Dloader.HDZD / Sohanad
Virus Vietnam Yang Paling Sexy, tidak pakai Santet
Pengantar
Jika tahun-tahun lalu Vaksincom banyak menerima permintaan dari Vietnam karena penyebaran virus lokal sudah sampai ke pengguna komputer Vietnam. Tahun ini gantian para pengguna komputer Indonesia yang blingsatan karena serangan virus Vietnam yang merupakan varian Sohanad. Virus ini juga memiliki “hobi” yang mirip dengan virus lokal Indonesia, dimana ia akan melakukan blok atas beberapa fungsi utility windows seperti TaskManager, Registry Editor, Folder Options, MS Config dan Command Prompt sehingga cukup sulit untuk dibersihkan. Virus ini menggunakan YM (Yahoo Messenger) dalam menyebarkan dirinya dimana komputer yang terinfeksi secara otomatis akan mengaktifkan YM dan mengirimkan pesan-pesan dalam Bahasa Vietnam dengan link untuk mendownload dan menjalankan virus ke situs hosting gratis 0catch.com dengan alamathtt*://****quanglan1.*catch.com. Link tersebut sudah cukup lama dinonaktifkan oleh 0catch sehingga seharusnya virus ini sudah tamat riwayatnya dan tidak mungkin menyebar lagi. Tetapi lucunya (ini hanya kiasan, bukan beneran lucu ... yang ada bete) dalam beberapa minggu terakhir Vaksincom menerima konfirmasi ribuan insiden virus ini di Indonesia. Sebagai gambaran perwakilan Vaksincom di Manado terpaksa bergadang membantu membersihkan komputer yang terinfeksi virus ini.
Apakah yang menyebabkan virus Vietnam ini malah marak menyebar di Indonesia padahal website penyebaran dirinya sudah dimatikan ? Santet ? Radiasi Infra Merah ? Silahkan baca artikel ini untuk mengetahui apa sebenarnya yang terjadi.
-------
Jika anda membaca kembali artikel kilas balik penyebaran virus menjelang akhir tahun 2007 hingga memasuki awal tahun 2008 ini.http://vaksin.com/2008/0208/malware0108/Malware0108.html. Dimana anda bisa melihat bahwa salah satu virus asing yaitu “Sohanad” menggunakan Yahoo Messenger sebagai media penyebaran virus. Varian awal Sohanad sebenarnya sudah muncul sejak tahun 2006, tetapi karena kelihaiannya bermetamorfosis, sampai hari ini varian-varian Sohanad anyar yang berbasiskan Sohanad awal tersebut masih terus bermunculan dan merepotkan para vendor antivirus karena sulit terdeteksi.
Salah satu varian terbaru dari virus ini terdeteksi oleh Norman Security Suite sebagai Dloader.HDZD. (lihat gambar 1)
Gambar 1. Norman Security Suite mendeteksi Dloader.HDZD
Ciri File Virus
Ciri ciri file virus ini diantaranya sebagai berikut :
Menggunakan icon folder
Memiliki ukuran file 249 KB (254.464 Byte)
Type file “application”
Ekstensi “.exe”
Gambar 2. Contoh file virus Dloader.HDZD
Gejala / Efek Virus
Jika anda sudah terinfeksi oleh virus Dloader.HDZD, maka akan menimbulkan efek sebagai berikut :
Melakukan blok beberapa fungsi windows seperti Task Manager, Registry Editor, Folder Options.
Menutup/mematikan fungsi windows seperti System Configuration Utility / MSConfig, dan Command Prompt jika dijalankan.
Membuat Schedule tasks pada Windows, dengan membuat 2 file job (at1.job & at2.job), yang kemudian akan mengeksekusi file virus pada setiap jam 9 pagi setiap hari.
Gambar 3. Job yang dibuat virus pada Schedule Task Windows
Mengirimkan pesan dalam Bahasa Vietnam dengan link download file virus (sudah tidak aktif) kepada semua contact address yang ada pada Yahoo Messenger pada setiap waktu-waktu tertentu. (lihat gambar 4)
Gambar 4. Virus mengirim link pesan kepada seluruh contact address
Berikut beberapa bentuk pesan yang dikirim (dalam bahasa vietnam).
E may, vao day coi co con nho nay ngon lam http:******quanglan*.0catch.com
Vao day nghe bai nay di ban http:******quanglan*.0catch.com
Biet tin gi chua, vao day coi di http:******quanglan*.0catch.com
Trang Web nay coi cung hay, vao coi thu di http:******quanglan*.0catch.com
Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau? http:******quanglan*.0catch.com
Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa... http:******quanglan*.0catch.com
Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi... http:******quanglan*.0catch.com
Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo...http:******quanglan*.0catch.com
Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon... http:******quanglan*.0catch.com
Pesan link yang dibuat virus, akan memancing user untuk mengklik link sebuah website. (Saat ini website tersebut sudah tidak bisa diakses / di banned oleh penyedia jasa web hosting gratis tersebut). Jika sudah masuk pada website tersebutdan masih aktif, maka secara otomatis akan mendownload file virus. (lihat gambar 5)
Gambar 5. Link website dari virus yang sudah di banned
Efektivitas Ban Website
Apakah ban website penyebar virus merupakan akhir dari penyebaran virus Sohanad ? Ban pada link download virus secara efektif akan mematikan varian virus yang bersangkutan, tetapi pembuat virus tinggal mengupload varian virus baru ke website lain dan mengarahkan korbannya untuk mendownload ke link tersebut. Karena itu pengguna YM harus berhati-hati, JANGAN pernah mengklik link apapun yang dikirimkan oleh teman anda sekalipun jika anda tidak benar-benar yakin bahwa link tersebut aman karena sebenarnya bukan teman / kontak YM anda yang mengirimkan link tersebut, tetapi virus yang menginfeksi komputernya yang melakukan hal tersebut.
