Cara Pembersihan
Untuk membersihkan virus ini secara maksimal gunakan SmadAV versi terbaru, Antivirus SmadAV bisa anda dapatkan secara geratis di www.smadav.net . SmadAV dapat mengenali virus ini sebagai “VBS.VirusCode” dan “Yuyun.Shortcut”
- Jalankan SmadAV pada TAB Scanner beri centang pada Computer Drive untuk membersihkan virus diseluruh drive yang anda punya. Lalu tekan tombol SCAN >> untuk memulai proses scanning. Tunggu hingga proses scanning selesai 100%, jika sudah selesai tekan tombol FIX ALL
Daftar file virus yang terdeteksi
Tampilan proses scanning telah selesai
Karakteristik Virus
Virus VBS ini hadir dengan ektensi berbeda dari kebanyakan virus VBS lainya yakni dengan menggunakan ektensi “.db” dan “.lnk” [shortcut], virus menyamarkan dirinya sebagai shortcut dan file “Thumbs.db” untuk mengelabui korbanya. Teknik yang ia gunakan yakni menyamarkan dirinya sebagai folder dengan memanfaatkan shortcut yang ia buat agar nantinya virus dapat tereksekusi saat korbannya mengakses file shortcut samaran folder tersebut.
Ciri file virus :
- Berektensi “.db” menyamar sebagai file “Thumb.db”
- Dan file shortcut berektensi “.lnk” yang digunakan virus untuk menyamarkan dirinya sebagai folder
File-file virus yang dibuat diseluruh folder
File-file virus tersebut dapat kita temui diseluruh folder yang ada dikomputer terinfeksi oleh virus ini, virus ini akan menyembunyikan seluruh folder-folder yang ditemuinya di setiap drive yang ada dikomputer korbanya yakni dengan cara membuat shortcut samaran yang mirip dengan nama folder yang ia sembunyikan, file-file yang ia buat antara lain file induk virus “Thumb.db”, “Autorun.inf”, shortcut virus “Microsoft”, “New Harry Potter and…” dan shortcut yang ia buat mirip dengan nama folder yang ia sembunyikan.
Kita dapat melihat perbedaan antara file dan folder asli dengan file dan folder palsu yang dibuat oleh virus.
Dari gambar diatas kita dapat melihat perbedan dengan jelas mana file dan folder asli milik system dengan file dan folder palsu yang dibuat oleh virus.
Ciri-ciri File dan folder asli
- Folder tidak terdapat tanda panah di icon nya dan type nya adalah folder
- File Thumbs asli mempunyai nama lengkap Thumbs.db
Ciri-ciri file dan folder palsu buatan virus
- Folder memiliki tanda panah di icon nya dan typenya adalah Shortcut
- File Thumbs yang dibuat oleh virus namanya “Thumb.db”
Selain itu juga terdapat file Autorun.inf yang dibuat oleh virus agar dirinya dapat aktif secara otomatis saat korbanya mengakses drive. Isi autorun nya seperti gambar dibawah ini
File Autorun.inf yang dibuat oleh virus
Aksi Virus
Saat pertama kali shortcut virus dijalankan, virus memeriksa keberadaan folder yang disembunyikan apakah folder yang disembunyikan ada atau tidak, jika ada virus akan membuka folder yang disembunyikan dan jika tidak ditemukan maka virus akan membuat folder baru mirip dengan nama shortcut yang dijalankan lalu membuka folder tersebut dengan menggunakan explorer. Jadi seolah olah shortcut virus yang dijalankan sama seperti membuka folder biasa.
Kemudian virus membaca tubuhnya dan mendeksrip kode aslinya dan membuat beberapa file ke direktori Temp. File file yang dibuatnya antara lain Auto.exe [Script Autorun.inf virus], v.doc [Pesan virus] dan file Yuyun.Q [File kosong] :
- C:\Documents and Settings\user\Local Settings\Temp\auto.exe
- C:\Documents and Settings\user\Local Settings\Temp\v.doc
- C:\Documents and Settings\user\Local Settings\Temp\Yuyun.Q
File induk Virus
Pada direktori My Documents virus membuat file induknya dengan nama “database.mdb”, yang akan ia jadikan file induk aslinya. Sebenarnya file ini merupakan file VBS [Visual Basic Script] yang dirubah ektensinya menjadi .mdb agar mirip sepertti file dartabase. File induk ini akan dijalakan setiap computer dihidupkan.
- C:\Documents and Settings\user\My Documents\database.mdb
Selain itu ia juga mencoba membuat file induk virus dengan memnafaatkan system NTFS yakni dengan membuat file ADS agar file induk ini tersembunyi dan tidak dapat dilihat
- C:\WINDOWS\:Microsoft Office Update for Windows XP.sys
Menyebarkan diri ke seluruh drive dan folder
Virus akan mencari keberadaan folder disetiap drive, jika ia menemukanya virus akan mensembunyikan folder asli lalu membuat shortcut mirip dengan folder yang disembunyikan, dan membuat beberapa file virus lainya di direktori yang sama. File-file yang ia buat diseluruh drive dan folder antara lain :
- Thumb.db
- Microsoft.lnk
- Autorun.inf
- %Folder%.lnk
File shortcut yang dibuatnya berisi perintah yang akan menjalankan file induk “Thumb,db”
- C:\WINDOWS\system32\wscript.exe //e:VBScript thumb.db “%NamaFolder%”
Menginfeksi Direktori CD Burning
Virus berusaha menginfeksi direktori CD Burning yang berada di “C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning” dengan membuat file “Autorun.inf” dan “Thumb.db”
- C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning\Autorun.inf
- C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning\Thumb.db
Menyebar melalui jaringan – Infeksi NetHood
Virus ini juga bisa menyebar melalui jaringan yakni dengan mencari folder yang di share dijaringan pada directori NetHood “C:\Documents and Settings\user\NetHood”, jika virus menemukanya ia akan menyembunyikan semua folder yang didapat kemudian membuat shortcut dengan nama yang sama dengan folder yang ia sembunyikan.
Pesan Virus
Di folder Temp “C:\Documents and Settings\user\Local Settings\Temp\” kita dapat menemukan sebuah pesan yang dibuat oleh virus, pesan itu berupa file text dengan nama “v.doc”
- C:\Documents and Settings\user\Local Settings\Temp\v.doc
Registry yang di infeksi
Virus ini tidak banyak melakukan perubahan didalam registry, virus hanya membuat startup, menghapus beberapa value dan mendisable registry tool [regedit], sedangkan tols seperti Task Manager, Folder Options, CMD, dan Msconfig tidak diblok oleh virus.
- HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444-555555555555}\ = “Yuyun_Cantix”
- HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444-555555555555}\DefaultIcon\”= “shell32.dll,48”
- HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444 555555555555}\ShellFolder\Attributes = 0
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Desktop\NameSpace\{11111111-2222-3333-4444-555555555555}\ = “”
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools = 1
Menghapus Value “IsShortcut” agar tanda panah pada icon shortcut tidak ditampilkan
- HKEY_CLASSES_ROOT\lnkfile\IsShortcut
Membuat Autorun di registry agar virus dapat aktif secara otomatis saat computer dihidupkan
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Explorer = “Wscript.exe //e:VBScript C:\Documents and Settings\user\My Documents\database.mdb”
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinUpdate = “Wscript.exe //e:VBScript C:\WINDOWS\:Microsoft Office Update for Windows XP.sys