Untuk membersihkan virus ini secara maksimal gunakan SmadAV versi terbaru, Antivirus SmadAV bisa anda dapatkan secara geratis di www.smadav.net . SmadAV dapat mengenali virus ini sebagai “VBS.VirusCode” dan “Yuyun.Shortcut”

• Jalankan SmadAV pada TAB Scanner beri centang pada Computer Drive untuk membersihkan virus diseluruh drive yang anda punya. Lalu tekan tombol SCAN >> untuk memulai proses scanning. Tunggu hingga proses scanning selesai 100%, jika sudah selesai tekan tombol FIX ALL

Daftar file virus yang terdeteksi

Tampilan proses scanning telah selesai

Karakteristik Virus

Virus VBS ini hadir dengan ektensi berbeda dari kebanyakan virus VBS lainya yakni dengan menggunakan ektensi “.db” dan “.lnk” [shortcut], virus menyamarkan dirinya sebagai shortcut dan file “Thumbs.db” untuk mengelabui korbanya. Teknik yang ia gunakan yakni menyamarkan dirinya sebagai folder dengan memanfaatkan shortcut yang ia buat agar nantinya virus dapat tereksekusi saat korbannya mengakses file shortcut samaran folder tersebut.

Ciri file virus :

• Berektensi “.db” menyamar sebagai file “Thumb.db”
• Dan file shortcut berektensi “.lnk” yang digunakan virus untuk menyamarkan dirinya sebagai folder

File-file virus yang dibuat diseluruh folder

File-file virus tersebut dapat kita temui diseluruh folder yang ada dikomputer terinfeksi oleh virus ini, virus ini akan menyembunyikan seluruh folder-folder yang ditemuinya di setiap drive yang ada dikomputer korbanya yakni dengan cara membuat shortcut samaran yang  mirip dengan nama folder yang ia sembunyikan, file-file yang ia buat antara lain file induk virus “Thumb.db”, “Autorun.inf”, shortcut virus “Microsoft”, “New Harry Potter and…” dan shortcut yang ia buat mirip dengan nama folder yang ia sembunyikan.

Kita dapat melihat perbedaan antara file dan folder asli dengan file dan folder palsu yang dibuat oleh virus.

Dari gambar diatas kita dapat melihat perbedan dengan jelas mana file dan folder asli milik system dengan file dan folder palsu yang dibuat oleh virus.

Ciri-ciri File dan folder asli

• Folder tidak terdapat tanda panah di icon nya dan type nya adalah folder
• File Thumbs asli mempunyai nama lengkap Thumbs.db

Ciri-ciri file dan folder palsu buatan virus

• Folder memiliki tanda panah di icon nya dan typenya adalah Shortcut
• File Thumbs yang dibuat oleh virus namanya “Thumb.db”

Selain itu juga terdapat file Autorun.inf yang dibuat oleh virus agar dirinya dapat aktif secara otomatis saat korbanya mengakses drive. Isi autorun nya seperti gambar dibawah ini

File Autorun.inf yang dibuat oleh virus

Aksi Virus

Saat pertama kali shortcut virus dijalankan, virus memeriksa keberadaan folder yang disembunyikan apakah folder yang disembunyikan ada atau tidak, jika ada virus akan membuka folder yang disembunyikan dan jika tidak ditemukan maka virus akan membuat folder baru mirip dengan nama shortcut yang dijalankan lalu membuka folder tersebut dengan menggunakan explorer. Jadi seolah olah shortcut virus yang dijalankan sama seperti membuka folder biasa.

Kemudian virus membaca tubuhnya dan mendeksrip kode aslinya dan membuat beberapa file ke direktori Temp. File file yang dibuatnya antara lain Auto.exe [Script Autorun.inf virus], v.doc [Pesan virus] dan file Yuyun.Q [File kosong] :

• C:\Documents and Settings\user\Local Settings\Temp\auto.exe
• C:\Documents and Settings\user\Local Settings\Temp\v.doc
• C:\Documents and Settings\user\Local Settings\Temp\Yuyun.Q

File induk Virus

Pada direktori My Documents virus membuat file induknya dengan nama “database.mdb”, yang akan ia jadikan file induk aslinya. Sebenarnya file ini merupakan file VBS [Visual Basic Script] yang dirubah ektensinya menjadi .mdb agar mirip sepertti file dartabase. File induk ini akan dijalakan setiap computer dihidupkan.

