W32/Gultung (Tunggul Kawung) :File MS Office anda berubah jadi soal Ujian Negara

Donald terkaget-kaget ketika membuka file MS Wordnya, kok file skripsiku berubah jadi soal ujian negara SMA ? Waks ……apa gara-gara dulu suka nyontek yah, sekarang jadi harus mengerjakan soal ujian negara lagi ? Jangan terlalu percaya dengan tahayul, apalagi di zaman kuda gigit prosesor sekarang ini. File MS Office anda berubah jadi file ujian negara disebabkan oleh aksi virus Gultung, yang lebih populer dengan nama Tunggul Kawung (yang diperkirakan berasal dari kota hujan Bogor) dan sangat marak di kota-kota satelit Jakarta. Menurut pengamatan Vaksincom, ibarat strategi bisnis motor Kanzen atau Mao Tze Dong virus ini menyebar dengan cara menguasai desa terlebih dahulu untuk menuju Jakarta. Karena itu para pengguna komputer yang memiliki data MS Office diperingatkan untuk melakukan Back Up data MS officenya segera karena data yang menjadi korban aksi virus ini sangat sulit di recover.

Menyembunyikan file merupakan salah satu trend yang sering digunakan oleh kebanyakan virus lokal yang menyebar saat ini, sehingga terkadang membuat panik para penguna komputer terutama bagi mereka yang awam terhadap komputer apalagi terhadap virus. Sebenarnya masih untung file tersebut hanya disembunyikan saja, jadi data masih aman dan dengan mudah semua file yang tersembunyi dapat ditampilkan kembali baik menggunakan Tools atau menggunakan Command line (ATTRIB) dengan catatan sang vius harus sudah dimusnahkan terlebih dahulu. Saat ini aksi menyembunyikan file sudah mulai dirasakan “basi” (bagi para VM) karena sudah terlalu banyak virus lokal yang melakukan hal itu, sehingga muncullah virus-virus baru yang sudah tidak lagi menyembunyikan file tetapi berusaha untuk menghapus bahkan menginjeksi file. File yang sering di incar biasanya adalah file MS Office seperti MS.Word atau MS.Excel dan tak menutup kemungkinan file lain juga akan di incar tergantung keperluannya. Semenjak kemunculan Kespo, dimana virus ini akan berusaha untuk menginjeksi file MS Office (MS.Word dan MS.Excel) bahkan berusaha untuk menginjeksi file Database (DBF/MDF/SQL). Kini arah penyerangannya mulai sedikit berubah bukan lagi menyembunyikan file tetapi mulai menginjeksi file sehingga file yang terinfeksi akan mempunyai ukuran yang berbeda-beda, hal inilah yang menjadi salah satu penyebab penyebaran yang sangat cepat karena user (terutama user awam) tidak dapat membedakan antara file asli dan file yang sudah terinfeksi virus.

Setelah merebaknya kasus Kespo yang sempat menghebohkan beberapa waktu lalu bahkan sampai saat ini Kespo dan teman-temannya masih menghantui para pengguna komputer hal ini di perparah dengan banyaknya antivirus mancanegara yang langsung menghapus setiap file yang terinfeksi alhasil banyak diantara mereka yang mencoba menggunakan jurus lain untuk menangkal serangan Kespo baik dengan menggunakan tools atau software antivirus lokal yang memang terbukti ampuh untuk menghalau virus Kespo karena dapat merecovery file yang telah terinfeksi oleh Kespo.

Kini telah muncul virus lain yang mempunyai karakteristik seperti kespo, tetapi boleh dibilang virus satu ini mempuyai aksi yang lebih ganas dibandingkan kespo walaupun untuk saat ini masih terbatas menyerang file Office (MS.Word dan MS.Excel). Virus ini juga mampu menggunakan rekayasa sosial yang canggih. Seperti apa rekayasa sosial yang digunakan oleh virus ini?, seperti yang sudah dijelaskan diatas bahwa virus ini mempunyai aksi yang lebih jahat dibandingkan Kespo, yakni dengan mengganti (replace/overwrite) dokumen yang terinfeksi untuk kemudian mengganti dengan dokumen dari virus tersebut plus kode jahatnya, dengan kondisi seperti ini kemungkinan kecil dokumen yang sudah terinfeksi dapat diselamatkan. File yang sudah terinfeksi tersebut akan mempunyai icon “Folder” atau “kamera” (tergantung dari variannya) dengan ekstensi EXE dan sebagai bentuk pertanggungjawabannya virus ini juga akan membuat file duplikat lainnnya dengan ukuran yang sama (sama seperti file duplikat yang mempunyai ekstensi EXE) tetapi mempunyai icon MS.Word dengan attribut HIDDEN (disembunyikan) dan mempunyai ekstensi DOC dengan type file sebagai “Microsoft Word Documents” sehingga user beranggapan bahwa file mereka masih “AMAN”, sungguh penyamaran yang luar biasa. Jika file file tersebut dibuka maka akan muncul pesan error seolah-olah file tersebut rusak, jika diteliti lebih dalam sebenarnya file tersebut adalah file yang sudah terinfeksi dan jika kita ubah ekstensi dari file tersebut maka icon yang menyertai virus tersebut akan berubah menjadi “Folder” atau “kamera” (tergantung variannya) yang jika dijalankan maka akan membangkitkan kembali virus tersebut (virus akan aktif).

