other Deletions

C:\abk.bat
C:\h3.bat
c:\windows\IE4 Error Log.txt
c:\windows\system32\gasretyw0.dll
c:\windows\system32\gasretyw1.dll
c:\windows\system32\kamsoft.exe
D:\abk.bat
D:\h3.bat
F:\abk.bat
F:\h3.bat
G:\abk.bat
G:\h3.bat
====================================================

file dan registry di atas sudah dihapus oleh combofix. komputer di-restart, dan semua keadaan sudah aman.

Keanehan di sini adalah file-file tersebut tidak terdeteksi oleh Kaspersky yg konon termasuk antivirus yg kuat.