Akhir-akhir ini, muncul virus pembuat Shortcut di FlashDisk yang cukup meresahkan.
Mungkin banyak user yang bertanya-tanya, “Numpang nanya gan. Kok isi flashdisk saya tidak ada filenya? Padahal kalau dilihat di Properties terlihat Used space-nya terisi, yang berarti seharusnya ada file di dalam flashdisk”, “Gan, kok file di flashdisk saya hilang sendiri ya?”, dan pertanyaan sebagainya. Lalu ada juga yang menjawab, “Itu virus gan, bersihkan pakai Smadav, Smadav yang membuat virusnya, Smadav juga yang bersihkannya”. Itu adalah contoh jawaban yang tak berdasar! Karena Smadav bertujuan menormalkan kembali sistem dan file/folder yang dimanipulasi oleh virus.
Pertama dilaporkan pada tanggal 3 Juni 2017. Awalnya, Saya mengira ini Bundpil, namun ternyata bukan.
Belum jelas apa nama virus ini. Berdasarkan sampel yang diupload oleh User yang berkonsultasi di konfirmasi.com, sampel pertama, sebagian AntiVirus mendeteksinya sebagai Symmi; dan sampel kedua, sebagian AntiVirus mendeteksinya sebagai Zusy, atau juga dengan sebuatan lain yakni Andromeda.
Virus yang dibuat menggunakan Microsoft Visual C/C++(2008) ini cukup populer, bisa dilihat dari statistik yang didapatkan Smadav:
Yang unik dari virus ini adalah pertahanannya. Bayangkan saja, walaupun induk virusnya cuma satu file saja dan sudah terdeteksi oleh kebanyakan AntiVirus, tetap saja virus ini akan muncul kembali setelah dihapus. Padahal virus ini tidak menyebar kemana-mana, hanya di satu lokasi saja dan tidak menginfeksi file (seperti Sality, Ramnit, dkk). Bagaimana bisa dia tetap bertahan? Lebih jauh lagi, ternyata virus ini bisa menghapus file yang ada di dalam FlashDisk. Mari kita bahas satu persatu.
Penampakan Virus
Terlihat jelas sekali perbedaannya dengan Virus Bundpil yang sama-sama menyembunyikan data yang ada di FlashDisk. Bundpil membuat satu Shortcut saja dan memindahkan seluruh data di dalam FlashDisk ke dalam folder tanpa nama. Induk virus itu sendiri juga berada di dalam folder tanpa nama.
Sedangkan virus ini membuat Shortcut yang menuju ke setiap file/folder asli di dalam FlashDisk.
Pada gambar di atas, jika Shortcut “Data” dilihat Propertiesnya maka akan tertulis perintah sebagai berikut:
%comspec% /c “{59369ed6-44ba-4a76-df5a-8a61c05f0295}\5da977a7-d68b-7612-a990-19bc08fa98ce.exe ‘Data\'”
Begitu juga dengan Shortcut “New Text Document.txt”, bila dilihat Propertiesnya maka akan tertulis perintah sebagai berikut:
%comspec% /c “{59369ed6-44ba-4a76-df5a-8a61c05f0295}\5da977a7-d68b-7612-a990-19bc08fa98ce.exe ‘New Text Document.txt'”
Catatan: %comspec% adalah perintah untuk memanggil Command Prompt (cmd.exe)
Shortcut ini bertugas untuk menjalankan induk virus dan membuka File/Folder tujuannya sekaligus.
Jika Shortcut ini dijalankan, maka dia akan menjalankan induk virus “5da977a7-d68b-7612-a990-19bc08fa98ce.exe“ yang ada di dalam folder {59369ed6-44ba-4a76-df5a-8a61c05f0295} dan sekaligus membuka File/Folder tujuan Shortcut tersebut.
Aksi Virus
Ketika Virus ini dijalankan, dia akan melakukan dua teknik unik (Run PE dan kemudian Inject Process) yang membuatnya selalu muncul kembali walaupun sudah dihapus.
Run PE
Informasi selengkapnya: https://www.adlice.com/runpe-hide-code-behind-legit-process/
Dengan tujuan penyamaran, Run PE adalah teknik memanggil dan menggunakan proses lain (yang bukan virus tentunya) untuk menjalankan tujuan yang diinginkan oleh si virus. Setelah dipanggil, tentunya proses korban hasil Run PE ini sepenuhnya dikontrol oleh si virus.
Ibarat sudah terhipnotis, Proses yang bukan virus akan bertindak sebagai virus. Tujuannya adalah agar User tidak curiga ketika melihat Task Manager, apalagi jika proses yang ditumpangi Run PE adalah proses sistem Windows.