• C:\Documents and Settings\user\My Documents\database.mdb

Selain itu ia juga mencoba membuat file induk virus dengan memnafaatkan system NTFS yakni dengan membuat file ADS agar file induk ini tersembunyi dan tidak dapat dilihat

• C:\WINDOWS\:Microsoft Office Update for Windows XP.sys

Menyebarkan diri ke seluruh drive dan folder

Virus akan mencari keberadaan folder disetiap drive, jika ia menemukanya virus akan mensembunyikan folder asli lalu membuat shortcut mirip dengan folder yang disembunyikan, dan membuat  beberapa file virus lainya di direktori yang sama. File-file yang ia buat diseluruh drive dan folder antara lain :

• Thumb.db
• Microsoft.lnk
• Autorun.inf
• %Folder%.lnk <Sesuai dengan nama foder yang disembunyikan>

File shortcut yang dibuatnya berisi perintah yang akan menjalankan file induk “Thumb,db”

• C:\WINDOWS\system32\wscript.exe //e:VBScript thumb.db “%NamaFolder%”

Menginfeksi Direktori CD Burning

Virus berusaha menginfeksi direktori CD Burning yang berada di “C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning”  dengan membuat file “Autorun.inf” dan “Thumb.db”

• C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning\Autorun.inf
• C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning\Thumb.db

Menyebar melalui jaringan – Infeksi NetHood

Virus ini juga bisa menyebar melalui jaringan yakni dengan mencari folder yang di share dijaringan pada directori NetHood “C:\Documents and Settings\user\NetHood”, jika virus menemukanya ia akan menyembunyikan semua folder yang didapat kemudian membuat shortcut dengan nama yang sama dengan folder yang ia sembunyikan.

Pesan Virus

Di folder Temp “C:\Documents and Settings\user\Local Settings\Temp\” kita dapat menemukan sebuah pesan yang dibuat oleh virus, pesan itu berupa file text dengan nama “v.doc”

• C:\Documents and Settings\user\Local Settings\Temp\v.doc

Registry yang di infeksi

Virus ini tidak banyak melakukan perubahan didalam registry, virus hanya membuat startup, menghapus beberapa value dan mendisable registry tool [regedit], sedangkan tols seperti Task Manager, Folder Options, CMD, dan Msconfig tidak diblok oleh virus.

• HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444-555555555555}\ = “Yuyun_Cantix”
• HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444-555555555555}\DefaultIcon\”= “shell32.dll,48”
• HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444 555555555555}\ShellFolder\Attributes = 0
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Desktop\NameSpace\{11111111-2222-3333-4444-555555555555}\ = “”
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools = 1

Menghapus Value “IsShortcut” agar tanda panah pada icon shortcut tidak ditampilkan

• HKEY_CLASSES_ROOT\lnkfile\IsShortcut

Membuat Autorun di registry agar virus dapat aktif secara otomatis saat computer dihidupkan

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Explorer = “Wscript.exe //e:VBScript C:\Documents and Settings\user\My Documents\database.mdb”
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinUpdate = “Wscript.exe //e:VBScript C:\WINDOWS\:Microsoft Office Update for Windows XP.sys

Virus Doomsday ini sangat sulit dihapus dengan cara manual karena menggunakan hampir semua teknik virus lokal yang pernah ada dan ditambah lagi dengan teknik-teknik baru yang ditambahkan oleh pembuatnya. Itulah mengapa pembuatnya memberi nama Doomsday untuk virus ini, karena dia mengira antivirus lokal tidak akan mampu membasminya. Tapi, Smadav 2009 Rev. 5 mudah saja membunuh virus ini sampai ke akar-akarnya sehingga komputer yang terinfeksi sebelumnya akan kembali seperti semula seakan-akan belum pernah terinfeksi virus ini. Pembersihan ini sangat cepat, tidak lebih dari 15 detik setelah satu kali klik Smadav.

Sebelum membersihkan virus ini dengan Smadav, mari kita bahas dulu apa saja kecanggihan virus ini.

Virus ini dibuat dengan Visual Basic 6 dikompresi dengan UPX dan mempunyai ukuran 65 KB. Jika dilihat di Process Explorer, disana terlihat ada 5 proses virus yang sedang aktif. 1 proses yang paling atas aktif sebagai Windows Service dan tugasnya adalah untuk mencegah kita membuka tool system di windows seperti regedit, msconfig, dll. Sedangkan kumpulan 4 proses yang paling bawah yang punya tugas utama untuk melakukan penyebaran dan pertahanan di komputer korban. 4 proses ini saling melindungi satu sama lain, jika kita membunuh salah satu prosesnya maka proses lain akan kembali menghidupkan proses yang kita bunuh tadi, jadi kita akan kesulitan jika membunuhnya secara manual dengan process explorer seperti ini. Walaupun berhasil, semua proses ini akan kembali aktif kalau kita membuka program apa saja di komputer kita. Jadi kita harus memperbaiki registry dulu untuk membersihkannya, tapi registry pun diblok dengan teknik berlapis-lapis. Jadi, hampir tidak mungkin virus ini bisa diberantas dengan cara manual karena selain sulitnya membunuh proses di memori, virus ini juga merusak sangat banyak value registry.

Virus ini akan memblok semua akses ke antivirus lokal (PCMAV, SMADAV, atau ANSAV), hampir semua antivirus impor, dan program-program lain yang bisa membahayakan dirinya. Dia mempunyai teknik yang sangat banyak dan cerdik untuk mengenali dan mencegah program yang membahayakannya. Tapi dia tidak mampu untuk mengenali Smadav 2009 Rev. 5, sehingga Smadav 2009 Rev. 5 bisa dengan mudah menghancurkannya. Selain memblok program,virus ini juga akan memblok akses ke situs antivirus. Itu dia lakukan dengan menulis daftar situs yang diblok ke file hosts windows. Berikut ini daftar situs yang diblok :
2-spyware.com, 360.cn, 360safe.com, ansav.com, antirootkit.com, antiviruslab.com, arcabit.com, avast.com, avg.com, avg-antivirus.net, avira.com, bitdefender.co.uk, bitdefender.com, bullguard.com, ca.com, cainternetsecurity.net, clamav.net, clamwin.com, commandondemand.com, comodo.com, crit.org, cwsandbox.org, cyberdefender.com, drweb.com, drweb-online.com, emsisoft.com, eradicatespyware.net, eset.com, eset.eu, ewido.net, fortiguardcenter.com, fortinet.com, f-prot.com, freeantivirushelp.com, free-av.com, freedom.net, freedrweb.com, freerav.com, freespywareremoval.info, f-secure.com, grisoft.com, housecall.trendmicro.com, housecall60.trendmicro.com, iavs.cz, incodesolutions.com, jayloden.com, jotti.org, kaspersky.com, lavasoft.com, malwarebytes.org, malwareremoval.com, mcafee.com, microsoft.com, misec.net, mwti.net, my-etrust.com, nai.com, networkassociates.com, noadware.net, nod32.com, norman.com, offensivecomputing.net, old.antivir.ru, onecare.live.com, online.drweb.com, onlinelinkscan.com, pandasecurity.com, pandasoftware.com, pchell.com, pctools.com, prevx.com, ravantivirus.com, resplendence.com, rootkit.com, rootkit.nl, safer-networking.org, scanner.novirusthanks.org, security.symantec.com, siteadvisor.com, smadav.net, sophos.com, spyany.com, spybot.info, spychecker.co, spywareterminator.com, sunbeltsoftware.com, superantispyware.com, support.f-secure.com, sygate.com, symantec.com, sysinternals.com, threatexpert.com, threatfire.com, trendmicro.com, us.mcafee.com, vaksin.com, virologi.info, virscan.org, viruschief.com, virusindonesia.com, virusscan.jotti.org, virusscanonline.org, virusspy.com, virustotal.com, windowsecurity.com, windowsupdate.com, winpatrol.com, zonelabs.com

Virus ini menyebar lewat removable disk (Flashdisk) dan jaringan. Dia akan mencoba membuat file autorun.inf dan doomsday.exe di flashdisk korban. Dia juga akan mendeteksi kalau folder itu sudah dipasang smad-lock smadav dan mencoba menghapus smad-lock autorun.inf yang sudah dibuat smadav. Tapi usahanya gagal, sehingga dia tidak bisa menginfeksi flashdisk yang sudah dipasangi Smad-Lock. Untuk mendukung penyebarannya, virus juga akan membuat file folder.htt dan desktop.ini. Selain itu dia juga akan menginfeksi folder-folder di komputer dan flashdisk, folder akan diinfeksi tepat setelah kita mengakses folder tersebut dengan windows explorer. Virus akan membuat file exe dengan nama yang sama dengan folder, dan folder aslinya akan di-hidden. Tapi lagi-lagi semua usahanya gagal untuk menginfeksi folder Δ Smad-Lock Δ sehingga hanya folder yang berada di luar Smad-Lock yang terinfeksi. Dia juga akan menyebarkan dirinya dengan nama file menggunakan karakter unicode sehingga akan sulit dideteksi antivirus yang belum mendukung unicode seperti PCMAV. Smadav 2009 Rev. 5 jadi satu-satunya antivirus lokal yang mendukung penuh Unicode.

