Serangan Worm: Registry Value yang Perlu Diwaspadai

Dua kali sudah aku berhadapan dengan worm. Biyasane worm itu diidentifikasikan dengan string W32 di depan nama worm itu sendiri. Contoh posting sebelumnya, W32.Rontokbro@mm.

Worm lebih sering ngendok di memori, terus ngopikan dirinya sendiri sampai bikin komputer lambat karena jalur data yang penuh oleh file2 worm. Coba cek menu Folder Option, masih eksis kah? Coba lagi tekan tuts Ctrl+Alt+Del, kemungkinan tampil pesan “Task Manager has been disabled by your administrator”. Wah, tanda2 terserang worm tu!

Worm itu menambahkan nilai (value) tertentu pada registry. Itulah yang menyebabkan munculnya pesan seperti itu. Masalahnya, ketika kita akan mengubah nilai registry liwat Regedit, Regedit juga ikutan di-disabled. Mungkin itu dimaksudkan untuk mencegah perbaikan secara manual liwat Regedit.

Lah terus gimana ngedit registry kalo Regeditnya di-disabled? Tenang (walaupun dulunya aku panik waktu tau “Regedit has been disabled by your administrator”.), ada penyembuhnya kok! Ceritanya waktu googling worm W32.Imaut.N, keluarlah hasil (result) dari symantec.com yang lumayan membantu. Kalau di symantec.com, file ini namanya UnHookExec.inf. Silahkan copy paste tag di bawah ini ke notepad, kemudian save dengan nama terserah, apa aja yang penting ekstensinya *.inf.

[Version]
Signature=”$Chicago$”
Provider=Symantec

[DefaultInstall]
AddReg=UnhookRegKey

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “”%1″””
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0

Beres? Belum, sak marine nge-save file *.inf iku maeng, klik kanan nang file iku terus pilih install. Hehehe… Kamdusnya, klik kanan di file *.inf tersebut, kemudian pilih install. InsyaAllah Regedit sudah bisa dijalankan kembali.

Sebelumnya untuk lebih menyingkat tempat (space, padahal asline males nulis), primary key awal aku singkat. Contoh: HKEY_CURRENT_USER jadi HKCU, HKEY_LOCAL_MACHINE jadi HKLM, dll. Kemudian untuk string yang berada didalam tanda petik(“) merupakan nilai yang perlu dihapus. Berikut beberapa nilai registry yang perlu dihapus:

1. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\”NoFolderOption”=”1″ (Ini untuk mengembalikan menu Folder Option).
2. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\”DisableRegistryTool”=”1″ (ini yang bikin regedit disabled).
3. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\”DisableTaskMgr”=”1″ ( kalo ini bikin Task Manager gak bisa dipanggil liwat Ctrl+Alt+Del).

Wes, cuman dikit yang aku tau. Selebihnya pengeditan registry tergantung pada jenis worm, karena beda worm, beda pula nilai registry yang diutak-atik. Selamat menyelami dunia registry. Lain waktu aku bahas sedikit tentang registry.

Salam,
Ptx.

W32.Rontokbro@mm

Hari Selasa, 22 Januari 2008, kemaren, salah satu komputer (namanya barunich) yang ngendon di lab terjangkit sejenis worm. Seperti biasa, menu folder option, task manager dan regedit di-disabled. Bikin gerah juga, ditambah lagi antivirus yang tertanam di barunich ngambek dengan tidak mau melakukan proses scanning. Tiap kali disuruh scanning, yang muncul malah kotak pesan error. Tambah lagi suka ng-restart secara tiba2 waktu cmd.exe dijalankan atau ditampilkan dalam bentuk windows maximized (waktu di-minimized nggak masalah).

Karena regedit masih disabled, aku lari ke symantec.com untuk ngunduh file UnHookExex.inf. Install. Beres satu masalah. Regedit kembali aktif. Sekarang masalahnya antivirus yang tadinya ngambek aku uninstall dengan harapan bisa kembali normal waktu ku install ulang. Ternyata waktu proses install ulang berlangsung tetap aja error. Waktu antivirus symantec di-install, ternyata dia menjalankan beberapa perintah programnya lewat cmd. Lha wong cmd-nya sendiri masih di-disabled sama worm, gimana mau nginstall. Sempet dicoba nginstall liwat save mode, tapi pede beih (sama saja, bahasa Madura).

Akhirnya utek2 registri liwat regedit. Niatnya sih cuma mbalekno (mengembalikan) menu folder option dan task manager ke habitat asalnya. Ternyata, didalam sub-kunci (sub-key) yang sama dengan nilai (value) disable task manager, ada satu nilai yang anomali. Maskudnya nilai itu tidak seharusnya berada di situ. Bahkan, sebenarnya tidak seharusnya nilai itu ada. Nilai itu kalau gak salah DisableCMD (waktu nemu langsung delete).

Begitu selesai di delete, dengan perasaan yang tidak menentu dan campur aduk (hiperbolis banget!), aku coba run cmd. Dan… barunich gak restart2 lagi. Wuah!! Lega, akhirnya antivirus bisa ditanamkan (baca: install) dan dipupuk (baca: update). Langsung nginstall antivirus plus ngupdate sekalian.

Selesai nginstall plus update, terus nyecan full system. Tapi sebelumnya sistem restorenya dimatiin dulu liwat control panel –> system properties (liwat klik kanan di My Computer –> properties juga bisa. Kalau di WinXP keluar kotak dialog, pilih tab System Restore, cawang kotak yang ada tulisannya “turn off System Restore in all drive”). Takutnya worm masih ngendok di System Restore.

Ditemukanlah 96 duplikasi worm di berbagai tempat di beberapa belahan dunia (kembali hiperbolis). Nama threatnya “W32.Rontokbro@mm”. Seperti biasa, langsung konfirmasi ke Symantec.com untuk cari spesifikasi worm plus cara removalnya. Yang penting dari removal worm tuh nilai2 registri yang perlu dihapus atau dikembalikan kenilai asal.

Untuk yang butuh detail teknis dari worm ini, silahkan mengunjungi symantec.com (promosi gratisan! Tapi nggak masalah, yang penting share informasi aja sih. Hehe….huhuhuhu:(().

Tak dunga’no tulisan iki isok ngewangi dulur2 sing kene’ worm sing podo (Aku doakan tulisan ini bisa membantu sodara2 yang terjangkit worm yang sama).

Salam,
Ptx.

Dendeng Kecoak

Bangun pagi yang ada perut laper. Alhamdulillah Ibuku yang pengertian sudah menyiapkan nasi goreng lauk dendeng. Samber deh!
Alhasil, aku makan didepan komputer sambil ngerjakan beberapa tugas. Sesendok demi sesendok. Sesuap demi sesuap.
Nggak Tidak lama kemudian, ada yang ganjil di sendokku. Aku amati dalam-dalam. Pertama aku pikir itu potongan ikan asin yang juga digoreng Ibuku.
Dari hasil pengamatanku, aku melihat adanya satu buah kepala, tiga pasang pangkal kaki, dua pasang sayap yang tertutup, dengan perut oval berbuku.
Gila! Ada kecoak di dendengku! Bisa bayangkan gak? Hewan yang paling aku benci karena gilo bin jijik berada sepiring dengan nasi goreng dan menempel di dendeng ku. Jelas saja nafsu makanku seketika pudar. Akupun laporan ke Ibu, “Bu, ada kecoak nempel di dendeng!” sambil aku tunjukkan bangkai kecoak yang bersemayam di sendok.
Ibu menyahuti, “Kok bisa?” dengan kaget.
Aku menimpali. “Kok bisa? Aku nggak nafsu makan lagi nih Bu.”
“Bikin mie aja, Mas? Nasi sama dendengnya dibuang aja.” aku menangkap sedikit nada kekecewaan dari saran Ibu.
“Nggak wes, dendengnya aja yang aku buang. Nasinya aku makan.”
“Nggak apa-apa ta? Nggoreng telor ceplok lho?”
“Iya.”
Akhirnya makan dilanjutkan hanya dengan pikiran biar nggak kelaparan tanpa nafsu makan. Sendoknya aku ganti. Walau sebenernya masih kepikiran sama tubuh mati kecoak yang pernah berada satu piring dengan nasi dan dendeng ku.
Allahumma bariklanaa fimaa rozaqtana waqina adzabannaar. Amin.