VBS/Cantix

Virus Shortcut part 2

 

Laksana bangkit dari tidur, virus lokal kini kembali menggeliat mencoba untuk mencari mangsa. Setelah beberapa waktu lalu dunia maya dihebohkan dengan sosok virus yang akan membanjiri komputer dengan shortcut disetiap folder/subfolder dengan terlebih dahulu akan menyembunyikan folder/subfolder aslinya dan satu hal yang membuat kita “bangga” bahwa virus lokal besutan Visual Basic ini mampu menyebar dengan cepat memanfaatkan satu celah keamanan Windows serta membuat komputer manjadi lambat pada saat di akses, info lebih lengkap bisa di baca di website  http://vaksin.com/2010/0810/VBWorm.BEUA/VBWorm.BEUA.htm.

 

Kini satu lagi varian virus shortcut telah dilahirkan, walaupun teknik yang dilakukan berbeda tetapi virus ini cukup merepotkan.

 

Virus ini tergolong keluarga virus Visual Basic Script (VBS), dengan memanfaatkan file [C:\Windows\System32\WSCript.exe] sebagai file pendukung agar dirinya dapat diaktifkan. Untuk menggelabui user, ia akan menggunakan rekayasa sosial denganmemanfaatkan nama file yang di “plesetkan” yakni [dekstop.ini], jika diperhatikan secara sepintas user akan beranggapan bahwa file tersebut bukanlah virus kerena seperti yang kita ketahui bahwa Windows juga akan membuat file serupa tetapi dengan nama yang berbeda yakni [desktop.ini]. Tetapi jika dilihat lebih teliti terdapat perbedaan dalam penamaan file serta ukurannya. Untuk [dekstop.ini] yang merupakan file induk virus akan mempunyai ukuran 16 KB (file akan di enkripsi) sedangkan file [desktop.ini]  biasanya mempunyai ukuran 1 KB. (lihat gambar 1, 2 dan 3)

 

Gambar 1, Perbedaan nama dan ukuran file virus

 

Gambar 2, File  Desktop.ini (File Windows)

 

Gambar 3, File Dekstop.ini (file induk VBS/Cantix)

Virus ini memanfaatkan fitur “autorun” Windows agar dapat aktif secara otomatis pada saat user akses ke folder yang berisi file virus dengan dukungan file autorun.inf yang telah dibuat oleh virus tersebut. Virus ini akan menyebar dengan cepat melalui jaringan dan akan membuat file duplikat berupa file shortcut  dan [autorun.inf] serta file [dekstop.ini] pada folder yang di share full akses, virus ini juga menyebar dengan cepat dengan memanfaatkan Removable Disk dengan melakukan aksi yang sama.

 

Virus ini juga akan melakukan bloking terhadap beberpa fungsi Windows seperti task Manager, Registry Editor maupun Folder Options serta blok terhadap semua aplikasi berbasis Visual Basic.

 

Norman Security Suite mendeteksi virus ini sebagai VBS/Cantix sedangkan Dr.Web anti-virus mendeteksi virus ini sebagai Win32.HLLW.Cantix (lihat gambar 4 dan 5)

 

Gambar 4, Hasil deteksi Norman Security Suite

 

Gambar 5, Hasil deteksi Dr.Web anti-virus

 

File induk VBS/Cantix

Pada saat VBS/Cantix menginfeksi komputer target, ia akan membuat beberapa file induk berikut yang akan di aktifkan secara otomatis pada saat komputer booting

 

• 
  
  Dekstop.ini (di semua Drive/folder/subfolder)
• 
  
  Folder.lnk (di semua Drive/folder/subfolder)
• 
  
  C:\WINDOWS\:Microsoft Office Update for Windows XP.sys
• 
  
  C:\Documents and Settings\%user%\My Documents\df5srvc.bfe
• 
  
  C:\Documents and Settings\%user%\Local Settings\Application Data\Microsoft\CD Burning\dekstop.ini
• 
  
  C:\WINDOWS\system32\serviks.sys
• 
  
  C:\windows\svchost.exe
• 
  
  C:\windows\tasks\autorun.inf  
• 
  
  C:\windows\tasks\dekstop.ini
• 
  
  C:\windows\tasks\Folder.lnk
• 
  
  C:\windows\system32\auto.exe
• 
  
  C:\Windows\System32\rad%xx%.tmp (contoh: rad72C8D.Tmp)

 

Registry Auto Start

Agar file tersebut dapat di aktifkan secara otomatis pada saat komputer dinyalakan, ia akan membuat beberapa perubahan pada registri Windows berikut

 

• 
  
  HKEY_USER\S-1-5-21-1644491937-113007714-1580818891-1003\software\microsoft\windows\currentversion\run
  • 
    