Teknik ini sudah tidak asing lagi, yang mana digunakan juga oleh seluruh varian Ramnit. Jadi ketika virus Ramnit berjalan, dia akan menggunakan iexplore.exe. Itulah sebabnya kita tidak pernah menemukan watermark.exe atau *mgr.exe di Task Manager.
Kembali kepada virus ini, pada hasil tes yang Saya lakukan, dia akan selalu memanggil svchost.exe
Ketika sudah dijalankan dengan Run PE, svchost.exe akan melakukan urutan aksi sebagai berikut:
- Membuat Task Scheduler
- Menulis Registry
- Melakukan Inject Proses
- Membuat File induk di dalam sistem
- Menyebarkan ke Drive USB
1. Membuat Task Scheduler
Membuat Task Scheduler agar 860c4a50.exe (dalam varian lain, nama file induk virus cukup pendek, tidak sepanjang “5da977a7-d68b-7612-a990-19bc08fa98ce.exe”, sebagai induk virus yang berada di sistem) aktif otomatis setiap masuk Windows, fungsinya sama seperti auto-startup di Registry.
2. Membuat Value Registry Agar Dijalankan Otomatis Setiap Masuk Windows
Pada key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{B7A3B2FF-32BB-0611-6112-BCB58AD07239}
Dengan Value:
c:\programdata\{2BB39ACF-1A8B-9A01-6112-BCB58AD07239}\860c4a50.exe
Dalam pembahasan ini, induk virusnya adalah 860c4a50.exe.
Contoh induk virus di gambar dengan nama f117bca6.exe
3. Melakukan Inject Pada Proses Windows yang Sedang Berjalan
Inject adalah memanipulasi proses yang sedang berjalan. Jika pada Run PE adalah memanipulasi proses yang baru dijalankan, maka pada Inject adalah memanipulasi proses yang sudah berjalan sebelumnya. Di sinilah letak kenakalan virus ini. Virus ini menginject pada proses svchost.exe.
Svchost.exe akan menentukan salah satu proses Windows yang sedang berjalan untuk kemudian di-inject. Menurut pengalaman Saya, proses yang pernah di-Inject adalah taskhost.exe, taskeng.exe, dwm.exe, explorer.exe, bahkan pernah juga menginject proses yang bukan milik Windows (milik User). Untuk mempermudah, Saya anggap proses yang di-inject adalah taskhost.exe.
Setelah terinject, proses korban ini (taskhost.exe) akan selalu menjalankan ulang induk virusnya (860c4a50.exe), ketika svchost.exe di-kill.
4. Membuat File Induk di dalam Sistem
Dia akan membuat folder berkarakter acak bertutup kurawal di dalam Folder C:\programdata. File induk virusnya (yang juga berkarakter acak) disisipkan ke dalam folder ini, dalam kasus ini nama file virus adalah “860c4a50.exe”. Sebagai contoh, pada hasil tes saya, dibuat di dalam:
C:\programdata\{2BB39ACF-1A8B-9A01-6112-BCB58AD07239}\860c4a50.exe
Pertahanan yang unik dan menyebalkan
Mengapa disebut menyebalkan? Svchost.exe akan selalu membuat ulang file induk virus 860c4a50.exe ketika dihapus. Dan taskhost.exe akan menjalankan ulang 860c4a50.exe (selanjutnya akan menjalankan lagi svchost.exe), ketika svchost.exe di-kill.
Ketika svchost.exe di-kill, taskhost.exe akan segera menjalankan 860c4a50.exe
Selanjutnya, 860c4a50.exe akan melakukan Run PE lagi terhadap svchost.exe
Singkatnya, kombinasi Run PE dan Inject Proses inilah yang membuat proses hidup kembali setelah di-kill dan membuat file terbentuk kembali setelah dihapus.
Kombinasi inilah yang membuat virus ini tetap muncul lagi walaupun induknya sudah terdeteksi dan dihapus oleh AntiVirus. Padahal induk virusnya cuma satu saja.
5. Menyebar ke Setiap Drive USB yang Sedang Tercolok
Membuat semua File dan Folder menjadi berartibut Hidden dan System, membuat induk virus dan Shortcut. Ciri-ciri Shortcut dan induk virus telah dijelaskan sebelumnya.
6. Menghapus File di dalam Drive USB
Inilah bagian paling berbahaya. Dalam kondisi tertentu, virus ini bisa menghapus file di dalam Drive USB, penjelasan lebih lengkap ada di bagian akhir tulisan ini.
Aksi lainnya virus ini
Virus ini memiliki server induk yang mengarah pada IP: 138.128.150.133 atau dengan nama domain: v1.eakalra.ru
Sehingga, kapan waktu jika si pembuat virus memerlukan, virus bisa mengupdate dirinya dengan mendownload variant baru dengan nama file “lame.gif” agar susah dideteksi, atau mengizinkan virus lain yang berkerjasama dengannya untuk bisa masuk melalui backdoor yang berhasil ia buat (karena virus ini bersifat backdoor atau trojan juga). Karenanya, diduga virus ini ikut andil bertanggungjawab dalam penyebaran virus dengan kategori Ransomware, yakni WannaCry. Tapi biasanya server induk virus tidak akan bertahan lama, karena akan ada para relawan pegiat keamanan komputer yang akan melakukan “Sinkhole” agar situs/server virus tersebut down, dan virus tersebut tidak bisa lagi berkembang biak.
Selain rutin menyebar ke dalam USB/FlashDisk, virus ini juga secara rutin melakukan pengecekan terhadap kondisi file di dalam USB tersebut. Pengecekan ini dilakukan 30 detik sekali (masih harus diklarifikasi selang waktu ini karena Saya mengukurnya dengan Stopwatch yang masih mengandung kesalahan pengukuran).
Virus ini akan menghapus File/Folder (dilakukan oleh svchost.exe) yang ada di dalam USB apabila memenuhi kedua syarat berikut ini:
- Terdapat file/folder di dalam USB dengan Atribut selain Normal, yang berarti mencakup Atribut Hidden dan Hidden+System
- Tidak ada pasangan Shortcutnya
Contoh kasus, Saya lampirkan lagi gambar kondisi Drive USB ketika terinfeksi virus ini.
Jika Anda menghapus file Shortcut dari file yang bernama “Data” tanpa mengembalikan Artibut Folder “Data” menjadi Normal, maka Virus akan menghapus Folder “Data” ini, begitu juga dengan Shortcut yang lain, file yang bersesuaian juga akan dihapusnya jika tidak di Unhide terlebih dahulu. Jika Anda menghapus semua Shortcutnya dan telat melakukan Unhide, habislah semua file dan folder yang ada di dalam FlashDisk akan dihapusnya.
Virus ini (dengan teknik RunPE ke svchost.exe) sedang menghapus File dan Folder yang ada di dalam Flashdisk.
Yang artinya? Anda harus berhati-hati dalam membersihkan FD yang terinfeksi virus ini. Ada kemungkinan data di dalam FD Anda akan terhapus apabila virusnya (svchost.exe palsu hasil RunPE) masih aktif di dalam sistem. Menghapus salah satu Shortcut di FD tanpa melakukan Unhide data (ataupun telat 30 detik saja), akan mengakibatkan data Anda dihapus oleh Virus ini.
Bagaimana jika ketemu File/Folder Artibut Normal tanpa pasangan Shortcut (misalkan pada kasus, yang mana dimasukkan data baru ke dalam FD yang telah terinfeksi sebelumnya)? Virus ini akan mengubah (bukan menghapusnya) atribut File/Folder tersebut menjadi Atribut H+S dan membuat Shortcutnya jika belum ada.
Jadi, bisa disimpulkan bahwa Virus ini tidak menghapus data di dalam USB jika kita tidak berusaha menghapus Shortcut yang sudah dibuatnya. Dan hilangnya file di dalam flashdisk user bukanlah dari kesalahan Smadav!
Cara Membersihkan Virus Ini
Melalui Safe Mode
Value Run Registry dan Task Scheduler tidak akan aktif di Safe Mode, sehingga di Mode ini akan ampuh membersihkan File, Registry, dan Task Scheduler yang telah dibuatnya. Pembersihan ini bisa dilakukan secara manual ataupun dengan AntiVirus termasuk Smadav.
Cara masuk ke Safe Mode: https://support.eset.com/kb2268/?locale=en_US
Melalui Mode Normal
Tanpa perlu repot-repot membersihkan melalui Safe Mode, silakan download Smadav di website resmi Smadav: www.smadav.net
Smadav mendeteksi induk virus dan mengkill prosesnya
Smadav memulihkan sistem dari serangan virus yang ada di sistem dan menormalkan kembali file dan folder yang ada di FlashDisk
Smadav menormalkan kembali Registry yang dibuat oleh virus
Namun untuk Task Scheduler yang dibuat virus, Smadav masih membiarkannya, karena file induk virus sudah berhasil dilumpuhkan (dikarantina/dihapus), dan hal ini dianggap sudah aman, tidak akan membuat virus aktif lagi.
Disadur dari : http://www.konfirmasi.com/index.php?qa=11490&qa_1=virus-shorcut-yang-bisa-menghapus-data-di-dalam-flashdisk
Oleh
*Catatan: Sample dan nama file yang digunakan untuk analisa ini berbeda-beda tapi masih jenis yang sama, sehingga nama induk file/folder virusnya berbeda-beda.