Waspadai storage hardware kita (harddisk, flaskdisk, MMC dan portable storage lainnya)!! Apabila kita menemukan file ber-icon Image JPG tetapi ber-ekstensi EXE dengan Type file application, dan memiliki ukuran file yang bervariasi antara 51 KB, 52 KB, 54 KB dan 56 KB, disinyalir bahwa file-file tersebut merupakan ciri-ciri file yang di-usung oleh Amburadul beserta variannya.
Berikut ini adalah daftar file yang disebut di atas:o Raja Nge5ex.exe , berukuran 54KB dengan Type file application
o PAL.Exe , berukuran 56KB dengan Type file application
o PaLMa1.exe , berukuran 52KB dengan Type file application
o Friendster Community.exe , berukuran 51KB dengan Type file application
o J3MbataN K4HaYan.exe , berukuran 51KB dengan Type file application
o PaLMa.exe , berukuran 51KB dengan Type file application
liat gambar:
Ia akan membuat beberapa file induk berikut ini pada saat virus aktif yang akan dijalankan setiap kali komputer dinyalakan. Pada saat virus aktif, file ini akan dibuat di semua drive termasuk eksternal storage hardware kita yang menancap di USB, misalnya flaskdisk.
C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
o csrcc.exe
o smss.exe
o lsass.exe
o services.exe
o winlogon.exe
o Paraysutki_VM_Community.sys
o msvbvm60.dll
C:\Autorun.inf
C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-2-2008.exe)
C:\Friendster Community.exe
C:\J3MbataN K4HaYan.exe
C:\MyImages.exe (hidden file)
C:\PaLMa.exe
C:\Images
o Ce_Pen9God4.exe
o J34ñNy_Mö3tZ_CuTE.exe
o M0D3L_P4ray_ 2008.exe
o MalAm MinGGuan.exe
o NonKroNG DJem8ataN K4H4yan.exe
o Ph0to Ber5ama.exe
o PiKnIk dT4ngKilin9.exe
o RAja Nge5ex.exe
o TrenD 9aya RAm8ut 2008.exe
C:\Images\_PAlbTN
o (V.4.9)_D053n^908L0K.exe
o ~ G0YanG Ranjang ~.exe
o GePaCar4an Neh!!!.exe
o GuE... BgT!.exe
o Ke.. TaUan N90C0k.exe
o Ma5tURbas1 XL1M4xs.exe
o PraPtih G4diEs PuJAAnku.exe
o SirKuit BaLi SmunZa.exe
Menyembunyikan file gambar
File yang menjadi target virus ini adalah file gambar (JPG/BMP/PNG/TIFF/GIF), tetapi ia hanya akan menyembunyikan file gambar yang asli yang ada di FlaskDisk. Untuk mengelabui user ia akan membuat file duplikat yang mempunyai nama yang sama dengan nama file yang disembunyikan dengan ciri-ciri:
o Icon JPG
o Ukuran “acak” (tergantung varian -> 51 KB / 52 KB / 54 KB / 56 KB)
o Ekstensi .xx`.exe, dimana xx menunjukan ekstensi dari file gambar aslinya.
Contohnya jika file gambar asli mempunyai nama data.bmp maka virus ini akan membuat file duplikat dengan nama data.bmp`.exe.
o Type File “Application”
Setiap kali menyembunyikan file, ia akan mencatatkan lognya dalam file C:\Windows\ Amburadul_List.txt,
Langkah-langkah untuk menampilkan file yang tersembunyi:
1. Buka Windows Explorer
2. Klik menu “Tools”
3. Klik “Folder Options”
4. Klik Tabulasi View
5. Pada kolom “Advanced settings”
o Pilih opsi “Show hidden files and folders”
o Unchek “Hide extensions for known file types”
o Uncheck “Hide protected operating system files (Recommended)
Beberapa cara alternatif menampilkan tab Tools --> Folder Options yang disembunyikan
o Klik “Start” menu
o Klik “Run”
o Ketik “CMD”, atau (apabila "Run", tidak bisa diakses)
Klik Start menu --> All Programs --> Accessories --> Command Prompt
o Pada Dos Prompt, ketikan script seperti gambar berikut:
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /V NoFolderOptions
atau dengan cara menyalin script dibawah ini pada program notepad atau WordPad kemudian simpan dengan nama bukaFolderOptions.inf.
