Jika anda menanyakan, virus pendatang baru apa yang paling banyak

menyebar di bulan Januari 2007, jawabannya adalah sebuah teka-teki.

Pendek, Kekar, pakai blankon. J. Tidak lain dialah virus W32/VBWorm.

MPT atau yang lebih dikenal dengan nama Pendekar (pendek, kekar) Blank.

Sample yang diterima oleh Vaksincom sejak awal Januari menunjukkan

bahwa virus ini menyebar cukup merata dan ribuan komptuer di Indonesia

terinfeksi oleh virus pendek, kekar, pakai blankon alias Pendekar Blank.

Mungkin terinspirasi Sinetron Indonesia yang kalau sukses langsung keluar

seri ke dua, seri ke tiga dan seterusnya kelihatannya pembuat virus ini

sudah bersiap-siap untuk mengeluarkan versi berikutnya karena dia

mengidentifikasikan dirinya sebagai Pendekar Blank 1. Pendekar Blankon

ini mengklaim dirinya sebagai Pahlawan Bertopeng dan ingin memberantas

kejahatan di muka bumi, memberantas dan mengamankan komputer dari

virus lokal. Padahal kejahatan di mukanya sendiri dia biarkan, terbukti

dengan dirinya membuat virus dan menyusahkan pengguna komputer.

Pesan tersebut dituangkan dalam sebuah file dengan nama (Read Me)

Pendekar Blank.txt pada drive C:\.

Virus ini kemungkinan dibuat dengan menggunakan bahasa Visual Basic

dengan ukuran sekitar 34 KB. Untuk mengelabui user ia akan menggunakan

icon dengan bentuk “Folder” dengan ekst. EXE, perhatikan

Untuk mempertahankan dirinya ia akan membuat beberapa file induk yang

akan disebarkan di beberapa lokasi serta disembunyikan sehingga user

akan kesulitan untuk menghapus file tersebut, beberapa file induk yang akan

dibuat diantaranya:

- C:\(Read Me)Pendekar Blank.txt

- C:\WINDOWS\system32\dllChache

§ Blank.doc

§ Empty.jpg

§ Hole.ZIP

§ Msvbvm60.dll

§ Zero.txt

§ Unoccupied.reg

- C:\AUT0EXEC.BAT

- C:\Msvbvm60.dll

- C:\WINDOWS\system32

§ dllchache.exe

§ M5VBVM60.EXE

§ rund1132.exe

§ Regedit32.com

§ Shell32.com

Agar file tersebut dapat dijalankan secara otomatis tanpa bantuan user, ia

akan membuat beberapa string pada registry

Kabar baiknya, VBWorm.MPT tidak akan melakukan blok terhadap fungsi

windows seperti Task Manager / Msconfig atau regedit walaupun demikian ia

akan tetap mencoba untuk blok fungsi “Folder Options” dengan mengaktifkan

option “Do not show hidden file and folders”, “Hide extension for known file types”

dan “Hide protected operating systems file (recommended)” sehingga walaupun

user berusaha untuk merubah settings pada “Folder Options” tersebut

VBWorm.MPT akan mengembalikan kembali ke setting semula.

VBWorm.MPT juga akan menyembunyikan folder C:\Windows\System32

dan sebagai gantinya ia akan membuat file duplikat sesuai dengan nama folder

yang disembunyikan [system32.exe].

Seperti yang sudah dijelaskan sebelumnya bahwa VBWorm.MPT dibuat

dengan menggunakan bahasa Visual Basic sehingga sebenarnya relatif

lebih mudah untuk menghentikannya “dengan catatan” anda berhasil merubah

file msvbvm60.dll yang berada didirektori “C:\Windows\system32”, tetapi

VBWorm.MPT juga cerdik agar dirinya tetap aktif ia akan menyembunyikan

msvbvm60.dll dan walaupun file tersebut nantinya berhasil di ubah atau

dihapus maka ia akan membuat file file msvbvm60.dll

di direktori C:\ dan “C:\WINDOWS\system32\dllChache“ sebagai file backup.

Rupanya pembuat virus juga belajar melakukan Back Up dirinya agar lolos

dari pembasmian.

