Preface:
beberapa minggu lalu... baru dapet virus ini... Oops... ada fotonya si
julia roberts euy...
emm.. daripada stress bikin Tugas Akhir kaga selese2 refreshing
ngetik2 artikel. hmmm......
Tiara versi ini kayaknya merupakan perkembangan dari tiara versi B
yang lalu... yang nampil
in gambar cewe juga..
Tiara C
Sebenernya perbedaan antara versi B dan C ini bisa dibilang lumayan..
tapi untuk urusan penanganan hampir sama gampangnya..
untuk lebih jelasnya liat aja di file decompilednya...
Versi yang di bahas berikut adalah Tiara versi C.
Description
Name : TIARA C
Author : sis_waa@yahoo.com --> taken from properties of tiara b
Packer&Cryptor : TeLock 0.98
FileSize : 76,5 Kbyte
Compiler : MS Visual Basic 6.0
Type : Worm
Ciri-ciri:
- File exe,scr menggunakan icon word 2003 document
- Muncul screen yang menampilkan foto wanita berambut keriting, dengan
latar belakang hitam
dan pesan berikut: A PIECE OF OUR LIFE WAS HERE FIND THE OTHER.
- Regedit, Taskmanager, msconfig tidak dapat diaktifkan.
- jika membuka folder atau file yang berjudul :
Recycled, Windows Task Manager,File
Manager,MagicTweak,DllViewer,System restore,registry editor, System
Configuration
Editor,System Configuration Utility,Windows Registry Checker,
terminate,hijack,microsoft visual,system
information,system32,scan,virus,process,kill,task
man,system restore,Disk
Cleanup,command,task,detect,anti,mcaf,avg,dll..termasuk nama file
virusnya sendiri..
- Mematikan beberapa AntiVirus dan mencegah penginstallannya..
- Mendeteksi adanya applikasi process viewer yang meng-Kill dapat
mengancam si virus dan se
telah terdeteksi langsung di kill dan file exenya di sembunyikan.
- Munculnya file-file baru yang aneh.. dengan ekstensi *.zip dan *.scr
- Taskkill.exe windows di rename jadi n@tlfkêvs.exe untuk kepentingan si tiara.
yang digunakan tiara untuk meng-kill program yang diinginkan,see this:
Blacklist tiara:
Group Policy,Windows Task Manager, File Manager, MagicTweak,
DllViewer, System Restore, System Configuration Editor,
System Configuration Utility, Windows Registry Checker, mantec, mcaf,
orto, terminate, hijack, microsoft visual, system
information, system32, registry, enum, scan, virus, anti, process,
kill, task man, system restore, Disk Cleanup, command,
remover, proces, detect, cili, orman, regmon, updat, up dat, avg,
avw, burme, rity adm, Luke,
File-file si Tiara:
KERNEL.VDX,CIRSX.OXC,MSGSRV32.NTF,SNDVOL32.OXC,RPCSX.VDX,drvdata.dll,mmtask.exe,user32.com,D:\Recycled\Empty.exe,buitenzorg.c
om,taskkill.exe,d:\Loveletter.vbs,A:\ImHereFriends.scr,secret.zip,A:\Passwords.scr,A:\Julia
Smile.scr,SNDVOL32.COM,
.exe,ccapps.exe,dkernel.exe,lexplorer.exe,GameLove.zip,mltr-song.zip,Kisah
Lucu.scr,Password.bat,MyloveStory.zip,..dst liat
di file virusnya :)
file-file utamanya:
C:\RECYCLED\
KERNEL.VDX, MSVBVM60.DLL, Secret.zip
WINDOWS\
XXX.exe (random number)
cleanmgr.exe, dvrdull.dll, lexplorer.exe, MSGSRV32.NTF, regedit.exe,
WINDOWS\System32\
x-XXX\XXX.exe (random number)
I75-D2\dkernel.exe
SNDVOL.OXC,taskkill.exe, taskmgr.exe, msconfig.exe
WINDOWS\INF\
\ \ .EXE
WINDOWS\Security\%COMPUTERNAME%
Password %COMPUTERNAME%.scr
Document and settings\%USERNAME%
My Documenscr
Registry Entry:
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile]
@="JPEGImage"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command]
@="\"C:\\RECYCLED\\KERNEL.VDX\"\"%1\"%*"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
@="\"C:\\RECYCLED\\KERNEL.VDX\"\"%1\"%*"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runas\command]
@="C:\\WINDOWS\\MSGSRV32.NTF"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ffffile]
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command]