Jika komputer korban tidak menggunakan Yahoo Messenger, maka ia akan melakukan copy paste link pesan tsb diatas pada program aplikasi Office yang sedang aktif dengan harapan supaya link tersebut di klik. (lihat gambar 6)
Gambar 6. Virus copy paste link pesan pada Microsoft Word
Mencoba melakukan login secara otomatis pada Yahoo Messenger (dengan catatan bahwa user telah set Yahoo Messenger login secara otomatis). Serta menampilkan status link pesan secara otomatis. (lihat gambar 7)
Gambar 7. Status pesan yang dibuat virus secara otomatis
File file virus
Virus Dloader.HDZD dibuat dengan menggunakan script bahasa BASIC dengan menggunakan software AutoIt versi 3. Jika virus berhasil menginfeksi, maka ia akan membuat beberapa file virus diantaranya :
C:\WINDOWS\SSCVIIHOST.exe
C:\WINDOWS\system32\autorun.ini
C:\WINDOWS\system32\setting.ini
C:\WINDOWS\system32\blastclnnn.exe
C:\WINDOWS\system32\SSCVIIHOST.exe
\autorun.inf (pada usb/removable drive)
\New Folder.exe (pada usb/removable drive)
Registry Windows
Agar dapat aktif saat komputer dijalankan, virus akan membuat string registry sebagai berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Yahoo Messengger = C:\WINDOWS\system32\ SSCVIIHOST.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon
Shell = Explorer.exe SSCVIIHOST.exe
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
Yahoo Messengger = C:\WINDOWS\system32\ SSCVIIHOST.exe
Untuk melakukan blok terhadap fungsi windows, virus membuat string sebagai berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer
NoFolderOptions = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System
DisableTaskMgr = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System
DisableRegistryTools = 1
Agar dapat aktif dan memanfaatkan schedule task, virus membuat string berikut :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
AtTaskMaxHour = 0
Untuk mempermudah proses penyebaran dalam jaringan, virus membuat string berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ WorkgroupCrawler\Shares
Shares = \New Folder.exe
Menyebar melalui Flashdisk dan File Sharing
Selain mengandalkan YM, Dloader.HDZD juga memanfaatkan media “Flashdisk” ataupun “Disket”. Dan tidak kalah dengan virus lokal buatan Indonesia, ia juga memanfaatkan system autoplay windows agar dirinya dapat aktif secara otomatis setiap kali Flash Disk tersebut di colokkan ke komputer. File yang di buat yaitu : (lihat gambar 8)
autorun.inf
New Folder.exe
Gambar 8. File virus infect disket atau flashdisk
Selain itu, dalam jaringan intranet virus ini memanfaatkan file sharing (terutama folder yang di share full), virus juga menyebarkan diri dengan membuat file virus “New Folder.exe”. Rupanya dua hal ini yang menyebabkan virus yang harusnya sudah almarhum ini malahan sibuk mengamuk di Indonesia, karena penggunaan Flash Disk di Indonesia termasuk paling tinggi di dunia.
Virus ini juga akan menyebar melalui Yahoo Messenger. Dengan mengirim link pesan ke semua contact address, yang di arahkan ke sebuah website dan akan mendownload file virus. (lihat gambar 9)
Gambar 9. Link pesan yang dibuat virus.
Cara pembersihan virus Dloader.HDZD
Sebaiknya lakukan pembersihan melalui mode safe mode.
Matikan proses virus. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager
Gambar 10. Kill process virus dengan Process Manager Alternatif
Lakukan kill process, pada beberapa file virus yang aktif yaitu :
C:\WINDOWS\system32\SSCVIIHOST.exe
C:\WINDOWS\SSCVIIHOST.exe (jika aktif)
C:\WINDOWS\system32\blastclnnn.exe (jika aktif)
New Folder.exe (jika aktif)
Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares, Shared
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, SYSTEM\CurrentControlSet\Services\Schedule, AtTaskMaskHour
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger
Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
Berikut link “Repair.inf” untuk Dloader.HDZD :
http://www.4shared.com/file/47525698/d650cf29/Repair_Dloader-HDZD.html?dirPwdVerified=90ad42df
Untuk membasmi virus Dloader.HDZD dan virus lain yang masih bercokol di komputer anda, gunakan Norman Malware Cleaner untuk scan komputer anda yang dapat di download dari (lihat gambar 12)
Gambar 12. Norman Malware Cleaner membersihkan virus dengan tuntas
Untuk pembersihan yang optimal dan mencegah infeksi ulang, gunakan Norman Virus Control yang terupdate dan sudah mengenali virus ini dengan baik.
Salam,
Sumber : http://www.vaksin.com/2008/0508/sohanad-vietnam/Sohanad-Dloader.html
No comments:
Post a Comment