Membongkar kerusakan virus Alice
Saya mencoba bongkar penyebaran virus tersebut pada komputer berbasis Windows XP, dengan aplikasi pengganti sistem Windows yaitu Process Explorer,RegAlyzer, & Hidden File Tool. (Jika anda tidak memiliki atau belum meng-instal aplikasi-aplikasi tersebut di komputer anda, anda bisa download dari link yang saya berikan pada setiap aplikasi tersebut.)
Adapun dari hasil analisa saya, virus ini terdiri dari beberapa file sebagai berikut:
- file berekstensi .vbe dengan kapasitas 8 KB (gambar di bawah ini sekilas mirip dengan file berekstensi .doc), bila diperhatikan denga teliti, dengan klik kanan pilih Properties, telihat size on disk berukuran 8 KB, padahal ukuran sebenarnya dari file berekstensi .doc tersebut lebih dari 10 KB.
- alice.alc
- autorun.inf
- alice.sys : terdapat di C:\WINDOWS\System32\Drivers\
Media penyebaran virus melalui: USB Flashdisk, Harddisk drive
Cara kerja virus:
Dengan membuka file berekstensi .vbe dengan kapasitas 8 KB (yang mana file berekstensi .vbe ini merupakan replikasi dari file berekstensi .doc dengan nama yang sama, yang sudah disembunyikan oleh virus), mulailah eksekusi penyebaran virus dengan membuat file alice.alc & autorun.inf pada USB flashdisk.
Pada setiap drive di harddisk (misal drive C:\) terdapat file alice.alc, autorun.inf, file .vbe akibat virus itu telah tersebar, serta di C:\WINDOWS\System32\Drivers terdapat file alice.sys. Setiap kali membuka salah satu drive di harddisk,autorun.inf akan bekerja dan mengeksekusi jalannya virus. Tanda-tandaautorun.inf itu bekerja yaitu saat double-click maka akan muncul sebuahwindows explorer.
Melalui aplikasi Process Explorer, dimana proses wscript.exe muncul dengan merujuk pada C:\WINDOWS\System32\drivers\alice.sys. Alice.sys ini bisa dikatakan inti / core dari virus.
Virus ini juga bisa membuat crash pada saat membuka web browser seperti: Mozilla Firefox.
Melalui aplikasi RegAlyzer, didapatkan registry key yang sudah dirubah dan ditambahkan oleh virus sebagai berikut:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
* NoFileAssociate, value: 1
* NoFind, value: 1
* NoFolderOptions, value: 1
* NoRun, value: 1
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
* DisableRegistryTools, value: 1
* DisableTaskMgr, value: 1
- HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
* DisableCMD, value: 1
- HKEY_LOCAL_MACHINE\Software\Classes\VBEFile\
* [Default], value: Microsoft Word Document
* FriendlyTypeName, value: Microsoft Word Document
* NeverShowExt
- HKEY_LOCAL_MACHINE\Software\Classes\VBEFile\DefaultIcon
* [Default], value: C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe,1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
* RegisteredOwner, value: ALICE
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
* DisableSR, value: 1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
* Userinit, value: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe //e:vbscript.encode C:\WINDOWS\system32\drivers\alice.sys
Registry key yang dihapus oleh virus ini:
- HKEY_LOCAL_MACHINE\Software\Classes\inffile\shell\Install
* [Default], value: &Install
- HKEY_LOCAL_MACHINE\Software\Classes\inffile\shell\Install\command
* [Default], value: %SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1
Membersihkan virus Alice
1. Matikan proses wscript.exe menggunakan aplikasi Process Explorer, dengan klik kanan wscript.exe, Kill Process
2. Hapus registry key yang dibuat oleh virus, antara lain:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
* NoFileAssociate, value: 1
* NoFind, value: 1
* NoFolderOptions, value: 1
* NoRun, value: 1
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
* DisableRegistryTools, value: 1
* DisableTaskMgr, value: 1
- HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
* DisableCMD, value: 1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
* DisableSR, value: 1
- HKEY_LOCAL_MACHINE\Software\Classes\VBEFile\
* NeverShowExt
3. Edit registry key yang sudah dirubah oleh virus, antara lain:
- HKEY_LOCAL_MACHINE\Software\Classes\VBEFile\
* [Default], value: VBScript Encoded Script File
* FriendlyTypeName, value: @%SystemRoot%\System32\wshext.dll,-4803
- HKEY_LOCAL_MACHINE\Software\Classes\VBEFile\DefaultIcon
* [Default], value: %SystemRoot%\System32\WScript.exe,2
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
* RegisteredOwner, value: [ganti dengan nama anda atau nama apa saja]
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
* Userinit, value: C:\WINDOWS\system32\userinit.exe,
4. Tambahkan registry key berikut ini:
- HKEY_LOCAL_MACHINE\Software\Classes\inffile\shell\Install
* [Default], value: &Install
- HKEY_LOCAL_MACHINE\Software\Classes\inffile\shell\Install\command
* [Default], value: %SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1
5. Hapus seluruh file yang sudah terinfeksi virus, antara lain:
- seluruh file berekstensi .vbe dengan kapasitas 8 KB
- alice.alc yang berada di setiap drive harddisk dan removable disk (seperti C:\, D:\, dst)
- autorun.inf yang berada di setiap drive harddisk dan removable disk (seperti C:\, D:\, dst)
- alice.sys : terdapat di C:\WINDOWS\System32\Drivers\
Catatan: Saat mencari dan menghapus file-file di atas, JANGAN SEKALI-KALI double-click salah satu drive karena virus bisa beraksi kembali dan menjadi sia-sialah upaya pembersihan sebelumnya. Atau jika ingin membuka windows explorer cukup tekan tombol Windows dan E pada keyboard satu kali saja untuk berpindah-pindah antar drive atau folder. Gunakan juga aplikasi pengganti menu Find seperti Hidden File Tool, dengan ketik filter yang diinginkan (seperti: *.vbe), lalu tekan tombol search.
6. Sebelum melakukan langkah no 5; pastikan bahwa pengaturan di Control Panel – Folder Options adalah sbb : Show hidden files and folders –> dicentang, Hide protected operating system files –> tidak dicentang. Supaya alice.alc dan alice.sys-nya bisa ditemukan dan dihapus.
7. Pastikan langkah-langkah di atas telah selesai dilakukan, lalu restart computer
8. Saat ini sistem Windows telah kembali seperti semula, sudah bisa menjalankanTask Manager, Command Prompt, Registry Editor, Folder Options, menu Run, menu Search / Find, System Restore. Mengubah atribut file bertipe dokumen (.doc) yang awalnya disembunyikan karena efek dari virus menjadi dapat terlihat seluruhnya.
Caranya: buka jendela command prompt dengan klik Start, Run, ketikkan cmd lalu OK. Kemudian pada command prompt, ketikkan: attrib –s –h c:\*.doc /s lalu tekan Enter, jika pada driver yang lain selain C juga ada file dokumen, lakukanlah hal yang sama dengan mengganti c: menjadi d: atau e: dst. Seteleh selesai ketikkan: exit, maka jendela command prompt akan tutup.
Bila anda kurang memahami cara mengubah atribut file menggunakan command prompt, anda bisa melihat posting-an saya sebelumnya mengenai “ubah atribut file melalui command prompt”.
Sekian pembahasan mengenai virus Alice ini.