Darkside of Oktavianus

Making virus and all of them as our friends

All About Grogotix

Posted by oktavianus pada Juli 28, 2008

Penyebaran virus lokal saat ini semakin pesat, varian yang dihasilkan juga semakin banyak untuk aksi yang dilakukan jangan ditanya karena virus lokal semakin hari semakin ganas dari hanya sebatas membuat file duplikat sampai mengancurkan data, media penyebarannnyapun sudah naik kelas dari yang hanya sebatas menyebar melalui Disket/Flash Disk kini mulai merambah ke jaringan/email dan media chatting [MIRC]. Salah satunya adalah virus dengan julukan Grogotix yang menurut pantauan Vaksincom termasuk virus yang banyak mengakibatkan ribuan insiden infeksi merata di seluruh di Indonesia.

Jika anda menemukan file duplikat di Hard Disk anda dengan icon “Folder” serta mempunyai ukuran acak [contoh: 221 KB, 1,273 KB, 264 KB, 302 KB, 442 KB, 516 KB atau 520 KB] terlebih lagi jika muncul pesan dibawah ini (lihat gambar 1) kemungkinan besar komputer anda terinfeksi virus W32/Naki.G atau biasa disebut Grogotix.A begitu antivirus Norman memberi nama untuk virus ini (lihat gambar 2).

Gambar 1, Pesan yang ditampilkan oleh virus W32/Naki.G

Gambar 2, Norman mendeteksi Naki.G

Naki.G masih dibuat dengan menggunakan Bahasa Visual Basic dan mempunyai file induk yang acak [contohnya 221 KB atau 1,273KB], untuk mengelabui user Naki.G akan menggunakan icon “Folder” suatu icon yang umum digunakan oleh virus lokal lainnya karena lebih mudah untuk menjebak user untuk menjalankan file tersebut. (lihat gambar 3)

Gambar 3, File yang terinfeksi W32/Naki.G

Aktif pada Safe Mode

File induk yang akan dibuat oleh Naki.G cukup banyak dan acak serta mempunyai lokasi penyimpan yang berbeda-beda [biasanya akan disimpan didirektori C:\Windows atau C:\Windows\System32], file induk inilah yang akan dijalankan pertama kali setiap kali komputer dinyalakan agar W32/Naki.G dapat secara otomatis aktif tanpa bantuan manusia dan W32/Naki.G ini akan aktif walaupun komputer di booting pada mode “safe mode”.

Berikut beberapa contoh file induk yang akan dibuat oleh W32/Naki.G
– C:\Windows\system32\tiliy.exe
– C:\Windows\system32\juset.exe
– C:\windows\system32\keqib.exe
– C:\windows\system32\jeyag.exe
– C:\Windows\system32\xetah.exe
– C:\Windows\pluto.ocx
– C:\Windows\devil.ocx
– C:\Windows\kisiw.exe
– C:\Windows\bureg.exe
– C:\Windows\Cidag.exe
– C:\Windows\Xisiy.exe
– C:\windows\Yubul.exe

Agar file tersebut dapat di jalankan secara otomatis setiap kali komputer restrat/booting, W32/Naki.G akan membuat string pada regsitry berikut, untuk value yang dibuat juga berbeda-beda tegantung dari nama file induk yang dibuat, contohnya:
–  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
– Grogotix= C:\WINDOWS\System32\juset.exe atau
– Grogotix= C:\WINDOWS\System32\xisiy.exe
– HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
– Shell = Explorer.exe C:\WINDOWS\System32\tiliy.exe atau
– Shell = Explorer.exe C:\WINDOWS\System32\kisiw.exe
– HKEY_LOCAL_MACHINE\SOFTWARE\Grogotix.A
– AppAll = xetah.exe atau cidaq.exe
– AppMirc = keqib.exe atau bureg.exe
– AppOther = tily.exe atau xisiy.exe
– AppSetan = jeyag.exe atau yubul.exe
– AppUtama = juset.exe atau xisiy.exe
– Lokasi = C:\WINDOWS\System32 atau C:\Windows
Blok Fungsi Windows dan Tools Security

W32/Naki.G akan mencoba untuk melakukan blok tehadap beberapa fungsi Windows dan beberapa tools security sehingga akan mempersulit proses pembersihan, berikut beberapa fungsi Windows dan tools security yang akan di blok:
– Registry editor
– Task Manager
– CMD

