[PR] Trojan.FakeAV.3510: Manipulasi Windows HOSTS File dan Block Antivirus
Kalau antivirus palsu (Rogue Antivirus) yang lain memiliki ciri khas menakut-nakuti korbannya dengan laporan infeksi virus yang palsu, maka antivirus palsu yang satu ini memiliki hobi melakukan blokir atas segambreng software sekuriti dan pengalihan file hosts Windows sehingga komputer korbannya yang berhasil di infeksinya tidak dapat mengakses situs-situs penyedia jasa sekuriti. Pengalihan Hosts file ini yang perlu diwaspadai oleh para pengguna komptuer, khususnya pengguna internet banking karena dengan pengalihan hosts, phishing website dan teknik rekayasa sosial yang tepat, hal ini berpotensi menyebabkan pembobolan pada akun internet banking. Sekalipun sudah dilengkapi dengan yang perlindungan Kalkulator PIN / Token (two factor authentication). Karena itulah penting bagi anda yang menggunakan Internet Banking untuk menggunakan antivirus yang memiliki fitur Proteksi Hosts file seperti yang diberikan oleh Dr Web Security Space.
Ciri-ciri dan gejala virus
Virus ini dibuat dengan menggunakan bahasa pemograman Visual Basic dengan ukuran sekitar 62 KB dengan menggunakan icon Visual Basic. (lihat gambar 1).
Salah satu ciri yang dapat dikenali adalalah, setiap user membuka Internet explorer akan muncul website [http://www.qseach.com/?ref=kzCXow==] yang menyerupai website search engine www.google.com (lihat gambar 2). Selain itu akan muncul beberapa file shortcut dengan icon yang berbeda-beda, kabar baiknya file shortcut ini sementara hanya akan muncul di USB Flash. File shortcut ini merupakan file duplikat dari file/direktori yang disembunyikan oleh virus dengan tujuan untuk mengelabui user. (lihat gambar 3).


Dengan update terbaru Dr.Web antivirus sudah mendeteksi virus ini sebagai Trojan.FaveAV.3510 (lihat gambar 4).

File induk virus
Pada saat user menjalankan file induk virus, maka akan muncul pesan error (lihat gambar 5) kemudian ia akan membuat file induk yang akan di jalankan secara otomatis pada saat komputer booting.

Berikut beberapa file yang akan dibuat oleh virus:
- C:\Documents and Settings\%user%\132616c4\winlogon.exe
Catatan: %user%, adalah user yang digunakan pada saat login Windows
Registri Windows
Agar file tersebut dapat di aktifkan secara otomatis pada saat komputer booting, ia akan membuat beberapa registri berikut:
- HKCU\Software\Microsoft\WIndows\CurrentVersion\Run
- 74e4144414 = C:\Documents and Settings\%user%\132616c4\winlogon.exe
- HKLM\Software\Microsoft\WIndows\CurrentVersion\Run
- 74e4144414 = C:\Documents and Settings\%user%\132616c4\winlogon.exe
Catatan: %user% adalah user yang digunakan pada saat login Windows
Blok Fungsi Windows
Agar user kesulitan dalam melakukan pembersihan, ia akan melakukan blok beberapa fungsi Windows seperti Task Manager, MSConfig, CMD (Command Prompt), Regedit atau Folder Options dengan melakukan perubahan pada registry berikut:
- HKCU\Software\Microsoft\WIndows\CurrentVersion\Policies\Associations
- LowRiskFileTypes = .exe
- HKCU\Software\Microsoft\WIndows\CurrentVersion\Policies\Explorer
- NoFile = 1
- NoFolderOptions = 1
- NoRun = 1
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools = 1
- DisableTaskMgr = 1
- HKCU\Software\Policies\Microsoft\Windows\System
- DisableCMD = 1
- HKLM\Software\Microsoft\WIndows\CurrentVersion\Policies\Explorer
- NoFolderOptions = 1
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
- EnableFirewall = 1
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
- EnableFirewall = 1
Selain itu ia jug akan membuat string pada registry berikut agar file virus diaktifkan pada layer administrator serta mendaftarkan pada list Firewall agar tidak di blok oleh Firewall Windows.
- HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\layers
- C:\Documents and Settings\%user%\132616c4\winlogon.exe = RUNASADMIN
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\layers
- C:\Documents and Settings\%user%\132616c4\winlogon.exe = RUNASADMIN
- HKLM\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- C:\Documents and Settings\%user%\132616c4\winlogon.exe = C:\Documents and Settings\%user%\132616c4\winlogon.exe:*:Enabled:@xpsp2res.dll,-53342401
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- C:\Documents and Settings\%user%\132616c4\winlogon.exe = C:\Documents and Settings\%user%\132616c4\winlogon.exe:*:Enabled:@xpsp2res.dll,-53342401
- HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- C:\Documents and Settings\%user%\132616c4\winlogon.exe = C:\Documents and Settings\%user%\132616c4\winlogon.exe:*:Enabled:@xpsp2res.dll,-53342401
Blok Software Security
Selain blok fungsi Windows tersebut, ia akan melakukan blok terhadap tools/software security termasuk program antivirus dengan membaca “caption text Windows” serta dengan melakukan debugger (pengalihan) untuk menjalankan file virus yang berada di direktori [C:\Documents and Settings\%user%\132616c4\winlogon.exe]. Untuk melakukan debugger (pengalihan) tersebut, ia akan membuat string pada registry berikut:
Alamat Key:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\
Alamat sub key:
|
|
|
|
Alamat String dan value
Debugger = “C:\Documents and Settings\%user%\132616C4\winlogon.exe”
Catatan: %user% ini adalah user/account yang digunakan pada saat login Windows
Ubah halaman utama Internet Explorer
Selain itu, ia juga akan melakukan perubahan pada halaman utama Internet Explorer dengan menampilkan website yang telah ditentukan. Untuk melakukan hal tersebut ia akan merubah string registry berikut:
- HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel
- HomePage = 1
- HKCU\Software\Microsoft\Internet Explorer\main
- Start Page = http://768yeh1j7yj5t07.directorio-w.com
- Search Page = http://e1hhl4a03j39jb3.directorio-w.com
- Local Page = http://nm17u2g9x4l2nj3.directorio-w.com
- Default_Search_URL = http://82580978n05e6zb.directorio-w.com
- Default_Page_URL = http://6448664he9p069e.directorio-w.com
Merubah icon USB Flash
Virus ini juga akan merubah icon USB Flash menjadi icon Folder dan blok akses USB Flash jika user mengakses dengan cara double click pada USB Flash tersebut. Dengan melakukan double click pada USB Flash tersebut maka secara otomatis akan mengaktifkan virus. (lihat gambar 6)