Memanipulasi ekstensi .txt dan .com

Hati-hati jika komputer anda terinfeksi VBWorm.MPT sebaiknya jangan

sering kali menjalankan file dengan ekstensi txt atau com karena jika

user menjalankan file yang mempunyai ekstensi tersebut maka secara

otomatis akan mengaktikan VBWorm.MPT, dengan terlebih dahulu

merubah string pada registry

Virus yang berusaha menjadi Robin Hood tapi kebablasan

VBWorm.MPT memang akan “berusaha” untuk menghalau perkembangan

sejumlah virus lokal yang mencoba untuk aktif di komputer korban akan

tetapi masih menyisakan beberapa aksi lain dari virus lokal tersebut

yang tidak di blok oleh VBWorm.MPT sehingga virus tersebut masih

aktif di komputer hal ini dibuktikan dengan masih aktifnya proses dari virus

lokal tersebut di memori komputer dimana proses dari virus ini tidak

dimatikan oleh VBWorm.MPT dan satu hal yang pasti tidak semua virus

lokal dapat dihalau oleh VBWorm.MPT. VBWorm.MPT juga akan

berusaha untuk mengembalikan beberapa [tidak semua] value dari string

registry yang dibuat oleh virus lokal lain yang aktif di komputer korban inilah

yang menjadi salah satu kelebihannya walaupun memang tidak semua

string tersebut dapat dikembalikan tapi paling tidak ada beberapa fungsi

windows yang biasa diblok oleh virus masih dapat digunakan [contohnya

jika terdapat virus yang mencoba untuk blok menu Run dengan membuat

string NORUN dengan value 1 maka VBWorm.MPT akan merubah

value 1 dari string tersebut menjadi 0 sehingga menu run masih dapat

digunakan] tetapi setelah diselidiki lebih jauh ternyata VBWorm.MPT

mempunyai “niat jahat” untuk menguasai komputer tersebut, dengan

mengadopsi aksi yang dilakukan oleh Moonlight atau lightmoon,

VBWorm.MPT akan menyembunyikan semua folder yang ada di Disket /

Flash Disk dan mencoba untuk membuat file duplikat disetiap folder sesuai

dengan nama “sub folder” yang ada di Folder tersebut dengan ciri-ciri:

- Menggunakan icon “Folder”

- Ukuran 34 KB

- Ekstensi EXE

- Type file “Application”

Sebagai upaya untuk menyebarkan dirinya, VBWorm.MPT masih

menggunakan Disket dan Flash Disk dengan membuat file New Folder.exe

dengan icon “Folder” dan mempunyai ukuran 34 KB

Cara mengatasi VBWorm.MPT

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan

2. Matikan “System Restore” selama proses pembersihan [jika anda

menggunakan Windows ME/XP]

3. Matikan proses virus yang aktif dimemori. Untuk mematikan

proses virus ini anda dapat menggunakan tools “currprocess” kemudian

matikan proses virus yang mempunyai nama :

§ Blank.doc

§ Empty.jpg

§ Hole.ZIP

§ msvbvm60.dll

§ Zero.txt

§ Unoccupied.reg

4. Hapus file induk yang dibuat oleh virus dengan terlebih dahulu option

"Show hidden files and folders" dan menghilangkan pilihan "Hide extension for

known file types" dan "Hide protected operating system files (recommended)"

pada Folder Option,

Kemudian hapus file induk berikut:

- C:\(Read Me)Pendekar Blank

- C:\WINDOWS\system32\dllChache

§ blank.doc

§ Empty.jpg

§ Hole.ZIP

§ msvbvm60.dll

§ Zero.txt

§ Unoccupied.reg

- C:\AUT0EXEC.BAT

- C:\msvbvm60.dll

- C:\WINDOWS\system32

§ dllchache.exe

§ M5VBVM60.EXE

§ rund1132.exe

§ Regedit32.com

§ Shell32.com

Jangan lupa untuk menghapus file duplikat yang telah dibuat oleh virus

pada Disket/Flash Disk anda dengan ciri-ciri:

§ Menggunakan icon “Folder”

§ Ukuran 34 KB

§ Ekstensi EXE

§ Type file “Application”

5. Hapus string registry yang sudah dibuat oleh virus dengan menyalin

script dibawah ini pada program Notepad dan simpan dengan nama

repair.inf kemudian jalanak file tersebut dengan cara:

§ Klik kanan repair.inf

§ Klik Iinstall

[Version]

Signature="$Chicago$"

Provider=Vaksincom Blankon

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Classes\txtfile\shell\open\command,,,

"C:\windows\system32\NOTEPAD.exe "%1""

HKLM, SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0,

"cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0,

"cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0,

"cmd.exe"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Secure32

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Secure64

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Blank AntiViri

HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell

6. Untuk pembersihan optimal dan mencegah infeksi ulang gunakan

antivirus yang sudah dapat mengenali virus ini dengan baik.

7. Tampilkan kembali folder C:\Windows\system32 dan folder/subfolder yang

ada di Fash Disk yang telah disembunyikan dengan menulis perintah berikut

pada Dos Prompt )

§ ATTRIB –s –h System32 -- > untuk menampilkan folder

System32 di direktori C:\Windows

§ ATTRIB –s –h /s /d -- > untuk menampilkan folder/subfolder

yang ada di Flash Disk

8. Aktifkan kembali “System Restore” pada Windows XP setelah semua

virus dibersihkan.