Alice* in The Cyber World
Membongkar kerusakan virus Alice
Saya mencoba bongkar penyebaran virus tersebut pada komputer berbasis Windows XP, dengan aplikasi pengganti sistem Windows yaitu Process Explorer, RegAlyzer, & Hidden File Tool. (Jika anda tidak memiliki atau belum meng-instal aplikasi-aplikasi tersebut di komputer anda, anda bisa download dari link yang saya berikan pada setiap aplikasi tersebut.)
Adapun dari hasil analisa saya, virus ini terdiri dari beberapa file sebagai berikut:
- file berekstensi .vbe dengan kapasitas 8 KB (gambar di bawah ini sekilas mirip dengan file berekstensi .doc), bila diperhatikan denga teliti, dengan klik kanan pilih Properties, telihat size on disk berukuran 8 KB, padahal ukuran sebenarnya dari file berekstensi .doc tersebut lebih dari 10 KB.
- alice.alc
- autorun.inf
- alice.sys : terdapat di C:\WINDOWS\System32\Drivers\
Media penyebaran virus melalui: USB Flashdisk, Harddisk drive
Cara kerja virus:
Dengan membuka file berekstensi .vbe dengan kapasitas 8 KB (yang mana file berekstensi .vbe ini merupakan replikasi dari file berekstensi .doc dengan nama yang sama, yang sudah disembunyikan oleh virus), mulailah eksekusi penyebaran virus dengan membuat file alice.alc & autorun.inf pada USB flashdisk.
Isi file autorun.inf
Pada setiap drive di harddisk (misal drive C:\) terdapat file alice.alc, autorun.inf, file .vbe akibat virus itu telah tersebar, serta di C:\WINDOWS\System32\Drivers terdapat file alice.sys. Setiap kali membuka salah satu drive di harddisk, autorun.inf akan bekerja dan mengeksekusi jalannya virus. Tanda-tanda autorun.inf itu bekerja yaitu saat double-click maka akan muncul sebuah windows explorer.
Melalui aplikasi Process Explorer, dimana proses wscript.exe muncul dengan merujuk pada C:\WINDOWS\System32\drivers\alice.sys. Alice.sys ini bisa dikatakan inti / core dari virus.
Aplikasi Process Explorer
Virus ini juga bisa membuat crash pada saat membuka web browser seperti: Mozilla Firefox.
Melalui aplikasi RegAlyzer, didapatkan registry key yang sudah dirubah dan ditambahkan oleh virus sebagai berikut:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
* NoFileAssociate, value: 1
* NoFind, value: 1
* NoFolderOptions, value: 1
* NoRun, value: 1
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
* DisableRegistryTools, value: 1
* DisableTaskMgr, value: 1
- HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
* DisableCMD, value: 1
- HKEY_LOCAL_MACHINE\Software\Classes\VBEFile\
* [Default], value: Microsoft Word Document
* FriendlyTypeName, value: Microsoft Word Document
* NeverShowExt
- HKEY_LOCAL_MACHINE\Software\Classes\VBEFile\DefaultIcon
* [Default], value: C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe,1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
* RegisteredOwner, value: ALICE
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
* DisableSR, value: 1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
* Userinit, value: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe //e:vbscript.encode C:\WINDOWS\system32\drivers\alice.sys
Aplikasi RegAlyzer
Registry key yang dihapus oleh virus ini:
- HKEY_LOCAL_MACHINE\Software\Classes\inffile\shell\Install
* [Default], value: &Install
- HKEY_LOCAL_MACHINE\Software\Classes\inffile\shell\Install\command
* [Default], value: %SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1
Membersihkan virus Alice
1. Matikan proses wscript.exe menggunakan aplikasi Process Explorer, dengan klik kanan wscript.exe, Kill Process
2. Hapus registry key yang dibuat oleh virus, antara lain:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
* NoFileAssociate, value: 1
* NoFind, value: 1
* NoFolderOptions, value: 1
* NoRun, value: 1
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
* DisableRegistryTools, value: 1
* DisableTaskMgr, value: 1
- HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
* DisableCMD, value: 1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
* DisableSR, value: 1
- HKEY_LOCAL_MACHINE\Software\Classes\VBEFile\
* NeverShowExt
3. Edit registry key yang sudah dirubah oleh virus, antara lain:
- HKEY_LOCAL_MACHINE\Software\Classes\VBEFile\
* [Default], value: VBScript Encoded Script File
* FriendlyTypeName, value: @%SystemRoot%\System32\wshext.dll,-4803
- HKEY_LOCAL_MACHINE\Software\Classes\VBEFile\DefaultIcon
* [Default], value: %SystemRoot%\System32\WScript.exe,2
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
* RegisteredOwner, value: [ganti dengan nama anda atau nama apa saja]
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
* Userinit, value: C:\WINDOWS\system32\userinit.exe,
4. Tambahkan registry key berikut ini:
- HKEY_LOCAL_MACHINE\Software\Classes\inffile\shell\Install
* [Default], value: &Install
- HKEY_LOCAL_MACHINE\Software\Classes\inffile\shell\Install\command
* [Default], value: %SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1
5. Hapus seluruh file yang sudah terinfeksi virus, antara lain:
- seluruh file berekstensi .vbe dengan kapasitas 8 KB
- alice.alc yang berada di setiap drive harddisk dan removable disk (seperti C:\, D:\, dst)
- autorun.inf yang berada di setiap drive harddisk dan removable disk (seperti C:\, D:\, dst)
- alice.sys : terdapat di C:\WINDOWS\System32\Drivers\
Catatan: Saat mencari dan menghapus file-file di atas, JANGAN SEKALI-KALI double-click salah satu drive karena virus bisa beraksi kembali dan menjadi sia-sialah upaya pembersihan sebelumnya. Atau jika ingin membuka windows explorer cukup tekan tombol Windows dan E pada keyboard satu kali saja untuk berpindah-pindah antar drive atau folder. Gunakan juga aplikasi pengganti menu Find seperti Hidden File Tool, dengan ketik filter yang diinginkan (seperti: *.vbe), lalu tekan tombol search.