Menyembunyikan file/folder
Lagi-lagi USB Flash menjadi korban, kali ini ia akan menyembunyikan semua file/folder yang ada di USB Flash dan sebagai gantinya ia akan membuat file duplikat yang mempunyai nama yang sama dengan file/folder yang disembunyikan berupa file shortcut dengan ciri-ciri
- Jika yang disembunyikan berupa Folder
- Icon Folder
- Mempunyai ekstensi .LNK
- Ukuran 1 KB
- Jika yang disembunyikan berupa File
- Icon acak
- Mempunyai ekstensi %ekstensi asal%.lnk, dimana %ekstensi asal% adalah ekstensi asli yang dimiliki oleh file tersebut, contohnya: lamaran.doc.lnk
- Ukuran 1 KB
Untuk setiap file shortcut yang dibuat akan mempunyai target untuk menjalankan file virus (Ua3kmh73O3jyut4Iok.exe) yang sudah dipersiapkan bila di jalankan, file target tersebut biasanya akan di simpan di USB Flash. (lihat gambar 7)

Ubah Hosts File Windows
Ia juga akan melakukan perubahan terhadap file Hosts Windows [C:\Windows\System32\Drivers\Etc\Hosts] yang mengakibatkan sejumlah website tidak dapat di akses. Berikut beberapa alamat website yang akan di blok. (lihat gambar 8).

[/spoiler]
Media penyebaran
Untuk menyebarkan dirinya, ia akan menggunakan media USB Flash dengan memanfaatkan fitur autorun Windows dengan membuat 2 buah file yakni:
- autorun.inf
- 85luFefZ08lzEPQXsS014zzp9LV3F54yhE0zz5k0g\S-1-3-01-4639134501-7494416267-104346834-7052\Ua3kmh73O3jyut4Iok.exe
File [autorun.inf] ini berisi script untuk menjalankan file [Ua3kmh73O3jyut4Iok.exe] yang akan di aktifkan secara otomatis pada saat user mengakses USB Flash. (lihat gambar 9)

Selain itu untuk “menjebak” user ia akan membuat file duplikat berupa shortcut yang akan mempunyai nama file yang sama dengan nama file yang disembunyikan, file shortcut ini akan mempunyai icon acak (lihat gambar 10).

Cara pembersihan Trojan.FakeAV.3510
1. Untuk pembersihan, Anda dapat menggunakan Tools Dr.Web CureIt! dari antivirus Dr.Web. Silahkan download tools tersebut di alamat berikut:
http://www.freedrweb.com/cureit/?lng=en
Setelah tools tersebut berhasil di download, jalankan tools tersebut dengan cara double click pada file Dr.Web CureIt!. Pada saat muncul konfirmasi “DrWeb CureIt! – Enhanced Protection Mode”, klik tombol [OK], pada saat Anda memilih mode ini Anda tidak akan dapat melakukan aktifitas di komputer hal ini di lakukan agar proses pembersihan dapat dilakukan lebih optimal. (lihat gambar 11)

Kemudian akan muncul layar scan “Dr.Web Scanner for Windows – Express Scan”, biarkan sampai proses scan selesai dilakukan. Jika muncul proses pembersihan pada saat proses scan dilakukan, klik tombol [Yes to All), lihat gambar 12.

