Mengatasi Virus L4mpUN6 ‘with L0;v3

Assalamualaikum Wr, wb

Dear: My Imaginary Girl, wherever You are..

Until this seconds.., until this minutes.., and until today!, I still love U.
When everything’s make me broken.. I just want you don’t know who I am..
I don’t belong to you, and I always to lonely..
Such a lonely day.., the most loneliest day of my life.
And if The time has arrived.., I just want nobody know about me.
Sometime.. I look in your direction, although you pay me no attention.
You never know how much I need U, and also you never even seen me.
I’ll always be waiting for U.., and always to Loving U..

Thanx for all the thing that make me sick..

Regards: F_Rom L4mpUN6 ‘with L0;v3

Potongan surat cinta bukan ungkapan perasaan saya, tetapi salah satu efek dari virus yang akan saya bahas disini. Virus ini hampir belum terdetect sama sekali oleh semua antivirus. Setidaknya pada saat postingan ini dituliskan. Berawal dari salah satu member kaskus virus klinik yang berkonsultasi pada masalah komputernya. Setelah menginstall majalah luar negeri, komputernya menjadi sangat lambat dan terjadi keanehan. Setelah program tersebut diupload, saya mencoba scan menggunakan beberapa antivirus lokal dan luar ternama. Hasilnya nihil, sayang ukuran file yang terlalu besar membuat sulit sampel ini diupload ke web analisis virus seperti threatexpert atau virustotal. Dengan keterbatasan ilmu saya, saya mencoba mendownload kemudian menginstall program tersebut. Sekilas memang tidak ada keanehan, karena baik di taskmanager atau processexplorer tidak terlihat proses aneh yang nampak. Tetapi saat kita menjalankan program, ada beberapa keanehan yang muncul. Program yang kita jalankan berubah MD5 dan CRC32 nya. Muncul pertanyaan, apakah virus ini sejenis sality??? salah satu virus yang cukup membuat kesal yang terinfeksi. Semakin penasaran saya, akhirnya saya mencoba untuk menganalisa virus ini. Setelah menyiapkan beberapa tools yang diperlukan, saya mengambil sampel program majalah tadi, kemudian saya mencoba untuk menganalisanya. Oh iya… maaf buat vmakernya, saya menamakan virusnya asal.

Ciri- ciri Komputer yang terinfeksi virus ini :

1. Fungsi “Paste” tidak bisa digunakan di notepad, karena jika kita mencoba “paste” yang muncul adalah beda dengan yang kita copy.



Dari gambar di atas tertulis F_Rom L4mpUN6, berarti virus ini buatan anak indonesia null

2. Beberapa Proses mencurigakan akan muncul, diantaranya PING.EXE
3. File executable atau program yang ingin kita jalankan tidak langsung bisa kita execute, harus di klik yang ke 2x nya baru program yang kita inginkan berjalan.
4. Pada kondisi yang parah virus ini mampu menginfeksi file dengan ekstensi *.rar, *.zip.

5. Virus ini menutup akses internet pada situs – situs security. Pada kondisi yang sudah parah bahkan tidak dapat sama sekali online.

Berdasarkan ciri- ciri di atas saya melanjutkan analisa dengan sedikit logika yang pas – pasan null. Terlihat beberapa string registry yang aneh.

String Registry :

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,Shell
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,Shell
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\ansav.exe,Debugger
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcenter.exe,Debugger
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\update.exe,Debugger
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmaRTP.exe,Debugger
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sfc.exe,Debugger
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe,Debugger
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\REGEDIT.EXE,Debugger
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe,Debugger
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avscan.exe,Debugger
  • HKLM\SOFTWARE\Microsoft\Windows Scripting Host\Locations,CScript
  • HKLM\SOFTWARE\Microsoft\Windows Scripting Host\Locations,WScript
  • HKCU\Control Panel\IOProcs,MVB
  • HKLM\SOFTWARE\Classes\exefile\shell\open\command,@
  • HKLM\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved,{B41DB860-8EE4-11D2-9906-E49FADC173CA}

Dengan string tersebut virus ini mengalihkan beberapa antivirus agar bejalan tidak normal.

Virus ini membuat beberapa file diantaranya:

  1. ntsd.exe
  2. winlogon.exe
  3. excon.exe
  4. system.ini
  5. win.ini
  6. darkyear.bmp

Analisanya dikit aja ya!! kan yang penting gimana cara membasminya. Kalau dijelasin satu persatu akan panjang banget. Sekarang tahap removernya. Download beberapa file ini :

  1. Combofix
  2. IceSword
  3. The Killer Machine & FixRegistry
  4. ProcessExplorer
  5. CFscript.txt
  6. Repair.inf

Saya menyarankan anda download selain di komputer yang terinfeksi. Setelah mendownload file- file di atas, extract bila dalam bentuk winrar atau winzip. Masukkan dalam 1 Folder dan rename semua ekstensi *.exe menjadi *.cmd

Selesai semua tools di download, lakukan hal ini :

  1. jalankan procesexplorer.cmd, kill proses PING.EXE dengan cara kilik kanan pada proses kemudian pilih kill process
  2. pada kasus lain terdapat proses winlogon.exe yang harus di kill juga. namun jangan sampai salah, winlogon yang asli mempunyai icon seperti dibawah ini :

  3. Setelah proses tersebut di kill, jalankan Repair.inf dengan cara klik kanan pada file nya, kemudian pilih install.
  4. Kemudian siapkan combofix.cmd dan CFScript.txt, drag CFscript.txt ke Combofix.cmd, seperti gambar dibawah ini. Tetapi mungkin icon combofix berbeda karena sudah direname terlebih dahulu. Tunggu proses sampai selesai….
  5. null

  6. Setelah itu jalankan kembali combofix.cmd untuk kedua kalinya, proses ini mungkin memerlukan restart
  7. Jalankan The Killer Machine.cmd, dan remove file – file di bawah ini :
    C:\WINDOWS\excon.exe
    C:\WINDOWS\smss.exe
    C:\WINDOWS\system32\NTDriver\winlogon.exe
    C:\WINDOWS\system32\NTDriver\darkyear.bmp
    Caranya liat gambar dibawah ini :
    null
  8. Cek Kembali ke-4 file tersebut dengan icesword, jalankan icesword.cmd. Pilih File kemudian browse ke-4 file tersebut. Jika masih ada klik kanan file- file tersebut pada list icesword, kemudian pilih force deleted
  9. Jalankan Fixregistry.cmd
  10. Repair windows dengan cara masukkan cd windows, kemudian masuk ke Start -> Run > ketik SFC /SCANNOW -> kemudian enter

Cara diatas berhasil pada saya, dan tidak ada salahnya mencoba cara diatas jika anda menemukan gejala- gejala seperti di atas.  Thanks to Kocak_gober, ICQ.

Wassalamualikum wr, wb

7 thoughts on “Mengatasi Virus L4mpUN6 ‘with L0;v3

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s