W32/Smalltroj.XLHU

OBAV antivirus, Madu atau Racun ?

PERINGATAN

Bahwa pada Detik ini,

Menit ini,

Jam ini,

Tanggal ini,

Bulan ini,

dan Tahun ini

KOMPUTER Kesayangan anda Terinfeksi

Viruz ojanBLANK

Selain virus lokal yang banyak bermunculan di Indonesia, banyak antivirus lokal yang muncul dan terbukti cukup tangguh membasmi virus-virus lokal, baik yang suka omong besar maupun yang tidak. Seperti Smadav, Anvi, PCMav, Ansav dan Avigen. Lucunya, ada satu virus yang menempuh cara yang kontradiktif dalam memperkenalkan produk antivirus lokal. Vaksincom tidak mengetahui apakah pembuat virus ini memiliki hubungan dengan pembuat antivirus dengan nama OBAV (OjanBlank AntiVirus .....sambil geleng2 kok milih nama OjanBlank ..... bukan OjanSarung atau OjanPeci) tetapi yang jelas komputer yang terinfeksi virus W32/SmallTroj.XLHU ini akan menampilkan pesan yang sama dengan nama antivirus lokal yang dipromosikan (lihat gambar 6) dibawah. Kalau melihat fakta di atas ini masih ada ngotot dan mencoba-coba menggunakan program antivirus OBAV ...... anda tinggal tanya sama J-Rocks, yang anda download itu Madu atau Racun.

Serangan virus-virus komputer kembali datang, dan kali ini berasal dari berbagai varian virus lokal. Dari beberapa varian virus lokal yang mulai aktif menyerang, terdapat salah satu virus yang menyerang pengguna komputer di Indonesia, diantaranya yang terdeteksi adalah W32/Smalltroj.XLHU atau OjanBLANK.

Virus OjanBLANK memiliki kemampuan sama seperti halnya virus lokal yang lain, hanya saja virus ini juga memiliki kemampuan seperti penyusup yang membaca aktivitas anda dan mengirimkan informasi kepada si pembuat virus. Untuk dapat melakukan tersebut, pembuat virus tidak hanya membuat file virus untuk menginfeksi, tetapi juga terdapat file trojan yang disisipkan dan digunakan untuk memantau aktivitas jaringan internet. Cara pembuat virus memiliki kesamaan dengan varian virus terdahulu seperti Rontokbro atau Kangen, yang memiliki file pendamping untuk mengirimkan informasi kepada si pembuat virus. Norman Virus Control mendeteksi OjanBLANK sebagai Trojan:W32/Smalltroj.XLHU (lihat gambar 1)

 

Gambar 1. Norman mendeteksi varian virus OjanBLANK

Gejala & Efek Virus

Beberapa gejala dan efek yang terjadi jika anda terinfeksi virus ini adalah sebagai berikut :

• Hidden Process

Bagi para pengguna komputer, Windows Task Manager merupakan salah satu tools Windows yang sangat bermanfaat terutama untuk melihat aplikasi/proses yang berjalan di komputer anda. Virus OjanBLANK berusaha menyembunyikan proses program yang berjalan, sehingga anda tidak mudah untuk mengetahui proses virus yang aktif dan tidak dapat mematikannya dengan mudah. (lihat gambar 2)

 

Gambar 2. Aktivitas program disembunyikan oleh virus OjanBLANK

• Memantau Koneksi Internet

Berbeda halnya dengan kebanyakan virus mancanegara, virus OjanBLANK juga mencoba memantau koneksi internet untuk memastikan kondisi internet aktif atau tidak yang digunakan sebagai akses ke server pembuat virus. Tetapi, virus memantau koneksi internet dengan menjalankan beberapa file Windows yang berhubungan dengan internet. (lihat gambar 3)

 

Gambar 3. Virus memantau koneksi internet

Hal ini digunakan untuk memastikan dapat mengirim informasi / data ke si pembuat virus.

• Matikan Windows Firewall

Untuk melengkapi kelancaran pengiriman informasi / data saat terkoneksi internet, maka virus OjanBLANK mematikan salah satu fitur Windows yaitu Windows Firewall. Dengan mematikan fitur ini, akses keluar masuk informasi dapat lebih mudah terpantau oleh si pembuat virus tanpa di halang-halangi oleh Windows Firewall. (lihat gambar 4)

Gambar 4. Virus OjanBLANK mematikan fitur Windows Firewall

• Membuka Web tertentu

Jika komputer yang terinfeksi virus OjanBLANK sedang terkoneksi internet, terkadang jendela Internet Explorer/Mozilla akan terbuka secara tiba-tiba dan meng-akses web / situs tertentu. Web/situs yang akan terbuka yaitu : (lihat gambar 5)

• 
  
http://www.obav.netau.net

Gambar 5. Jendela Internet Explorer yang muncul dan membuka web tertentu

Web / situs tersebut menampilkan sebuah web yang telah dibuat oleh si pembuat virus.

• Mematikan proses Windows Explorer

Untuk mengganggu aktifitas user, virus OjanBLANK akan mencoba mematikan jendela Windows Explorer dan memunculkan sebuah form yang menutupi seluruh desktop. Hal ini akan dilakukan jika anda berusaha mematikan virus dengan mencoba menjalankan file / folder yang mengandung kata process atau proses. (lihat gambar 6)

Gambar 6. Form yang terbuka menutupi seluruh desktop

Jika tetap mencoba membuka file / folder yang memiliki string tersebut diatas, program / software tersebut akan menutup dan yang terbuka adalah form yang dibuat oleh virus OjanBLANK.

• Membuka file word

Terkadang, virus OjanBLANK akan membuka sebuah file MS Word yang berisi sebuah peringatan bahwa komputer telah terinfeksi virus. (lihat gambar 7)

Gambar 7. File MS Word yang terbuka

File Virus

Virus OjanBLANK dibuat dengan menggunakan script bahasa Visual Basic 6 (VB6). Jika virus berhasil menginfeksi komputer, maka akan membuat beberapa file utama sebagai berikut :

• C:\Readme.exe
• C:\WINDOWS\system32\junx.exe
• C:\WINDOWS\system32\WinGUI.exe (lihat gambar 8)

Gambar 8. File virus OjanBLANK

Selain itu jika komputer memiliki partisi drive lain atau memiliki mapping drive, maka virus OjanBLANK akan membuat file virus yaitu :

• Readme.exe (semua drive)

Ciri-ciri file virus OjanBLANK yaitu :

• Menggunakan icon MS Word.
• Memiliki ukuran file 224 kb
• Memiliki type file application

File Trojan dan pendamping

Selain file virus, virus OjanBLANK juga menyisipkan beberapa file yang salah satunya adalah file trojan yang digunakan untuk mengirimkan informasi / data kepada si pembuat virus. Beberapa file tersebut yaitu :

• C:\WINDOWS\system32\MSWINSCK.OCX (Microsoft Winsock Control Dll), merupakan file / modul yang digunakan untuk melakukan kontrol terhadap Winsock (Windows Socket). File ini sering digunakan oleh trojan dan spyware sebagai kontrol terhadap aktivitas koneksi internet.
• C:\WINDOWS\system32\ijl11.dll (Intel JPEG Library versi 1.1), merupakan file/library yang digunakan untuk melakukan konversi gambar menjadi format file JPG pada aplikasi Visual Basic (VB). File ini sering digunakan oleh trojan dan spyware karena mudah terintegrasi dengan browser seperti Internet Explorer.
• C:\WINDOWS\system32\ms.exe, merupakan file trojan / penyusup yang digunakan oleh si pembuat virus agar dapat melakukan remote dan dapat mengirimkan informasi / data.
• C:\WINDOWS\system32\b.doc, merupakan file MS Word yang berisi peringatan virus OjanBLANK.

Metode Penyebaran

Sama seperti varian virus lokal yang lain, virus OjanBLANK masih memanfaatkan penggunaan removable drive seperti flashdisk, external harddisk, dll sebagai media penyebaran virus. (lihat gambar 9)

Gambar 9. File virus infeksi flashdisk / removable drive

Selain itu, dalam jaringan akan memanfaatkan file sharing (full) dan mapping drive dengan membuat file virus yang sama yaitu ReadMe.exe.

Modifikasi Registry

Walaupun banyak hal yang dilakukan oleh virus OjanBLANK, ternyata tidak banyak perubahan yang dilakukan pada Registry Windows. Hal ini tentunya sangat berbeda dengan bila dibandingkan virus-virus lokal yang lain, yang masih melakukan proteksi dan perubahan pada Registry Windows. Beberapa modifikasi registry yang dilakukan oleh virus OjanBLANK yaitu :

• Menambah registry

• Startup

Agar virus dapat aktif pada saat start-up, maka virus membuat string berikut :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Microsoft Word Agents = C:\WINDOWS\system32\WinGUI.exe

Microsoft Office Agents = C:\WINDOWS\system32\junx.exe

Dengan tidak banyak melakukan perubahan registry, virus OjanBLANK sangat mengandalkan kemampuan pada virusnya tersebut.

Pembersihan Virus

Langkah-langkah yang harus dilakukan untuk melakukan pembersihan virus adalah :

• Putuskan koneksi jaringan / internet.
• Matikan System Restore (lihat gambar 10)

• Klik kanan My Computer, pilih Properties.
• Pilih tab System Restore, beri ceklist pilihan Turn off System restore
• Klik Apply, Klik OK.

Gambar 10. Matikan System restore

• Matikan proses virus (dengan Command Prompt).

• Klik Menu [Start] à [All Programs] à [Accessories] à [Command Prompt]
• Pada Command Prompt, ketik perintah “Tasklist (hal ini untuk melihat proses virus yang aktif yaitu “WinGUI.exe atau junx.exe) (lihat gambar 11)

Gambar 11. Perintah tasklist, agar mengetahui proses virus yang aktif

• Setelah mengetahu proses virus yang aktif, matikan proses virus dengan menjalankan/ketik perintah Taskkill sebagai berikut : (lihat gambar 12)

Taskill /f /im WinGUI.exe

atau

Taskill /f /im junx.exe

Gambar 12. Matikan virus dengan perintah Taskkill

• Repair Registry Windows

Perbaiki Registry Windows yang sudah di modifikasi oleh virus dengan langkah sebagai berikut :

• Salin script dibawah ini dengan menggunakan notepad :

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Classes\exefile\DefaultIcon,,,""%1" %"

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Microsoft Word Agents

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Microsoft Office Agents

• Simpan file dengan nama repair.inf. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan.
• Klik kanan file repair.inf, kemudian pilih install
• Restart komputer.

• Hapus file induk serta file duplikat yang dibuat oleh virus OjanBLANK, dimana file tersebut mempunyai ciri-ciri sebagai berikut :

• Ukuran file 224 KB
• Berekstensi exe
• Memiliki icon MS Word
• Type file application.

• Hapus file trojan dan file pendamping virus, yaitu sebagai berikut :

• C:\WINDOWS\system32\MSWINSCK.OCX
• C:\WINDOWS\system32\ijl11.dll
• C:\WINDOWS\system32\ms.exe
• C:\WINDOWS\system32\b.doc

• Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.