Annie.sys
is
beautiful girl
2/2
Metode
Penyebaran
dan Cara
Membasmi
Annie.sys
Wanita
cantik selalu
menjadi daya
tarik sekaligus
kelemahan
bagi
sebagian besar
laki-laki,
dari musisi terkenal, produser
rekaman
lagu,
bandar
narkoba,
jendral polisi
sampai
koruptor
sekalipun
tidak bisa
dilepaskan
dari wanita
cantik. Hal
ini rupanya
menjadi sumber
inspirasi bagi
pembuat
malware lokal
yang sedang
mengganas di
Indonesia
dalam beberapa
bulan
belakangan
ini. Dengan
pancingan
Beautiful Girl
(wanita
cantik)
malware ini
sukses menarik
perhatian
calon
korbannya
sehingga
berhasil
menjadi salah
satu malware
yang paling
banyak
dibicarakan di
komunitas online
Indonesia. Malware
ini
memiliki aksi
yang cukup 'sakti'
karena ia
memiliki
kemampuan
injeksi html
dan infeksi
korban melalui
file html
seperti malware
Ramnit.
Selain
itu, ia juga
memiliki
payload yang
cukup
merepotkan seperti
melakukan
bloking
atas banyak
fungsi
administrasi
Windows
seperti Registry
Editor,
Task Manager,
Microsoft
Management
Console, File
Assosiasi,
System
Restore, menyembunyikan
ekstensi
file dan
tidak
dapat
menampilkan
file yang
tersembunyi
(hidden).
Tidak cukup
aksi di atas,
ia juga
melakukan
bloking atas aplikasi
pendukung
yang biasa
digunakan
untuk
membersihkan
malware
seperti Kill
Process,
attrib,
SysInternals
Autostart,
SysInternals
Process
Explorer,
RegAnalyzer,
menghalangi
komputer untuk
menjalankan
file inf dan
registry
dengan tujuan
mencegah
pembersihan
virus.
Vaksincom
merasa perlu
untuk membahas
ancaman
malware ini
karena malware
ini
memang banyak
memakan korban
dan hebatnya
beberapa file
turunannya
masih sulit di
deteksi oleh
antivirus
terkenal
sekalipun.
Malware ini
dapat
dikatakan
setingkat di
atas virus
lokal lainnya
karena selain
melakukan
aktivitas yang
disebutkan di
atas juga
memiliki
kemampuan
injeksi file
MS Office dan
html.
Celakanya,
jika file html
ini dijalankan
di komputer
lain, mirip
dengan cara
penularan
Ramnit wanita
cantik yang
satu ini akan
mampu
menginfeksi
komputer
korbannya.
Khusus bagi
pelanggan
Vaksincom yang
menggunakan
produk Norman
dan G Data di
Indonesia yang
ingin
mendapatkan
tools khusus
untuk
membersihkan
file html yang
di injeksi
oleh malware
ini silahkan
menghubungi
support
Vaksincom di info@virusicu.com atau info@vaksin.com.
Metode Penyebaran
Untuk
menyebarkan
dirinya Annie.sys akan
memanfaatkan
celah autorun
Windows dengan
membuat file autorun.inf serta file induk annie.ini
(file ini akan
disembunyikan)
di setiap
drive termasuk
removable
media/USB
Flash,
sehingga malware ini
dapat langsung
aktif secara
otomatis pada
saat user
mengakses
Drive.
File
autorun.inf ini berisi perintah untuk
menjalankan
file annie.ini
dengan
menggunakan
sricpt sebagai berikut
:
[autorun]
shellexecute=wscript.exe
//e:jscript.encode
annie.ani /a
shell\open\command=wscript.exe
//e:jscript.encode
annie.ani /a
shell\explore\command=wscript.exe
//e:jscript.encode
annie.ani /a
Selain itu, virus ini juga akan membuat 5 (lima) buah file shortcut disetiap drive termasuk removable media/usb flash dengan nama beautiful_girl_part_1.lnk s/d beautiful_girl_part_5.lnk, file ini berisi script
(C:\Windows\system32\wscript.exe
//e:jscript.encode
annie.ani
/q:%x%) untuk menjalankan file annie.ani
yang berada di
drive yang
sama (%x% menunjukan angka 1 - 5),
lihat gambar 7
di bawah.
Gambar 7, File shortcut malware Annie.sys / Beautiful Girl
Jika
file shortcut
tersebut (beautiful_girl_part_1.lnk s/d beautiful_girl_part_1.lnk) di jalankan, maka akan menjalankan
program
windows media
player
(wmplayer) dan
akan
menjalankan
file virus annie.ini. Lihat gambar 8.
