Menganalisa virus “bootdata.exe”

Asslamualikum Wr, Wb

Hemmm…. g bisa namain virus ini, jadi ya di beri sesuai dengan nama file nya saja, mudah – mudahan vmaker nya tidak keberatan. Virus ini di dapat dari sebuah member forum kaskus hamkaft. Terima kasih telah upload filenya. Mari kita membahas sedikit tentang virus ini, virus yang di buat dengan engine vb ini mempunyai efek yang bisa di bilang berbahaya, ups.. maaf, semua virus komputer berbahaya..!!! Entah kenapa beberapa antivirus yang saya pakai tidak mendeteksi virus ini jika di scan langsung atau saat flasdisk plug and play. setidaknya sampai saat artikel ini ditulis.

berikut tampilan virus yang dikirinkan oleh member hamkaft
virus bootdata.exe

Mungkin ada sedikit pertanyaan. “Loh kok tampilannya gitu sih???? yang virus yang bootdata.exe kan????” yup.. betul sekali itu virus nya, gamabar di atas menunjukkan ada beberapa file, bootdata.exe merupakan file virus yang di hubungkan dengan 2 launcher, yaitu file autorun.inf dan boot.vbs.

berikut isi file autorun.inf nya

[autorun]
shellexecute=wscript.exe boot.vbs

seperti virus lokal lainnya, virus ini memanfaatkan media flasdisk sebagai penyebarannya. Baris script diatas terdapat “boot.vbs” yang meruakan launcher kedua virus ini.

berikut isi boot.vbs

on error resume next
Dim sd
Set sd = CreateObject(“Wscript.shell”): sd.run “bootdata.exe”

nah baru terlihat sekarang bahwa virus ini mengexecute file “bootdata.exe” yang merupakan file execute virus ini. Hemm, saya pun yang awam ini berfikir, mungkin karena memakai 2 launcher seperti inilah, makanya virus ini sulit dideteksi oleh antivirus luar. Besar kemungkinan virus ini merupakan virus lokal.
Sekarang kita membahas efek virus ini, virus ini mempunyai efek menggandakan file dengan ekstensi *.doc dan *.xls menjadi *.exe, serta mampu merubah icon menyerupai file word. yang cukup mengejutkan virus ini juga mampu mengubah inisial virus menjadi “microsoft corporation”. Hemmm…. kemajuan yang pesat di bidang virologi, mungkin bertujuan untuk mengelabui user.

Sekarang kita beralih ke process virus itu sendiri, virus ini membuat file – file baru seperti :

  • C:\WINDOWS\inf\msvbvm60.dll
  • C:\WINDOWS\inf\svc.ico
  • C:\WINDOWS\System32\drivers\vchost.exe
  • C:\WINDOWS\inf\svchost.exe
  • C:\WINDOWS\System32\nt.txt
  • C:\WINDOWS\System32\drivers\vchosttmp.exe
  • C:\WINDOWS\System32\drivers\wIcon.ico

semua file di atas diset dengan atribut hidden, readonly, dan system. sehingga sulit ditemukan dengn mata telanjang. Selain itu virus ini juga mengubah beberapa string egistry windows. sedikit aja y disebutinnya… diantaranya :

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\taskkill.exe “PCMAV-RTP.exe “
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\taskkill.exe “PCMAV-CLN.exe “
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\svchost.exe “C:\WINDOWS\inf\svchost.exe”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\msasn1
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PlugAndPlay
    ErrorControl REG_DWORD, value: 00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PlugAndPlay
    ImagePath [REG_EXPAND_SZ, value: “C:\WINDOWS\System32\drivers\vchost.exe”]
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced “HideFileExt” [REG_DWORD, value: 00000001]
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile “Microsoft Word Document” (2)

seperti virus lokal lainnya viru ini mendisable registry dan sebagian tools – tools windows, selain itu dari string di atas dapat di lihat bhwa virus ini juga menberhentikan process PCMAV, yang merupakan salah satu antivirus lokal.
hemmm… sekian analisa dari saya yang hanya seorang fakir, mungkin kiranya dapat membantu. untuk posting selanjutnya insyaallah saya akan berbagi tips untuk mengatasi virus ini.

Wassalamualaikum Wr, Wb

11 thoughts on “Menganalisa virus “bootdata.exe”

    • jah.. bukan lewat ym aja bro nanya nya…
      repairnya cuma pake plugin hidden revealer ansav, atau pake metode attrib aja bro….

      coz dy g nyatuin diri sama file asli.. cuma di hidden aja, abis itu dy duplikat file aslinya…

  1. Q MW TANYA NI
    PAN LAPTOP SAYA TERKENA VIRUS BOOTDATA NA DIA INI SELALU MENYERANG KE SISTEM WORD JADI WORDNYA DALAM BENTUK VIRUS
    TERUS ANTIVIRUS YANG BAGUS APA YA
    SAYA UDA COBA AVG, KAPERSKY N NORTHON TETEP AJA GA BISA HILANG2
    TOLONG DIBANTU YA

    • belum ada yang mengenal virus ini secara baik, saran saya coba uninstall microdoft office nya dulu…
      setelah itu pakai NOD32
      lakukan fullscan

  2. iya mas,kompi saya juga kena nih, discan pake pcmav versi 2.0b ngga mempan ( cuma kenal autorun dan boot nya aja-di clean tetep aja muncul, pake avg yang free update 1 juni sama aja) sortcut di desk top hilang ,file exe juga hilang, klik kanan ngga bisa kadang bia shutdown sendiri pusing deh… kalo ada kabar anti virus yang bisa hancurin PM saya ya…

    • combofix merupakan tools yang berasal dari luar, kemungkinan database nya belum memuat tentang virus ini, sampai saat ini virus ini hanya terdeteksi oleh NOD32, itu pun antivirus ini belum bisa heal.

      • Mungkin services blm dihapus.Coba liat di services,kalo ada 2 service Plug And Play ,yg satunya ada tambahan kata Plug and Play Services,liat propertisnya,jk service itu mengeksekusi file C:\WINDOWS\System32\drivers\vchost.exe,maka delete aja lewat command prompt.

        Trus utk file dokumen yg di hidden sama tu virus,di attrib -s -h -r *.doc /s ditiap drive kompi.Kemudian search file exe yg berukuran besar,bericon folder berektensi Microsoft Word Doc,truz hapus aja smua.Smoga bisa sedikit membantu.

  3. assalamualaikum wr.wb

    syukron kepada akhi saintBpp

    saran yang sangat bagus, mungkin rekan- rekan lain bisa menggunakan saran anda.

  4. Hai komptr q dah bsa ku hapus virusx pake antivrz ANTV-MD5-PATTERN 5.05e
    jd hebatx antvr ini langsng deteck bootdata.exe biang vrusx tp boot.vbsx qt update dulu ke dtabasex biar ikut kedtck jg tp mslhx skrang vrsx dah hilang tp destop q msh blon mcul, g bsa klik knan, menu run di strt g ad..
    ada saran ga dari tuan rumah atau dri para pengunjung neh? tlong ya thakx..

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s