Untuk pembersihan optimal, scan semua Drive termasuk USB Flash/HDD eksternal dengan memilih opsi [Scan complete] (lihat gambar 13).

Catatan:
Dr.Web antivirus juga akan secara otomatis mengembalikan HOSTS file Windows yang sudah di ubah oleh Trojan.fakeAV.3510 ke setting awal. Jika muncul konfirmasi perbaikan terhadap file HOSTS Windows yang sudah diubah oleh virus, klik tombol [Yes]. (Lihat gambar 14).

Klik Restart, jika muncul konfirmasi restart dari antivirus Dr.Web
2. Fix Registry Windows yang sudah di ubah oleh virus, untuk mempercepat proses perbaikan salin script di bawah ini pada program Notepad dan simpan dengan nama REPAIR.INF, jalankan file tersebut dengan cara
- Klik kanan REPAIR.INF
- Klik INSTALL
[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKCU, Software\Microsoft\Internet Explorer\main, Start Page,0, “about:blank”
HKCU, Software\Microsoft\Internet Explorer\main, Search Page,0,”about:blank”
HKCU, Software\Microsoft\Internet Explorer\main, Local Page,0, “about:blank”
HKCU, Software\Microsoft\Internet Explorer\main, Default_Search_URL,0, “about:blank”
HKCU, Software\Microsoft\Internet Explorer\main, Default_Page_URL,0, “about:blank”
[del]
HKCU, Software\Microsoft\WIndows\CurrentVersion\Run, 74e4144414
HKCU, Software\Microsoft\WIndows\CurrentVersion\Policies\Associations
HKCU, Software\Microsoft\WIndows\CurrentVersion\Policies\Explorer, NoFile
HKCU, Software\Microsoft\WIndows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\WIndows\CurrentVersion\Policies\Explorer, NoRun
HKCU, Software\Microsoft\WIndows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\WIndows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Policies\Microsoft\Windows\System, DisableCMD
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM, SOFTWARE\Policies\Microsoft\WindowsFirewall
HKCU, Software\Policies\Microsoft\Internet Explorer\Control Panel, HomePage
HKLM, Software\Microsoft\WIndows\CurrentVersion\Run, 74e4144414
HKLM, Software\Microsoft\WIndows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, Software\Microsoft\WIndows\CurrentVersion\Policies\System, EnableLUA
2. Hapus secara manual lokasi registy berikut:
- Klik menu [Start]
- Klik [RUN]
- Ketik REGEDIT.EXE, kemudian klik tombol [OK]
- Kamudian hapus string registry berikut
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\layers
C:\Documents and Settings\%user%\132616c4\winlogon.exe = RUNASADMIN
HKEY_LOCAL_MACHINE \Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\layers
C:\Documents and Settings\%user%\132616c4\winlogon.exe = RUNASADMIN
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
C:\Documents and Settings\%user%\132616c4\winlogon.exe = C:\Documents and Settings\%user%\132616c4\winlogon.exe:*:Enabled:@xpsp2res.dll,-53342401
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
C:\Documents and Settings\%user%\132616c4\winlogon.exe = C:\Documents and Settings\%user%\132616c4\winlogon.exe:*:Enabled:@xpsp2res.dll,-53342401
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
C:\Documents and Settings\%user%\132616c4\winlogon.exe = C:\Documents and Settings\%user%\132616c4\winlogon.exe:*:Enabled:@xpsp2res.dll,-53342401
Catatan: %user% ini adalah nama user/acount yang digunakan saat logon Windows
3. Fix Image File Execution File. Silahkan download file FixImageFile di alamat http://rapidshare.com/files/446070146/FixImageFile.zip kemudian import fileFixImageFile_XP.reg (Windows XP) atau FixImageFile_Vista_Win7.reg (Windows Vista/7) dengan cara: (lihat gambar 15)

- Klik [Start]
- Klik [Run]
- Ketik REGEDIT.EXE kemudian klik tombol [OK]
- Setelah muncul layar “Registry Editor”, klik menu [File]
- Klik [Import]
- Kemudian arahkan ke file FixImageFile.reg, kemudian klik tombol [Open] (lihat gambar 16)
- Jika muncul layar konfirmasi, klik tombol [OK] (lihat gambar 17)


4. Tampilkan file yang telah disembunyikan oleh virus di USB Flash, caranya:
- Klik [Start]
- Klik [Run]
- Ketik CMD kemudian klik tombol [OK]
- Setelah muncul aplikasi Command Prompt (CMD), pindahkan posisi kursor ke USB Flash dengan mengetik perintah %USB Flash%: kemudian tekan tombol Enter.
Catatan:
%USB Flash% adalah drive yang berbeda-beda, contoh jika USB Flash Anda adalah E maka ketik perintah E:
- Kemudian ketik perintah ATTRIB -s -h -r /s /d kemudian klik tombol Enter (lihat gambar 18)
- Tunggu beberapa saat sampai proses selesai dilakukan

5. Untuk pembersihan optimal, scan dengan menggunaan antivirus yang up-to-date













