W32/Fujack.Q
1 April 2008
Ayat Ayat Virus baru dari Viking
Kalau orang tua dulu waktu cari mantu menggunakan pedoman B3 (Bibit, Bebet dan Bobot) dimana oleh beberapa orang ditambahkan menjadi B5 (B3 + Baby Benz dan BMW). Maka di dalam dunia pervirusan, rupanya bibit memegang peranan penting. Hal ini terbukti dari satu virus baru mancanegara yang berasal dari Cina. Virus ini canggih karena disinyalir pembuatnya adalah pembuat virus Viking yang akan membuat stress administrator jaringan. Jika anda membaca artikel pada http://vaksin.com/2008/0208/malware0108/Malware0108.html, dimana virus mancanegara seperti Viking, mendominasi dan paling banyak beredar di Indonesia tahun 2007. Maka kali ini kita akan membahas generasi selanjutnya dari si pembuat virus Viking, kali ini dengan nama Fujack.
Virus dan worm yang berasal dari negeri China ini, hampir memiliki kesamaan dengan Viking. Dengan kemampuan menginfeksi file eksekusi, serta menyebar dengan cepat melalui jaringan, dapat dipastikan sangat merepotkan bagi pengguna yang menggunakan jaringan sebagai basis pertukaran file (karena ia pun dapat menembus password share default / standar dan melakukan bruteforce jika tidak berhasil menembus password standar tersebut). Selain itu, Fujack dapat juga menyebar melalui pertukaran USB removable drive.
Sejak muncul sekitar awal tahun 2007 sampai saat ini, sudah puluhan varian yang sudah menyebar ke seluruh penjuru dunia. Dan varian yang terbaru, oleh Norman Virus Control teridentifikasi sebagai W32/Fujack.Q. Sama seperti Viking yang memiliki kemampuan mengupgate dirinya ke internet dan sangat sulit di deteksi oleh antivirus, Fujack juga sulit di deteksi oleh antivirus. Norman virus Control mendeteksi sebagai W32/Fujack.Q (lihat gambar 1)
Gambar 1, Norman Virus Control W32/Fujack.Q
Ciri ciri file virus
Ciri ciri dari file virus Fujack.Q, diantaranya :
-
Menggunakan icon “Search”
-
Memiliki ukuran 10.960 kb
-
Type file “Application”
-
Berekstensi .exe (lihat gambar 2)
Gambar 2, Contoh file virus W32/Fujack.Q
Gejala / efek virus
Jika anda terinfeksi oleh virus Fujack.Q, maka akan menimbulkan gejala/efek sebagai berikut,
-
Menginjeksikan diri ke dalam file eksekusi / program aplikasi (lihat gambar 3)
Gambar 3, Ukuran file eksekusi berubah menjadi lebih besar (+ 10.960)
-
Disetiap file sharing akan muncul file virus dengan nama “GameSetup.exe” (lihat Gambar 2.)
-
Merubah icon aplikasi menjadi hidden.
-
Tidak dapat menampilkan file yang sudah di hidden. (walaupun folder options sudah di rubah ber-kali kali, lihat gambar 4).
Gambar 4, Show Hidden tidak bisa berubah
File file virus
Berbeda dengan beberapa virus lain yang menggunakan bahasa pemrograman Visual Basic / bahasa C++, virus Fujack.Q dibuat dengan menggunakan Borland Delphi. Beberapa file virus yang akan muncul jika dijalankan, yaitu :
-
C:\WINDOWS\system32\drivers\spoclsv.exe (berukuran 10.960 kb)
-
GameSetup.exe , (disetiap folder lokal yg di sharing, serta folder dalam jaringan yang full-sharing)
-
Desktop_.ini , (disetiap folder lokal yg sharing, serta folder dalam jaringan yang full-sharing) , serta pada setiap folder yang terdapat file/program aplikasi.