Dari sisi pemrograman, Virus Doomsday sangat baik diproteksi oleh pembuatnya. Dia tidak akan bisa dijalankan di lingkungan Virtual seperti VirtualPC, VMWare, VirtualBox, SandBox, Qemu dan Virtual OS sejenisnya. Dia juga akan mencoba mendeteksi jika ada debugger yang mencoba men-debugnya. Dia mendeteksinya dengan menggunakan string/teks berikut : av, reg, asm, assem, autorun, comp, config, dbg, debug, defend, dmp, dump, guard, hack, ida, lock, olly, patrol, ripper, rootkit, scan, snoop, timefix, win32. Tidak hanya sampai disitu, virus ini juga di-enkripsi walaupun hanya dengan teknik enkripsi dasar Caesar Cipher tapi sudah cukup untuk mengecoh heuristik antivirus impor sehingga virus menjadi lebih sulit untuk dianalisis karena kita harus membuat kode dekripsinya dahulu.

Pertahanan virus di komputer korban benar-benar kuat. Selain proses yang saling melindungi, virus juga akan menyebar di banyak tempat di komputer korban, sehingga akan sulit diberantas secara manual karena terlalu banyak daerah yang dijadikan tempat sembunyi virus. Virus akan membuat task schedule sehingga bisa aktif otomatis pada jam-jam tertentu. Untuk penyembunyian file, virus tidak hanya menggunakan teknik sembunyi biasa dengan mengeset atribut file menjadi hidden+system, tapi virus juga menggunakan cara-cara tidak biasa untuk bersembunyi. Virus akan bersembunyi dalam folder system32 dengan path C:\WINDOWS\system32:ctfmon.exe jadi tidak akan pernah terlihat di dalam folder system32 tersebut, ini dilakukan dengan memanfaatkan teknik ADS (Alternate Data Stream) pada NTFS. Dan pada teknik satunya lagi virus akan bersembunyi di folder yang nama foldernya “CON.2012″ dilarang digunakan di windows karena memuat string/teks yang dilarang dipakai sebagai nama file/folder di windows seperti con, aux, nul. Pertahanan lainnya dilakukan virus dengan memblok firewall dan safemode. Firewall diblok dengan perintah command “NETSH FIREWALL SET OPMODE DISABLE”. Dan Safemode diblok dengan menghapus key registry HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\

Mungkin masih ada beberapa lagi kecanggihan Virus Doomsday ini yang terlewatkan di pembahasan kali ini, tapi intinya semua kecanggihan ini tidak mampu melawan kekuatan Smadav 2009 Rev. 5 yang menghancurkan virus ini sampai ke akar-akarnya hanya dalam 1 klik dan menunggu beberapa detik.

Sekarang mari kita lihat hasil scan Smadav.

Kalau folder pada komputer/flashdisk yang teinfeksi Doomsday diakses lewat windows explorer maka SmaRTP akan muncul segera memperingatkan bahwa ada virus dan harus segera dihapus. Ini screenshot-nya :

Setelah membuka Smadav 2009 Rev. 5 pada komputer yang terinfeksi Virus Doomsday, maka Smadav akan segera memperingatkan bahwa ada virus yang aktif di komputer sehingga scanning akan otomatis dimulai. Setelah menunggu beberapa detik, scanning akan selesai dan memperlihatkan hasil seperti screenshot ini :

Kemudian kita bisa melihat-lihat bahwa banyak sekali file virus yang terdeteksi dan registry yang rusak. Ini screenshot file virus yang terdeteksi :

Dan di bawah ini screenshot registry yang terinfeksi, disana terlihat Smadav mendeteksi 877 value registry yang rusak, ini didapatkan setelah Smadav melakukan scanning pada lebih dari 2000 value registry :

Kemudian klik saja Fix All dan tunggu beberapa detik lagi sampai semuanya sudah hilang, lakukan scanning ulang dengan mode full scan (scanning keseluruhan) pada komputer untuk mendeteksi file-file virus yang sudah mati yang masih tersisa di komputer.

