Pages

Selasa, 28 Januari 2014

Virus Nabilah JKT48 & Cara Menghilangkannya

Selain Cherrybelle, JKT48 memang sedang ngetop di Indonesia dengan Heavy Rotationnya. Nah, salah satu fans Nabilah membuat malware lengkap dengan theme yang akan menampilkan wallpaper Nabilah yang akan marah-marah dan memberikan hukuman kepada komputer anda dengan jurus heavy rotation. (lihat gambar 6) alias mouse anda akan ber heavy rotation alias goyang-goyang seperti kena gempa dan tidak bisa diakses selama 1 menit jika anda mencoba mengakses situs pornografi. Selain itu, jika anda ingin menghapus malware ini, ia tidak akan berkata I love You atau menjadikan komputer anda seperti popcorn, tetapi ia akan menampilkan pesan :
 
Kamu Jahat Ihhh...

Mau Hapus Nabilah Pake Software Aneh Yah?

Kamu Sayang Nabilah kan?

Bau Ketek Nabilah Kamu!

Nabilah Benci Kamu!

Uhh...Dasar Jelek!

Untuk detailnya silahkan ikuti analisa Vaksinis dan cara membasmi malware ini pada artikel di bawah ini.

Gimana sih kalo kamu mengidolakan seseorang.? Pasti tanpa disadari kita ingin cari tau perkembangannya,kesehariannya,dan apa yang ia lakukan.Kadang ia pun bisa menjadi motivasi dan menginspirasi diri kita sendiri. dan bagaimana jika seorang idola bisa menjadi Inspirasi seseorang untuk membuat malware.? Itulah yang terjadi pada malware Trojan.Heur.PM0@sLTnlkib yang dikenal dengan Malware Nabilah JKT48.

Ternyata nama besar Idol grup yang sedang eksis di dunia hiburan itu pun tidak hanya banyak di social media, tetapi di dunia Keamanan Siber. Entah apa yang ada di pikiran seorang creator malware tersebut dengan mendompleng salah satu personil idol grup JKT48 ini untuk dijadikan nama Malwarenya?. Silahkan lihat uraian Vaksincom di bawah ini.
Gambar 1 . G Data Mendeteksi Malware ini sebagai Gen.Trojan.Heur.pm0@sLYknIkib

Informasi File Induk

Malware Nabilah JKT48 atau yang dikenal dengan Trojan.Heur.PM0@sLTnkib inipun lumayan membuat repot jika komputer anda terinfeksi olehnya. Malware yang dibuat menggunakan bahasa pemprograman Visual Basic inipun langsung membuat file induk yang tersimpan di beberapa lokasi ketika ia dijalankan :

  • C:\Windows\ n4b1l4h_jkt48.exe
  • C:\Windows\System32\ heavy_rotation.scr
  • C:\Windows\System32\ updatesysw1n.com


Gambar 2. Induk File malware ini adalah file heavy_rotation.scr, updatesysw1n.com dan n4b1l4h_jkt48.exe

Malware ini pun mempunyai kemampuan menyebarkan dirinya ke setiap folder yang dibuka user. Nama virus yang digandakan akan sesuai dengan nama folder yang dibuka tersebut. (lihat gambar 3)
Gambar 3 . File dengan icon folder hasil penggandaan virus bertujuan untuk menarik korban mengklik

Malware ini pun dapat juga menyebarkan dirinya lewat removable disk, dengan fungsi autorun maka virus akan otomatis menjalankan file ayuchin.exe yang sebelumnya di hidden system dan berhasil menginfeksi komputer yang tercolok Removable Disk tersebut (lihat gambar 4)
Gambar 4. File Autorun.inf dan File Exe Bernama Nabilah Ratna Ayu Azalia.exe dan ayuchin.exe yang menular dan menginfeksi removable disk

Malware ini pun juga mempunyai kemampuan melumpuhkan program sekuriti dan tools yang biasa digunakan untuk menghentikan / analisa malware dengan caption security/file/folder antara lain :

  • anti
  • malware
  • trojan
  • w32
  • hex
  • proc
  • restor
  • option
  • vir
  • reg
  • dbg
  • bug
  • detec
  • walk
  • avas
  • scan
  • comodo
  • fire
  • mcaf
  • smada
  • nort
  • task
  • search
  • spy
  • autorun
  • hijack
  • config
  • propert
  • watson
  • remove
  • kill
  • windows
  • system32
  • wsar
  • ghost
  • avg
  • visual basic
  • c++
  • clean
  • cmd.
  • command
  • secur
  • norman
  • tweak
  • hack
  • symantec
  • nod32
  • protec
  • control
  • rootkit
  • devil
  • forum
  • linux
dan uniknya, jika komputer yang terinfeksi malware mencoba untuk membuka program-program yang telah diblokir tersebut, maka malwarepun memaksa mengakhiri programpun dengan cara close paksa dan sedikit bantuan dari Nabilah yang menampilkan wallpaper menjadi sebagai berikut :
Gambar 5 Omelan Nabilah ketika komputer menjalankan program yang diblokir yang bertujuan menghapus malware ini
Selain itu, ibarat Kak Seto, malware ini pun tidak menginginkan PC yang dijangkitinya mengakses pornografi. Caranya adalah, jika komputer membuka file dengan keyword porno, maka Nabilah pun kembali mengomel dan kursor mouse bergerak secara sembarangan dan tidak dapat dikontrol selama 60 detik.
Menurut perhitungan Vaksincom, ada 66 keyword yang di anggap terlarang oleh malware Nabilah sehingga di blok. Banyak dari keyword tersebut yang jika ditampilkan kemungkinan besar bisa membuat kak Seto jantungan. Yang menariknya ada keyword "belle" yang ikut diblok dan meskipun kemungkinan tidak termasuk keywork berbau pornografi namun kemungkinan ikut diblok oleh malware Nabilah karena keyword ini merupakan bagian kata dari girlband populer lain saingan dari JKT48. Adapun beberapa keyword yang diblok adalah sebagai berikut :  ** (banyak kata yang terlalu vulgar dan terpaksa disensor oleh Vaksincom)
  • s*x
  • e***t
  • m***k
  • t***t
  • k****l
  • p***s
  • j****t
  • tante
  • f**k
  • mahasiswi
  • playboy
  • sh*t
  • k****t
  • p****t
  • miyabi
  • t***t
  • belle
  • n*****g
  • s****g
Gambar 6 , Wallpaper yang ditampilkan Malware ketika anda membuka file yang dianggap bercaption porno
Nabilah Ngga Suka Kamu Punya File-File Jorok dan Nggak Penting.
Kalo Kamu Masih Buka File-File Itu Lagi Nabilah Kasih Jurus Heavy Rotation Lagi Biar Cursor Mouse Kamu Gerak-Gerak Sendiri