Dengan update terbaru Norman Virus Control mengelai sebagai W32/Gultung.A dan W32/Gultung.B (lihat gambar 1) atau sering disebut sebagai virus Aniee atau Tunggul Kawung.

Gambar 1, Norman mendeteksi virus Tunggul Kawung sebagai W32/Gultung.A dan W32/Gultung.B

Saat ini Gultung sudah mengeluarkan 2 versi dimana untuk masing-masing versi mempunyai tujuan yang sama tetapi ada sedikit perbedaan walaupun tidak terlalu banyak. Jika sebelumnya Kespo dibuat dengan Bahasa Delphi kini W32.Gultung kembali dibuat dengan menggunan bahasa Visual Basic.

Kira-kira seganas apa aksi yang dilakukan oleh W32/Gultung dan apa yang membedakan Gultung.A dan Gultung.B ?

Icon yang digunakan

Untuk mengelabui user Gultung.A akan menggunakan icon “kamera”, dengan ukuran sekitar 677 KB dengan ekstensi EXE dan mempuyai type file sebagai “Application”. (lihat gambar 2)

Gambar 2, File induk Gultung.A

Sedangkan untuk Gultung.B akan menggunakan icon “Folder” dengan ukuran sebesar 177 KB, mempunyai ekstensi EXE dengan type file sebagai “Application” (lihat gambar 3)

Gambar 3, File induk Gultung.B

File induk

Setelah file virus ini dijalankan, maka W32/Gultung akan menampilkan satu lembar notepad yang berisi perasaan si mpunya virus (lihat gambar 4 dan 5), setelah ia akan membuat file induk yang akan dijalankan pertama kali setiap komputer dinyalakan. Kedua varian ini akan membuat nama file induk yang yang sama diantaranya :

  • C:\Windows\system32\hanny.exe
  • C:\windows\system23\aniee.exe
  • C:\autoexec.bat
  • S:\tunggul.vbs
  • C:\aniee.txt
  • C:\windows\iexplorer.exe (Gultung.A)

Gambar 4, Pesan yang akan ditampilkan oleh W32/Gultung.A

Gambar 5, Pesan yang akan ditampilkan oleh W32/Gultung.B

String Registry yang dibuat W32/Gultung

Agar file induk tersebut dapat di jalankan, maka W32/Gultung akan membuat beberapa string pada registry berikut:

Gultung.A

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

microfost = C:\windows\system32\hanny.exe

sysedit = C:\windows\iexplorer.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

winsystem = c:\windows\system32\aniee.exe

Gultung.B

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Microfost = G:\WINDOWS\system32\hanny.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

winsystem = G:\WINDOWS\system23\aniee.exe

Blok Fungsi Windows

Sebagai upaya untuk mempertahankan dirinya, W32/Gultung akan berupaya untuk blok beberapa fungsi Windows maupun software security seperti antivirus, berikut beberapa fungsi Windows dan software security yang akan diblok oleh W32/Gultung.

AVG

ClamAV

Ansav

PCMAV

Viremoval

antv-md5-pattern

Task Manager

Msconfig

Attrib

Cmd

Command

Regedit

Setup

Winamp

Winrar

Untuk melakukan hal tersebut, ia akan membuat beberapa string pada registry berikut :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer

§ NoFolderOptions = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansavgd.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avguard.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avscan.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ClamWinPortable.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\command.com

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-SE.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe\\debugger

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ViRemoval.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winamp.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winrar.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winzip.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\antv-md5-pattern.exe

§ Debugger = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN

§ CheckedValue = 2

§ DefaultValue = 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

§ CheckedValue = 1

§ DefaultValue = 1

Babat file DOC dan XLS

Target utama yang diincar Gultung kemungkinan besar adalah file MS Office seperti MS Word atau MS.Excel dengan merubah isi dari file asli kemudian menggantikannya dengan data lain berupa lembar ujian dari sebuah “Sekolah Menengah Atas (Al-kholidin)” plus di tambah juga kode jahat dari virus tersebut sehingga ukuran dari file tersebut akan membengkak.