6. Sebelum melakukan langkah no 5; pastikan bahwa pengaturan di Control Panel – Folder Options adalah sbb : Show hidden files and folders –> dicentang, Hide protected operating system files –> tidak dicentang. Supaya alice.alc dan alice.sys-nya bisa ditemukan dan dihapus.
7. Pastikan langkah-langkah di atas telah selesai dilakukan, lalu restart computer
8. Saat ini sistem Windows telah kembali seperti semula, sudah bisa menjalankan Task Manager, Command Prompt, Registry Editor, Folder Options, menu Run, menu Search / Find, System Restore. Mengubah atribut file bertipe dokumen (.doc) yang awalnya disembunyikan karena efek dari virus menjadi dapat terlihat seluruhnya.
Caranya: buka jendela command prompt dengan klik Start, Run, ketikkan cmd lalu OK. Kemudian pada command prompt, ketikkan: attrib –s –h c:\*.doc /s lalu tekan Enter, jika pada driver yang lain selain C juga ada file dokumen, lakukanlah hal yang sama dengan mengganti c: menjadi d: atau e: dst. Seteleh selesai ketikkan: exit, maka jendela command prompt akan tutup.
Bila anda kurang memahami cara mengubah atribut file menggunakan command prompt, anda bisa melihat posting-an saya sebelumnya mengenai “ubah atribut file melalui command prompt”.
Command prompt
Sekian pembahasan mengenai virus Alice ini.
[...] fide1ity.wordpress.com Bagikan Ini :Like this:SukaBe the first to like this post. Desember 24, 2011 agus [...]
thanks gan, membantu banget nih postingan… semoga tuhan membalas
munngkin saya masih terlalu kecil untuk meng-oprek komputer.. berkat bantuan agan,,, virus alice saya fix, thanks gan buat informasinya
kalo u mau lebih tokcer basmi virus alice, pake pcmav express for Alice masih versi beta yang belom lama ini dirilis….
bisa download di http://www.sendspace.com/file/dmdif4
karena penjelasan saya untuk fix virus tsb belom tuntas.
kalo folder optionnya udah ga ada gimana gan? kirim email ke ane gan
mass…
maaf, sampelnya masih ada?
boleh saya tau mas dapat sampelnya dari mana ya?
mkasud saya, apa benar daerah mas sedang menyebar virus ini?
terima kasih.. silahkan balas ke facebook saya… terima kasih…
bagaimana caranya jika ingin mengapus file autorun.inf yang ada di berbagai hardisk partisi termasuk C,
-saya tidak bisa menghapus karena file tersebut sedang digunakan atau dalam proses.
-attribut sudah saya hilangkan namun tetap tidak bisa.
-dalam task manager saya sudah end task smw program yang mencurigakan mnurut saya
-saya bisa delete file autorun.inf dalam mode linux portable saya, namun akan muncul kembali file autorun.inf tersebut
-dimanakan file induknya? .mdb /.vbs sudah sy cari2 (kecuali di sistem) belom dapet2
bagaimana yah?
Sebelum melakukan langkah no 5; pastikan bahwa pengaturan di Control Panel – Folder Options adalah sbb :
Show hidden files and folders –> dicentang
Hide protected operating system files –> tidak dicentang
Supaya alice.alc dan alice.sys nya bisa ditemukan dan dihapus.
Thx buat koreksiannya, ada yang kelewatan langkah-langkahnya. Hehe..
saya sendiri blom pernah pake linux portable
Keren tutorialnya bro
Terus berkarya ya.
Buat lagi tutorial untuk membersihkan virus/malware lokal.
Sampelnya sudah diterima pengembang PCMAV beberapa hari yang lalu.
Mudah2an bisa segera dimasukkan ke database selanjutnya
Thanks bro
Mudah-mudahan segera saya buat tutorial membersihkan virus lokal.
Sepertinya process wscript yang tidak bisa dihapus ada di:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Valuenya = C:\WINDOWS\system32\wscript.exe //e:vbscript.encode C:\WINDOWS\system32\drivers\alice.sys
udah ane cek barusan nggak ada lagi kok gan wscriptnya ..
ehh , maaf gan ..
ternyata pas ane cek lagi pake hijackthis emg masih ada ternyata ..
:hammer
ada solusi ga gan ??
Ternyata betul kata @harikk, wscript yang ga bisa dihapus itu ada di registry HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit. Thanks