Gambar 8, Program Windows Media Playar yang muncul saat Trojan.JS.Autorun.A di jalankan
Menyebar
melalui
CD / DVD
Malware
ini juga
menyebarkan
dirinya
melalui CD /
DVD dengan
cara menyimpan 2 buah file yakni autorun.inf dan annie.ini ke folder
(%LOCALAPPDATA%\Microsoft\CD
Burning\)
dengan membaca
lokasi
registry
berikut
sehingga pada
saat anda
melakukan burn
CD/DVD file
tersebut akan
ikut terkopi secara otomatis.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders
-
CD Burning = C:\Documents and Settings\%user%\Local Settings\Application Data\Microsoft\CD Burning
Catatan:
%LOCALAPPDATA%,
menunjukan
lokasi yang
berbeda-beda
(contohnya
C:\Documents
and
Settings\adang\Local
Settings\Application
Data\Microsoft\CD
Burning\)
Aksi
Malware
Pembuat
malware
ini
kelihatannya
tidak
bermaksud
jahat dan
menghancurkan
data komputer
korbannya.
Jika berhasil
menginfeksi
komputer
korbannya,
Annie.sys
tidak akan
bertingkah
seperti Megan
Young, tetapi
sebaliknya ia
akan
merepotkan
korbannya
dengan menyembunyikan file yang mempunyai ekstensi *.DOC/*.RTF/*.DOCX. Untuk
mengelabui
user dan mencari korban lebih banyak lagi
ia akan membuat file duplikat yang
mempunyai nama
yang sama
dengan nama
file yang
disembunyikan
(hidden).
Berikut ciri-ciri file duplikat Trojan.JS.Autorun.A (lihat gambar 9)
-
Mempunyai nama file yang sama dengan nama file yang di sembunyikan
-
Mempunyai ekstensi file *.JSE (JavaScript Encode), ekstensi ini akan disembunyikan
-
Mempunyai ukuran 9 KB
Gambar 9, Penampakan file duplikat virus pada komputer yang terinfeksi (icon dan type file sama)
Injeksi
File
HTM / HTML
Anda
tentu masih
ingat dengan
kasus virus
Ramnit yang
akan
menginjeksi
file HTM /
HTML untuk
menyebarkan
dirinya, hal
ini juga akan
di lakukan
oleh
Trojan.JS.Autorun.A
dengan
menambahkan
baris penanda
pada header () dan kode
virus pada
footer
sehingga jika
user
menjalankan
file HTM/HTML
yang sudah
terinfeksi
tersebut akan
langsung
mengaktifkan
virus
tersebut. Anda
bisa
membayangkan
jika virus ini
menginjeksi
file HTM /
HTML pada
webserver, hal
inilah yang
menyebabkan
virus ini
dapat menyebar
dengan cepat.
Lihat gambar 10
Gambar 10, Kode penanda virus pada header file HTM/HTML
Cara
membersihkan
Trojan.JS.Autorun.A
Berikut
cara
untuk
mengatasi
Trojan.JA.Autorun.A
-
Matikan proses virus yang aktif di memori. Untuk mematikan proses virus ini anda dapat menggunakan tools Cproces. Silahkan download tools tersebut di link berikut:
Setelah tools tersebut berhasil di
download, piih
proses dengan
nama cscript.exe (lihat gambar 11),
lalu klik
kanan pada
file tersebut
dan klik 'Kill
Selected
Processes'
Gambar
11,
Mematikan
proses
Trojan.JS.Autorun.A
-
Reparasi registry Windows yang telah diubah oleh virus. Untuk mempercepat perbaikan registry tersebut silahkan salin script di bawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.VBS, Kemudian klik ganda file [REPAIR.VBS].