@="C:\\WINDOWS\\MSGSRV32.NTF"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnffile\shell\open\command]
@="C:\\WINDOWS\\system32\\RPCSX.VDX"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\nffile]
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mxfile]
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command]
@="\"C:\\WINDOWS\\system32\\CIRSX.OXC\"\"%1\"%*"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\rtffile\DefaultIcon]
@="C:\\RECYCLED\\KERNEL.VDX,0"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile]
@="MicrosoftWordDocument"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\DefaultIcon]
@="C:\\RECYCLED\\KERNEL.VDX,0"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\config\command]
@=" "
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\install\command]
@=" "
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command]
@="\"C:\\RECYCLED\\KERNEL.VDX\"\"%1\"%*"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{000204EF-0000-0000-C000-000000000046}\6.0\9\win32]
@="C:\\RECYCLED\\Msvbvm60.dll"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Word.Document.8\DefaultIcon]
@="C:\\RECYCLED\\KERNEL.VDX,0"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"CheckedValue"=dword:00000000
"ValueName"="Hidden"
"DefaultValue"=dword:00000000
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
"ValueName"="Hidden"
"DefaultValue"=dword:00000000
-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
"ValueName"="HideFileExt"
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000001
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000000
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lancXXX"="C:\\WINDOWS\\XXX.exe"
"XXXacc"="C:\\WINDOWS\\system32\\x-XXX\\XXX.exe"
"Mmtask "="C:\\WINDOWS\\system32\\mmtask.exe "
"LoadService "="C:\\WINDOWS\\system32\\user32.com "
"cleanmgr"="cleanmgr.exe"
"ScanRegistry"="regedit.exe"
* XXX disini adalah sembarang nomor, random..
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Shell"="Explorer.exeMSGSRV32.NTF"
"Userinit"="C:\\WINDOWS\\system32\\Userinit.exe,C:\\WINDOWS\\inf\\ \\ .exe"
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]
"AlternateShell"="MSGSRV32.NTF"
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\VBRuntime]
"EventMessageFile"="C:\\RECYCLED\\Msvbvm60.dll"
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\Shares]
juga [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares]
"secretx"=CSCFlags=0 MaxUses=4294967295
Path=C:\WINDOWS\security\%computername%
Permissions=127 Remark=Nothing Type=0
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot]
"AlternateShell"="MSGSRV32.NTF"
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot]
"AlternateShell"="251.exe"
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="MSGSRV32.NTF"
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\VBRuntime]
"EventMessageFile"="C:\\RECYCLED\\Msvbvm60.dll"
- [HKEY_USERS\S-1-5-21-1275210071-507921405-1060284298-1003\Software\Policies\Microsoft\windows\system]
"DisableCMD"=dword:00000002
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.com ]
@="nffile"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\edit\command]
@="\"C:\\WINDOWS\\system32\\CIRSX.OXC\"\"%1\"%*"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command]
@="\"C:\\WINDOWS\\system32\\CIRSX.OXC\"\"%1\"%*"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}\InProcServer32]
@="C:\\RECYCLED\\Msvbvm60.dll"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile]
@="WindowsNTCommandScript"
"NeverShowExt"=""
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile\shell\open\command]
@="\"C:\\RECYCLED\\KERNEL.VDX\"\"%1\"%*"
this two key are used to modify zip file...
- [HKEY_CLASSES_ROOT\Winrar\shell\open\command]
@="a -m0 -ep -o+ -inul"
- [HKEY_CLASSES_ROOT\Winzip\shell\open\command]
@="-min -a -es -hs"
Penanganan:
- pertama kenali dulu si tiara... Kita PDKT dulu sama tiara..
emmm... pake apa ya....?? kan semua proscess viewer kalo sekali kill process
akan langsung terdeteksi dan langsung di kill processnya....
emmm... gue coba pake procdump32 buat nge-Dump si tiara dari memori
jadi berfungsi
seperti unpacker.. oops.. processnya ga bisa di dump pake procdump32...
wuaah.. kayaknya ini feature dari telock 0.98 kaleee ya? antidump by tElock!
ah.. sebenernya bisa koq, tapi ah coba dump pake PE-Tools..
PE-Tools disini berfungsi kaya procdump32 main window juga hampir
sama.. dilengkapi
dengan process viewer yang tentu saja kaga di blacklist sama tiara...
coba aja.. tu kan tampil processnya..
sekarang tinggal klik kanan pada processnya si tiara pada file
MSGSRV32.NTF,SNDVOL32.OXC,
atau file lain yang penting file-nya si tiara.. lalu pilih Dump
full... kemudian save pada
disk.. misal dumped.txt sekarang buka dech file tersebut pake notepad..
sekarang kita dapatkan file si tiara ini unpacked heheheee :)
tinggal baca-baca dikit dech
cari string2 yang gampang dibaca buat nyari lokasi-2 si tiara
nangkring di komputer..
*catatan tidak semua proses dapat di dump, kalo full dump ga bisa
coba pake partial dump.
- hemmm... daripada susah matiin dari memori mending langsung delete
aja tuh filenya...
tapi bagaimana?
yup pake program bantu coy..
program apa ya yang bisa explore drive yang juga bisa nampilin file
n folder yang ber atri
but hidden, tetapi juga captionnya tidak mengandung kata-2 yang di
blacklist tiara seperti
command, dll.
hehe kebetulan ni gue ada install Partition Magic.. tuing.. langsung
aja di browse partiti
on pada drive C:\
terlihat disana ada drive recycled yup langsung aja di delete.
kalo berhasil maka keluarlah pesan tiara yang berbackground hitam
dengan menampilkan sebua
h foto wanita berambut kriting disertai pesan berjalan di bagian atas layar..
wow kalo muncul pesan kaya gitu gimana caranya kembali ke jendela
explorernya partition ma
gic kita tadi ya?
hahaha pasti ada yang mencet2 tombol berikut CTRL+ALT+DEL, ALT+TAB,
ALT+F4, ESC, Windows,
tapi apakah berhasil? yups kayaknya layar masih dikuasai oleh si tiara.. :)
dont worrry... ada tombol lain yang lumayan enak pencetnya.. yaitu
"Tombol Power" yang le
taknya di csing CPU kayaknya semua komputer punya tombol ini dech?
Oops hati-hati jangan -
sampe salah pencet tombol restart apalagi pencet yang laen-laen yang
mirip tombol :)
pencet tombol power ini juga ga perlu lama2 sekali aja dan
secepetnya.. (kalo pake lama pe
mencetannya maka komputer akan segera shutdown) #catatan:hanya
bekerja pada casing ATX#
dan apa yang terjadi... yups si tiara dissapear/ilang dari layar..
dan kita kembali ke laptop... eh ke partition magic..
kemudian lanjutkan penghapusan.. eh enaknya hapus file Msvbvm60.dll
dulu aja ya..
yup hapus atau rename file msvbvm60.dll di Windows dan System32 dan
juga folder System32 -
gadungan di folder windows.. jika kita browse folder windows maka
disitu terdapat 2 folder-
system32 hapus salah satu yang isinya kosong..
kita kembali lagi pada drive c:\ haa disitu udah ada folder
recycled lagi.. langsung di -
delete aja.. insya4LII kali ini pesan si tiara kaga akan muncul lagi..
coba jalankan sembarang applikasi.. jika muncul pesan open with maka
si tiara sudah tidak
aktif lagi men..
- selanjutnya kita bebaskan restriction pada CMD dan Regedit.. klik
start lalu run..
ketik gpedit.msc
edit pada entry User Configuration - Administrative Template - System.
cari entry Prevent access to command prompt dan prevent access to
registry editing tool.
dobel klik dan masing2 di disable..
- Sekarang kita edit registry supaya file exe bisa berjalan dengan semestinya..
jalankan Command prompt dari start menu dan akan muncul dialog open with..
browse aja ke directory C:\Windows\System32 untuk masuk ke directory
System32 harus di
ketikkan pada bagian form karena folder system32 ini telah diubah
menjadi hidden.. setelah
berada pada directory system32 ketik cmd.exe kemudian klik OK untuk
menjalankan cmd.exe
dengan Windows command processor..
selanjutnya kita cek registry entry dari file dengen ekstensi exe
dengan perintah berikut:
reg query HKCR\exefile\shell\open\command /ve
dan didapatkan hasil sebagai berikut:
! REG.EXE VERSION 3.0
HKEY_CLASSES_ROOT\exefile\shell\open\command
REG_SZ "C:\RECYCLED\KERNEL.VDX" "%1" %*
yups kita harus balikin ke nilai aslinya.. ketik perintah berikut:
reg add HKCR\exefile\shell\open\command /ve /t REG_SZ /d "\"%1\" %*" /f
sekarang file exe sudah kembali berjalan normal.
- Bersihkan registry yang di otak-atik si Tiara, jalankan registry
editor yang GUI, pada sta
rt menu klik run ketik: %systemroot%\system32\dllcache\regedit.exe
folder dllcache berisi backup file system windows, semoga aja belum
di hapus :)
kalopun sudah dihapus bisa digunakan registry editor laen koq.. kaya
punya TuneUp utilliti
es..
- balikin file-2 penting yang di hidden..
pada command prompt ketik:
attrib -s -h C:\*.ext /S --> *.ext (exe dan doc) lakukan juga untuk
drive D,E,dst..
- Kemudian hapus file-file yang di sebarin si tiara.. bisa pake search
ato manual...
enaknya c pake antivirus.. kalo udah tahap ini antivirus terkenal
kaya norton, mcafee, avg
udah bisa diinstall dan dijalankan kembali..
* jika menggunakan antivirus sebaiknya pastikan registry entry
berikut bernilai seperti yg
* tampak pada baris berikut:
*
* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
* "Userinit"="C:\\WINDOWS\\system32\\Userinit.exe"
*
* Pernah kejadian temen ngilangin virus pake AVG AV ternyata setelah
komputer di restart
* windows malahan kaga bisa logon... jadi setiap kali logon langsung
logoff kembali..
- Berdoa Moga komputer udah sembuh...
Mungkin beberapa cara diatas kurang lengkap, untuk lebih jelasnya
silahkan dump, decompile, debug si tiara...
kalo ga mau repot pake AV aja dan ga usah baca2 tutorial kaya ginian :)
Last words..
I Hope that you have learned something from this tutorial and i hope i
have helped you to better
understand about this.. if you did, let me know. If you didn't, good for you.
If anyone have any comments on this piece of work, be it good or bad,
please let me know what
you think of this, and if I have got any points wrong, You can e-mail
me at ma5_arie@yahoo.com
or iam.xcute@gmail.com or just wanna talk with me on Yahoo!
Messenger nick ma5_arie
On any instance, this tutorial is just for educational purposes and
should never be carried out.
It comes without no warranty, so use it at your own risk!!
Shout, Greetz & Thanks :
- ALLAH SWT
- Dina : Dina oh dina.. i miss you....
- Cah2 INSEL 2003 yang belom lulus... oey pada kemana???
- Bwt temen-temen yang belom disebutkan disini.. hai..
- c4h2 b4nJ4RnE64R4 di mana 4j4...
- You..
- Niken Tiara Fitri Alimah... Ooh.. what would you do to sis_waa@yahoo.com?
- MySelf... o
No comments:
Post a Comment