Untuk Memperlancar gerak geriknya Malware pun juga menulis sebagian key pada registry diantara lain

Menjalankan File Induk Pada Registry
Key :HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Run",
Value : nabilah,
Data : C:\WINDOWS\n4b1l4h_jkt48.exe
Key :HKEY_LOCAL_MACHINE, "SOFTWARE\Microsoft\Windows\CurrentVersion\Run Value : heavy_rotation",
Data : C:\WINDOWS\system32\heavy_rotation.scr


Key :HKEY_LOCAL_MACHINE, "SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value : updatesyswin
Data : C:\WINDOWS\system32\updatesysw1n.com
Key :HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Run
Value : updatesyswin,
Data : C:\WINDOWS\system32\updatesysw1n.com

Tidak dapat menampilkan Ekstensi File
Key :HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced", " Value : HideFileExt
Data : 0x00000001

 Tidak Dapat Menampilkan file yang tersembunyi
Key :HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Value : "Hidden"
Data :0x00000002
Key :HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Value : ShowSuperHidden",
Data : 0x00000000
Disable File Option
Key :HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Policies\ExplorerValue :NoFolderOptions
Data : 0x00000001
Key :HKEY_LOCAL_MACHINE, "SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
Value : NoFolderOptions
Data : 0x00000001
Membersihkan malware ini :
  1. Unduh G Data Antivirus 2014 pada situs di bawah ini :
http://www.virusicu.com/product/antivirus2014.php
  1. Karena akses terhadap program antivirus diblok oleh malware, maka instalasi antivirus dilakukan pada safemode. Untuk masuk safemode restart komputer anda dan tekan [F8] dan tahan untuk memunculkan [Windows Advance Option Menu]. Lalu pilih [Safe Mode]
  2. Jalankan file instalasi G Data Antivirus yang telah anda unduh [INT_R_FUL_2014_AV.exe]. Jika anda ingin mengetahui lebih detail settingan dan cara instalasi G Data bisa di dapatkan dari :
http://virusicu.com/download/manual/quick%20install%20gdata%202014.pdf untuk Quick installation (instalasi cepat) atau manual lengkap dalam Bahasa Indonesia di :
http://virusicu.com/download/manual/Manual%20Instalasi%20Antivirus%20GData%202014.rar
  1. Scan komputer dengan G Data Antivirus 2014. Anda bisamelakukan perintah scan dari layar G Data atau langsung dari Windows Explorer seperti gambar 7 di bawah ini.
Gambar 7, Klik kanan pada drive C: dan pilih check for viruses.
  1. Tunggu sampai proses scan selesai. Setelah scan selesai, G Data akan memberikan hasil scanning seperti pada gambar 8 di bawah ini. Lalu klik tombol [Execute actions] untuk membersihkan malware yang terdeteksi.
Gambar 8, Klik [Execute actions] untuk membersihkan malware yang tertangkap G Data
  1. Hapus string yang telah dibuat oleh Malware Nabilah JKT48 pada registri, untuk mempercepat proses penghapusan registri tersebut tulis script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf setelah itu jalankan file tersebut dengan cara :
Klik kanan repair.inf
Klik [Install]

<<<Start script>>>

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee 2014
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden ,UncheckedValue,0x00010001,1
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU,Software\Microsoft\Windows\CurrentVersion\Run,nabilah
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run,heavy_rotation
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, updatesyswin
HKCU,Software\Microsoft\Windows\CurrentVersion\Run, updatesyswin

<<<End script>>>

Untuk melindungi komputer anda dari malware ini maupun variannya, gunakan program antivirus yang terupdate dan mampu mendeteksi malware ini seperti G Data Antivirus. (lihat gambar 9)
Gambar 9, G Data Client yang merupakan bagian dari G Data Enterprise solution dapat mendeteksi malware Nabilah dengan baik
salam,
Paisal Abdau
info@vaksin.com
PT. Vaksincom

Jl. R.P. Soeroso 7AA

Cikini

Jakarta 10330
FB Page : facebook.com/vaksincom
Twitter : @vaksincom

Ph : 021 3190 3800



Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)