Tipe Sampel: EXE
Size: 65,5 KB
MD5: 1e610e4f4d6c73db0973e2247b360f50
CRC32: b11432a2
Beberapa minggu yang lalu Saudara
3ndiixz melakukan upload sampel virus di
sini yang dikenali Smadav sebagai virus
Fandy.
[spoiler]
[/spoiler]
Virus ini merupakan varian lain dari virus Serviks yang merupakan virus lokal yang juga sudah bisa dideteksi dan dibersihkan oleh antivirus lokal seperti Smadav. Tetapi varian virus yang satu ini sedikit berbeda dari virus lokal yang lain karena selain mengutak-atik Registry, virus ini juga mengganti (OverWrite) File
HTM,
HTML,
OCX, dan
PHP yang ada di dalam komputer korban menjadi file buatan virus ini (dengan ekstensi yang sama) sehingga sangat merugikan
.
Aksi FileVirus ini akan membuat file berikut ini pada setiap Drive (C, D, E, dstnya..):
- disk32dll.exe
- Autorun.inf, yang isinya:
[spoiler][AUTORUN]
UseAutoplay=1
ICON=%SystemRoot%\system32\SHELL32.dll,7
OPEN=disk32dll.exe
SHELLEXECUTE=disk32dll.exe
Shell\OPEN\COMMAND=disk32dll.exe
Shell\explore\COMMAND=disk32dll.exe
Shell\Collapse\COMMAND=disk32dll.exe
SHELL=Collapse
Action=Please open your drive[/spoiler]
Fungsi autorun.inf ini adalah untuk menjalankan
disk32dll.exe secara otomatis setiap korban mengakses Drive yang telah terjangkit virus ini ataupun hanya dengan mencolok USB Drive yang sudah terjangkit virus ini (melalui fitur autoplay).
- msvbvm60.dll
- f*** Of Malingsia.txt, yang isinya:
[spoiler]
[/spoiler]
- Lirik Lagu.doc, yang isinya:
[spoiler]
[/spoiler]
Selain itu, virus ini juga akan membuat file:
-
screen.scr,
serviks.exe, dan
setup.exe di
C:\windows- run
32dll.exe (bukan run
dll32.exe milik windows),
serviks.exe di
C:\windows\system32- File .ico di
C:\windows\system32\Driver\Printer\LX300 (lihat gambar di bawah)
- C:\Documents and Settings\All Users\Desktop\
Foto Bugil.scr- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
system.exe (agar file system.exe ini dijalankan otomatis setiap User masuk (Log on) ke Windows)
File
disk32dll.exe,
Foto Bugil.scr,
run32dll.exe,
setup.exe,
serviks.exe,
screen.scr,
system.exe ini merupakan file yang identik (mempunyai kode Hash yang sama).
- Membuat banyak sekali file HTM (berukuran 1 KB) berawal dari
B4ND1T0.htm sampai dengan
B4ND1T9995.htm (dengan pola kenaikan nomor yang tidak tentu) pada lokasi
C:\WINDOWS[spoiler]
[/spoiler]
Isi dari HTML yang dibuat virus ini:
[spoiler]
[/spoiler]
Selain membuat file pada komputer korban, virus ini juga mengganti (Overwrite) file berikut:
- Mengganti file berekstensi
HTM dan
HTML yang berada pada setiap Drive. Virus ini menggantinya dengan file HTM/HTML dengan
nama dan
ekstensi yang sama dengan file asli. Tetapi jika dibuka kembali, isinya sama persis dengan gambar di atas (juga berukuran 1 KB). Akan tetapi, virus ini
tidak mengganti file HTM/HTML yang mempunyai folder pengikut (isi folder ini biasanya berupa file-file yang dibutuhkan oleh tampilan HMTL tersebut).
