-------- Original Message -------- Subject: [vaksin.com] Giliran Repvblik mengacaukan file Office anda Date: Mon, 21 Apr 2008 01:54:57 -0000 From: vaksincom <[EMAIL PROTECTED]> To: [EMAIL PROTECTED]
http://vaksin.com/2008/0408/republik/republik.html VBS/Repulik.A 21 April 2008 Akan muncul di akhir umatku, wanita-wanita yang berpakaian namun pada hakikatnya bertelanjang. Diatas mereka terdapat suatu penaka punuk unta. Mereka tidak akan memasuki surga dan tidak juga akan mencium aroma surga. Padahal bau surga itu dapat dicium dari jarak sekian dan sekian (H.R. Muslim) By Repvblik Kalau kemarin pernah muncul virus yang diilhami oleh lagu Ari Lasso, hari ini kami ingin mengenalkan anda pada satu virus baru yang disinyalir penggemar group musik Repvblik dan mengingatkan pada merek terkenal branded Bvlgari. Kita tentu masih ingat dengan kasus virus Kespo (kspoold) yang sempat booming dengan target utama file MS Office khususnya MS.Word dan MS.Excel serta beberapa program database. Virus ini berupaya untuk menginjeksi file dengan tetap menggunakan icon asli dari file yang di injeksi sehingga cukup ampuh untuk mengelabui user, walaupun antivirus berhasil "clean" virus tersebut tetapi sayangnya belum mampu untuk mengembalikan icon dan ekstensi file tersebut (file yang di clean masih berekstensi exe dan icon application) sehingga user beranggapan bahwa file tersebut sudah rusak, alhasil muncul lah beberapa tools alternatif untuk split file yang sudah terinfeksi virus tersebut seperti Chanal Splitter (yayat_dhn), Doc/XLS Recovery (Husni), PCMedia Antivirus yang "mengaku" sebagai antivirus terbaik di dunia. Selain Kespo Gultung/Tunggul Kawung juga ikut meramaikan dunia maya dengan target utama menghapus isi dari file yang di infeksi dan menggantinya dengan soal ujian negara, sehingga walaupun virus berhasil di clean tetapi isi dari file tersebut sudah di ganti dengan isi file lain. Tak mau kalah dengan pendahulunya, baru-baru ini telah muncul virus sejenis Kespo dimana virus ini juga akan berupaya untuk menginjeksi file Office (MS Word dan Excel). Walaupun demikian virus ini masih tergolong "baik" karena ia hanya akan menginjeksi file Office yang ada di Flash Disk saja. Sebenarnya tidaklah terlalu sulit untuk mengetahui file yang telah terinfeksi virus ini, yakni "hanya" dengan melihat icon dan ekstensi file tesebut. Biasanya file yang sudah terinfeksi virus ini akan mempunyai icon VBS dengan ekstensi .DOC.VBS, seperti terlihat pada gambar 1 di bawah ini. Gambar 1, File induk VBS/Repulik.A Dengan update terbaru Norman sudah dapat mendeteksi virus ini dengan nama VBS/Repulik.A (lihat gambar 2) Gambar 2, Hasil Scan Norman Virus Control mendeteksi Worm:VBS/Repulik.A Ciri-Ciri VBS/Repulik.A Berikut beberapa ciri-ciri dari VBS/Repulik.A * Icon VBS * Ekstensi VBS * Ukuran 5 KB * Type file "VBScript script file" * Injeksi file EXE/DOC dengan menambahkan ukuran file sebesar 5 KB dan memepunyai ekstensi .DOC.VBS. File yang di injeksi ini akan mempunyai icon VBS. Pada saat virus ini aktif, ia akan membuat file induk yang akan dijalankan setiap kali komputer booting. Berbeda dengan virus lokal lainnya, ia tidak akan membuat string pada registry editor sehingga tidak terlalu mencurigakan, virus ini juga tidak akan blok fungsi Windows dan software security sehingga lebih mudah untuk dibersihkan. Berikut file induk yang akan di drop oleh VBS/Repulik.A * C:\Documents and Settings\%user%\Start Menu\Programs\Startup\Repvblik.vbs Selain membuat file induk tersebut, VBS/Repulik.A juga akan menyimpan file injeksi yang dijalankan oleh user dan file Repvblik.txt ke folder C:\Repvblik, seperti terlihat pada gambar 3 dibawah ini: Gambar 3, File drop VBS/Repulik.A Pesan dari sang VM Akan muncul di akhir umatku, wanita-wanita yang berpakaian namun pada hakikatnya bertelanjang. Diatas mereka terdapat suatu penaka punuk unta. Mereka tidak akan memasuki surga dan tidak juga akan mencium aroma surga. Padahal bau surga itu dapat dicium dari jarak sekian dan sekian (H.R. Muslim) By Repvblik Jika Anda buka file Repvblik.txt yang berada di direktori