Dim
oWSH:
Set oWSH =
CreateObject("WScript.Shell")
on
error
resume Next
oWSH.Regwrite
"HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1""
%*"
oWSH.Regwrite
"HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1""
%*"
oWSH.Regwrite
"HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1""
%*"
oWSH.Regwrite
"HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1""
%*"
oWSH.Regwrite
"HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command\","regedit.exe
%1"
oWSH.Regwrite
"HKEY_CLASSES_ROOT\regfile\shell\open\command\","regedit.exe
%1"
oWSH.Regwrite
"HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open
With\","{09799AFB-AD67-11d1-ABCD-00C04FC30936}"
oWSH.Regwrite
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Shell","Explorer.exe"
oWSH.Regwrite
"HKEY_LOCAL_MACHINESoftware\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit",
"Userinit.exe,"
oWSH.Regwrite
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command\","C:\windows\System32\rundll32.exe
setupapi,InstallHinfSection
DefaultInstall
132 %1"
oWSH.Regwrite
"HKEY_CLASSES_ROOT\inffile\shell\Install\command\","C:\windows\System32\rundll32.exe
setupapi,InstallHinfSection
DefaultInstall
132 %1"
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image
File Execution
Options\Autoruns.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image
File Execution
Options\procexp.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image
File Execution
Options\reg.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image
File Execution
Options\regAlyzer.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image
File Execution
Options\taskkill.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image
File Execution
Options\rstrui.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image
File Execution
Options\attrib.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
NT\SystemRestore\DisableConfig")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
NT\SystemRestore\DisableSR")
oWSH.Regwrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden",1,
"REG_DWORD"
oWSH.Regwrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden",1,
"REG_DWORD"
oWSH.Regwrite
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue",1,"REG_DWORD"
oWSH.Regwrite
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue",0,"REG_DWORD"
-
Hapus file file induk virus yang berada di direktori berikut:
-
%System%\drivers\annie.sys (%system% menunjukan lokasi yang berbeda-beda, contohnya C:\Windows\System32\Drivers\annie.sys)
-
%System%\annie.ani (%System% menunjukan lokasi yang berbeda-beda, contoh nya C:\Windows\System32\annie.ani)
-
beautiful_girl_part_1.lnk (semua drive)
-
beautiful_girl_part_2.lnk (semua drive)
-
beautiful_girl_part_3.lnk (semua drive)
-
beautiful_girl_part_4.lnk (semua drive)
-
beautiful_girl_part_5.lnk (semua drive)
-
autorun.inf (semua drive)
-
annie.ani (semua drive)
Agar
tidak terjadi
kesalahan pada
saat menghapus
file induk
virus tersebut
sebaiknya
tampilan file
yang
tersembunyi
terlebih
dahulu dengan
cara: (lihat
gambar 12)
-
Buka [Windows Explorer]
-
Klik menu [Tools]
-
Klik [Folder Options]
-
Klik tabulasi [View]
-
Pada kolom [Advanced settings]
-
Checklist opsi 'Show hidden files and folders'
-
Uncheck opsi 'Hide extension for known file types' dan 'Hide protected operating system files (Recommended)'
-
Gambar 12, Folder Options untuk menampilkan ekstensi file dan file yang tersembunyi
-
Kemudian klik tombol [OK]
-
Hapus file duplikat virus yang mempunyai ciri-ciri
-
Mempunyai nama file yang sama dengan nama file yang di sembunyikan
-
Mempunyai ekstensi file *.JSE (JavaScript Encode)
-
Mempunyai ukuran 9 KB
-
Agar
tidak
terjadi
kesalahan
dalam
menghapus file
duplikat virus
tersebut
sebaiknya
tampilan
ekstensi file
terlebih
dahulu dengan
cara:
-
Buka [Windows Explorer]
-
Klik menu [Tools]
-
Klik [Folder Options]
-
Klik tabulasi [View]
-
Pada kolom [Advanced settings], uncheck opsi 'Hide extension for known file types' kemudian klik tombol [OK] (lihat gambar 12)
Untuk
mempermudah
proses
penghapusan,
silahkan
gunakan tools
Search Windows
dengan format
pencarian
seperti
terlihat pada
gambar 13.
Kemudian hapus
file dengan
ciri-ciri yang
sudah
disebutkan di
atas.
Gambar 13, Mencari dan menghapus file duplikat virus
-
Tampilkan file yang disembunyian oleh virus dengan cara: (lihat gambar 14)
-
Klik menu [Start]
-
Klik [RUN]
-
Pada dialog box RUN, ketik CMD kemudian klik tombol [OK]
-
Kemudian akan muncul layar Command Prompt.
-
Pindahkan kursor ke lokasi root Drive dengan menggunakan perintah CD\ kemudian klik tombol [Enter].
-
Lalu pindahkan kursor ke lokasi yang akan di periksa dengan menggunakan format perintah CD %DriveFolder% (%DriveFolder% adalah lokasi Drive atau Folder yang akan diperiksa) kemudian klik tombol [Enter].
-
Untuk menampilkan file yang disembunyikan (semua file ) ketik perintah :
ATTRIB -s -h -r /s /d kemudian klik tombol [Enter]
Gambar 14, Menampilkan file yang tersembunyi (semua file)
-
Untuk menampilkan file yang disembunyikan (berdasarkan ekstensi tertentu) ketik perintah ATTRIB -s -h -r *.doc /s /d kemudian klik tombol [Enter]
Catatan : *.doc ganti dengan ekstensi *.rtf atau
*.docx
-
Untuk pembersihan optimal, silahkan scan menggunakan Norman Security Suite atau G Data Antivirus. Untuk mendapatkan antivirus G Data silahkan kunjungi http://www.virusicu.com/store/antivirus.php untuk G Data Antivirus atau http://www.virusicu.com/store/totalprotection.php untuk G Data total Protection.
No comments:
Write komentar