|
Wmplayerc merupakan worm lokal
yang sudah dikenal sejak PCMAV
2.2a Update Build3 dan dilaporkan
menyebar luas di Indonesia. Kali ini
akan ditampilkan analisa lebih
lengkapnya. Efek merugikan dari
virus ini adalah menghapus file-file
multimedia yang dikenali dari daftar
ekstensi file yang disimpan pada
tubuh virus. File-file multimedia
yang ditemukan akan digantikan
dengan file virus yang siap
dijalankan dan menyebar.
Daftar Ekstensi File
Berikut adalah daftar ekstensi file
multimedia yang dapat menjadi
korban virus ini adalah:
.AVI
.3GP
.MP4
.FLV
.ASF
.M4V
.MPE
.VMV
.M1V
.M2V
.VOB
.MOV
.WVX
.MKV
.MPA
.MPV
.DIV
.M2P
.3G2
.DAT
.MPEG
.DIVX
.REAL
Manipulasi Folder
Dalam upayanya menyembunyikan
diri dan kembali aktif (seandainya
Anda berhasil mematikan prosesnya
di memory), virus ini membuat
duplikat folder-folder yang ada pada
root drive dalam bentuk shortcut/
link, dan menyembunyikan folder
asli dengan atribut sistem/
superhidden.
Alhasil, sekilas komputer Anda
tampak baik-baik saja, hanya saja
kalau diperhatikan melalui Windows
Explorer, Anda akan melihat folder
yang ada pada root drive (misalnya
Windows, Program Files) memiliki
size 2 KB. Sementara, folder yang
sesungguhnya tidak
mencantumkanukuran pada
Windows Explorer. Untuk melihat
kondisi sebenarnya, atur konfigurasi
Windows Explorer dengan memilih
menu Tools – Folder Options, pililh
“Show hidden files and folders”, dan
hapus tanda centang pada pilihan
“Hide extensions for known file
types” dan “Hide protected
operating system files
(Recommended)”.
Apa yang terjadi saat Anda meng-
klik folder bohongan tersebut? Yang
dijalankan adalah perintah berikut:
%WINDIR%
\system32\rundll32.exe
Shell32.dll,ShellExec_RunDLL
“ RÊCYCLÊR\ .com”
“NamaFolder”
“NamaFolder” adalah folder
sebenarnya. Folder tersebut tetap
terbuka, tetapi sebelumnya virus
telah dieksekusi, terlihat bahwa
induk virus disimpan dengan nama
“ .com” (tanpa tanda kutip) pada
folder RÊCYCLÊR.
Pembedahan Virus
Virus ini memiliki
beberapa “daftar cekal”
berupa URL website-
website porno lokal, jadi
saat komputer yang
terinfeksi melakukan
browsing ke beberapa
website porno tersebut,
komputer akan shutdown
dengan sendirinya.
Virus juga melakukan
pengecekan terhadap
program yang berjalan,
dengan mendeteksi
caption yang terdapat
pada program tersebut.
Kembali beberapa kata
berkonotasi porno dicekal
oleh virus. Selain itu,
string Norman Malware
Cleaner, PROCEXPL, PeiD
v0.95, PeiD v0.94, dan
OLLYDBG juga termasuk
daftar string yang akan
membuat sang virus
melakukan shutdown
pada komputer.
Komputer dapat terinfeksi
virus ini melalui flash disk
yang telah terinfeksi, yaitu
saat pengguna meng-klik
folder bohongan pada
flash disk atau media
storage yang sebenarnya berupa
link pemanggil virus. Selain itu,
ketidakwaspadaan juga dapat
membuat Anda mengklik file virus
yang menyamar sebagai file
multimedia, lengkap dengan icon
media player untuk menjebak
pengguna.