C:\Repvblik, maka akan muncul pesan tersembunyi yang dibuat oleh sang VM. (lihat gambar 4) Gambar 4, Pesan tersembunyi sang VM Merubah volume (nama) Flash Disk VBS/Repulik.A juga akan mencoba untuk merubah volume (nama) Flash Disk menjadi REPVBLIK. (lihat gambar 5) Gambar 5, VBS/Repulik.A merubah nama Flash Disk Injeksi MS.Word dan MS.Excel Target utama VBS/Repulik.A tidak lain adalah data khususnya MS.Word dan MS.Excel dengan cara menginjeksi dengan menambahkan code virus pada header file. File yang sudah di injeksi akan bertambah 5 KB dari ukuran semula. File yang sudah di injeksi ini sebenarnya tidak terlalu sulit untuk dikenali karena ia akan tetap menggunakan icon VBS dengan ekstensi .DOC.VBS lain halnya jika icon tersebut menggunakan icon MS.Word atau MS.Excel serta ekstensi file tersebut disembunyikan, sehingga dapat dipastikan user akan mudah terkecoh untuk menjalankan file tersebut. Kabar baiknya Virus ini hanya mengincar data yang ada di Removable Disk (Flash Disk) saja. Berikut ciri-ciri file yang sudah di injeksi oleh VBS/Repulik.A (lihat gambar 6) * Icon VBS * Ukuran "berbeda-beda" (terjadi penambahan ukuran file sebensar 5 KB dari ukuran semula) * Ekstensi .DOC.VBS Gambar 6, File yang di injeksi oleh VBS/Repulik.A Jika file yang sudah terinjeksi tersebut di jalankan maka pada folder yang sama akan membuat file temporary dengan ukuran 6 KB dan menggunakan icon VBS, perhatikan gambar 7 dibawah ini : Gambar 7, Temporary file yang dibuat oleh Repulik.A Menyebar melalui Flash Disk Untuk mempermudah menyebaranya, ia akan menggunakan Disket / Flash Disk dengan cara drop file virus serta injeksi semua file MS.Word dan MS.Excel yang ada, berikut beberapa file yang akan di buat oleh VBS/Repulik.A * I am So Sorry.txt.vbs * Indonesian and their corruption!!.txt.vbs * Make U lofty.txt.vbs * NenekSihir and her Secrets.txt.vbs * Never be touched!!.txt.vbs * SMS Gratis via GPRS.txt.vbs * Thank U Ly.txt.vbs Cara mengatasi VBS/Repulik.A 1. Nonaktifkan "Sytem Restore" selama proses pembersihan (jika menggunakan Windows ME/XP) 2. Matikan proses virus yang mempunyai nama file Wscript.exe. Untuk mematikan proses ini Anda dapat menggunakan tools CurrProses. 3. Hapus file yang dibuat oleh virus * C:\Documents and Settings\%user%\Start Menu\Programs\Startup\Repvblik.vbs * C:\Repvblik Hapus juga file yang didrop di Flash Disk * I am So Sorry.txt.vbs * Indonesian and their corruption!!.txt.vbs * Make U lofty.txt.vbs * NenekSihir and her Secrets.txt.vbs * Never be touched!!.txt.vbs * SMS Gratis via GPRS.txt.vbs * Thank U Ly.txt.vbs 4. Ubah Volume/nama Flash Disk secara manual dengan cara: 1. Klik kanan Flash Disk 2. Klik Rename 3. Ganti nama "Repvblik" dengan nama yang Anda inginkan 5. Untuk antisipasi dan mencegah infeksi ulang, silahkan install dan scan dengan antivirus yang dapat mendeteksi virus ini dengan baik. 6. Jika antivirus yang Anda install tidak berhasil "repair" file yang sudah di injeksi oleh VBS/Repulik.A. Anda dapat menggunakan tools "Spliter VBS2DOC/XLS". Silahkan download tools tersebut di alamat berikut http://www.4shared.com/file/43727532/dda23d77/_2__Splitter_VBS2DOC_XLS.html?dirPwdVerified=3c4e3b82 Catatan: Spliter VBS2DOC/XLS ini merupakan pengembangan dari tools Chanal Splitter YAV (Yayat_dhn). Chanal Spliter YAV adalah tools yang digunakan untuk repair file yang sudah di injeksi oleh Kespo (kspoold), silahkan download tools Chanal Spitter YAV di alamat berikut: http://chanal.biz/blog/?p=17 Salam, Aj Tau [EMAIL PROTECTED] PT. Vaksincom Jl. Tanah Abang III / 19E Jakarta 10160 Ph : 021 345 6850 Fx : 021 345 6851 ------------------------------------ Teknisi vaksincom yang terlatih siaga membantu semua pelanggan dan melakukan kunjungan on site untuk mengatasi masalah virus tanpa biaya apapun. Silahkan email ke [EMAIL PROTECTED] untuk mendapatkan informasi detail layanan PT. Vaksincom.Yahoo! Groups Links -- ------------------------------------------------------------------------ http://aboen.or.id - BSD051246 gtalk : aboenx ym : aboenc ------------------------------------------------------------------------
