Khasanah Islam
Home » Antivirus » Cari Tau » Internet » Tips Trik » Tutorial » Annie.sys is beautiful girl [virus Trojan.JA.Autorun.A]

Annie.sys is beautiful girl [virus Trojan.JA.Autorun.A]

Posted by idiot on duty 8 Oktober 2013 1 comment
Hati-hati jika anda menjumpai file dengan nama yang cukup menggoda anda untuk membuka fil tersebut, terlebih dengan icon video karena biasanya virus akan menggunaan nama-nama file yang 'eksotik' untuk mengundang rasa keingintahuan user terhadap file tersebut, seperti yang dilakukan oleh salah satu virus Trojan.JA.Autorun.A yang akan menyamarkan dirinya dengan membuat 5 file shortcut di setiap drive dengan nama Beautiful_girl_part_1.lnk s/d Beautiful_girl_part_5.lnk. Sama seperti yang di lakukan oleh Virus Ramnit, virus ini juga akan menginjeksi file HTM/HTML untuk menyebarkan dirinya dengan menyisipkan code pada footer file HTM/HTML tersebut. G Data Antivirus dengan teknologi Active Hybryd dan Close Gap technology mendeteksi malware ini sebagai Trojan.JS.Autorun.A (lihat gambar 1)



Gambar 1, G Data mendeteksi Annie.sys atau Beautiful Girl sebagai Trojan.JS.Autorun.A


Informasi File induk

Malware ini dibuat menggunakan program bahasa Java Script dengan ukuran file sekitar 9 kb. Pada saat file tersebut di aktifkan maka akan menjalankan file wmplayer.exe atau windows media player (lihat gambar 3) dengan tujuan mengelabui korbannya yang 'mengharapkan' video wanita cantik. Tujuan utama aksi ini adalah menjalankan script yang terkandung di dalam file tersebut, kemudian akan membuat beberapa file induk yang akan di simpan di beberapa lokasi:

  • %System%\drivers\annie.sys (%system% menunjukan lokasi drive yang berbeda-beda, contohnya C:\Windows\System32\Drivers\annie.sys)
  • %System%\annie.ani (%system% menunjukan lokasi drive yang berbeda-beda, contoh C:\Windows\System32\annie.ani)

Untuk mengelabui user, virus ini akan membuat 5 (lima) buah file shortcut (lnk) yang akan di simpan di semua root drive termasuk removable media/USB Flash. File shortcut ini berisi script untuk menjalankan file annie.ani yang ada di drive yang sama (Script file annie.ani C:\Windows\system32\wscript.exe //e:jscript.encode annie.ani /q:1), sehingga jika user menjalankan file tersebut maka secara otomatis akan mengaktifkan virus tersebut dengan terlebih dahulu akan menjalankan program Windows Media Player (wmplayer) seperti pada gambar 3.

Adapun file shortcut yang akan dibuat oleh Trojan.JS.Autorun.A adalah (lihat gambar 2):

  • beautiful_girl_part_1.lnk
  • beautiful_girl_part_2.lnk
  • beautiful_girl_part_3.lnk
  • beautiful_girl_part_4.lnk
  • beautiful_girl_part_5.lnk


Gambar 2, File induk malware Beautiful Girl



Gambar 3, Windows Media Player yang akan di tampilkan untuk menyamarkan aksi malware menginfeksi komputer korbannya


 Autorun Registry Windows

Untuk memastikan agar dirinya ini dapat aktif secara otomatis pada saat user menyalakan komputer, malware ini akan membuat string pada registry editor berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    • Userinit = C:\WINDOWS\system32\userinit.exe,wscript.exe //e:jscript.encode C:\WINDOWS\system32\drivers\annie.sys /e

Blok Fungsi Windows dan Tools Security

Untuk memperlancar aksinya, Trojan.JS.Autorun.A akan melakukan blok terhadap beberapa fungsi windows seperti:

  • Registry Editor
  • Task Manager
  • Microsoft Management Console (secpol.msc/gpedit.msc/device manager dll)
  • File Assosiasi
  • System Restore
  • Tidak dapat menampilkan ekstensi file
  • Tidak dapat menampilkan file yang tersembunyi (hidden)

Untuk melakukan hal tersebut, ia akan membuat string pada registry editor berikut:

  • Disable Registry Editor (lihat gambar 4)
    • Key : HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
    • Value: DisableRegistryTools
    • Data: 0x00000001



