Senin, 14 Januari 2008

W32/Oghy.A
Animasi.exe yang ngajak ngobrol
Pengantar
Penyebaran virus lokal dewasa ini seakan sudah tak dapat dibendung lagi, sudah banyak "program-program jahat" ini dilahirkan dari tangan putra-putri bangsa ini mulai dari hanya sekedar iseng sampai dengan tujuan-tujuan tertentu, tetapi yang pasti setiap kemunculan virus lokal tersebut dapat dipastikan mempunyai karakteristik yang tidak jauh berbeda walaupun metode yang digunakan berbeda. Mungkin ada baiknya pembuat virus menyingsingkan lengan baju membantu korban gempa di Daerah Istimewa Yogyakarta, setidaknya sumbangkan keperdulian anda dalam bentuk apapun pada korban gempa yang menelan lebih dari 5.000 jiwa manusia melayang. Dalam pembicaraan dengan salah satu supir Taxi, Vaksincom mendengar keluhan supir Taxi tersebut dan dengan logika sederhana sedikit berbau mistik supir tersebut mempertanyakan .... kok yang terkena gempa Daerah Istimewa yah ?? Vaksincom terdiam dan tidak bisa menjawab pertanyaan tersebut.

Jika anda ingin berpartisipasi meringankan beban saudara kita yang menjadi korban bencana, salurkan keperdulian anda sekarang juga pada :


Dana Kemanusiaan Pembaca Bisnis Indonesia
BCA Wisma Asia
AC : 084-930-0000
AN: DOMPETKEMANUSIAAN BISNIS


Sudah tak terhitung lagi berapa jumlah korban akibat "program-program jahat" tersebut, kita boleh bangga dengan kema mpuan putra-putri bangsa yang sudah mampu membuat "program" tersebut yang tentunya tidak kalah "hebat" dari buatan non lokal, tetapi bagaimanapun juga program yang mereka buat sangatlah merugikan, alangkah baiknya jika ilmu yang dimiliki dipergunakan untuk kemaslahatan manusia.

Jika sebelumnya telah muncul brontok, romdil dan sederetan nama virus lokal lainya baru-baru ini telah muncul satu virus baru, virus ini tidak lagi dibuat dengan Visual Basic tetapi dibuat dengan menggunakan [kemungkinan] Borland Delphi, rupanya VB sedikit demi sedikit mulai ditinggalkan. Kemungkinan hal ini juga dimaksudkan agar mybro tidak menghalangi "petualangan" mereka. Virus ini juga akan merubah file MSVBVM60.dll sehingga dapat dipastikan semua program yang dibuat menggunakan Visual Basic, baik itu virus maupun program lain akan terganggu / korup .

Dengan up-date terbaru Norman sudah dapat mengenali virus ini dengan nama W32/Oghy.A atau bisa sering disebut sebaga i virus Lambertus atau Borlas. (Lihat gambar 1)



Gambar 1, Norman mendeteksi virus Lambertus / Borlas sebagai W32/Oghy.A

Seperti yang kita ketahui bahwa kebanyakan virus lokal yang ada akan menyamarkan icon file yang terinfeksi virus, jika mybro menggunakan icon "folder", kangen dengan "ms.word" kini W32/Oghy.A akan menggunakan icon [macromedia flash player] dengan ukuran 410 KB dengan nama animasi.exe. (lihat gambar 2)


Gambar 2, File induk W32/Oghy.A

Jika anda termasuk " maniak" dengan program animasi jangan coba menjalanakn file ini jika anda tidak menghendaki menjadi korban virus ini, walaupun secara umum virus ini tidak terlalu berbahaya dan termasuk mudah untuk dibersihkan.

Untuk menjaga eksistensinya, Oghy.A akan membuat beberapa file induk yang akan ditempatkan dibeberapa tempat yang berbeda-beda, diantaranya:

C:\animasi.exe

C:\WINDOWS\PCHEALTH\animasi.exe

C:\WINDOWS\security\animasi.exe

C:\WINDOWS\Resources\Oghie.exe

C:\WINDOWS\java\classes\animasi.exe


Agar virus Oghy.A dapat aktif setiap kali komputer dinyalakan, ia akan membuat beberapa string pada registry

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- Driver

- MSMSG

- Winamp

- Word

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

- Explorer.exe "C:\WINDOWS\Resources\Oghie.exe"


Disable fungsi windows & tools

Untuk mempertahankan eksistensinya, Oghy.A akan berusaha untuk mematikan beberapa fungsi windows, sehingga mempersulit dalam proses pembersihan seperti:

Menyembunyikan menu [Search]

Registry editor

Folder option

Msconfig

Task manager

Add/remove programs

Notepad [.txt]

Cmd

System restore

System properties [

Display properties [termasuk jika ingin mengganti Walpaper/desktop]

Disable program Winamp [versi 5.05]

Disable pada saat membuat user account [win XP]

