Code name: w32.babon@m3nt0z
CRC32 : banyak sekali … kayaknya emang udah berkembang ni virus
Ukuran : 91,4 kb atau 92 kb
Pertama kali ngeliat file bernama cewek_imoet pasti jantung anda berdegup kencang (DUG DUG DUG DUG)…emang bunyi bedug..!!!!! lalu anda mempunyai hasrat untuk membuka file tersebut…..huihihihihi!!!STOP STOP…(sambil mencegah pembaca untk mengklik 2 kali mouse-nya) …lihat dulu men… ekstensinya apa…kalau 3gp, avi atau jpg boleh lah dibukak…tapi kalo exe…ntar dulu…nah ini yang biasanya kurang diperhatikan oleh user – user…hati2 nama file boleh menarik tapi ekstensi file (nama belakang file seperti .com, .exe, .bat, .dll) bisa – bisa menjebak…jadi waspadalah – waspadalah!!!!, karena file cewek_imoet adalah file pemicu virus w32.babon@m3nt0z.
Ciri2 yang telah terkena virus ini:
1. Menu shutdown hilang
2. Registry di blok
3. Folder Options di windows explorer menghilang
4. msconfig diblok
5. File word berekstensi .doc yang asli disembunyikan dan dirubah menjadi file berekstensi .exe mempunyai icon folder berwarna kuning dan berukuran 91,4 kb
6. Seluruh file .exe disembunyikan atau bahkan dihapus dan diganti dengan file virus berekstensi .exe dan mempunyai icon berwarna kuning berukuran 91, 4 kb (ngeri’nyakkkkk!!!!!)
7. My computer menjadi Babon
8. Recycle Bin menjadi Babon suka kebersihan
9. Menu run, search, documents dan lain lain hilang
10. My Documents anda menjadi File_Rahasia THE HUNTER
FILE PEMICU VIRUS
– Cewek_Imoet.exe, mempunyai icon folder berwarna kuning yang ada di tiap drive C:, D:, E: dan lain – lain
– File_Rahasia THE HUNTER.exe , mempunyai icon folder berwarna kuning yang ada di tiap drive C:, D:, E: dan lain – lain
– File IExplorer.exe yang ada di C:\Windows\System32 dan disembunyikan dengan cara men-set attribut file menjadi hidden
– File shell.exe yang ada di C:\Windows\System32 dan disembunyikan dengan cara men-set attribut file menjadi hidden
– Babon.scr yang ada di C:\Windows\System32 dan disembunyikan dengan cara men-set attribut file menjadi hidden dan di tiap drive
– Csrss.exe yang ada di folder C:\Documents And Settings\User\Local Settings\Application Data\Windows
– smss.exe yang ada di folder C:\Documents And Settings\User\Local Settings\Application Data\Windows
– lsass.exe yang ada di folder C:\Documents And Settings\User\Local Settings\Application Data\Windows
– Empty.pif di direktori Documents and Settings\All User\Start Menu\Programs\Startup
– Winlogon.exe di direktori Application Data\Windows\
Virus juga membuat file yang sama dengan nama diatas, Cuma bedanya sebelum extensi file diberi spasi, misal nama file cewek_imoet.exe, virus juga akan membuat file cewek_imoet[spasi].exe jadi nama file aslinya cewek_imoet .exe, gunanya adalah untuk mengacaukan perintah penghapusan di DOS (Diskette Operating System), karena dengan adanya spasi tersebut, file dianggap sebuah parameter, bukan sebuah file.
FILE YANG DIINFEKSI
Virus mencari dan menginfeksi file dengan ekstensi seperti di bawah ini, untuk itu BACKUPLAH HARDISK ANDA:
MP3
MP4
MPG
MPEG
AVI
DAT
WMV
JPG
GIF
JPEG
PNG
ASX
DOC
XLS
WMA
MDB
Dan ekstensi EXE tentunya….