File HTM/HTML yang diganti Virus Selalu berukuran 1 KB, perhatikan bahwa file Arc_furnace.htm tidak diganti karena mempunyai folder pengikut- Mengganti file berekstensi
PHP. Virus ini juga menggantinya dengan
nama dan
ekstensi yang persis sama dengan yang asli (juga berukuran 1 KB). Sewaktu file PHP dan KEY ini dibuka dengan Notepad, isinya sama persis dengan Source Code HTML yang dibuat virus (yang telah diuraikan di atas):
[spoiler]
File PHP yang Diganti Virus Sewaktu Dibuka Dengan Notepad++/size][/spoiler]
- Mengganti file berekstensi
KEY dan
OCX. Virus ini juga menggantinya dengan
nama dan
ekstensi yang persis sama dengan yang asli (juga berukuran 1 KB). Isi kedua file yang diganti ini sewaktu dibuka dengan Notepad:
Termasuk juga file-file OCX yang berada di C:\windows dan C:\windows\system32 juga diganti sehingga memunculkan peringatan berikut:
Aksi RegistryValue yang dibuat:
- HKEY_CLASSES_ROOT\scrfile\DefaultIcon,
@="SHELL32.dll,3"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\DefaultIcon,
@="SHELL32.dll,3"Value ini dibuat untuk mengganti ikon file SCR dari ikon berbentuk aplikasi menjadi ikon berbentuk folder:
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,
Window Title="Serviks Explorer"Value ini dibuat untuk mengganti nama
Microsoft Internet Explorer/
Windows Internet Explorer menjadi
Serviks Explorer:
- Memblok Command Prompt, Task Manager, Regedit, Klik kanan (pada Desktop maupun Taskbar), Memghilangkan Folder Options, Run & Search (pada Start Menu) dengan membuat value:
[spoiler]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System dan HKEY_USERS\[USER]\Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableCMD=1
DisableTaskMgr=1
DisableRegistryTools=1HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer dan HKEY_USERS\[USER]\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoFolderOptions=1
NoRun=1
NoFind=1
NoTrayContextMenu=1 (Disable klik kanan pada Taskbar)
NoViewContextMenu=1 (Disable klik kanan pada Desktop)[/spoiler]
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SystemFileProtection,
ShowPopups=0- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,
DisableConfig=1
DisableSR=1Value ini dibuat untuk mematikan System Restore dan mencegah korban untuk mengaktifkannya kembali.
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer,
DisableMSI=1
LimitSystemRestoreCheckpointing=1Value ini dibuat untuk me-nonaktifkan file yang berekstensi MSI (Microsoft Windows Installer) dan mencegah Windows membuat Restore Point sewaktu menjalankan file MSI tersebut
- Membuat value berikut sehingga setiap kali korban masuk ke Windows, akan menjalankan secara otomatis file-file aplikasi yang telah dibuatnya:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
Microsoft Serviks="C:\WINDOWS\serviks.exe"
Windows Serviks="C:\WINDOWS\system32\serviks.exe"
Run32dll="C:\WINDOWS\system32\run32dll.exe"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Back Up Disk="D:\disk32dll.exe"
Setup="C:\WINDOWS\setup.exe"[spoiler]
File-File Aplikasi yang Dijalankan Sewaktu Melakukan Log On Pada Windows Termasuk Juga System.exe Seperti yang Telah Diuraikan Sebelumnya pada bagian Aksi File[/spoiler]
Selain itu, virus ini juga membuat value untuk menjalankan otomatis suatu file. Tetapi file yang dituju oleh value ini sebenarnya tidak ada dan juga tidak dibuat oleh virus ini sendiri. Saya sendiri kurang jelas apa tujuannya.. Tetapi saya bisa menyimpulkan bahwa value berikut ini (sama persis) juga dibuat oleh varian virus serviks yang lain (seperti Serviks Kiddrock). Hanya saja pada varian virus yang lain, value ini dibuat menuju kepada file aplikasi yang memang ada, sedangkan pada varian yang ini filenya tidak ada sama sekali:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
MSMSGS=C:\WINDOWS\Application Data\WINDOWS\WINLOGON.EXE