Smadav 2009 Rev. 5 akan dirilis besok, Kamis tanggal 2 Juli 2009.

Sebenarnya Virus Sandra Dewi ini sudah dikenali dan dapat dibersihkan tuntas dengan Smadav 2009 Rev. 1 yang dirilis Januari 2009 yang lalu, bahkan semua versi Smadav sebelumnya pun dapat mengenali dan membersihkan virus lokal lemah ini, inilah kelebihan metode pengenalan heuristik Smadav yang tidak tergantung pada update database virus, jadi bisa dikatakan Smadav adalah Antivirus Indonesia yang paling tidak memerlukan terlalu banyak update. Virus ini baru saja ramai dibicarakan di berbagai situs teknologi Indonesia. Diperkirakan sudah ada ribuan pengguna komputer Indonesia yang terinfeksi virus ini. Sebelum mencoba pembersihan 1-klik dengan Smadav, mari kita bahas terlebih dahulu apa saja keusilan virus ini di komputer korbannya.

Keusilan Virus Sandra Dewi

Pada saat pertama kalinya virus tereksekusi, akan tampil sebuah window yang berisi foto beberapa laki-laki (gambar 1), window ini tidak bisa kita gerakkan sehingga kita harus menekan tombol keluar yang disediakan. Tapi disinilah keusilan virus tersebut, sebelum kita berhasil keluar, virus akan menampilkan message (gambar 2) “Kirimkan komentar Anda ke e-mail budi_9989@yahoo.com“. Kalau kita mengklik message ini, apapun pilihan selanjutnya Yes/No, virus ini akan membuat komputer segera shutdown 1 menit kemudian dan ada message “KASIAN.DEH.KAMU” sambil menunggu komputer shutdown (gambar 3).

(gambar 1)

(gambar 2)

(gambar 3)

Tidak hanya sampai disitu, ternyata si pembuat virus yang mengaku bernama “BUDI DARMA” ini membuat pesan cinta yang akan muncul sebelum log on setiap kali komputer dihidupkan (gambar 4). Mungkin inilah tujuan utama pembuat virus yang sepertinya sedang patah hati ini, memang dari sejarahnya, kebanyakan virus Indonesia dibuat karena alasan cinta alias patah hati. Pesan yang ditampilkan :

“Cinta Ditolak VIRUS Bertindak.::CREATION BUDI DARMA::.”

Sangat sakit rasanya apabila cinta kita ditolak oleh seseorang, pada zaman dahulu orang menggunakan fasilitas dukun sebagai media untuk mendapatkan cintanya. Seiring dengan berkembangnya Teknokogi Informasi media yang digunakan untuk mendapatkan cintanya adalah VIRUS.

Virus ini hanya banyak melakukan perusakan pada registry komputer dengan men-disable sebagian besar fungsi admin di komputer. Teknik perusakan registry Virus Sandra Dewi ini masih sama (mencontek) dengan virus-virus lokal lemah pendahulunya. Semua ini bisa dibersihkan tuntas dengan Smadav versi berapapun, tapi alangkah baiknya kalau Anda menggunakan Smadav terbaru.

Virus ini menyebarkan dirinya dengan cara meng-copy-kan dirinya dengan nama file “sandra dewi bugil.exe” pada removable disk seperti flashdisk/disket yang terpasang di komputer.

Pembersihan 1-Klik Smadav

Sekarang mari kita coba Smadav 2009 Rev 4.3 untuk membasmi virus Sandra Dewi ini. Pertama Anda harus membuka scanner Smadav, sesaat setelah Anda membuka scanner, akan ada peringatan dari Smadav seperti ini :

Kemudian Smadav akan melakukan scanning cepat hanya beberapa detik, kemudian akan muncul lagi message bahwa komputer Anda terinfeksi virus :

Lalu Anda bisa melihat file virus dan registry rusak yang terdeteksi Smadav.

Kemudian klik Fix All, dan virus sudah dibersihkan dari sistem komputer Anda. Untuk pembersihan lebih tuntas, Anda bisa melakukan “Full Scan” untuk membersihkan seluruh isi komputer Anda dari sisa-sisa virus ini.