-
Setup.exe , (pada media USB Flash/removable drive)
-
Autorun.inf , (pada media USB Flash/removable drive)
-
Serta akan mencoba menginfeksi seluruh file eksekusi program aplikasi yang terdapat pada komputer
Registri Windows
Agar dapat aktif saat komputer dijalankan, ia akan membuat string registri sebagai berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-
svcshare = C:\WINDOWS\system32\drivers\spoclsv.exe
Untuk mencegah perubahan file yang di-hidden pada folder options, pada string berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
-
CheckedValue = 0
Untuk mencegah dari proteksi antivirus, Fujack.Q menghapus beberapa entry dari antivirus, seperti :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
-
yassistse
-
YLive.exe
-
ShStateEXE
-
McAfeeUpdaterUI
-
KAVPersonal50
-
Kav
-
KvMonXP
-
RavTask
Matikan Services
Selain mengubah dari registri windows, Fujack.Q mematikan beberapa services, diantaranya sebagai berikut :
-
FireSvc
-
MskService
-
ccSetMgr
-
ccProxy
-
navapsvc
-
McTaskManager
-
McShield
-
McAfeeFramework
-
McTaskManager
-
McShield
-
McAfeeFramework
-
kavsvc
-
kavsvc
-
RsRavMon
-
RsCCenter
-
RsRavMon
-
RsCCenter
-
sharedaccess
-
Schedule
Menyebar menggunakan Autorun dari Flashdisk
Virus Fujack.Q , dapat menyebar dengan cepat melalui jaringan serta USB Flash / removable drive.
Pada USB Flash/removable drive, ia akan membuat 2 file, yaitu :
-
Autorun.inf, yang berisi sebagai berikut :
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
-
Setup.exe, file virus yang berukuran 10.960 kb
Pada jaringan, ia akan membuat 2 file (pada folder lokal yg di sharing, serta masuk pada folder / drive dalam jaringan yang full-sharing), yaitu :
-
Desktop_ini, yang berisi tanggal virus masuk ke folder sharing tertentu. Contoh : 2008-3-10
-
GameSetup.exe, file virus yang berukuran 10.960 kb
Selain itu, Fujack.Q juga mencoba mengkopikan diri pada folder / drive yang berpassword default / standar dan mencoba bruteforce simple seperti :
-
Username : Root, admin, Guest, Administrator
-
Password :
mypass, love, Login, login, owner, home, qwer, asdf, temp, test, fuck, fuckyou, root, administrator, patrick, alpha, enable, godblessyou, ihavenopass, super, computer, server, sybase, abcd, database, passwd, pass, admin, letmein, baseball, qwerty, fish, shadow, mustang, pussy, golf, harley, password, admin
Cara pembersihan :
-
Putuskan hubungan komputer yang akan dibersihkan dari jaringan. Matikan “System Restore” selama proses pembersihan virus.
-
Gunakan “Task Manager” untuk mematikan proses virus yang aktif. (kemungkinan besar dengan nama “spoclsv.exe”, lihat gambar 5)
Gambar 5, Gunakan Task Manager untuk mematikan proses virus (End Process)
Untuk membuka task manager, dapat dilakukan dengan menekan secara bersama Ctr+Alt+Del, atau dengan klik kanan pada taskbar windows.
-
Hapus file utama dari virus Fujack.Q, yang terdapat pada C:\WINDOWS\system32\drivers, dengan nama spoclsv.exe, yang berukuran 10.960 kb.
Gunakan search/find, untuk mencari file virus duplikat yang lain, terutama pada media sharing (dengan nama GameSetup.exe) atau USB Flash/removable drive (dengan nama Setup.exe), keduanya juga berukuran 10.960 kb, berextension exe & ber type application.
-
Hapus string registry yang sudah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oye
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue,0x00000001,1
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, svcshare
Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
-
Untuk pembersihan secara optimal dan mencegah infeksi ulang virus W32/Fujack.Q, gunakan antivirus yang dapat mengenali virus ini dengan baik.
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 345 6850
Fx : 021 345 6851
Tinggalkan komentar