Service=C:\WINDOWS\Application Data\WINDOWS\SERVICES.EXEHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Logon="\Application Data\WINDOWS\CSRSS.EXE"
System Monitoring="\Application Data\WINDOWS\LSASS.EXE"- Mengganggu Service Windows seperti McAfee, Norton, Symantec, dan System Restore sehingga aplikasi tersebut tidak bisa berjalan sebagaimana semestinya tetapi sebagai gantinya akan mengaktifkan salah satu file virus (serviks.exe) setiap Service ini dijalankan. Untuk tujuan ini, virus mengubah Value berikut menjadi:
[spoiler]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McDetect.exe,
ImagePath="C:\WINDOWS\serviks.exe"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McShield,
ImagePath="C:\WINDOWS\serviks.exe"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McTskshd.exe,
ImagePath="C:\WINDOWS\serviks.exe"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mcupdmgr.exe,
ImagePath="C:\WINDOWS\serviks.exe"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPFMntor,
ImagePath="C:\WINDOWS\serviks.exe"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NSCService,
ImagePath="C:\WINDOWS\serviks.exe"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PugPlay,
ImagePath"="%SystemRoot%\system32\services.exe, c:\windows\svchost.exe"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SAVScan,
ImagePath="C:\WINDOWS\serviks.exe"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNDSrvc,
ImagePath="C:\WINDOWS\serviks.exe"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPBBCDrv,
ImagePath="C:\WINDOWS\serviks.exe"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPBBCSvc,
ImagePath="C:\WINDOWS\serviks.exe"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice,
ImagePathservice="C:\WINDOWS\serviks.exe"
Services.exe Menjalankan Serviks.exe Akibat Dari Value yang Telah digantinya
[/spoiler]
Value yang diubah:
- Tidak bisa membuka/menjalankan file BAT, COM, INF, INI, PIF, VBE, VBS. Dan apabila keenam tipe file ini tetap dijalankan, maka secara otomatis akan mengaktifkan salah satu file virus serviks.exe. Untuk tujuan ini, virus mengubah:
[spoiler]HKEY_CLASSES_ROOT\batfile\shell\open\command, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command, @
Dari
""%1" %*"" menjadi
"C:\WINDOWS\serviks.exe"HKEY_CLASSES_ROOT\comfile\shell\open\command, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command, @
Dari
""%1" %*"" menjadi
"C:\WINDOWS\serviks.exe"HKEY_CLASSES_ROOT\inffile\shell\Install\command, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command, @
Dari
"%SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1" menjadi
"C:\WINDOWS\serviks.exe"HKEY_CLASSES_ROOT\inifile\shell\open\command, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command, @
Dari
"%SystemRoot%\System32\NOTEPAD.EXE %1" menjadi
"C:\WINDOWS\serviks.exe"HKEY_CLASSES_ROOT\piffile\shell\open\command, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\pifFile\Shell\Open\Command
Dari
""%1" %*" menjadi
"C:\WINDOWS\serviks.exe"HKEY_CLASSES_ROOT\VBEFile\Shell\Open\Command, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBEFile\Shell\Open\Command, @
Dari
"%SystemRoot%\System32\WScript.exe "%1" %*" menjadi
"C:\WINDOWS\serviks.exe"HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open\Command, @
Dari
"%SystemRoot%\System32\WScript.exe "%1" %*" menjadi
"C:\WINDOWS\serviks.exe"[/spoiler]
- Mengubah tipe file berekstensi EXE dari
Application menjadi
Serviks Corporation dengan mengubah:
HKEY_CLASSES_ROOT\exefile, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile, @
Dari
"Application" menjadi
"Serviks Corporation"- Mengubah tipe file berekstensi file SCR dari
Screen Saver menjadi
File FolderHKEY_CLASSES_ROOT\scrfile, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile, @
Dari
"Screen Saver" menjadi
"File Folder"- Mengubah Home Page dan Local Page Internet Explorer menjadi salah satu file HTM (
B4ND1T[Nomor Urut].htm) yang telah dibuat virus di dalam folder C:\WINDOWS (seperti yang telah telah diuraikan diatas). Untuk tujuan ini virus ini mengubah:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,
Local Page menjadi
"C:\WINDOWS\B4ND1T[Nomor Urut].htm"Start Page menjadi
"C:\WINDOWS\B4ND1T[Nomor Urut].htm"Menyembunyikan Ekstensi file, menyembunyikan file beratribut Hidden, dan menyembunyikan file beratribut System dengan mengubah value berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced dan HKEY_USERS\[User]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden menjadi
2HideFileExt menjadi
1ShowSuperHidden menjadi
0
Virus ini juga mengubah value berikut ini:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder, HideFileExt
UncheckedValue menjadi
1HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder, SuperHidden
UncheckedValue menjadi
0Dengan tujuan agar User tidak bisa membuang centangan
Hide ekstensions for known file types dan
Hide protected operating system files melalui Folder Options. Setiap kali User berusaha membuang centangannya (dengan harapan untuk menampilkan ekstensi file dan menampilkan file-file yang beratribut System), centangannya selalu muncul kembali. Jadi, User tidak akan pernah bisa melihat file-file induk virus ini karena semua filenya beratribut Hidden dan System.
Tidak seperti kebanyakan virus yang lain, virus ini tidak mengubah
UncheckedValue pada
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] sehingga User tetap bisa dengan bebas mengganti settingan
Hidden files and folders (
Do not show hidden files and folders ataupun
show hidden files and folders) dalam menampilkan/melihat file-file yang di-Hidden. Tetapi dengan inipun, User tetap tidak bisa melihat file beratribut
System sehingga file-file induk virusnya (yang sengaja dibuat beratribut System) tetap tidak bisa kelihatan.
- Mengubah Nama Pemilik Windows menjadi
4ND1 PR06R4M3R dan organisasi pemilik Windows menjadi
V-Maker. Untuk tujuan ini, virus ini mengubah:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion,
RegisteredOrganization menjadi
"V-Maker"RegisteredOwner menjadi
"F4ND1 PR06R4M3R"
- Mengaktifkan kembali fitur Autoplay walaupun telah dimatikan oleh User agar Virus (virus yang sedang dibahas ini ataupun virus lainnya) dapat masuk ke komputer korban sewaktu USB Drive yang telah terinfeksi oleh virus dicolokkan ke Port USB walaupun korban belum membuka isi Drive USB tersebut. Untuk tujuan ini, virus ini mengubah:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun
HKEY_USERS\[USER]\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun
Menjadi
1 (Seharusnya
255 agar fitur autoplay tidak berjalan).
- Mengubah value berikut dengan harapan agar file
IExplorer.exe aktif setiap kali user log on ke Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell
Dari
"Explorer.exe" menjadi
"Explorer.exe "C:\WINDOWS\system32\IExplorer.exe""HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
Dari
"C:\WINDOWS\system32\userinit.exe," menjadi
"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\IExplorer.exe"Tetapi file
IExplorer.exe ini sebenarnya tidak dibuat oleh varian virus serviks yang ini (sedangkan pada varian virus serviks yang lain, file ini tetap dibuat) sehingga memunculkan pesan error berikut saat User melakukan log on:
- Mengubah Value berikut ini untuk mengaktifkan
Shell.exe sewaktu komputer User melakukan Debugg saat terjadi Error. Tetapi file Shell.exe ini tidak dibuat oleh varian Serviks yang ini sehingga tidak berpengaruh terhadap keamanan komputer User.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug, Debugger
Dari
"drwtsn32 -p %ld -e %ld -g" menjadi
"C:\WINDOWS\system32\Shell.exe"==> Lanjut Di Bawah Karena Karakter terlalu banyak 
<== 
