Jika anda pengguna komputer dan kebetulan “kepingin” menjadi hacker, harap berhati-hati jika menemui folder (palsu) dengan nama “Credit Card”, “Hack” dan “XXX” dan jangan sekali-kali dijalankan karena komputer anda akan menjadi “tanpa harapan” karena terinfeksi virus Hopeless 2008.
Jika penyebaran virus/trojan mancanegara sudah mencapai tingkat krusial, maka lain lagi dengan virus lokal. Tidak mau kalah, melanjutkan rekan-rekannya sesama virus lokal maka telah menyebar jenis virus “Hopeless” part II. Virus Hopeless sebenar-nya telah muncul pada akhir tahun 2007 lalu, dan kali ini melanjutkan pendahulunya yang kembali muncul pada akhir tahun 2008 ini.
Norman Security Suite mendeteksi varian “Hopeless” part II tsb dengan nama Dloader.ERQB. (lihat gambar 1)
Gambar 1. Norman Security Suite mendeteksi varian baru virus sebagai Dloader.ERQB.
Karakteristik Virus
Berbeda dengan pendahulunya, virus ini dibuat dengan script bahasa BASIC menggunakan software Autoit versi 3 yang kemudian di kompress dengan program UPX. Dengan program UPX, virus dapat di kompress sehingga ukurannya tidak terlalu besar dan dapat memudahkan dalam penyebaran. Tujuan mengkompres ukuran ini adalah karena makin kecil ukuran file suatu virus, akan makin mudah di sebarkan. (lihat gambar 2)
Gambar 2. Informasi script program virus “Hopeless”.
Setelah di kompress dengan UPX, virus memiliki ciri-ciri sebagai berikut : (lihat gambar 3)
-
Menggunakan icon folder
-
Ukuran file 247 kb
-
Extension file *.exe
-
Type file “Application”
Gambar 3. Contoh file virus “Hopeless”
Jika sudah terinfeksi virus “Hopeless”, maka virus akan menimbulkan gejala berikut : (lihat gambar 4)
-
Blok beberapa fungsi windows seperti Task Manager, Command Prompt dan Registry Editor.
-
Menghilangkan fungsi windows seperti Run, Find, Folder Options dan Log Off
Gambar 4. Fungsi yang dihilangkan Hopeless
Gambar 5. Jendela IE tambahan yang dibuka oleh virus “Hopeless”
File virus dan penyebarannya
Jika virus “Hopeless” berhasil menginfeksi, maka virus akan membuat file virus diantaranya :
-
C:\WINDOWS\system32\find..exe
-
C:\WINDOWS\system32\spool\idle.exe
-
Credit Card.exe (Pada root drive lain seperti D:, E:, ataupun pada flashdisk)
-
Hack.exe (Pada root drive lain seperti D:, E:, ataupun pada flashdisk)
-
XXX ((Pada root drive lain seperti D:, E:, ataupun pada flashdisk)
-
Duplikasi file virus pada seluruh folder dan sub folder
Sama seperti virus lokal umumnya, virus “Hopeless” akan menyebar melalui media usb flash/external drive. Selain menyertakan 3 file utama virus, juga akan menduplikasi file virus pada semua folder. (lihat gambar 6)
Gambar 6. Virus menginfeksi usb flash/external drive
Manipulasi Registry Windows
Agar dapat aktif saat komputer dijalankan, virus akan membuat string registry sebagai berikut :
Repair = C:\WINDOWS\system32\spool\Idle.exe
Untuk menghilangkan beberapa fungsi windows, virus membuat string berikut :
NoFind = 1
NoFolderOptions = 1
NoRun = 1
StartMenuLogoff = 1
NoFolderOptions = 1
Untuk melakukan blok beberapa fungsi windows, virus membuat string berikut :
DisableRegistryTools = 1
DisableTaskMgr = 1
Cara pembersihan virus Dloader.ERQB
-
Putuskan hubungan komputer yang akan dibersihkan dari jaringan.
-
Sebaiknya lakukan pembersihan pada mode safe mode.
-
Matikan proses virus, gunakan tools pengganti task manager, seperti Itty Bitty Process Manager :
Gambar 7. Delete dan Unlock file yang inject proses di system
Lakukan kill process, pada file virus yang aktif yaitu :
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, StartMenuLogoff
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Repair
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Repair
Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
Catatan : untuk mempermudah penghapusan dapat menggunakan fasilitas [search]
di unduh dari vaksin.com