Terminate program RegCleaner


Untuk blok fungsi tersebut Oghy.A tidak akan membuat string pada registry editor tetapi dengan cara mematikan program tersebut, kecuali untuk menghilangkan menu Search dan disable CMD dimana Oghy.A akan membuat string pada registry:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

o NoFind


HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System

o DisableCMD

Jika anda mencoba untuk mengakses beberapa fungsi windows maka Oghy.A akan mengajak anda ngobrol dengan menampilkan message, seperti contoh di bawah ini:


Jika user mencoba untuk menjalankan program registry editor, maka Oghy akan langsung mematikan fungsi tersebut dengan menampilkan pesan berikut : (gambar 3)



Gambar 3, Oghy.A memblok Regedit


Jika user mencoba untuk menjalankan "msconfig" maka oghy.A juga akan memunculkan pesang berikut

(Gambar 4)

Gambar 4, Oghy.A memblok akses ke MSconfig


Begitupun jika anda mencoba untuk mengakses Task manager

(Gambar 5)

Gambar 5, Oghy.S juga memblok akses ke Task Manager dari [Ctrl][Alt][Del]


Jika anda mencoba untuk mematikan system restore, Oghy.A juga akan blok dengan menampilkan pesan "He..he..he.. SYSTEM RESTORE Nggak Bakalan Kalahkan Aku"


Jika anda mengunakan winamp versi 5.05, Oghy.A akan menampilkan pesan "Tau Nggak Lue Pake Winamp Bajakan.." jika berusaha untuk menjalankan program tersebut.


Begitupun jika anda mencoba akses Folder Option atau mencoba untuk membuat user account baru, Oghy.A akan menampilkan pesan berikut: (gambar 6)


Gambar 6, Oghy.A menghalangi akses ke Folder Option


Oghy.A juga akan menampilkan pesan berikut jika user akan memasukan user name password ketika login windows


Lambertus

"I come as protector of your computer from all pest files"


Untuk melakukan hal tersebut Oghy.A akan membuat string pada registry :

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

- LegalNoticeCaption = Lambertus

- LegalNoticeText=I come as protector of your computer from all pest files

Media Penyebaran

Untuk menyebarkan dirinya, Oghy.A akan menggunakan media Disket/U FD (USB Flash Disk) dengan mengkopi satu file dengan nama animasi.exe.

Rename file msvbvm 60.dll

Seperti yang dikemukakan di atas, virus Oghy.A sudah tidak lagi menggunakan program bahasa VB, karena itulah ia juga akan merubah file msvbvm60.dll menjadi msvbvm60.dl yang berada didirektori C:\Windows\system32. Pembuat virus ini rupanya sudah mengetahui bahwa ada virus lain yang akan mematikan program yang dibuat dengan VB, tetapi akankah hal ini berlangsung lama karena kita tahu mybro/brontok mampu melakukan up-date layaknya antivirus dengan demikian setiap saat bisa saja Oghy.A akan dibuat tak berkutik, kita tunggu saja.


Cara mengatai W32/Oghy.A

Putuskan hubungan komputer yang akan dibersihkan dari jaringan.

Matikan System Restore.

Jalankan komputer dalam Safe Mode.

Matikan proses virus tersebut, untuk me matikan proses dari virus Oghy.A anda dapat menggunakan tools pengganti Task M anager seperti Process Explorer (download dari www.sysinternals.com), kemudian matikan proses dengan nama "animasi.exe" dan "oghie.exe" (lihat gambar 7)


Gambar 7, Dengan processXP, proses virus Oghy.A dapat dimatikan dengan mudah

Hapus string yang dibuat oleh virus pada registry

Untuk lebih cepat dalam penghapusan string yang telah dibuat oleh Oghy.A, kopi script dibawah ini pada program notepad kemudian simpan menjadi nama repai.inf, kemudian jalankan file tersebut dengan cara:

- Klik kanan repair.inf

- Klik install

[Version]

Signature="$Chicago$"

Provider=Vaksincom


[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del


[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"


[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

HKCU, Software\Policies\Microsoft\Windows\System,DisableCMD

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Driver

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Winamp

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Word

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,MSMSG

Hapus file induk yang dibuat oleh Oghy.A

- C:\animasi.exe

- C:\WINDOWS\PCHEALTH\animasi.exe

- C:\WINDOWS\security\animasi.exe

- C:\WINDOWS\Resources\Oghie.exe

- C:\WINDOWS\java\classes\animasi.exe

Untuk mempercepat pencarian file tersebut, anda dapat menggunakan fasilitas "Search" dengan menulis kata kunci "animasi" atau "oghie", dan jangan sampai terjadi kesalahan pada saat penghapusan file tersebut. Hapus file yang mempuyai icon "macromedia flash player" atau mempunyai lokasi seperti yang sudah disebutkan diatas, perhatikan gambar 8 :



Gambar 8, Dengan fasilitas search akan memudahkan dapat pencarian file induk Oghy.A

Rubah kembali nama file MSVBVM60.dl menjadi MSVBVM60.dll yang berada didirektori C:\Windows\system32

Untuk pembersihan optimal, scan dengan antivirus yang sudah dapat mengenali virus ini dengan baik

salam,


NB:Thanks to Vaksincom
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)