Gambar 4, Disable Registry Editor

  • Disable Task Manager (lihat gambar 5)
    • Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
    • Value: DisableTaskMgr
    • Data: 0x00000001


Gambar 5, Disable Task Manager

  • Disable file assosiasi
    • Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • Value: NoFileAssociate
    • Data: 0x00000001

  • Disable Microsoft Management Console / MMC (lihat gambar 6)
    • Key: HKCU\Software\Policies\Microsoft\MMC
    • Value: RestrictToPermittedSnapins
    • Data: 0x00000001


Gambar 6, Disable Microsoft Management Console / MMC

  • Disable System Restore
    • Key: HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
      Value: DisableConfig
    • Value: DisableSR
    • Data: 0x00000001

  • Tidak dapat menampilkan file yang tersembunyi (super hidden)
    • Key:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
    • Value: UncheckedValue
    • Data: 0x00000001

  • Tidak dapat menampilkan ekstensi file (hide extention)
    • Key:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
    • Value: UncheckedValue
    • Data: 0x00000001

  • Tidak dapat menampilkan menu 'Open With' dengan menghapus key berikut:
    • HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With


 Blok Tools Security

Selain blok fungsi Windows, Trojan.JS.Autorun.A juga akan blok beberapa software security berdasarkan nama file yang sudah ditentukan.

  • Disable tools 'Kill Process' atau file/program yang mempunyai nama TASKKILL.exe
    • Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
    • Value: Debugger
    • Data: 'cmd.exe /c rem'

  • Disable tools untuk merubah atribut file atau file/program yang mempunyai nama ATTRIB.exe
    • Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe
    • Value: Debugger
    • Data: 'cmd.exe /c rem'

  • Disable dan menghapus tools 'SysInternals Autostart' atau file/program yang mempunyai nama AUTORUNS.exe
    • Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\autoruns.exe

    • Value: Debugger
    • Data: 'cmd.exe /c del /q /f'
  • Disable dan menghapus tools 'SysInternals Procees Explorer' atau file/program yang mempunyai nama PROCEXP.exe
    • Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
    • Sets value: Debugger
    • Data: 'cmd.exe /c del /q /f'

  • Disable tools/File/program yang mempunyai nama REG.exe
    • Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\reg.exe
    • Value: Debugger
    • Data: 'cmd.exe /c rem'

  • Disable dan menghapus tools RegAlyzer atau file/program yang mempunyai nama RegAlyzer.exe
    • Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegAlyzer.exe
    • Value: Debugger
    • Data: 'cmd.exe /c del /q /f'

  • Menghapus file INF jika file tersebut di install
    • Key : HKEY_CLASSES_ROOT\inffile\shell\Install\command
    • Key : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command
    • Value : Default
    • Data : cmd.exe /c del /q /f '%1'

  • Menghapus file type Registry jika di jalankan
    • Key : HKEY_CLASSES_ROOT\regfile\shell\open\command
    • Key : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\Install\command
    • Value : Default
    • Data : cmd.exe /c del /q /f '%1' 
Metode Penyebaran
 
Untuk menyebarkan dirinya Annie.sys akan memanfaatkan celah autorun Windows dengan membuat file autorun.inf serta file induk annie.ini (file ini akan disembunyikan) di setiap drive termasuk removable media/USB Flash, sehingga malware ini dapat langsung aktif secara otomatis pada saat user mengakses Drive.
File autorun.inf ini berisi perintah untuk menjalankan file annie.ini dengan menggunakan sricpt sebagai berikut :

[autorun]
shellexecute=wscript.exe //e:jscript.encode annie.ani /a
shell\open\command=wscript.exe //e:jscript.encode annie.ani /a
shell\explore\command=wscript.exe //e:jscript.encode annie.ani /a

Selain itu, virus ini juga akan membuat 5 (lima) buah file shortcut disetiap drive termasuk removable media/usb flash dengan nama beautiful_girl_part_1.lnk s/d beautiful_girl_part_5.lnk, file ini berisi script
(C:\Windows\system32\wscript.exe //e:jscript.encode annie.ani /q:%x%) untuk menjalankan file annie.ani yang berada di drive yang sama (%x% menunjukan angka 1 - 5), lihat gambar 7 di bawah.
Gambar 7, File shortcut malware Annie.sys / Beautiful Girl

Jika file shortcut tersebut (beautiful_girl_part_1.lnk s/d beautiful_girl_part_1.lnk) di jalankan, maka akan menjalankan program windows media player (wmplayer) dan akan menjalankan file virus annie.ini. Lihat gambar 8.

Gambar 8, Program Windows Media Playar yang muncul saat Trojan.JS.Autorun.A di jalankan

Menyebar melalui CD / DVD
 
Malware ini juga menyebarkan dirinya melalui CD / DVD dengan cara menyimpan 2 buah file yakni autorun.inf dan annie.ini ke folder (%LOCALAPPDATA%\Microsoft\CD Burning\) dengan membaca lokasi registry berikut sehingga pada saat anda melakukan burn CD/DVD file tersebut akan ikut terkopi secara otomatis.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
  • CD Burning = C:\Documents and Settings\%user%\Local Settings\Application Data\Microsoft\CD Burning
Catatan: %LOCALAPPDATA%, menunjukan lokasi yang berbeda-beda (contohnya C:\Documents and Settings\adang\Local Settings\Application Data\Microsoft\CD Burning\)

Aksi Malware
Pembuat malware ini kelihatannya tidak bermaksud jahat dan menghancurkan data komputer korbannya. Jika berhasil menginfeksi komputer korbannya, Annie.sys tidak akan bertingkah seperti Megan Young, tetapi sebaliknya ia akan merepotkan korbannya dengan menyembunyikan file yang mempunyai ekstensi *.DOC/*.RTF/*.DOCX. Untuk mengelabui user dan mencari korban lebih banyak lagi ia akan membuat file duplikat yang mempunyai nama yang sama dengan nama file yang disembunyikan (hidden).

Berikut ciri-ciri file duplikat Trojan.JS.Autorun.A (lihat gambar 9)
  • Mempunyai nama file yang sama dengan nama file yang di sembunyikan
  • Mempunyai ekstensi file *.JSE (JavaScript Encode), ekstensi ini akan disembunyikan
  • Mempunyai ukuran 9 KB

Gambar 9, Penampakan file duplikat virus pada komputer yang terinfeksi (icon dan type file sama)

Injeksi File HTM / HTML
Anda tentu masih ingat dengan kasus virus Ramnit yang akan menginjeksi file HTM / HTML untuk menyebarkan dirinya, hal ini juga akan di lakukan oleh Trojan.JS.Autorun.A dengan menambahkan baris penanda pada header (<!--[ANNIE83E333BF08546819]-->) dan kode virus pada footer sehingga jika user menjalankan file HTM/HTML yang sudah terinfeksi tersebut akan langsung mengaktifkan virus tersebut. Anda bisa membayangkan jika virus ini menginjeksi file HTM / HTML pada webserver, hal inilah yang menyebabkan virus ini dapat menyebar dengan cepat. Lihat gambar 10

Gambar 10, Kode penanda virus pada header file HTM/HTML

Cara membersihkan Trojan.JS.Autorun.A
Berikut cara untuk mengatasi Trojan.JA.Autorun.A
  1. Matikan proses virus yang aktif di memori. Untuk mematikan proses virus ini anda dapat menggunakan tools Cproces. Silahkan download tools tersebut di link berikut:
http://www.nirsoft.net/utils/cprocess.html
Setelah tools tersebut berhasil di download, piih proses dengan nama cscript.exe (lihat gambar 11), lalu klik kanan pada file tersebut dan klik 'Kill Selected Processes'
Gambar 11, Mematikan proses Trojan.JS.Autorun.A
  1. Reparasi registry Windows yang telah diubah oleh virus. Untuk mempercepat perbaikan registry tersebut silahkan salin script di bawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.VBS, Kemudian klik ganda file [REPAIR.VBS].
Dim oWSH: Set oWSH = CreateObject("WScript.Shell")
on error resume Next
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command\","regedit.exe %1"
oWSH.Regwrite "HKEY_CLASSES_ROOT\regfile\shell\open\command\","regedit.exe %1"
oWSH.Regwrite "HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With\","{09799AFB-AD67-11d1-ABCD-00C04FC30936}"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINESoftware\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit", "Userinit.exe,"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command\","C:\windows\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
oWSH.Regwrite "HKEY_CLASSES_ROOT\inffile\shell\Install\command\","C:\windows\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Autoruns.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\reg.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regAlyzer.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR")
oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden",1, "REG_DWORD"
oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden",1, "REG_DWORD"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue",1,"REG_DWORD"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue",0,"REG_DWORD"
  1. Hapus file file induk virus yang berada di direktori berikut:
    • %System%\drivers\annie.sys (%system% menunjukan lokasi yang berbeda-beda, contohnya C:\Windows\System32\Drivers\annie.sys)
    • %System%\annie.ani (%System% menunjukan lokasi yang berbeda-beda, contoh nya C:\Windows\System32\annie.ani)
    • beautiful_girl_part_1.lnk (semua drive)
    • beautiful_girl_part_2.lnk (semua drive)
    • beautiful_girl_part_3.lnk (semua drive)
    • beautiful_girl_part_4.lnk (semua drive)
    • beautiful_girl_part_5.lnk (semua drive)
    • autorun.inf (semua drive)
    • annie.ani (semua drive)
Agar tidak terjadi kesalahan pada saat menghapus file induk virus tersebut sebaiknya tampilan file yang tersembunyi terlebih dahulu dengan cara: (lihat gambar 12)
    • Buka [Windows Explorer]
    • Klik menu [Tools]
    • Klik [Folder Options]
    • Klik tabulasi [View]
    • Pada kolom [Advanced settings]
      • Checklist opsi 'Show hidden files and folders'
      • Uncheck opsi 'Hide extension for known file types' dan 'Hide protected operating system files (Recommended)'

Gambar 12, Folder Options untuk menampilkan ekstensi file dan file yang tersembunyi
    • Kemudian klik tombol [OK]
  1. Hapus file duplikat virus yang mempunyai ciri-ciri
    • Mempunyai nama file yang sama dengan nama file yang di sembunyikan
    • Mempunyai ekstensi file *.JSE (JavaScript Encode)
    • Mempunyai ukuran 9 KB
Agar tidak terjadi kesalahan dalam menghapus file duplikat virus tersebut sebaiknya tampilan ekstensi file terlebih dahulu dengan cara:
    • Buka [Windows Explorer]
    • Klik menu [Tools]
    • Klik [Folder Options]
    • Klik tabulasi [View]
    • Pada kolom [Advanced settings], uncheck opsi 'Hide extension for known file types' kemudian klik tombol [OK] (lihat gambar 12)
Untuk mempermudah proses penghapusan, silahkan gunakan tools Search Windows dengan format pencarian seperti terlihat pada gambar 13. Kemudian hapus file dengan ciri-ciri yang sudah disebutkan di atas.

Gambar 13, Mencari dan menghapus file duplikat virus
  1. Tampilkan file yang disembunyian oleh virus dengan cara: (lihat gambar 14)
    • Klik menu [Start]
    • Klik [RUN]
    • Pada dialog box RUN, ketik CMD kemudian klik tombol [OK]
    • Kemudian akan muncul layar Command Prompt.
    • Pindahkan kursor ke lokasi root Drive dengan menggunakan perintah CD\ kemudian klik tombol [Enter].
    • Lalu pindahkan kursor ke lokasi yang akan di periksa dengan menggunakan format perintah CD %DriveFolder% (%DriveFolder% adalah lokasi Drive atau Folder yang akan diperiksa) kemudian klik tombol [Enter].
    • Untuk menampilkan file yang disembunyikan (semua file ) ketik perintah :
ATTRIB -s -h -r /s /d kemudian klik tombol [Enter]

Gambar 14, Menampilkan file yang tersembunyi (semua file)
    • Untuk menampilkan file yang disembunyikan (berdasarkan ekstensi tertentu) ketik perintah ATTRIB -s -h -r *.doc /s /d kemudian klik tombol [Enter]
Catatan : *.doc ganti dengan ekstensi *.rtf atau *.docx
  1. Untuk pembersihan optimal, silahkan scan menggunakan Norman Security Suite atau G Data Antivirus. Untuk mendapatkan antivirus G Data silahkan kunjungi http://www.virusicu.com/store/antivirus.php untuk G Data Antivirus atau http://www.virusicu.com/store/totalprotection.php untuk G Data total Protection.

    Sumber : vaksin[dot]com
Categories: , , , ,
Pin It

Related Post:



1 comments:

  1. Blogger25 Februari 2020 pukul 12.31

    If you're looking to lose weight then you certainly need to start using this brand new tailor-made keto plan.

    To design this keto diet service, certified nutritionists, fitness trainers, and chefs have joined together to develop keto meal plans that are useful, convenient, cost-efficient, and satisfying.

    Since their first launch in January 2019, thousands of individuals have already remodeled their figure and well-being with the benefits a certified keto plan can provide.

    Speaking of benefits: in this link, you'll discover eight scientifically-confirmed ones provided by the keto plan.

    BalasHapus

Share

Planetcopas

Copyright © 2011 Not Ordinary Idiot Weblog. All rights reserved.

- created by Blogger | Published by Team Blogspot