Selain menciptakan file induk yang
berukuran sekitar 66 KB pada folder
RÊCYCLÊR, file induk juga diciptakan
pada folder Program Files\Windows
Media Player dengan nama
Wmplayerc.exe atau
Xvidshow.exe (jika komputer
Anda terinstal codec XviD).
Pengambilan string dengan
membedah dan memetakan
kembali tubuh virus divisualisasikan
pada gambar berikut.
Pada tubuh
virus juga
terdapat
perintah
shutdown.exe -r -f -t 00, yang
besar kemungkinannya merupakan
perintah yang akan dieksekusi saat
virus mendeteksi pengaksesan
website porno atau caption tertentu.
Parameter -r memberikan instruksi
shutdown dan restart, parameter -f
memaksa aplikasi lain tertutup, dan
parameter -t 00 merupakan timeout
untuk melakukan proses shutdown,
dalam hal ini diset 0 detik.
Saat aktif, virus ini memuat file
dropper ke memory dengan nama
svchost.exe, yang berfungsi untuk
memonitor traffic TCP/IP sehingga
dapat mendeteksi saat Anda
menjalankan URL yang termasuk
dalam daftar web porno yang
disimpan oleh dropper. File dropper
ini dibuat dengan VisualBasic dan
berukuran sekitar 9 KB. Selain itu,
string bertuliskan “Tak gendong
kemana-mana.. Enak Tau !!! Ha
Ha Ha Ha” juga tampak pada tubuh
file ini.
Gunakan PCMAV terbaru untuk
pembersihan secara tuntas virus
Wmplayerc. Perhatikan jika terdapat
file yang Anda yakini adalah nama
file multimedia milik Anda - tetapi
terdeteksi sebagai virus Wmplayerc
- maka file tersebut sudah bukan file
video yang asli lagi, tetapi file virus
yang menyamar (silakan cek ukuran
dan ekstensi file tersebut jika Anda
masih ragu-ragu), sedangkan file
video yang asli telah raib dihapus
oleh virus tersebut. Lakukan
recovery sebisanya jika Anda
terlanjur mengalami hal ini.
yang sudah dikenal sejak PCMAV
2.2a Update Build3 dan dilaporkan
menyebar luas di Indonesia. Kali ini
akan ditampilkan analisa lebih
lengkapnya. Efek merugikan dari
virus ini adalah menghapus file-file
multimedia yang dikenali dari daftar
ekstensi file yang disimpan pada
tubuh virus. File-file multimedia
yang ditemukan akan digantikan
dengan file virus yang siap
dijalankan dan menyebar.
Daftar Ekstensi File
Berikut adalah daftar ekstensi file
multimedia yang dapat menjadi
korban virus ini adalah:
.AVI
.3GP
.MP4
.FLV
.ASF
.M4V
.MPE
.VMV
.M1V
.M2V
.VOB
.MOV
.WVX
.MKV
.MPA
.MPV
.DIV
.M2P
.3G2
.DAT
.MPEG
.DIVX
.REAL
Manipulasi Folder
Dalam upayanya menyembunyikan
diri dan kembali aktif (seandainya
Anda berhasil mematikan prosesnya
di memory), virus ini membuat
duplikat folder-folder yang ada pada
root drive dalam bentuk shortcut/
link, dan menyembunyikan folder
asli dengan atribut sistem/
superhidden.
Alhasil, sekilas komputer Anda
tampak baik-baik saja, hanya saja
kalau diperhatikan melalui Windows
Explorer, Anda akan melihat folder
yang ada pada root drive (misalnya
Windows, Program Files) memiliki
size 2 KB. Sementara, folder yang
sesungguhnya tidak
mencantumkanukuran pada
Windows Explorer. Untuk melihat
kondisi sebenarnya, atur konfigurasi
Windows Explorer dengan memilih
menu Tools – Folder Options, pililh
“Show hidden files and folders”, dan
hapus tanda centang pada pilihan
“Hide extensions for known file
types” dan “Hide protected
operating system files
(Recommended)”.
Apa yang terjadi saat Anda meng-
klik folder bohongan tersebut? Yang
dijalankan adalah perintah berikut:
%WINDIR%
\system32\rundll32.exe
Shell32.dll,ShellExec_RunDLL
“ RÊCYCLÊR\ .com”
“NamaFolder”
“NamaFolder” adalah folder
sebenarnya. Folder tersebut tetap
terbuka, tetapi sebelumnya virus
telah dieksekusi, terlihat bahwa
induk virus disimpan dengan nama
“ .com” (tanpa tanda kutip) pada
folder RÊCYCLÊR.
Pembedahan Virus
Virus ini memiliki
beberapa “daftar cekal”
berupa URL website-
website porno lokal, jadi
saat komputer yang
terinfeksi melakukan
browsing ke beberapa
website porno tersebut,
komputer akan shutdown
dengan sendirinya.
Virus juga melakukan
pengecekan terhadap
program yang berjalan,
dengan mendeteksi
caption yang terdapat
pada program tersebut.
Kembali beberapa kata
berkonotasi porno dicekal
oleh virus. Selain itu,
string Norman Malware
Cleaner, PROCEXPL, PeiD
v0.95, PeiD v0.94, dan
OLLYDBG juga termasuk
daftar string yang akan
membuat sang virus
melakukan shutdown
pada komputer.
Komputer dapat terinfeksi
virus ini melalui flash disk
yang telah terinfeksi, yaitu
saat pengguna meng-klik
folder bohongan pada
flash disk atau media
storage yang sebenarnya berupa
link pemanggil virus. Selain itu,
ketidakwaspadaan juga dapat
membuat Anda mengklik file virus
yang menyamar sebagai file
multimedia, lengkap dengan icon
media player untuk menjebak
pengguna.
Selain menciptakan file induk yang
berukuran sekitar 66 KB pada folder
RÊCYCLÊR, file induk juga diciptakan
pada folder Program Files\Windows
Media Player dengan nama
Wmplayerc.exe atau
Xvidshow.exe (jika komputer
Anda terinstal codec XviD).
Pengambilan string dengan
membedah dan memetakan
kembali tubuh virus divisualisasikan
pada gambar berikut.
Pada tubuh
virus juga
terdapat
perintah
shutdown.exe -r -f -t 00, yang
besar kemungkinannya merupakan
perintah yang akan dieksekusi saat
virus mendeteksi pengaksesan
website porno atau caption tertentu.
Parameter -r memberikan instruksi
shutdown dan restart, parameter -f
memaksa aplikasi lain tertutup, dan
parameter -t 00 merupakan timeout
untuk melakukan proses shutdown,
dalam hal ini diset 0 detik.
Saat aktif, virus ini memuat file
dropper ke memory dengan nama
svchost.exe, yang berfungsi untuk
memonitor traffic TCP/IP sehingga
dapat mendeteksi saat Anda
menjalankan URL yang termasuk
dalam daftar web porno yang
disimpan oleh dropper. File dropper
ini dibuat dengan VisualBasic dan
berukuran sekitar 9 KB. Selain itu,
string bertuliskan “Tak gendong
kemana-mana.. Enak Tau !!! Ha
Ha Ha Ha” juga tampak pada tubuh
file ini.
Gunakan PCMAV terbaru untuk
pembersihan secara tuntas virus
Wmplayerc. Perhatikan jika terdapat
file yang Anda yakini adalah nama
file multimedia milik Anda - tetapi
terdeteksi sebagai virus Wmplayerc
- maka file tersebut sudah bukan file
video yang asli lagi, tetapi file virus
yang menyamar (silakan cek ukuran
dan ekstensi file tersebut jika Anda
masih ragu-ragu), sedangkan file
video yang asli telah raib dihapus
oleh virus tersebut. Lakukan
recovery sebisanya jika Anda
terlanjur mengalami hal ini.