BLOCKING PROGRAM
Virus juga memblocking program yang mempunyai caption sbb:
“TASK”
“REG”
“ASM”
“DBG”
“W32”
“BUG”
“HEX”
“DETEC”
“PROC”
“WALK”
“FUC”
“SEX”
“REST”
“AVAS”
“OPTIONS”
“FORMAT”
“RebarWindow32”
“ComboBoxEx32”
“ComboBox”
“Edit”
“ANTI”
“VIRUS”
PESAN – PESAN YANG DIMUNCULKAN
– Pesan yang dimunculkan dapat dilihat di file wangsit.txt yang ada di tiap drive
Babon
Wahai kalian teman2 ku dimanapun berada.. hehehe
Lagi beapa nih wal? ngenet kah? chatting ? Kuliah yang bujur lah…
Jangan terlalu banyak bejalanan n menghabiskan waktu pakai hal2 yang kda penting
Beuh..pina musti nda ni lah. Hahaha..:)
Just wanna say : Hello Friend.. Moci-moci ^^
Sampit Community..
Peace Man..
By : Anak Sampit yang lagi menuntut ilmu di pulau seberang
Beh beh beh kadak ngarti ikam, ini banjarsari ato Banjarmasin gituh…hahahahahah!
– Pesan virus juga muncul pada saat windows pertama kali login
Welcome to Babon Computer
Please enjoy the babon entertaintment
MANIPULASI REGISTRI
W32.babon memanipulasi beberapa registry yang ada di windows, yaitu:
HKEY_LOCAL_MACHINE, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKEY_LOCAL_MACHINE, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKEY_LOCAL_MACHINE, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKEY_LOCAL_MACHINE, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKEY_LOCAL_MACHINE, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKEY_LOCAL_MACHINE, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKEY_LOCAL_MACHINE, SOFTWARE\Classes\exefile, Default,0, “application”
HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, “Checkbox”
HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, “Checkbox”
HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, type,0, “group”
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run,MsPatch
HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Mspatch
HKEY_LOCAL_MACHINE, SOFTWARE\Classes\exefile, NeverShowExt
HKEY_CURRENT_USER, Software\Policies\Microsoft\Windows\System, DisableCMD
Hati – hati virus ini juga melakukan manipulasi terhadap userinit.exe yang dilakukan oleh virus flu burung dengan jurus terkenalnya tendang login beibeh.
Manipulasi lainnya dilakukan di registry dengan alamat:
CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ yang berguna untuk merubah Computer name menjadi Komputer babon Nih
CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\ yang berguna untuk merubah Recycle Bin menjadi Babon Suka Kebersihan
Virus ini juga menggunakan perintah dari modul shell32.dll yang berguna untuk menjalankan beberapa perintah di windows secara otomatis.
BACKUP VIRUS
Virusnya karena dibuat pakek vb jadi dia menggandakan file msvbvm60.dll ke drive yang ada di komputer di direktori c:\windows dan di c:\windows\system32
PENANGGULANGAN
Pemulihannya emang laen dari yang laen, untuk mematikan prosesnya aja syusyah banget… kita seperti berkejar – kejaran dengan mereka…hmm… mungkin tugas para virologers untuk membuat blocking proses untuk virus w32.babon ini…okay…tapi untuk menendang proses ini anda dapat mendonlot program virus acepmp, viremover yang ada di alamat ini:
Donlot acep.scr dan autorun.inf (acep.zip) untuk tendang process
1. Donlot file acep.scr dan autorun.inf di www.virologi.info
Donlot acep.scr dan autorun.inf (acep.zip) untuk tendang process
2. Kemudian copy file tersebut ke flashdisk anda, taruh di root direktori di flashdisk atau diluar direktorinya
3. Kemudian sambungkan flashdisk ke cpu anda
4. Jalankan file acep.scr, jalankan 2, 3 atau 4 kali untuk membunuh proses virus
5. Hapus file yang ada di daftar berikut:
– Cewek_Imoet.exe, mempunyai icon folder berwarna kuning yang ada di tiap drive C:, D:, E: dan lain – lain