– Folder Options
– Fungsi Klik kanan
– Search
– Control Panel
– Documents Recent
– HijackThis
– Kill box
– Proceexp

Untuk blok fungsi Windows, W32/Naki.G akan membuat string pada registry berikut:

– HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
– NoFind
– NoFolderOptions
– NoRecentDocsMenu
– NoRun
– NoSetFolders
– NoTrayContextMenu
– NoViewContextMenu
– HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
– DisableCMD
– DisableRegistryTools
– DisableTaskMgr

Harap hati-hati.. jika komputer anda terinfeksi virus ini sebaiknya jangan coba-coba untuk akses ke direktori C:\Windows atau C:\Windows\System32 karena W32/Naki.G akan memblok akses Desktop sehingga komputer tidak bisa digunakan dan harus restart secara manual, selain itu W32/Naki.G juga akan mencoba blok dialog box konfirmasi mengapusan suatu file/folder. (lihat gambar 4)

Gambar 4, Konfirmasi penghapusan file/folder yang akan diblok oleh Naki.G

Merubah file Host windows

Naki.G juga akan mencoba untuk blok beberapa Website termasuk Website antivirus dengan merubah HOST file Windows yang berada di direktori [C:\Windows\system23\drivers\etc\hosts] dengan menambahkan link url seperti terlihat pada list dibawah ini:
127.0.0.1 localhost
127.0.0.1 ww.google.com
127.0.0.1 ww.yahoo.com
127.0.0.1 ww.hotmail.com
127.0.0.1 ww.microsoft.com
127.0.0.1 ww.symantec.com
127.0.0.1 ww.trendmicro.com
127.0.0.1 ww.mcafee.com
127.0.0.1 messenger.yahoo.com
127.0.0.1 messenger.msn.com
127.0.0.1 ww.kazaa.com
127.0.0.1 ww.emule.com
127.0.0.1 ww.winmx.com
127.0.0.1 ww.limewire.com
127.0.0.1 ww.winguides.com
127.0.0.1 ww.vet.com
127.0.0.1 ww.ebay.com
127.0.0.1 ww.msn.com
127.0.0.1 ww.hotmail.com
127.0.0.1 ww.mp3.com
127.0.0.1 ww.grisoft.com
127.0.0.1 ww.zonelabs.com
127.0.0.1 ww.lavasoft.com
127.0.0.1 update.microsoft.com
127.0.0.1 morpheus.com
127.0.0.1 ww.imesh.com
127.0.0.1 ww.edonkey200.com
127.0.0.1 ww.bearshare.com
127.0.0.1 ww.agsatellite.com
127.0.0.1 ww.zeropaid.com
127.0.0.1 ww.bittorrent.com
127.0.0.1 ww.securityfocus.com
127.0.0.1 ww.geocities.com
127.0.0.1 ww.sophos.com
127.0.0.1 ww.pandasoftware.com
127.0.0.1 ww.ibm.com
127.0.0.1 ww.dell.com
127.0.0.1 ww.hp.com
127.0.0.1 ww.sec1.com
127.0.0.1 ww.kaspersky.com
Blok Antivirus

W32/Naki.G juga berusaha untuk blok program antivirus seperti Norman Virus Control, Kaspesky, McAfee dengan mencoba untuk menghapus semua file disemua folder dan sub folder antivirus tersebut.

Mencoba menyebar via IRC

Disket/Flash Disk masih menjadi media andalan untuk menyebarkan dirinya dengan membuat file duplikat disetiap folder dan sub folder sesuai dengan nama folder/subfolder tersebut, selain melaui media tersebut di atas, W32/Naki.G juga akan mencoba untuk menyebarkan dirinya melalui media chatting [Mirc] dengan melakukan koneksi ke server IRC dan join ke beberapa alamat yang sudah ditentukan serta mengirimkan sejumlah link ke sejumlah ID yang ditemukan, berikut beberapa lokasi server yang akan coba untuk di susupi oleh Naki.G

– plasa.id.allnetwork.org

– haarlem.nl.eu.undernet.org

– mozilla.se.eu.dal.net

– rumble.fl.us.dal.net

– punch.va.us.dal.net

Berikut beberapa Chanel yang akan disinggahi oleh W32/Naki.G

– bandung

– medan

– jakarta

– surabaya

Berikut beberapa contoh pesan yang akan di kirimkan W32/Naki.G melalui IRC

– nick, free picture indonesia sex double klik url

– nick mo liat artis majalah playboy indo

– nick Ada info baru ne Marshanda, Agnes Monica, Dian Sastro, Bunga.C Dah Berani Bugil, Untuk liat Fotonya double klik url

