Home > News > W32/VBTroj.CXXT Virus Kupu-Kupu Malam Hadir di PC

W32/VBTroj.CXXT Virus Kupu-Kupu Malam Hadir di PC

Namanya diambil dari judul lagu yang kini kembali dipopulerkan. Selain mengubah fungsi Folder Options, Kupu-kupu Malam juga membawa pesan pada tanggal-tanggal tertentu.

Virus Kupu-kupu Malam dibangun menggunakan bahasa pemrograman Visual Basic. Ukuran file-nya sekitar 88 KB dengan memakai icon Visual basic dan tipe file Application.  Kehadiran virus Kupu-kupu Malam ini memanfaatkan kepopuleran lagu yang dinyanyikan kembali oleh salah satu band papan atas tanah air.  Menggunakan Norman Security Suite, virus ini teridentifikasi de­ngan­ nama W32/VBTroj.CXXT. Saat file virus diaktifkan oleh pengguna PC, virus ini akan memutar file video menggunakan Windows Media Player. Namun, file video tersebut tidak dapat diputar dan yang ditampilkan hanyalah aplikasi player-nya saja.

File induk yang dibangun

Setelah virus Kupu-kupu Malam aktif di PC korban, virus akan membuat beberapa file induk yang selanjutnya akan di simpan di beberapa folder. File induk yang dibuat antara lain BACA!!!.txt yang disimpan dalam drive C:\; Video~1.mpg.exe yang disimpan dalam folder C:\Temp; file scvhost.exe, csrsc.exe, smsc.exe, dan lsasc.exe yang disimpan ke dalam folder C:\Windows\inf\84nd0t8r080t; file Blaut.exe dan lsasc.exe yang tersimpan ke dalam direktori C:\Windows\system32obe; file BandotBrobot.exe yang di simpan ke dalam folder C:\Windows; file Exblorer.exe, Regedit.pif, Cmd.pif, dan Ble’e.exe yang disimpan ke dalam folder C:\Windows\System32; dan file Ble’e.exe yang disimpan ke dalam direktori C:\Windows\system32\Drivers.

Manipulasi registry Windows

Agar seluruh file induk tersebut dapat di aktifkan secara otomatis saat PC dihidupkan, virus Kupu-kupu Malam akan memanipulasi sejumlah data yang terdapat di dalam system registry, antara lain

RHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
–BandotOye = C:\WINDOWS\BandotBrobot.exe
–WindowsLogon = C:\WINDOWS\Inf\84nd0t8r080t\scvhost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
–LocalServices = C:\WINDOWS\Inf\84nd0t8r080t\lsasc.exe
–WinExblorerXX = C:\WINDOWS\system32\Exblorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
–Shell = explorer.exe “C:\WINDOWS\system32\Oobe\Blaut.exe”
–Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\Drivers\Ble’e.exe
Masalah yang ditampilkan

Tidak seperti kebanyakan virus lokal lainnya, virus Kupu-kupu Malam atau W32.VBTroj.CXXT tidak banyak melakukan aksi pemblokiran terhadap fungsi atau tools yang ada di dalam Windows, seperti Task Manager, Regedit, atau pun System Res­tore. Hal ini dilakukan agar tidak mengundang kecurigaan pengguna PC.

Walupun demikian, virus ini berhasil melakukan sedikit perubahan pada fungsi Folder Options, yaitu Anda atau pengguna PC tidak dapat menampilkan file yang tersembunyi. Tidak hanya itu, virus ini juga berhasil memblokir fungsi Command Prompt di Windows (CMD.EXE), sehingga ketika Anda menjalankan file cmd.exe yang muncul justru Windows Media Player.

Gangguan lainnya adalah membuat shortcut dengan nama bandot. Jika shortcut tersebut di-klik, secara otomatis PC akan logoff. Untuk melancarkan aksinya, virus tersebut akan memanipulasi system registry dengan membuat sebuah string baru seperti di bawah ini
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\Bandot\command
–[Default] = logoff

Ada yang menarik dari virus Kupu-kupu Malam. Virus ini tidak hanya berhasil memanipulasi system registry dan mengu­bah fungsi Folder Options serta Command Prompt di Windows. Ia juga dapat mematikan proses beberapa virus lokal, seperti  virus W32/Tabaru.A (Riyani Jangkaru) dan Kangen.A dengan melakukan perintah
taskkill /f /im xpshare.exe
taskkill /f /im riyani_jangkaru.exe
taskkill /f /im systray.exe

vaksin2

Identifikasi Norman Security Suite berhasil mengidentifikasi virus Kupu-kupu Malam dengan­ nama lain W32.VBTroj.CXXT.

Gangguan lainnya, virus Kupu-kupu Malam akan meninggalkan beberapa pesan pada komputer yang telah terinfeksi. Pesan-pesan tersebut akan muncul pada tang­gal yang telah ditentukan dan ditampilkan secara berlang-ulang. Setiap tanggal 1 Januari, virus ini akan menampilkan pesan yang tertulis “Happy New Year,  Selamat tahun baru. Wish you all the best..”. Pesan dengan kalimat  “Happy Birthday!, Sekarang tanggal 24 April, Si ‘Bandot’ ulang tahun loh…”, akan ditampilkan pada tanggal 24 April.

vaksin3
Pesan Pada tanggal-tanggal tertentu virus Kupu-kupu Malam akan menampilkan sebuah pesan ucapan.

Virus ini juga akan menampilkan ucapan Valentine dan Selamat Natal yang muncul pada tanggal 14 Februari dan 25 Desember. Diluar tanggal-tanggal tersebut, virus ini akan menampilkan pesan lain yang seolah-olah ada perangkat USB Flash Disk atau Removable Disk yang terhubung ke komputer dan pesan ini pun ditampilkan secara berulang-ulang. Semua pesan tersebut akan muncul dalam bentuk pop-up pada area system tray. Tidak hanya itu, pada saat booting, virus ini juga berulah dengan menampilkan ucapan selamat ulang tahun yang disampaikan untuk dirinya sendiri (pembuat virus).

Agar sulit dihapus, virus ini akan mengu­bah beberapa string di dalam system registry. Tidak hanya itu, Anda pun akan kesulitan menghapus virus ini walaupun komputer di-boot dalam mode Safe Mode atau Safe Mode with Command Prompt. Untuk melakukan hal tersebut, virus Kupu-kupu Malam akan mengu­bah string pada sys­tem registry berikut ini

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
–Shell = explorer.exe “C:\WINDOWS\system32\Oobe\Blaut.exe”
–Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\Drivers\Ble’e.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
–AlternateShell = C:\WINDOWS\system32\Oobe\Blaut.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
–AlternateShell = C:\WINDOWS\system32\Oobe\Blaut.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoo
–AlternateShell = C:\WINDOWS\system32\Oobe\Blaut.exe

Untuk menyebarkan dirinya, virus ini memanfaatkan media penyimpanan USB Flash Disk atau Removable Disk. Di dalam media penyimpanan tersebut, virus ini akan membuat file kupu-kupu malam.exe dan autorun.inf. Agar nantinya dapat aktif secara otomatis, virus ini akan memanfaatkan feature Autorun yang ada di Windows dengan membuat file autorun.inf. File autorun.inf berisi script yang berfungsi menjalankan file kupu-kupu malam.exe.

Pembersihan W32/VBTroj.CXXT
Untuk membebaskan PC dari jeratan virus Kupu-kupu Malam atau W32/VBTroj.CXXT, Anda dapat mengikuti beberapa langkah berikut ini. Pertama-tama, Anda harus menonaktifkan koneksi jaringan yang terhubung ke PC selama proses pembersihan.

Selanjutnya, Anda perlu men-disable System Restore. Kini, matikan proses virus yang aktif di memori. Melalui aplikasi Norman Security Suite yang didalamnya tersedia feature Norman System Restore akan memudahkan Anda mematikan proses virus yang aktif di memori dan sekaligus akan menghapus string registry autostart. Matikan proses virus yang mempunyai nama file Bandot dengan cara klik kanan file tersebut yang terdapat dalam tab Other dan Auto Start. Kemudian, klik menu “Terminate Process | Remove AutoRun”.

vaksin4
Mematikan  Melalui feature Norman Advanced System Restore, Anda dapat mematikan proses virus yang aktif di memori.

Langkah selanjutnya, perbaiki system registry yang telah berhasil dimanipulasi oleh virus ini. Untuk memepermudah proses perbaikan system registry, Anda dapat memanfaatkan file repair.inf (CHIP DVD). Untuk menggunakannya, klik kanan file repair.inf kemudian klik menu Install.  Terakhir, hapus file induk yang sudah dibuat oleh virus Kupu-kupu Malam. Untuk mempermudah proses penghapusan, tampilkan terlebih dahulu file yang tersembunyi dan hapus file berikut ini

C:\BACA!!!.txt
C:\Temp\Video~1.mpg.exe
C:\Windows\inf\84nd0t8r080t
–scvhost.exe
–csrsc.exe
–smsc.exe
–lsasc.exe
C:\Windows\system32obe
–Blaut.exe
–lsasc.exe
C:\Windows\BandotBrobot.exe
C:\Windows\System32
–Exblorer.exe
–Regedit.pif
–Cmd.pif
–Ble’e.exe
C:\Windows\system32\Drivers\Ble’e.exe

Agar proses pembersihan virus ini dapat berjalan optimal dan virus ini tidak kembali menginfeksi PC, Anda dapat melakukan proses scan menggunakan aplikasi antivirus yang telah di-update dan memiliki kemampuan mengenali virus Kupu-kupu Malam atau W32/VBTroj.CXXT. Selain itu, Anda juga dapat memanfaatkan tools buatan Norman yang diberi nama Norman Malware Cleaner dan update terbarunya dapat di-download melalui www.norman.com.

Categories: News Tags: , , , ,
  1. No comments yet.
  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s