    Df5serv = Wscript.exe //e:VBScript "C:\Documents and Settings\%user%\My Documents\df5srvc.bfe"
  • 
    
    Svchost = c:\windows\svchost.exe //e:VBScript "C:\WINDOWS\system32\serviks.sys"
  • 
    
    Explorer= Wscript.exe //e:VBScript "C:\Documents and Settings\%user%\Local Settings\Application Data\Microsoft\CD Burning\dekstop.ini"

 

• 
  
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • 
    
    Df5serv = Wscript.exe //e:VBScript "C:\Documents and Settings\%user%\My Documents\df5srvc.bfe"
  • 
    
    Svchost = c:\windows\svchost.exe //e:VBScript "C:\WINDOWS\system32\serviks.sys"
  • 
    
    Explorer= Wscript.exe //e:VBScript "C:\Documents and Settings\%user%\Local Settings\Application Data\Microsoft\CD Burning\dekstop.ini"

 

• 
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • 
    
    WinUpdate = Wscript.exe //e:VBScript "C:\WINDOWS\:Microsoft Office Update for Windows XP.sys"

 

• 
  
  HKEY_LOCAL_MACHINE hkey_local_machine\software\microsoft\windows\currentversion\run
  • 
    
    WinUpdate = Wscript.exe //e:VBScript "C:\WINDOWS\:Microsoft Office Update for Windows XP.sys"

 

Selain dengan cara di atas, agar dirinya dapat aktif secara otomatis pada saat user akses folder/subfolder VBS/Cantix akan memanfaatkan fitur autorun Windows dengan membuat script [autoun.inf] di setiap folder dan subfolder, file [autorun.inf] ini berisi script yang akan menjalankan file [desktop.ini] yang akan di simpan di direktori yang sama. (lihat gambar 6 dan 7)

 

Gambar 6, Isi script autorun.inf

 

Gambar 7, Isi script file Desktop.ini

 

Blok Fungsi Windows

Walaupun tidak begitu banyak tools security yang di blok, tetapi VBS/Cantix akan melakukan blok terhadap beberapa fungsi Windows seperti Task Manager atau Registry Editor serta Folder Options dengan membuat string pada registi berikut:

 

• 
  
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • 
    
    DisableRegistrytools
  • 
    
    DisableTaskMgr

 

• 
  
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • 
    
    ShowSuperHidden = 0
  • 
    
    SuperHidden = 0

 

• 
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
  • 
    
    UncheckedValue = 0

 

Sorry Serviks like your Computer

VBS/Cantix akan meninggalkan beberapa jejak yang menjadi ciri khasnya baik pada saat membuka aplikasi Internet Explorer maupun pada saat akan menampilkan file yang tersembunyi (Folder Options). Untuk melakukan hal itu, ia akan membuat perubahan pada registry berikut:

 

• 
  
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
  • 
    
    WarningIfNotDefault = sorry serviks like your computer

 

• 
  
  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
  • 
    
    Start Page = http://www.bendot.co.nr

 

• 
  
  HKEY_USER\S-1-5-21-1644491937-113007714-1580818891-1003\software\microsoft\internet explorer\main

o    Start Page = http://www.bendot.co.nr

(lihat gmbar 8)

Gambar 8, Pesan yang tampil saat menghilangkan tanda checklist pada opsi “Hide Protected operating system files (Recommended)”

 

Album Cyber (bendot.co.nr)

Pada saat user membuka aplikasi Internet Explorer, ia akan menampilkan beberapa pertanyaan berikut (lihat gambar 9)

 

Gambar 9, Pesan pertama  pada saat membuka aplikasi Internet Explorer

 

Jika user klik tombol [OK] maka akan tampil pertanyaan “Selamat Datang Di Album Cyber By Fandi Erdiansyah” (lihat gambar 10). Tetapi jika user klik tombol [Cancel] maka akan muncul pesan “Pergi sana, Gue Juga Ga Butuh Loe!” (lihat gambar 11)

 

Gambar 10, Pesan kedua pada saat membuka aplikasi Internet Explorer

 

Gambar 11, Pesan ketiga pada saat membuka aplikasi Internet Explorer

 

Apapun yang dipilih oleh user, hasil akhirnya adalah sama yakni akan menampilkan  sebuah website  yang berisi forum “Album Cyber”. Forum ini salah satunya membahas mengenai  antivirus dan tempat bertukar source code antar anggota, rupanya si Cantix mencoba untuk mempromosikan forumnya agar lebih dikenal umum hal ini terlihat karena sampai saat ini [27 Agustus 2010] forum tersebut masih sepi alias belum mempunyai anggota. (lihat gambar 12 - 14)

 

Gambar 12, Pesan yang tampil saat membuka aplikasi Internet Explorer

Gambar 13, Pesan yang disampaikan oleh VBS/Cantix

 

Gambar 14, forum Si Cantix

 

VBS/Cantix juga akan meninggalkan pesan tersembunyi yang di tuangkan dalam sebuah file yang akan di simpan di direktori [C:\Windows\system32\v.doc] (lihat gambar 15)

 

Gambar 15, Pesan tersembunyi VBS/Cantix

 

Blok aplikasi Visual Basic

Hati-hati bagi Anda yang mempunyai program yang dibuat dengan Visual Basic, sebaiknya backup file [C:\Windows\System32\MSVBVM60.DLL] Anda karena VBS/Cantix akan blok semua program yang dibuat dengan Visual Basic dengan cara menghapus file MSVBVM60.DLL dan menggantinya dengan file MSVBVM60.DLL palsu (ukuran 0 KB). Langkah ini dilakukan sekaligus untuk mencegah penyebaran virus lokal yang dibuat dengan menggunakan program bahasa Visual Basic.

 

Membuat file duplikat (shortcut)

Aksi lain yang akan dilakukan oleh VBS/Cantix ini adalah akan membanjiri setiap Drive, folder dan subfolder dengan file duplikat berupa file shortcut yang mempunyai nama file yang sama dengan nama folder tersebut. VBS/Cantix juga akan membuat file [folder.lnk, dekstop.ini dan autorun.inf] hal ini dimaksudkan agar ia dapat aktif secara otomatis pada saat user akses drive/folder tersebut. File duplikat yang berupa shortcut itu sendiri akan menjalankan file induk VBS/Cantix yakni file [deksop.ini] pada saat user menjalankan (klik 2x) file shorctut tersebut. (lihat gambar 16 dan 17)

 

Gambar 16, File duplikat VBS/Cantix

 

Gambar 17, File target yang terdapat pada file shortcut

 

Media Penyebaran

Virus ini akan menyebar dengan cepat melalui jaringan dengan memanfaatkan folder yang mempunyai hak akses full dengan membuat file duplikat berupa shortcut disetiap folder dan subfolder dan beberapa file induk lainnya seperti [folder.lnk, dekstop.ini dan autorun.inf]. Dengan adanya file tersebut akan semakin memudahkan VBS/Cantix untuk menginfeksi komputer lain pada saat user mengakses folder atau menjalankan file shortcut tersebut.

 

Selain menyebar dengan dengan menggunakan jaringan (LAN), virus ini juga dapat menyebar dengan cepat melalui Removable Disk seperti Flash Disk dengan melakukan hal yang sama pada saat menyebar melalui jaringan.

 

Manual pemberihan VBS/Cantix

1. 
   
   Putuskan komputer yang akan di bersihkan dari koneksi internet dan intranet
2. 
   
   Nonaktifkan “System Restore” selama proses pembersihan
3. 
   
   Matikan proses dengan nama WSCRIPT.EXE yang aktif di memory. Untuk memudahkan dalam mematikan proses tersebut, Anda dapat menggunakan tools Process Explorer, silahkan download tools tersebut di website (lihat gambar 18)

 

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

 

Gambar 18, Mematikan proses virus dengan Process Explorer

 

4. 
   
   Fix Registry Windows yang sudah di ubah oleh virus. Untuk mempercepat proses penghapusan, silahkan salin script di bawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara:

 

1. 
   
   Klik REPAIR.INF
2. 
   
   Klik INSTALL

 

Berikut script yang harus di copy

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, Software\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,SuperHidden,0x00010001,1

HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0

 

 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Df5serv

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Svchost

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Explorer

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistrytools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, WarningIfNotDefault

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, WinUpdate

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder

HKCU, Software\Microsoft\Internet Explorer\Main,Start Page

 

5. 
   
   Gunakan fitur “Software Restriction Policies” untuk restrict/blok agar file induk virus tidak dapat dijalankan/dieksekusi. Fitur ini “hanya” terdapat pada System Operasi Windows XP Professional/Vista/7/2003/2008. Sebelum melakukan penghapusan tampilkan terlebih dahulu semua file yang tersembunyi dengan melakukan perubahan konfigurasi pada Folder Options dengan acara:

 

1. 
   
   Buka [Windows Explorer]
2. 
   
   Klik menu [Tools]
3. 
   
   Klik [Folder Options]
4. 
   
   Pada layar [Folder Options], klik tabulasi [View]
5. 
   
   Pilih opsi “Show hidden files and folders”
6. 
   
   Hilangkan tanda checklist pada opsi “Hide extensions for known file  types” dan  “Hide protected operating system files (Recommended)”
7. 
   
   Kemudian klik tombol [Apply] dan [Ok]

(lihat gambar 19)

Gambar 19, Menampilkan file yang tersembunyi

 

Setelah berhasil menampilkan file/folder yang tersembunyi, kemudian daftarkan file induk virus [dekstop.ini] dengan cara berikut:

 

·         Klik menu [Start]

·         Klik [Run]

·         Pada dialog box RUN ketik SECPOL.MSC kemudian klik tombol [OK]

(lihat gambar 20)

Gambar 20, RUN Program

 

·         Kemudian akan muncul layar “Local Security Settings”

·         Klik kanan “Software Restriction Policies”, klik “Create new policies”, kemudian akan muncul 2 (dua) menu baru yakni “Security Level” dan “Additional Rules”

·         Klik kanan pada “Additional Rules”, kemudian klik “New Hash Rule...”

(lihat gambar 21)

Gambar 21, Local Security Settings

 

·         Pada kolom “File hash”, klik tombol [Browse] kemudian arahkan ke file [dekstop.ini] yang mempunyai ukuran 16 KB.

(lihat gambar 22)

Gambar 22, Menentukan file virus (Dekstop.ini)

 

·         Pada kolom “Security level” pilih “Disallowed”

·         Pada kolom “Description” isi deskripsi dari nama file tersebut (bebas)

(lihat gambar 23)

Gambar 23, Setting Hash Rule

 

·         Klik tombol [Apply]

·         Klik tombol [OK] kemudian restart komputer.

 

Catatan:

Pada saat user menjalankan salah satu file duplikat (shortcut) maka akan muncul pesan peringatan berikut:

(lihat gambar 24)

Gambar 24, Pesan error saat menjalankan file shortcut

 

6. 
   
   Hapus file induk dan file duplikat yang dibuat oleh virus.

 

• 
  
  Hapus file induk VBS/Cantix
  • 
    
    C:\WINDOWS\:Microsoft Office Update for Windows XP.sys
  • 
    
    C:\Documents and Settings\%user%\My Documents\df5srvc.bfe
  • 
    
    C:\Documents and Settings\%user&\Local Settings\Application Data\Microsoft\CD Burning\dekstop.ini
  • 
    
    C:\WINDOWS\system32\serviks.sys
  • 
    
    C:\windows\svchost.exe
  • 
    
    C:\windows\tasks\autorun.inf
  • 
    
    C:\windows\tasks\dekstop.ini
  • 
    
    C:\windows\tasks\Folder.lnk
  • 
    
    C:\windows\system32\auto.exe
  • 
    
    C:\Windows\System32\rad%xx%.tmp (contoh: rad72C8D.Tmp)

 

• 
  
  Hapus file duplikat yang dibuat oleh VBS/Cantix. Untuk mempercepat proses pencarian, Anda dapat menggunakan fungsi “Search Windows” (lihat gambar 23)

 

 

Catatan:

§  Pada kolom [All or part of the file name], isi dekstop.ini,autorun.inf,*.lnk

§  Pada kolom [Look in:], isi lokasi Drive yang akan diperiksa

§  Pada menu [More advanced options], pilih opsi

·         Search system folders

·         Search hidden files and f olders

·         Search subfolders

(lihat gambar 25)

Gambar 25, Mencari file induk dan file duplikat virus

 

Jangan sampai terjadi kesalahan pada saat menghapus file yang dibuat oleh VBS/Cantix, hapus file virus yang mempunyai ciri-ciri berikut:

 

·         Hapus file  yang mempunyai nama

o    Autorun.inf ukuran file 1 KB

o    Dekstop.ini ukuran file 16 KB

(lihat gambar 26)

Gambar 26, File virus VBS/Cantix

 

·         Hapus file duplikat dengan ciri-ciri

o    Icon Folder

o    Ekstensi file adalah LNK

o    Type file adalah Shortcut

o    Ukuran file 1 KB

 

Gambar 27, File duplikat virus VBS/Cantix

 

 

7. 
   
   Copy file MSVBVM60.DLL dari komputer lain yang belum terinfeksi dengan OS yang sama, kemudian simpan file tersebut ke direktori [C:\Windows\System32]

 

8. 
   
   Untuk pembersihan optimal, instal dan scan dengan menggunakan antivirus yang up-to-date. Anda juga dapat menggunakan Norman Malware Cleaner (http://www.norman.com/support/support_tools/58732/en) atau Dr.Web CureIT (http://www.freedrweb.com/cureit/?lng=en)

(lihat gambar 28 dan 29)

Gambar 28, Hasil deteksi Norman Malware Cleaner

 

Gambar 29, Hasil deteksi Dr.Web Anti-virus
Sumber vaksin.com