W32/AGEN.QEYJ trojan
23.42 | 
Diposting oleh
MISTERY TELAGA MERAH |
Trojan:W32/Agent.QEYJ
Siapa yang bisa mengembalikan file video yang dihapus ....... gua jadiin pacar ??
Kalau ada virus yang bisa sampai membuat korbannya berbicara seperti kalimat di atas, tentulah itu virus W32/Agent.QEYJ karena virus ini tanpa ampun menghancurkan file video di komputer korbannya dengan tuntas.
Bagi Anda yang suka mengkoleksi film/video, mulai sekarang mulailah berhati-hati jika tidak ingin kehilangan data film/video, virus ini masih cukup “baik” karena ia tidak akan menghapus file lagu dalam format mp3. Jika anda berfikir untuk menggunakan program recovery sebaiknya disurutkan saja niat tersebut karena dari hasil pengujian yang dilakukan tools tersebut belum dapat mengembalikan file yang sudah di hapus, selidik punya selidik ternyata virus ini tidak sekedar menghapus tapi lebih dari itu ia akan merubah isi file tersebut, sehingga walaupun software recovery berhasil mendapatkan file tersebut tetapi file yang anda dapat adalah file yang sudah terinfeksi / diubah oleh virus.
Virus ini dibuat dengan menggunakan program bahasa assembly dengan ukuran file induk sekitar 66 KB, untuk mengelabui user ia akan menggunakan icon ”Windows Media Player Classic” dengan type file sebagai “application”
Sebenarnya tidak terlalu sulit untuk mengetahui apakah komputer sudah terinfeksi virus ini salah satunya dengan munculnya file shortcut dengan ukuran 2KB disetiap drive, selain itu munculnya file dengan icon ”Windows Media Player Classic” yang di simpan di direktori dimana anda menyimpan file film / video dengan ukuran file sebesar 66 KB atau 575 KB, tetapi file ini akan disembunyikan. (lihat gambar 1 dan 2)
Gambar 1, File induk W32/Agent.QEYJ
Gambar 2, File Shortcut virus
Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai W32/Agent.QEYJ (lihat gambar 3)
Gambar 3, Hasil deteksi Norman Security Suite
File Induk
Pada saat file tersebut di jalankan oleh user, ia akan membuat beberapa file induk berikut yang akan dijalankan secara otomatis pada saat komputer dinyalakan:
ü C:\Program Files\Windows Media Player
o Svchost.exe
o Wmplayerc.exe
ü C:\Documents and Settings\client\My Documents\RÊCYCLÊR
o .com
ü ..\RÊCYCLÊR
o Autorun.inf (folder)
o .com
Registri Windows
Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat string pada registry berikut
ü HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
o Windows Media Player = C:\Program Files\Windows Media Player\wmplayerc.exe
Selain dengan membuat string pada registri di atas, ia juga akan membuat shortcut dengan ukuran 2 KB. File shortcut ini mempunyai nama file yang sama dengan folder yang nantinya akan disembunyikan oleh virus tersebut, icon yang digunakannya pun akan menyerupai icon folder, hal ini digunakan sebagai upaya untuk mengelabui user apalagi type yang tersebut adalah sebagai “File Folder” sungguh penyamaran yang sempurna. File shortcut itu sendiri berisi script/link untuk menjalankan sebuah file virus yang berada di direktori “..\RÊCYCLÊR\ .com” (lihat gambar 4)
Gambar 4, Link file shortcut yang dibuat oleh W32/Agent.QEYJ
Blok fungsi Windows
Virus ini tidak terlalu banyak melakukan blok terhadap tools / software security, walaupun demikian ia akan merubah beberapa fungsi Windows seperti Windows Firewall atau Folder Options (tidak bisa menampilkan file yang tersembunyi) dan beberapa fungsi Windows lainnya dengan membuat beberapa string pada registri berikut:
ü HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
o EnableLUA = 0
ü HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
o DefaultValue = 1
ü HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
o AntiVirusDisableNotify = 1
o FirewallDisableNotify = 1
o UpdatesDisableNotify = 1
o AntiVirusOverride = 1
o FirewallOverride = 1
o UacDisableNotify = 1
ü HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
o AntiVirusDisableNotify = 1
o FirewallDisableNotify = 1
o UpdatesDisableNotify = 1
o AntiVirusOverride = 1
o FirewallOverride = 1
o UacDisableNotify = 1
ü HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
o WaitToKillServiceTimeout = 1000
ü HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
o WaitToKillServiceTimeout = 1000
ü HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PropSummary
o Advanced = 0
ü HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
ü HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
o NextId = 8193
o {92780B25-18CC-41C8-B9BE-3C9C571A8263} = 8193
Babat abis file film / video
Bagi anda yang suka mengkoleksi film dengan berbagai format sebaiknya berhati-hati karena virus ini akan mengincar sejumlah file yang mempunyai ekstensi mpeg, avi, dat, atau mov. Virus ini tidak akan menghapus tetapi lebih parah dari itu ia akan menulis ulang isi file tersebut, file yang sudah di ubah akan mempunyai ukuran sebesar 66 KB tidak sampai disitu, file duplikat ini akan di injeksi ulang dengan menambahkan kode virus sehingga ukuran file virus membengkak menjadi 575 KB. Untuk mengelabui user ia akan menggunakan rekayasa sosial yang cukup pintar yakni dengan menggunakan icon “Windows Media Player Classic” dan akan menyembunyikan file tersebut, jika diperhatikan saat ini jarang virus lokal yang akan menyembunyikan file duplikat yang telah dibuat dan tetap di infeksi virus tetapi justru trik ini sangat menarik dan diluar dugaan karena biasanya user akan beranggapan file yang disembunyikan oleh virus adalah file asli yang tidak terinfeksi virus.
Recovery file dengan bantuan software recovery masih tidak mampu menolong banyak, karena virus ini sudah merubah isi file tersebut maka file yang berhasil di recovery pun adalah file-file yang sudah terinfeksi virus.
Hal lain yang akan dilakukan adalah akan menyembunyikan folder / sub folder di setiap drive termasuk media flash disk atau removable disk, untuk mengelabui user ia akan membuat file shortcut yang akan mempunyai nama file yang sama dengan folder yang disembunyikan tersebut, file ini mempunyai ukuran sekitar 2 KB dan berisi link untuk menjalankan file virus yang ada di direktori “RÊCYCLÊR\ .com”.
Agar penyamarannya lebih sempurna, ia juga akan memanipulasi type file dari file shortcut tersebut menjadi “File Folder” dengan merubah string pada registry berikut : (lihat gambar 5)
ü HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile
o [Default] = File Folder
Gambar 5, File duplikat dan file shortcut yang dibuat oleh W32/Agent.QEYJ
Media Penyebaran
Untuk menyebarkan dirinya, ia akan menggunakan media Flash Disk dengan cara menyembunyikan folder/subfolder yang ditemui dan membuat shortcut yang mempunyai nama yang sama dengan nama folder yang disembunyikan dengan ukuran sekitar 2 kb. File shortcut ini berisi link untuk menjalankan file virus yang disimpan di direkori “RÊCYCLÊR\ .com” (lihat gambar 6)
Gambar 6, Link shortcut yang dibuat oleh virus
Virus ini tidak akan aktif secara otomatis pada saat user akses ke drive / flash disk, justru ia akan membuat folder kosong dengan nama “autorun.inf” disetiap drive yang mempunyai atribut (system, hidden dan read only), mungkin langkah ini dilakukan sebagai upaya agar virus lain tidak dapat membuat script autorun virus sehingga virus tersebut tidak dapat aktif secara otomatis pada saat user akses drive tersebut.
Cara mengatasi Trojan:W32/Agent.QEYJ
- Nonaktifkan “System Restore”, selama proses pembersihan
- Matikan proses virus yang aktif di memory, anda dapat menggunakan tools “Security Task Manager” dengan mendownload di alamat http://www.neuber.com/taskmanager/download.html (lihat gambar 7)
Gambar 7, Mematikan proses virus yang aktif di memori
Matikan proses virus yang mempunyai nama “svchost.exe” dan Multimedia Video File” atau file yang mengarah ke direktori “..\Program Files\Windows Media Player\”
- Fix registry Windows yang sudah diubah oleh virus, untuk mempercepat proses perbaikan salin script dibawah ini pada program “notepad” kemudian simpan dengan nama “repainr.inf”. Jalankan file tersebut dengan cara, klik kanan “repair.inf” | klik “install”
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control, WaitToKillServiceTimeout,0, "2000"
HKLM, SYSTEM\CurrentControlSet\Control, WaitToKillServiceTimeout,0, "2000"
HKCU, Software\Microsoft\Internet Explorer\Extensions\CmdMapping,NextId,0, "8194"
HKCU, Software\Microsoft\Internet Explorer\Extensions\CmdMapping,{92780B25-18CC-41C8-B9BE-3C9C571A8263},0, "8194"
HKLM, SOFTWARE\Classes\lnkfile,,,"Shortcut"
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,UpdatesDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusOverride,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallOverride,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,UacDisableNotify,0x00010001,0
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Windows Media Player
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, EnableLUA
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DefaultValue
HKLM, SOFTWARE\Microsoft\Security Center\Svc
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\PropSummary
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
- Hapus file induk yang dibuat oleh virus dengan terlebih dahulu menampilkan file yang disembunyikan terlebih dahulu, caranya : (lihat gambar 8)
ü Buka Windows Explorer
ü Klik menu “Tools”
ü Klik menu “View”
ü Klik “Folder Options”
ü Klik tabulasi “View”
ü Centang option “Show hidden files and folders”
ü Hilangkan tanda centang pada opsi “Hide extensions for known files types”
ü Hilangkan tanda centang pada opsi “Hide protected operating system files (Recommended)”
ü Klik “OK”
Gambar 8, Setting Folder Optoins untuk menampilkan file yang disembunyikan
Kemudian hapus file berikut:
§ C:\Program Files\Windows Media Player
· Svchost.exe
· Wmplayerc.exe
§ C:\Documents and Settings\client\My Documents\RÊCYCLÊR
§ RÊCYCLÊR (hapus di setia drive termasuk Flash Disk)
- Hapus file shortcut yang dibuat oleh virus yang berada di disetiap drive termasuk flash disk dengan ciri-ciri : (lihat gambar 9)
- Ukuran 2 KB (file shortcut)
- Icon “Folder” (file shortcut)
-
Gambar 9, Contoh file shortcut yang dibuat oleh virus
- Hapus juga file duplikat yang dibuat oleh virus dengan ciri-ciri
- Ukuran 66 KB dan 575 KB
- Icon “Windows Media Player Classic”
- Type file “Application”
-
Lokasi file ini acak tergantung dimana anda menyimpan file film/video, karena file duplikat ini akan dibuat di direktori yang sama dengan penyimpanan file film/video tersebut. Oleh karena itu untuk mempercepat proses pencarian dan penghapusan sebaiknya anda gunakan fungsi “Search Windows”, seperti terlihat pada gambar di bawah ini : (lihat gambar 10)
Gambar 10, Mencari dan menghapus file duplikat virus
- Tampilkan folder/subfolder yang disemunyikan,dengan cara : (lihat gambar 11)
ü Klik menu “start”
ü Klik “Run”
ü Ketik CMD, kemudian klik tombol “OK”
ü Pindahkan posisi kursor ke lokasi drive yang akan di cek, kemudian ketik perintah ATTRIB –S –H –R /S /D
Gambar 11, Menampilkan folder/sub folder yang disembunyikan
- Untuk pembersihan optimal dan mencegah infeksi ulang install dan scan dengan menggunakan antivirus yang up-to-date. Anda juga dapat mendwnload Norman Malware Cleaner di alamat berikut:
salam,
MISTERY TELAGA MERAH oia kunjungi juga ea COMMUNITY TELAGA MERAH di situ juga banyak informasi yg akan anda dapatkan
Label:
virus
