Cara Menghapus Worm Emule (Rogue Software)

Minggu lalu salah satu rekan saya di kantor meminta tolong agar komputernya dibersihkan dari virus. Katanya nama virusnya Emule, ciri-cirinya:

  • semua icon link shortcut dan program berekstensi exe (.exe) berubah menjadi gambar keledai (donkey)
  • ketika menjalankan program selalu diarahkan untuk membuka emule
  • tidak dapat menjalankan regedit
  • tidak dapat melakukan run as administrator
  • tidak dapat membuka task manager
  • agar emule tidak melakukan notifikasi terus menerus, pengguna ditawarkan software emule yang berbayar (hah? harus bayar? :hammer)

Seingat saya waktu itu Emule adalah salah satu software peer to peer (p2p) yang gratis, contoh lainnya adalah Azure, BitTorrent, Gnutella dll, tapi mengapa yang dialami rekan saya mirip seperti Rogue Antivirus? hanya saja softwarenya berupa p2p bukan Antivirus, apa ini semacam malware baru? Rogue Software?

Setelah sedikit melakukan Google-Fu, saya mendapatkan beberapa artikel yang menyebutkan bahwa memang ada Emule versi malwarenya :hammer atau disebut juga dengan W32.Changeup
http://www.symantec.com/connect/blogs/w32changeup-installing-and-running-emule
http://kill-computer-virus.blogspot.com/2008/10/emule-worm.html
http://www.exterminate-it.com/malpedia/remove-emule
dll

Berbekal file di virus klinik Kaskus seperti Trend Micro Hijackthis, Fixregistry, CCleaner, process explorer ccpb, ccpb regedit, LSPfix dan USB Flashdisk bootable berisi Kaspersky Rescue 10, saya akan mencoba memperbaikinya.

Karena malware ini mirip seperti Rogue Antivirus maka saya pikir kemungkinan langkah-langkah memberantasnya kurang lebih sama, hapus file yang dijalankan oleh malware tersebut, dalam hal ini emule.exe.

#NOTE: Maaf lagi-lagi tidak ada screenshot dari proses penghapusan malware ini :P.

Cara menghapus malware ini:

  1. Task manager tidak dapat dijalankan, file .exe selalu membuka emule.exe, run as administrator juga tidak bisa, ide: bagaimana kalau mengganti ekstensi .exe menjadi .com? saya coba di file process_explorer_ccpb.exe menjadi process_explorer_ccpb.com kemudian dijalankan, voila! ternyata jalan 😀
  2. Jalankan file .exe atau shortcut yang memiliki gambar keledai, perhatikan pada process explorer yang barusan dijalankan…apakah ada file selain emule.exe? *kalau tidak salah ada 3 (tiga) file yang mencurigakan, lihat saja apakah file tersebut penggunaan CPU dan Memory-nya cukup besar dan aktif.
    Lihat juga di command prompt, tasklist /svc, cek apakah file-file tersebut memiliki keterangan yang valid atau tidak.Gambar. Tampilan emule.exe pada Process Explorer.
  3. Jalankan Hijackthis, pertama ubah dulu ekstensinya menjadi .com, cara penggunaan hijackthis bisa dilihat disini. hapus semua yang mendapatkan rating berbahaya di hijackthis.de
  4. Restart komputer, ketika login ternyata masih dalam kondisi yang sama seperti sebelumnya, setelah dicek kembali hijackthis tidak dapat menghapus autorun malware emule ini. sepertinya harus menggunakan OS lain seperti Linux untuk menghapus file emule.exe ini, kebetulan flashdisk saya berisi Kaspersky Rescue 10 yang berbasis Linux, tinggal update kemudian scan 😀Cara membuat dan menggunakan Kaspresky Rescue 10 dapat dilihat disini atau di Kaspersky sendiri.
    Lalu hapus emule.exe dan beberapa file yang dideteksi di Hijackthis.
  5. Selesai? tampaknya setelah di restart kembali semua link shortcut dengan icon yang bergambar keledai menjadi hanya berwarna putih polos saja, begitu juga dengan file .exe-nya.
    Karena file emule.exe telah dihapus maka ketika ada shortcut atau file .exe yang dijalankan akan mencari keberadaan file emule.exe dan muncul sebuah window yang mencari file emule.exe tersebut. Hal ini menandakan bahwa registry Windows-nya telah rusak/corrupt.
  6. Kemudian saya melakukan sedikit Google-Fu lagi untuk mencari cara agar mengembalikan registry menjadi normal, ternyata ada cara yang mudah, tinggal download file bernama Default_EXE.reg lalu jalankan saja.
    File Default_EXE.reg bisa didapatkan disini.
  7. YES! akhirnya semua shortcut dan file .exe telah kembali normal 😀
    Tetapi icon shortcut dan file .exe masih sama saja berupa icon berwarna putih sehingga membuat tampilan masih berasa terinfeksi malware 😛
    Triknya cukup simpel, saya menemukannya secara tidak sengaja :D, waktu itu saya curiga bahwa malware ini menginfeksi browser Mozilla Firefox komputer tersebut (masih versi 3.6) karena ada add-on Emule dan browser tersebut selalu membuka link emule palsu untuk meminta pembayaran, kemudian saya install ulang dengan versi 5.0 yang lebih baru, eh ternyata semua link shortcut dan file .exe menjadi normal kembali 😀

OS yang digunakan oleh rekan saya adalah Windows 7 fully patched dengan antivirus AVG yang selalu diupdate tiap hari, tetapi masih dapat dengan mudah terinfeksi malware karena kurang waspadanya seseorang akan keamanan komputernya, NEVER CLICK ANYTHING THAT YOU DONT KNOW/TRUST!!

Akhir-akhir ini tampaknya malware dengan model meminta pembayaran untuk program yang mereka buat semakin marak, waspadalah!

Semoga bermanfaat,

iKONs

Catatan:

Pembuatan file Default_EXE.reg bisa dilihat disini. atau bisa dibuat melalui notepad dengan isi:

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT.exe]

[HKEY_CLASSES_ROOT.exe]
 @="exefile"
 "Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT.exePersistentHandler]
 @="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOTexefile]
 @="Application"
 "EditFlags"=hex:38,07,00,00
 "FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,
 00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,
 32,00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,
 00,2c,00,2d,00,31,00,30,00,31,00,35,00,36,00,00,00

[HKEY_CLASSES_ROOTexefileDefaultIcon]
 @="%1"

[HKEY_CLASSES_ROOTexefileshell]

[HKEY_CLASSES_ROOTexefileshellopen]
 "EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOTexefileshellopencommand]
 @=""%1" %*"
 "IsolatedCommand"=""%1" %*"

[HKEY_CLASSES_ROOTexefileshellrunas]
 "HasLUAShield"=""

[HKEY_CLASSES_ROOTexefileshellrunascommand]
 @=""%1" %*"
 "IsolatedCommand"=""%1" %*"

[HKEY_CLASSES_ROOTexefileshellrunasuser]
 @="@shell32.dll,-50944"
 "Extended"=""
 "SuppressionPolicyEx"="{F211AA05-D4DF-4370-A2A0-9F19C09756A7}"

[HKEY_CLASSES_ROOTexefileshellrunasusercommand]
 "DelegateExecute"="{ea72d00e-4960-42fa-ba92-7792a7944c1d}"

[HKEY_CLASSES_ROOTexefileshellex]

[HKEY_CLASSES_ROOTexefileshellexContextMenuHandlers]
 @="Compatibility"

[HKEY_CLASSES_ROOTexefileshellexContextMenuHandlersCompatibility]
 @="{1d27f844-3a1f-4410-85ac-14651078412d}"

[HKEY_CLASSES_ROOTexefileshellexDropHandler]
 @="{86C86720-42A0-1069-A2E8-08002B30309D}"

[-HKEY_CLASSES_ROOTSystemFileAssociations.exe]

[HKEY_CLASSES_ROOTSystemFileAssociations.exe]
 "FullDetails"="prop:System.PropGroup.Description;System.FileDescription;System.ItemTypeText;System.FileVersion;System.Software.ProductName;System.Software.ProductVersion;System.Copyright;*System.Category;*System.Comment;System.Size;System.DateModified;System.Language;*System.Trademarks;*System.OriginalFileName"
 "InfoTip"="prop:System.FileDescription;System.Company;System.FileVersion;System.DateCreated;System.Size"
 "TileInfo"="prop:System.FileDescription;System.Company;System.FileVersion;System.DateCreated;System.Size"

[-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.exe]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.exe]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.exeOpenWithList]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.exeOpenWithProgids]
 "exefile"=hex(0):

[-HKEY_LOCAL_MACHINESOFTWAREClasses.exe]

[HKEY_LOCAL_MACHINESOFTWAREClasses.exe]
 @="exefile"
 "Content Type"="application/x-msdownload"

[HKEY_LOCAL_MACHINESOFTWAREClasses.exePersistentHandler]
 @="{098f2470-bae0-11cd-b579-08002b30bfeb}"

Lalu save menjadi filename.reg dan tinggal di jalankan saja.