– nick Ada info baru ne Marshanda, Agnes Monica, Dian Sastro, Bunga.C Dah Berani Bugil, Untuk liat Fotonya double klik url

– nick mo liat artis

– artis indonesia nude, double klik url

– nick , indo artis majalah playboy double klik url

– nick indonesia free porn, double klik url

– nick mo liat karya ce

– ce bangsa indo, double klik url

Duplikat file

W32/Naki.G akan membuat file duplikat disetiap folder dan sub folder dimana file ini akan mempunyai nama yang sama dengan folder dan sub folder tersebut selain itu W32/Naki.G juga akan membuat file duplikat yang akan diambil dari caption suatu program yang dijalankan, contohnya jika anda menjalankan program notepad dan menyimpan nama tersebut sebagai readme maka akan terbentuk file dengan nama readme – notepad.exe. (lihat gambar 5)

Gambar 5, W32/Naki.G membuat duplikat sesuai dengan caption dari program yang dijalankan

Selain itu W32/Naki.G akan mencoba untuk menghapus file .exe dan membuat file duplikat sesuai dengan nama file yang dihapus tersebut. (lihat gambar 6)

Gambar 6, File duplikat yang dibuat oleh W32/Naki.G
untuk ukuran file duplikat akan acak, contohnya 221 KB, 264 KB, 302 KB, 442 KB, 516 KB atau 520 KB.

Jika komputer anda pernah terinfeksi Naki.G sebaiknya install ulang program-program yang sudah anda install sebelumnya selain itu dikarenakan virus ini akan mencoba untuk menghapus file EXE maka pada kondisi tertentu komputer menjadi kacau seperti tidak bisa booting ke windows sehingga anda terpaksa harus install ulang OS anda.

W32/Naki.G juga akan mencoba untuk menghapus semua file yang di kompress [ZIP/RAR] dan membuat file duplikat didalam fle ZIP tersebut sesuai dengan nama ZIP file tersebut, contohnya jika anda mempunyai nama file virus.ZIP maka W32/Naki.G akan menghapus semua isi dari file ZIP tersebut dan membuat file baru dengan nama virus.exe dalam kondisi sudah di ZIP.

Ukuran file ZIP tersebut akan random [acak] begitupun dengan ukuran file setelah di unzip. File setelah di unzip biasanya akan mempunyai ukuran sebesar 221 KB atau 1,273 KB, sedangkan jika file tersebut dalam keadaan terkompresi [ZIP/RAR] akan mempunyai ukuran 206 KB atau 760 KB, perhatikan gambar 7 dan 8 dibawah ini.

Gambar 7, File virus dalam bentuk terkompres [ZIP/RAR]

Gambar 8, File virus setelah di unzip

W32/Naki.G juga akan mencoba untuk membuang semua file eksekusi yang biasa dijalankan ke dalam direktori [C:\Windows\temp] dengan nama %file asli.grogotix.A%. Contohnya: jika anda menjalankan file internet explorer maka Naki.G akan menghapus file tersebut dari lokasi asal [C:\Program files\internet explorer] dan membuang file asli tersebut ke dalam folder [C:\Wndows\temp] dengan nama iexplorer.grogotix.A, perhatikan gambar 9 berikut:

Gambar 9, File yang sudah diubah oleh W32/Naki.G

Cara mengatasi W32/Naki.G :

Putuskan hubungan komputer yang akan dibersihkan dari jaringan

Matikan “System Restore” selama proses pembersihan [jika menggunakan Windows ME/XP]

Matikan proses yang aktif dimemori, untuk mempermudah dalam mematikan proses virus ini sebaiknya lakukan pembersihan pada mode “safe mode with command prompt” karena pada mode ini W32/Naki.G tidak akan aktif di memori sehingga pembersihan akan lebih mudah dilakukan.