Jalankan file tersebut dengan cara:
o Klik kanan bukaFolderOptions.inf
o Klik Install
[Version]
Signature="$Chicago$"
Provider=dot
[DefaultInstall]
DelReg=del
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
download script di sini
Penyebaran melalui FlaskDisk
Untuk menyebarkan dirinya, ia akan menggunakan media “FlaskDisk” ataupun “Disket” dengan membuat beberapa file induk dan beberapa file pendukung agar dirinya dapat aktif secara otomatis setiap kali user akses ke FlaskDisk tersebut.
Berikut beberapa file yang akan dibuat pada media FlaskDisk atau Disket (dimana X adalah drive Flaskdisk atau disket):
X:\Autorun.inf (hidden)
Dengan menggunakan fitur autorun windows, file Autorun.inf ini akan menjalankan file X:\MyImage.exe, untuk mengaktifkan virus secara otomatis setiap kali kita akses drive atau flaskdisk.
X:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-2-2008.exe)
X:\Friendster Community.exe
X:\J3MbataN K4HaYan.exe
X:\MyImages.exe (hidden)
X:\PaLMa.exe
X:\Images
o Ce_Pen9God4.exe
o J34ñNy_Mö3tZ_CuTE.exe
o M0D3L_P4ray_ 2008.exe
o MalAm MinGGuan.exe
o NonKroNG DJem8ataN K4H4yan.exe
o Ph0to Ber5ama.exe
o PiKnIk dT4ngKilin9.exe
o RAja Nge5ex.exe
o TrenD 9aya RAm8ut 2008.exe
X:\Images\_PAlbTN
o (V.4.9)_D053n^908L0K.exe
o ~ G0YanG Ranjang ~.exe
o GePaCar4an Neh!!!.exe
o GuE... BgT!.exe
o Ke.. TaUan N90C0k.exe
o Ma5tURbas1 XL1M4xs.exe
o PraPtih G4diEs PuJAAnku.exe
o SirKuit BaLi SmunZa.exe
Langkah-langkah membasmi Amburadul dan Varian.
1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan.
2. Matikan proses virus yang aktif di memory resident. Untuk mematikan proses tersebut gunakan tools “currprocess” (http://www.nirsoft.net/utils/cprocess.zip). Kemudian matikan proses virus yang mempunyai icon JPG dengan ekstensi EXE.
3. Repair registry yang sudah di ubah oleh Amburadul atau W32/Agent.EQXM (dan varian). Untuk mempercepat proses perbaikan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf.
Jalankan file tersebut dengan cara:
o Klik kanan repair.inf
o Klik Install
[Version]
Signature="$Chicago$"
Provider=antiamburadul
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,UncheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,CheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,DefaultValue,0x00010001,0
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, "checkbox"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, "checkbox"
HKCU, Control Panel\International, s1159,0, "AM"
HKCU, Control Panel\International, s2359,0, "PM"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
[del]
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe, debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, PaRaY_VM
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ConfigVir
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NviDiaGT
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NarmonVirusAnti
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AVManager
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, EnableLUA
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
File tersebut dapat di-download di sini
4. Disable System Restore selama proses pembersihan.
5. Hapus file induk virus Amburadul W32/Agent.EQXM (dan varian). Sebelum menghapus file tersebut sebaiknya tampilkan file yang tersembunyi caranya :
1. Buka Windows Explorer
2. Klik menu “Tools”
3. Klik “Folder Options”
4. Klik Tabulasi View
5. Pada kolom “Advanced settings”
o Pilih opsi “Show hidden files and folders”
o Unchek “Hide extensions for known file types”
o Uncheck “Hide protected operating system files (Recommended)
Kemudian hapus file berikut (di semua Drive termasuk FlaskDisk):
C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
o csrcc.exe
o smss.exe
o lsass.exe
o services.exe
o winlogon.exe
o Paraysutki_VM_Community.sys
o msvbvm60.dll
C:\Autorun.inf
C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-2-2008.exe)
C:\Friendster Community.exe
C:\J3MbataN K4HaYan.exe
C:\MyImages.exe
C:\PaLMa.exe
C:\Images
6. Tampilkan file gambar yang telah disembunyikan di FlaskDisk dengan cara:
o Klik “Start” menu
o Klik “Run”
o Ketik “CMD”
o Pada Dos Prompt, pindahkan posisi kursor ke lokasi Flash Disk kemudian ketik perintah ATTRIB –s –h /s /d
7. Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan antivirus yang up-to-date dan sudah dapat mengenali virus ini dengan baik.
*)P3V: Pertolongan Pertama Pada Virus :D
Perintah CMD gag bisa :s, saya coba kill processnya pakai tuneup 09 utk program bergambar jpeg, tp ya tetep gagal.. Makin runyam aja virus2 lokal, btw nice info :D