Jika pada kasus Kespo semua data yang telah terinfeksi masih bisa diselamatkan baik dengan menggunakan Tools atau antivirus lokal, tetapi untuk kasus virus W32/Gultung ini kecil kemungkinan datanya dapat diselamatkan hal ini karena virus tersebut sudah mengganti isi dari dokumen asli dengan dokumen virus tersebut.

Seperti yang kita ketahui bahwa kebanyakan virus akan mencoba untuk menyembunyikan file dan sebagai upaya untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan, sehingga data mereka masih aman karena tidak dihapus.

Rupanya celah ini digunakan oleh W32/Gultung untuk mengelabui user, bagaimana caranya ?

Untuk mengelabui user Gultung akan menggunakan reyakasa sosial yang cukup rumit dengan membuat 2 buah file duplikat (yang keduanya sudah terinfeksi virus) dimana kedua file tersebut akan mempunyai ukuran yang sama, satu file dengan ekstensi EXE dan satu file dengan ekstensi DOC. Khusus untuk file dengan ekstensi DOC ini akan disembunyikan (hidden), hebatnya lagi icon yang digunakan adalah icon MS.Word dengan type file sebagai “Microsoft Word Document”, sehingga user yang pernah disembunyikan filenya oleh virus lokal lain akan beranggapan bahwa file mereka masih aman dan dengan santai mereka mencoba untuk menampilkan kembali file yang disembunyikan tersebut dengan menghilangkan atribut SYSTEM dan HIDDEN baik menggunakan perintah ATTRIB atau dengan menggunakan Tools. Tetapi jika file tersebut dijalankan maka akan muncul pesan error seolah-olah file tersebut rusak ( lihat gambar 6). Jika diteliti lebih jauh sebenarnya file duplikat yang mempunyai ekstensi DOC tersebut merupakan virus, sehingga antivirus akan menghapus file ini, untuk membuktkannya coba ubah ekstensi dari file tersebut maka icon dari file tersebut akan berubah menjadi icon “kamera” atau icon “Folder”, dan jika file ini dijalankan maka secara tidak langsung akan mengaktifkan W32/Gultung. Walaupun file tersebut berhasil di recover (dipisahkan antara file asli dengan virus) maka isi file yang terinfeksi tersebut akan berubah dan digantikan dengan lembar Ujian Negara Agama. (lihat gambar 7)

Gambar 6 Pesan error ketika menjalankan file duplikat yang mempunyai ekstensi DOC

Gambar 7 Isi Ujian Negara Agama yang “dikerjakan” oleh korban virus😛A

Cara membersihkan W32/Gultung (tunggul kawung)

  1. Matikan proses virus yg aktif di memori. Untuk mematikan proses virus ini gunakan beberapa tools yang tidak diblok oleh W32/Gultung, seperti tools “Security Task Manager”, kemudian hapus file yang mempunyai icon “Kamera” atau icon “Folder”.
  2. Bersihkan registry yang sudah diubah virus. Untuk mempercepat proses penghapusan salin script dibawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.INF, jalankan file tersebut dengan cara:

· Klik Kanan repair.inf

· Klik Install

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oye

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

HKLM< SOFTWARE\Classes\lnkfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,UncheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, CheckedValue,0x00010001,2

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, DefaultValue,0x00010001,2

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue,0x00010001,1

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistriTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistriTools

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegistriEditor.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, winsystem

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Microfost

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysedit

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansavgd.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avguard.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avscan.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ClamWinPortable.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\command.com

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-SE.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe, debugger

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ViRemoval.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winamp.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winrar.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winzip.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\antv-md5-pattern.exe

  1. Hapus file induk dan file dulikat (exe dan doc), bisanya file DOC dan EXE ini akan berada di direktori yang sama. Khusus untuk file dengan icon DOC yang di sembunyikan sebaiknya tampilkan terlebih dahulu. Setelah itu hapus file duplikat tersebut dengan ciri-ciri:
    • Icon “Folder” atau “Kamera”
    • Icon “MS.Word” , biasanya file yang mempunyai icon MS.Word berada didirektori yang sama dengan file lain yang berbentu k“Folder” atau @Print”
    • Ukuran file random, tetapi biasanya untuk file duplikat yang mempunyai ekstensi EXE dan DOC akan mempunyai ukuran yang sama.
  1. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan menggunakan antivirus yang up-to-date.
  2. Gunakan software data recovery untuk recovery file.

Sumber : Vaksin.com

2 Tanggapan to “W32/Gultung (Tunggul Kawung) :File MS Office anda berubah jadi soal Ujian Negara”

  1. wah boleh jga nih virus mas…, boleh ngeselin mksudnya..hehhe
    tp kira2 klo format file qta pake .rtf gmana mas kira2 msh kena gak?
    klo virusnya qta scan pake ansav kira2 detect gak mas?
    trims atas informasinya yupzz mas….

  2. tp klo sistem kita pake deep freeze msh tetap aman khan mazzzzz

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: