Maraknya penyebaran virus mancanegara bukan indikasi menurunnya pembuat virus lokal, karena dalam kenyataannya kuantitas pembuat virus lokal tidak mengalami penurunan dan malahan menurut virus statistik virus yang diterima oleh Vaksincom rata-rata setiap bulan ditemukan 100 virus lokal baru.
Walaupun demikian, dengan dengan tetap mengusung semangat Hari Pahlawan :P para VM seakan tak putus untuk terus berkreasi guna menghasilkan virus baru.
Kali ini giliran virus VBTroj.NYH atau biasa disebut dengan virus Tati yang disebarkan untuk turut menyemarakan dunia maya.
Ciri Umum VBTroj.NYH
Berikut beberapa ciri yang dapat dijumpai jika komputer terinfeksi VBTroj.NYH diantaranya:
1.
Muncul pesan error saat membuka file dengan menggunakan program “notepad” seperti *.txt, *.ini, *.log, *.inf. (lihat gambar 1)
Gambar 1, Pesan error saat membuka file txt
2.
Muncul header tambahan pada jendela internet explorer dengan menambahkan pesan “(^_^)NITA_WORM ==> Infected Your PC ..again..!!!” , Header Internet Explorer yang di permak oleh Nita Worm
3.
Muncul 3 menu palsu pada menu “send to” yakni “Image, My Picture dan Send to”. Ke tiga menu palsu tersebut jika di klik maka secara otomatis akan menjalankan file virus., 3 menu palsu yang di buat oleh VBTroj.NYH
4.
Muncul pesan error saat menjalankan fungsi windows tertentu atau saat menjalankan removal tools seperti regedit, msconfig, cmd, ansav atau avigen antivirus sehingga membuat file tersebut tidak dapat di jalankan. , Pesan error saat menjalankan fungsi Windows
5.
Membuat folder “NITA_WORM was here.exe” sebagai default install pada saat menginstall suatu program atau aplikasi. VBTroj.NYH akan membuat folder “NITA_WORM was here.exe” sebagai default instalasi
6.
Munculnya file duplikat di setiap folder termasuk di media penyimpanan “Flash Disk” yang mempunyai ukuran file 108 KB dengan icon “Folder”.
Dengan database terakhir Norman Virus Control dan Norman Security Suite telah mendeteksi virus ini sebagai VBTroj.NYH Norman Security Suite mendeteksi Nita worm sebagai Trojan:W32/VBTroj.NYH
File induk VBTroj.NYH
Virus ini dibuat dengan menggunakan program bahasa Visual Basic dengan ukuran file sebesar 108 KB, untuk mengelabui user ia akan menggunakan icon Folder. (lihat gambar 7)
Gambar 7, File induk VBTroj.NYH
Pada saat virus ini dijalankan ia akan membuat beberapa file induk di bawah ini yang akan dijalankan pertama kali pada saat komputer di hidupkan:
*
C:\New Folder.exe (akan di buat disemua Drive)
*
C:\Documents and Settings\%user%\Start Menu\Programs\Startup
o
Startup.exe
o
New Folder
o
New Folder(x), dimana x menunjukan angka (1-19)
*
Copy file C:\Windows\system32\msvbvm60.dll ke direktori berikut:
o
%Flash Disk%>:\msvbvm60.dll
o
C:\Documents and Settings\All Users\Documents\My Videos\msvbvm60.dll
o
C:\Documents and Settings\All Users\Documents\My Videos\msvbvm60.dll
Untuk memastikan agar file tersebut dapat dijalankan setiap kali komputer dinyalakan, ia juga akan membuat string pada registry berikut:
*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o
loader = \WinSys.exe
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
o
loader = \shell.exe
Sebagai pelengkap ia juga akan blok beberapa fungsi windows seperti regedit/msconfig/task manager/folder option termasuk beberapa tools virus lokal seperti Ansav atau Avigen dengan memunculkan pesan error berikut saat menjalankan fungsi atau tools tersebut. Pesan error yang muncul saat menjalankan fungsi Windows / tools
Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:
*
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VIGen32.exe
o
debugger = explorer.exe
*
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VSafeRun.exe
o
debugger = explorer.exe
*
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2HIJACKFREE.EXE
o
debugger = explorer.exe
*
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe
o
debugger = explorer.exe
*
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMD.exe
o
debugger = explorer.exe
*
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dxdiag.exe
o
debugger = explorer.exe
*
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
o
debugger = explorer.exe
*
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe
o
debugger = explorer.exe
*
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Notepad.exe
o
debugger = explorer.exe
*
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProMo.exe
o
debugger = explorer.exe
*
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe
o
debugger = explorer.exe
*
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit32.exe
o
debugger = explorer.exe
*
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe
o
debugger = explorer.exe
*
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VB6.EXE
o
debugger = explorer.exe
*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2HIJACKFREE.EXE
o
debugger = explorer.exe
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
o
Hidden = 0
o
HideFileExt = 1
o
ShowSuperHidden = 0
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
o
DisableThumbnailCache = 1
*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
o
ShowDriveLettersFirst = 4
*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt"
*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden"
*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden"
VBTroj.NYH juga akan blok fungsi klik kanan dengan membuat string pada registry berikut:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
o
NoViewContextMenu
Ubah Header Internet Explorer
Untuk menunjukan keberadaannya ia akan merubah judul pada program internet explorer dengan menambahkan pesan “(^_^)NITA_WORM ==> Infected Your PC ..again..!!!”. Untuk merubah judul IE ini VBTroj.NYH akan membuat string pada regsitry berikut:
*
HKCU\Software\Microsoft\Internet Explorer\Main
o
Window Title = (^_^)NITA_WORM ==> Infected Your PC ..again..!!!
Selain merubah judul internet explorer untuk menunjukan ekstensinya VBTroj.NYH juga akan mencoba untuk merubah type file “setup information” (inf) dan “System file“ (sys) menjadi NITA_WORM dengan terlebih dahulu merubah string pada registry berikut:
HKLM\SOFTWARE\Classes
- sysfile = NITA_WORM
HKLM\SOFTWARE\Classes\inffile
- FriendlyTypeName = NITA_WORM
Ubah default folder installasi program
VBTroj.NYH juga akan merubah default folder program installer dari “..\Program Files” menjadi “...\NITA_WORM was here.exe”. Untuk melakukan hal ini ia akan membuat string pada registry berikut:
*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
o
ProgramFilesDir = NITA_WORM was here.exe
Untuk mengelabui user, VBTroj.NYH juga akan membuat menu palsu (icon Folder) pada menu utama “send to” setiap kali user melakukan klik kanan pada suatu file yakni “Send to / My Picture dan Image”, untuk melakukan hal ini ia akan membuat file virus di direktori :
*
C:\Documents and Settings\%user%\SendTo
o
Image.xe
o
My Picture.exe
o
Send to.exe
Membuat file diplikat dan media penyebaran
Sebagai tujuan akhir dari VBTroj.NYH ini adalah membuat file duplikat disetiap folder/subfolder termasuk di media Flash Disk dengan ciri-ciri:
*
Menggunakan icon Folder
*
Ukuran 108 KB
*
Ekstensi EXE
*
Type File “Application”
Membuat duplikati di media penyimpanan “Flash Disk” adalah salah satu upaya yang akan di lakukan oleh VBTroj.NYH untuk menyebarkan dirinya.
Cara membersihkan VBTroj.NYH
download xrremoverWorm_Nita.zip dari saya Klik untuk Download
setelah download buka file zip nya setelah itu buka programnya lalu klik start, tunggu sampai selesai
dan Virus terbersihkan
sumber : www.vaksin.com