Jika komputer booting pada mode “safe mode with command prompt” maka setelah anda memasukkan username dan password maka akan muncul layar Dos Prompt, pada layar Dos Prompt tersebut ketik perintah EXPLORER kemudian tekan tombol [enter] hal ini dimaksudkan untuk membuka Desktop Windows sehingga seolah-olah anda masuk ke dalam lingkungan “safe mode” [lihat gambar 10 dan 11]

Gambar 10 [Memanggil Deskop Windows]

Gambar 11

Hapus string registry yang dibuat oleh virus. Seperti yang sudah dijelaskan diatas bahwa W32/Naki.G akan mencoba untuk blok akses klik kanan sehingga mempersulit untuk menjalankan file repair.inf karena untuk menghapus string registry yang sudah dibuat oleh virus kita akan menggunakan script repair.inf.

Untuk mengembalikan fungsi klik kanan salin script dibawah ini pada program notepad dan simpan dengan nama repair.vbs kemudian jalankan file tersebut dengan cara klik 2x file tersebut.

Dim oWSH: Set oWSH = CreateObject(“WScript.Shell”)

on error resume Next

oWSH.RegDelete(“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools”)

oWSH.RegDelete(“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu”)

oWSH.RegDelete(“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoTrayCOntextMenu”)

Setelah menjalankan script di atas log off windows dan ketik kembali perintah explorer pada dos prompt untuk memanggil Desktop Windows, setelah fungsi klik kanan dapat digunakan hapus sisa string registry yang sudah dibuat oleh virus dengan terlebih dahulu menyalin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf dan jalankan file tersebut dengan cara:

Klik kanan repair.inf

Klik Install

[Version]

Signature=”$Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, “checkbox”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, Text,0, “Hide Extensions for known file types”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, type,0, “group”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, “Checkbox”
[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRecentDocsMenu

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetFolders

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoViewContextMenu

HKLM, Software\Microsoft\Windows\CurrentVersion\Run,Grogotix

HKLM, SOFTWARE\Grogotix.A

Hapus file induk yang dibuat oleh virus. Sebagai informasi Naki.G akan membuat file induk dengan nama yang random tetapi biasanya akan dibuat didirektori [C:\Windows] atau [C:\Windows\system32] dengan ukuran file yang random pula [contohnya: 221 KB atau 1,273 KB]. Sebelum menghapus file tersebut pastikan anda sudah menampilkan semua file yang disembunyikan.

Berikut beberapa contoh file induk yang dibuat oleh Naki.G dan hapus file

tersebut bila ditemukan.

– C:\Windows\system32\tiliy.exe

– C:\Windows\system32\juset.exe

– C:\windows\system32\keqib.exe

– C:\windows\system32\jeyag.exe

– C:\Windows\system32\xetah.exe

– C:\Windows\system32\pluto.ocx

– C:\Windows\system32\devil.ocx

– C:\Windows\pluto.ocx

– C:\Windows\devil.ocx

– C:\Windows\kisiw.exe

– C:\Windows\bureg.exe

– C:\Windows\Cidag.exe

– C:\Windows\Xisiy.exe

– C:\windows\Yubul.exe

Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri

– Ukuran acak [contoh: 221 KB, 264 KB, 302 KB, 442 KB, 516 KB atau 520 KB]

– Menggunakan icon “Folder”

– Ext. EXE

– Type file “Application” (lihat gambar 12)


Gambar 12, File duplikat yang dibaut oleh W32/Naki.G

Hapus file yang kompresi [ZIP/RAR] yang mempunyai ukuran 206 atau 760. untuk menghindari kesalahan pada saat menghapus file tersebut, sebaiknya anda extract terlebih dahulu file ZIP/RAR tersebut, file yang sudah di ekstrak biasanya akan mempunyai ciri-ciri

Menggunakan icon “Folder”

Ukuran acak [221 KB atau 1,273 KB]

Ext. EXE

Type File “Application”

Modifikasi kembali file HOST Windows yang ada didirektori [C:\Windows\system32\drivers\etc\host] dengan menghapus alamat url yang sudah disisipkan oleh W32/Naki.G

Untuk pembersihan optimal dan mencegah infeksi ulang gunakan Norman Virus Control yang sudah dapat mengenali virus ini dengan baik.

Catatan:

Sebaiknya anda install ulang program yang sudah pernah terinstall sebelumnya [jika terdapat program yang error/rusak] hal ini dikarenakan W32/Naki.G akan mencoba untuk menghapus semua file EXE dan dalam kondisi tertentu jika komputar tidak bisa booting ke windows re-install merupakan jalan yang harus dilakukan.

Ajuta
PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

info@vaksin.com

Ph : 021 3456850

Fx : 021 345 6851

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: