W32/Autorun.FCN 9 September 2008
Sayang Kapan Kamu Kembali Ke Indonesia?
Apa Kamu Kembali Dengan Hatimu Yang Dulu?
Tak Kau Lihat Aku Disini Rapuh?
Hanya Berharap Kamu Dapat Mengerti Aku
Harap hati-hati jika menemukan file dengan icon TXT (text document) yang mempunyai ukuran 443 KB dengan ekstensi EXE (Application) dalam komputer maupun Flash Disk sebaiknya jangan dibuka jika tidak ingin komputer anda di acak-acak oleh rieysa.
Dilihat dari script yang ada dalam tubuh virus serta pesan yang ditampilkan, kemungkinan virus ini berasal dari kota Gudeg (Jogjakarta). Virus ini sudah tidak lagi menggunakan program bahasa Visual Basic tetapi sudah dibuat dengan menggunakan program bahasa Borland Delphi 6.0. Oleh karena itu dalam salah satu misinya adalah berupaya melumpuhkan semua program yang dibuat dengan program bahasa Visual Basic 6.0.
Ciri-ciri komputer terinfeksi Autorun.FCN (rieysha)
Ciri umum yang dapat dikenali dari virus ini adalah akan munculnya pesan dari sang pembuat virus setiap kali komputer dinyalakan atau pada saat user membuka file yang mempunyai ekstensi .TXT, .BAT, .DOC atau .INI.
Selain itu pada jendela System Properties, virus ini akan merubah RegisterOwner menjadi rieysa dan RegisterOrganization menjadi anak Jogja
Ciri lain yang akan didapat dari virus ini adalah, virus ini akan merubah halaman utama (start page IE) pada saat menjalankan aplikasi internet explorer menjadi alamat
http://anharku.freevar.com, situs ini merupakan situs sang VM yang salah satu isinya adalah kumpulan virus-virus yang berhasil dibuat oleh sang VM
Runtime Virus
Pada saat pertama kali file virus ini dijalankan, ia akan menampilkan beberapa pesan dari sang VM yang ditunjukan kepada kekasihnya,
Jika pesan tersebut ditutup maka ia akan menutup semua program aplikasi yang sedang dibuka dan menutup desktop Windows dengan wallpaper yang telah dipersiapkan oleh virus yang teridiri dari beberapa warna secara terus menerus. Pada walpaper tersebut terdapat satu opsi yang jika di centang maka akan mucul pesan 2 pesan yakni “rieysa anak jogja” dan salam buat hacker and virus maker” secara terus menerus selama opsi tersebut di pilih.
File induk
Setelah file tersebut dijalankan ia akan membuat 2 buah file di folder dimana file virus tersebut dijalankan pertama kali yakni :
rieysha_anak_jogja.txt = 1,356 KB
File ini adalah file msvbvm60.dll asli Windows, sedangkan untuk mengelabui user ia akan copy file C:\Windows\system32\msvbvm50.dll menjadi C:\Windows\System32\msvbvm60.dll
rieyshaSakitHati.txt = 131
Untuk mempertahankan dirinya, ia akan membuat beberapa file induk yang ditepatkan di lokasi yang berbeda-beda seperti:
C:\Program Files
RunDll.exe
KenanganJogja.exe
C\WINDOWS\rieysha.exe
C:\Jadwal_Manggung.exe
C:\PesanBuatKekasih.bat
C:\rieysha.exe
C:\Windows
bacaan_anak_tk.txt (file asli = notepad.exe)
bacaanHot.txt (file asli = notepad.exe)
pesan.txt
ReadMe.txt (file asli = cmd.exe)
rieysha.exe
C:\Windows\system32
Rahasiaku_Pacarku.exe
DaftarHacker_Blacklist.exe
Cerita_Panas_Mendebarkan.exe
Pesanku.doc
SuratCinta.exe
Autorun.inf
RieyshaAnakJogja.exe
Sampah.txt
notepad.exe
C\WINDOWS\system32\Restore\pesan1.txt
C\WINDOWS\system
psene_seng_gawe.rtf
rieysha.exe
Jogja_virus_maker.exe
D\DiaryRieysha.exe
D:\Puisi.txt
E\CatatanTugas.exe
H:\CeritaDewasa.exe
G:\CatatanML.exe
K\CeritaML.exe
Virus ini juga akan membuat string pada registry berikut agar salah satu file induk tersebut dapat dijalankan secara otomatis setiap kali komputer dinyalakan:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run
RunDll=C:\Program Files\RunDll.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windll=C:\Program Files\Internet Explorer\Iexplore.exe
Untuk mempertahankan dirinya ia akan mencoba untuk blok beberapa fungsi windows seperti :
Task Manager
Regedit
Run
Find
Shutdown
Folder Option
Menyembunyikan drive master (c:\)
Untuk blok fungsi Windows di atas ia akan membuat string pada registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Explorer = NoCLose
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer
- NoCLose = 1
- NoDrives = 4
- NoDriveTypeAutoRun = 0
- NoFind = 1
- NoFolderOptions = 1
- NoRun = 1
- NoViewOnDrive = 4
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD =1
- DisableRegistryTools =1
- DisableTaskMgr = 1
Virus ini juga akan mencoba untuk merubah beberapa nama file windows seperti C:\Windows\cmd.exe menjadi “ReadMe.txt“ dan C:\Windows\notepad.exe menjadi ”bacaan_anak_tk.txt” atau “bacaanHot.txt”
Untuk menunjukan eksistensinya ia akan merubah nama pemilik Windows, penunjuk jam serta merubah halaman utama internet explorer dengan merubah string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- RegisteredOrganization = anak jogja gitu
- RegisteredOwner = rieysha (lihat gambar 2 di atas)
HKEY_CURRENT_USER\Control Panel\International
- s1159 = rieysha
- s2359 = rieysha (lihat gambar 6)
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Start Page=anharku.freevar.com
Manipulasi file notepad.exe untuk mempertahankan diri
Agar virus ini susah dibasmi, ia akan menghapus file “c:\windows\system32\notepad.exe”. Agar user tidak curiga dan file yang dibuka dengan program “notepad” tetap dapat dijalankan maka ia akan membuat file duplikat dengan nama yang sama. Jika user menjalankan file dengan ekstensi .bat, .ini, .doc atau .txt serta mengedit file dengan program notepad seperti .cmd, .regi, .vbe, .wsf, .zaf maka secara otomatis akan menjalankan file notepad.exe yang sebenarnya adalah virus serta memunculkan pesan dari sang pembuat virus.
Merubah icon dan type file menjadi txtfile
Virus ini juga akan merubah icon file dengan ekstensi .bat, .ini, .doc, .txt (txtfile) dan .dll dengan icon "TXT (text document)”, serta mempunyai type file sebagai “Text Document” jika file tersebut dibuka maka akan muncul pesan dari si pembuat virus. Untuk melakukan hal tersebut ia akan merubah string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.sys
- [default] = txtfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.doc
[default] = txtfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bat
- [Default] = txtfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.ini
- [default] = txtfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.dll
[Default] = txtfile
Jika lokasi key txtfile ini ditelusuri akan terlihat jelas bahwa file tersebut akan mempunyai icon text Document [] dan secara default file tersebut akan dibuka dengan menggunakan program “notepad”,
Sedangkan file notepad.exe tersebut sebenarnya adalah file induk virus, dari sini sudah dapat dipastikan bahwa setiap kali user membuka file yang mempunyai ekstensi di atas maka secara tidak langsung akan mengaktifkan virus tersebut.
Autorun.FCN juga berusaha untuk merubah type file dari aplication menjadi Text Document, dengan tujuan untuk menyamarkan dirinya agar mudah untuk mengelabui user karena icon yang akan digunakan adalah icon TXT, tetapi hal ini tidak berhasil karena terdapat kesalahan pada saat merubah string default icon file aplikasi.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
- Default = Text Document
Setiap kali komputer dinyalakan, Autorun.FCN juga akan menampilkan pesan berikut, jika pesan tersebut di tutup maka semua program aplikasi akan di matikan poleh virus serta menutup Wallpaper windows dengan wallpaper dirinya dengan warnan berbeda secara terus menerus. Pada wallpaper tersebut terdapat satu opsi yang jika di centang maka akan memunculkan pesan lain dari sang pembuat virus. (lihat gambar 1 dan 5 di atas)
Blok program VB 6.0
Autorun.FCN akan mencoba untuk blok semua program yang dibuat dengan menggunakan program Visual Basic 6.0. termasuk virus yang dibuat dengan bahasa VB 6.0. Untuk melakukan hal tersebut ia merubah file C:\Windows\system32\msvbvm60.dll menjadi rieysha_anak_jogja.txt (biasanya file ini akan di simpan di direktori di mana file virus pertama kali dijalankan atau di drive C:\) dan untuk mengelabui user ia akan copy file C:\Windows\system32\msvbvm50.dll menjadi C:\Windows\system32\msvbvm60.dll, sehingga user tidak menyadari bahwa file msvbvm60.dll sudah dimanipulasi oleh virus.
Jika user membuka file yang dibuat dengan Visual Basic 6.0 maka akan mucul pesan error
Media penyebaranUntuk menyebarkan dirinya, Autorun.FCN akan membuat file dengan nama CatatanML.exe pada Flash Disk.
Cara membasmi Autorun.FCNUntuk membersihkannya, simak langkah-langkah berikut ini:
1. Matikan System Restore selama proses pembersihan.
2. Matikan proses virus yang sedang aktif dimemori. Untuk mematikan proses ini anda dapat menggunakan tools pengganti task manager seperti "Curr Process", kemudian matikan proses yang mempunyai icon "txt".
3. Perbaiki registry Windows dengan membuat script berikut pada program notepad, kemudian simpan dengan nama repair.inif. Jalankan file tersebut dengan cara: klik kanan repair.inf, lalu klik Install.
Sebaiknya buat file repair.inf di komputer lain yang tidak terinfeksi virus agar virus tidak kembali aktif atau pada program wordpad.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner ,0, "Owner"
HKCU, Control Panel\International, s1159,0, "AM"
HKCU, Control Panel\International, s2359,0, "PM"
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"
HKLM, SOFTWARE\Classes\.sys,,,"sysfile"
HKLM, SOFTWARE\Classes\.doc,,,"word.document.8"
HKLM, SOFTWARE\Classes\.bat,,,"batfile"
HKLM, SOFTWARE\Classes\.ini,,,"inifile"
HKLM, SOFTWARE\Classes\.dll,,,"dllfile"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoDriveTypeAutoRun,0x00010001,255
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\run, RunDll
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, Windll
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies, NoClose
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoClose
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoDrives
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoViewOnDrive
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHiden
HKCU, SOFTWARE\Classes\exefile, Default
Catatan:
Pada saat menyimpan file repair.inf pada program wordpad, pada kolom "save as type" pilih "Text Document".
4. Hapus file virus dengan terlebih dahulu menampilkan file yang tersebunyi agar proses pencarian file lebih optimal. Jika folder option atau drive master (c:\) belum tampil, logoff komputer terlebih dahulu.
C:\Program Files
RunDll.exe
KenanganJogja.exe
C\WINDOWS\rieysha.exe
C:\Jadwal_Manggung.exe
C:\PesanBuatKekasih.bat
C:\rieysha.exe
C:\Windows
pesan.txt
rieysha.exe
C:\Windows\system32
Rahasiaku_Pacarku.exe
DaftarHacker_Blacklist.exe
Cerita_Panas_Mendebarkan.exe
Pesanku.doc
SuratCinta.exe
Autorun.inf
RieyshaAnakJogja.exe
Sampah.txt
notepad.exe
C\WINDOWS\system32\Restore\pesan1.txt
C\WINDOWS\system
psene_seng_gawe.rtf
rieysha.exe
Jogja_virus_maker.exe
D\DiaryRieysha.exe
D:\Puisi.txt
E\CatatanTugas.exe
H:\CeritaDewasa.exe
G:\CatatanML.exe
K\CeritaML.exe
5. Cari file rieysha_anak_jogja.txt, kemudian rename menjadi MSVBVM60.DLL, setelah itu copy file tersebut ke direktori "C:\Windows\system32".
6. Ubah nama file "C:\Windows\bacaan_anak_tk.txt" atau "C:\Windows\ bacaanHot.txt" (pilih salah satu) menjadi C:\Windows\notepad.exe. Kemudian ubah juga nama file "C:\Windows\ReadMe.txt" menjadi "C:\Windows\cmd.exe"