– File_Rahasia THE HUNTER.exe , mempunyai icon folder berwarna kuning yang ada di tiap drive C:, D:, E: dan lain – lain
– File IExplorer.exe yang ada di C:\Windows\System32 dan disembunyikan dengan cara men-set attribut file menjadi hidden
– File shell.exe yang ada di C:\Windows\System32 dan disembunyikan dengan cara men-set attribut file menjadi hidden
– Babon.scr yang ada di C:\Windows\System32 dan disembunyikan dengan cara men-set attribut file menjadi hidden dan di tiap drive
– Csrss.exe yang ada di folder C:\Documents And Settings\User\Local Settings\Application Data\Windows
– smss.exe yang ada di folder C:\Documents And Settings\User\Local Settings\Application Data\Windows
– lsass.exe yang ada di folder C:\Documents And Settings\User\Local Settings\Application Data\Windows
– Empty.pif di direktori Documents and Settings\All User\Start Menu\Programs\Startup
– Winlogon.exe di direktori Application Data\Windows\
6. Hapus alamat registry ayng dimanipulas virus yang ada di:
HKEY_LOCAL_MACHINE, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKEY_LOCAL_MACHINE, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKEY_LOCAL_MACHINE, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKEY_LOCAL_MACHINE, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKEY_LOCAL_MACHINE, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKEY_LOCAL_MACHINE, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKEY_LOCAL_MACHINE, SOFTWARE\Classes\exefile, Default,0, “application”
HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, “Checkbox”
HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, “Checkbox”
HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, type,0, “group”
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run,MsPatch
HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Mspatch
HKEY_LOCAL_MACHINE, SOFTWARE\Classes\exefile, NeverShowExt
HKEY_CURRENT_USER, Software\Policies\Microsoft\Windows\System, DisableCMD
7. Cari file .exe dengan ukuran 91,4 kb dengan folder icon warna kuning, kemudian hapus
8. Scan hardisk anda dengan WAV 2005 update-an terbaru
Jika belum bisa jugak pakai cara pamungkas untuk membunuh virus:
1. Booting dengan cd win xp
2. Kemudian tekan ‘R’ untuk repair
3. Isi password administrator
4. Pilih drive dimana windows di install, yaitu dengan menekan tombol 1,2 atau 3
5. Ganti file msvbvm60.dll dan msvbvm50.dll dengan nama lain misalnya msvbvxxx.xxx atau nama lain, file tersebut terletak di:
C:\Windows
C:\windows\system32
Atau di root direktori di C:, D:, atau lainnya, maksud root direktori ya diluar direktori gitu…
6. Kemudian booting dan masuk ke windows
7. Otomatis file virus tidak berjalan karena virus harus mengakses file msvbvm60.dll terlabih dahulu sebelum menjalankan kode-kodenya
Virus ini dihasilkan oleh sebuah program Virus Generator yang dinamakan Vir.VBS Generator oleh pembuatnya. Program ini dibuat menggunakan Visual Basic. Ukuran dari program tersebut cukup kecil, sekitar 64.512 bytes dalam keadaan terkompresi menggunakan UPX. Generator ini mengklaim dirinya dapat menghasilkan virus jenis VBScript yang memiliki beberapa kemampuan seperti stealth, encryption, time-bomb bahkan polymorphic. Virus yang dihasilkan sudah cukup banyak dan terbukti menyebar, maka tidak heran ia menduduki peringkat pertama di 10 virus teratas periode kali ini.
Virus yang dibuat dengan Visual Basic ini menggunakan icon mirip folder standar Windows untuk melakukan penyamarannya. Beberapa ulahnya adalah menukar fungsi tombol mouse kiri dengan kanan, menghilangkan menu Folder Options, membuat file pesan “baca saya.txt” pada drive terinfeksi, dan masih ada yang lainnya.
Dibuat menggunakan VBScript (.vbs). Selain menciptakan file autorun.inf pada flash disk agar dapat running otomatis, caption dari Internet Explorer pun akan diubah menjadi “:: X2 ATTACK ::” saat terinfeksi virus ini. Selain itu, pada saat logon, Windows akan menampilkan kotak informasi yang bertuliskan “KOMPUTER ANDA ADA KEYBOARDNYA!!”.
Virus lokal ini dibuat menggunakan Visual Basic. Kami mendapati 2 varian dari virus ini, untuk varian Pray.A tidak memiliki icon, sementara untuk varian Pray.B menggunakan icon mirip Windows Explorer. Jika komputer terinfeksi oleh virus ini, saat penunjuk waktu di komputer tersebut menunjukan pukul 05:15, 13:00, 16:00, 18:30, dan atau 19:45, virus ini akan menampilkan pesan yang mengingatkan user untuk melakukan shalat.
Virus VBScript yang satu ini, memiliki ukuran sekitar 4.800 bytes. Dia akan mencoba menginfeksi di beberapa drive di komputer Anda, termasuk drive flash disk, yang jika terinfeksi akan membuat file autorun.inf dan System32.sys.vbs pada root drive tersebut. Selain itu, ia pun akan mengubah caption dari Internet Explorer menjadi “.::Discus-X SAY MET LEBARAN! [HAPPY LEBARAN ?!]::.”.
Virus ini dapat mengakibatkan file .jpg Anda tidak bisa dibuka, karena virus ini akan meng-append file .jpg yang ditemukannya ke dalam tubuh sang virus. Ia dibuat dengan Visual Basic, dengan ukuran sekitar 98.304 bytes tanpa di-compress. Isi field Description pada Version Information virus ini terdapat kalimat “Untuk semua orang yang tak pernah menghargai aku”.
Virus VBScript ini akan membuat file winconfig.dll.vbs dan autorun.inf pada root drive yang diinfeksinya. Jika file virus dibuka dengan Notepad, pada awal-awal file tersebut akan terdapat string aneh yang sebenarnya hanya untuk membingunggkan user saja, tapi jika Anda scroll ke bawah maka akan terlihat isi file virus sebenarnya. Virus ini pun mengubah caption Internet Explorer menjadi “Brought to you by TQ!” dan mengubah halaman defaultnya menjadi “http://blogtq.blogspot.com/”.
Dibuat menggunakan VBScript (.vbs). Ia menciptakan file autorun.inf yang sudah dirancangnya pada flash disk, sehingga dapat running otomatis saat mengakses drive flash disk. Pada caption Internet Explorer akan terdapat tulisan “Hacked by Zay” atau pada varian lain “Hacked by Godzilla”. Dan pada System Propertis komputer korban, informasi Registered Owner akan menjadi “r4n694-24y”, dan untuk Registered Organization akan menjadi “Don’t Panic, System anda sudah kami ambil alih !”.
Virus sederhana berbasis script, dibuat menggunakan AutoHotKey, program semacam automation script. Tidak menggunakan teknik yang canggih-canggih. Hanya berkamuflase dengan menggunakan icon mirip folder standar Windows. Pada root drive komputer terinfeksi, akan terdapat file teks yang berisi pesan dari si pembuat virus dengan nama tati.my.love.txt.
Dibuat menggunakan Visual Basic. Menggunakan icon mirip folder standar Windows untuk menyamar. Ia dapat menyebar melalui flash disk ataupun jaringan (network) melalui sharing folder. Virus ini menghalalkan segala cara agar ia dapat bertahan hidup selama-lamanya di komputer korban, diantaranya dengan mem-bypass beberapa aplikasi bawaan Windows seperti Registry Editor, Command Prompt, dan juga beberapa program antivirus. Pada komputer terinfeksi, akan terdapat banyak sekali file duplikat dari si virus, bahkan beberapa icon aplikasi di Start Menu pun akan berubah menjadi icon folder karena ulah virus ini.
Priyandixtm's Weblog 