cara mengatasi virus bulu bebek

W32/VBWorm.QXE (bulubebek)

Giliran Donal Bebek yang menyerang komputer Indonesia

Rupanya Donal Bebek tidak mau kalah dengan Kenshin, Doraemon dan Naruto. Setelah melihat “saingannya” dari Jepang beraksi, kini muncul virus lokal yang mungkin terinspirasi Donal Bebek. Virus ini dapat dikenali dengan ciri khasnya mengandung nama Bulu Bebek. Penyebaran Bulu Bebek ini sebulan terakhir cukup merata dan diperkirakan ribuan komputer di seluruh Indonesia “dikerjai” oleh si Donal Bebek ini. Virus ini berusaha untuk menyembunyikan folder/subfolder dan membut file duplikat dengan tujuan untuk mengelabui user.

Bulubebek dibuat menggunakan Visual Basic dengan ukuran file sebesar 53 KB (lihat gambar 1) yang terdiri dari 2 jenis file yakni .EXE dan .INI. Dengan update terbaru Norman Virus Control dan Norman Security Suite telah mendeteksi virus ini sebagai VbWorm.QXE (lihat gambar 2)

Gambar 1, File induk virus

Gambar 2, Hasil deteksi Norman Security Suite

File Induk

Pada saat virus ini aktif ia akan membuat sejumlah file yang akan dijalankan pertama kali pada saat komputer dinyalakan serta membuat file autorun.inf agar virus tersebut dapat aktif secara otomatis setiap kali user akses folder. Berikut beberapa file induk yang akan dibuat oleh VBWorm.QXE

  • C:WindowsScript.exe

  • C:WindowsLSASS.exe

  • C:Documents and Settings%user%autorun.inf

  • C:Documents and Settings%user%bulubebek.ini

  • C:bulubebek.ini

  • c:autorun.inf

Auto start registry

Untuk memastikan agar file tersebut dapat dijalankan, ia akan membuat string pada registry berikut:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon

    • Shell = explorer.exe script.exe

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

    • Shell = explorer.exe script.exe

Blok Fungsi Windows

Sebagai bentuk pertahanan ia akan mencoba untuk blok beberapa fungsi Windows seperti Task Manager, Folder Option atau CMD. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenHideFileExt

– CheckedValue=2

– DefaultValue = 2

– UncheckedValue = 2

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN

– CheckedValue= 0

– DefaultValue = 0

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL

– CheckedValue= 2

– DefaultValue = 2

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenShowFullPath

– CheckedValue= 0

– DefaultValue = 0

– UncheckedValue = 0

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenShowFullPathAddress

– CheckedValue= 0

– DefaultValue = 0

– UncheckedValue = 0

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSuperHidden

– CheckedValue= 2

– DefaultValue = 2

– UncheckedValue = 2

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHideFileExt

– CheckedValue= 1

– DefaultValue = 1

KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSuperHidden

– CheckedValue= 0

– DefaultValue = 0

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

– NoFolderOptions

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

– DisableRegistryTools

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

– Hidden = 2

– HideFileExt = 1

– ShowSuperHidden = 1

HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor

  • AutoRun = exit

HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor

  • AutoRun = exit

Ia juga akan mencoba blok eksekusi file “Microsoft Visual Studio Spy Debugging Tools” yang mempunyai nama file SPYXX.exe dengan menampilkan pesan berikut saat file tersebut di eksekusi dengan terlebih dahulu membuat string pada registry berikut : (lihat gambar 3)

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsSPYXX.EXE

      • debugger = TAI BEBEK

Gambar 3, Pesan Error saat menjalankan file Spyxx.exe

Penyebaran otomatis

Flash Disk adalah salah satu media yang akan digunakan untuk menyebarkan dirinya dengan memanfaatkan celah autorun Windows yakni dengan membuat file autorun.inf dan bulubebek.ini (lihat gambar 4)

Gambar 4, Script yang terdapat pada file autorun.inf

Hidden folder dan membuat duplikat folder

Tidak seperti virus lain yang jahat menginjeksi atau menghancurkan file komputer korbannya, pembuat Bulu Bebek ini kelihatannya tidak memiliki niat jahat menghancurkan data komputer korbannya. Bulubebek akan mencoba untuk menyembunyikan folder/subfolder pada flash disk, untuk mengelabui user ia akan membuat file duplikat disetiap folder/subfolder sesuai dengan nama older/subfolder tersebut. File duplikat ini mempunyai ciri-ciri : (lihat gambar 5)

  • Menggunakan icon Folder

  • Ukuran file 53 KB

  • Ekstensi EXE

  • Type File “Application

Gambar 5, File duplikat yang dibuat oleh VBWorm.QXE / bulubebek

Membersihkan virus Bulubebek

  1. Sebaiknya putuskan komputer yang akan dibersihkan dari jaringan (jika terhubung ke LAN)

  2. Disable “System Restore” untuk sementara selama proses pembersihan berlangsung (jika menggunakan Windows ME/XP)

  3. Matikan proses virus yang sedang aktif di memori, untuk mematikan proses virus ini gunakan tools penggganti taks manager seperti procexp, kemudian matikan proses virus yang mempunayi icon “Folder”. (lihat gambar 6)

Gambar 6, Mematikan proses virus yang aktif dimemory

  1. Repair registry Windows yang sudah di ubah oleh virus. Untuk mempercepat proses tersebut salin script dibawah ini pada program notepad kemdian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:

    • Klik kanan repair.inf

    • Klik Install

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, SoftwareCLASSESbatfileshellopencommand,,,”””%1″” %*”

HKLM, SoftwareCLASSEScomfileshellopencommand,,,”””%1″” %*”

HKLM, SoftwareCLASSESexefileshellopencommand,,,”””%1″” %*”

HKLM, SoftwareCLASSESpiffileshellopencommand,,,”””%1″” %*”

HKLM, SoftwareCLASSESregfileshellopencommand,,,”regedit.exe “%1″”

HKLM, SoftwareCLASSESscrfileshellopencommand,,,”””%1″” %*”

HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, Shell,0, “Explorer.exe”

HKLM, SYSTEMControlSet001ControlSafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEMControlSet002ControlSafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEMCurrentControlSetControlSafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden, UncheckedValue,0x00010001,1

HKLM, SOFTWAREMicrosoftCommand Processor, AutoRun,0,

HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL, CheckedValue, 0x00010001,1

HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL, DefaultValue, 0x00010001,2

HKCU, SoftwareMicrosoftCommand Processor, AutoRun,0,

[del]

HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegistryTools

HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableTaskMgr

HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer, NoFolderOptions

HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer, NOFind

HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer, NORun

HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp

HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsPAYXX.exe

HKCU, SoftwareMicrosoftWindows NTCurrentVersionWinlogon, Shell

HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenHideFileExt

HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenShowFullPath

HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenShowFullPathAddress

HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSuperHidden

HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer, NoFolderOptions

HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegistryTools

  1. Cari dan hapus file duplikat yang dibuat oleh virus. Untuk mempercepat proses pencarian sebaiknya gunakan fungsi “Search Windows” dengan terlebih dahulu menampilkan file yang disembunyikan. (lihat gambar 7)

Gambar 7, Menampilkan file yang disembunyikan

Jika Folder Option belum muncul sebaiknya LogOff komputer terlebih dahulu kemudian tampilkan file yang tersebunyi.

Setelah file duplikat ditemukan, hapus file yang mempunyai ciri-ciri : (lihat gambar 8)

      • Menggunakan icon Folder

      • Ukuran file 53 KB

      • Ekstensi EXE

      • Type File “Application

Gambar 8, Mencari dan menghapus file duplikat Bulubebek

  1. Tampilkan kembali file/folder pada Flash Disk yang sudah disembunyikan. Untuk menampilkan file yang disembunyikan anda dapat menggunakan bebarapa tools alternatif seperti Batch File Utility atau dengan menggunakan perintah ATTRIB

Berikut cara menampilkan file/folder yang disembunyikan dengan menggunakan ATTRIB (lihat gambar 9)

  • Klik “Start”

  • Klik “Run”

  • Ketik “CMD”, kemudian tekan tombol “Enter”

  • Pindahkan posisi kursor ke drive Flash Disk

  • Kemudian ketik perintah ATTRIB –s –h –r /s /d kemudian tekan tombol “enter”

Gambar 9, Menampilkan file yang disembunyikan

  1. Untuk pembersihan optimal dan mencegah infeksi ulang scan, dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini.

sumber: vaksin.com

9 pemikiran pada “cara mengatasi virus bulu bebek

  1. nah ini dia nih virus menyebalkan……….
    BULU BEBEK…
    thanks buat infonya… tpi ta’ coba dlu nih .. moga aja bisa😀

  2. maaf mau tanya kalau sudah terlanjur format ulang gmn,soalnya setelah format ulang ternyata si bulu bebek masih ada??sekarang D ku tidak bisa d buka…

    Thx ata jawabannya

    Achonk KCDj/607

  3. untuk achonk backup datanya,trus format D nya lalu setelah komputer di install ulang scan dulu kompienya dengan antivirus yang update seperti Avira *RECOMMENDED*

  4. terkejut ni,saat laptop Q kena virus ni.
    bisa pulih sepenuhnya ga laptop Q lagi??????????????
    thanks atas infonya.

  5. sore rencana mau bersihkn BulBek d laptop orang,ntar deh dkasi tau laptopnya bs sembuh lagi ato harus instal ulang,0k!!!!!!!!!!!!

  6. aduh… BuLu BeBek nie macam Virus yang berbahaya gk iYa ?? cz komputer qu udah berapa kaliE aq instaLL ulang tpi tetep ada virus buLu BeBek nya yang ada di harddisk.
    Gmana ya maz ya cara mengatasi virus nie ???

    1. virus ini cukup berbahaya …rewel istilahnya…bagusnya mas izal..ketika install ulang komputernya..partisi C di format habis dan jangan di buka partisi yang lain,sampai antivirus terinstall dan di update,scan total seluruh komputernya terlebih dahulu
      recomendasi saya gunakan mcAfee dan smadav…

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s