Gutbai.exe, Apa dan Solusinya

Author : PusHm0v @ PusHm0v Software Development
Date : 18/9/2006

Shoutz : All echo|staff, yogyafree|staff, The Killer Team
Myztx, vaganci, ^family_code^, TOMMY, adhietslank, etc.
#e-c-h-o, #yogyafree, #javahack, #koncek, #canda, #canda-ops @DAL.NET
newbie_hacker@yahoogroups.com, yogyafree@yahoogroups.com
IT_CENTER@yahoogroups.com, ProgrammerVB@yahoogroups.com
virus_baru@yahoogroups.com
VBbego.com, Virology.info, Vbtn.com
IA01 dan 1IA07, Lab MaDas angk. 19 @ Gunadarma University
Dan teman2 serta kerabat2 lain yang tidak bisa disebutkan satu-persatu

Notes : Penulis TIDAK bertanggung jawab atas penggunaan maupun penyalahgunaan dari artikel ini.
Tujuan dibuat artikel HANYA untuk BAHAN PEMBELAJARAN saja.
Semua nama, URL, domain, IP address, username, password dalam artikel ini disamarkan demi
keamanan dan privasi.
Bila pembaca artikel ini menganggap artikel ini menyinggung perasaan, maka Penulis
memohon maaf sebesar-besarnya.

Main#
Beberapa waktu yang lalu penulis dimintai untuk mencoba sebuah aplikasi oleh mas Kurniawan (^family_code^), yaitu
gutbai.exe. sang author aplikasi ini mengkalim bahwa telah menemukan celah di Microsoft Windows yang bisa membuat
Bill Gates gulung tikar (walaupun pada tahun depan om Bill bakal mengundurkan diri :P). Aplikasi Gutbai.exe tidak akan
mempengaruhi kinerja system, demikian klaim sang author. Walaupun pada kenyataannya aplikasi ini SANGAT-SANGAT merusak
Windows anda. Beberapa analisa penulis terhadap aplikasi gutbai.exe :

1. Compiled dari VB 6.0, dengan no packer dan native code.
2. Mengubah/menambah beberapa key registry :
* DisableRegistryTools
* DisableTaskMgr
* HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell\Explorer.exe menjadi gutbai.exe
* HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system\Shell\Gutbai.exe
3. Mencopy dirinya sendiri ke C:\Windows
4. "Membunuh" proses Explorer.exe

Bila dijalankan, aplikasi ini akan memunculkan window dengan 2 Button yang pertama berisi tantangan untuk meng-kliknya dan
kedua akan menutup aplikasinya. Bila button pertama diklik maka akan muncul MessageBox yang berisi bahwa anda sudah menjalankan
tantangannya dan aplikasi akan me-Log Off anda. Begitu anda Log On kembali maka anda hanya dihadapkan tampilan wallpaper saja.
Mengapa demikian?? karena pada dasarnya Windows melakukan boot secara garis besar sbb:

Boot Sector -> NTLDR -|
|-> Ntdetect.com -> HKLM\HARDWARE\DESCRIPTION
|-> HKLM\SYSTEM\CurrentControlSet\Services
|-> Ntoskrnl.exe |-> bootvid.dll
|-> Windows Session Manager (smss.exe) -> HKLM\SYSTEM\CurrentControlSet\Session Manager\Bootexecute
-> HKLM\SYSTEM\CurrentControlSet\Session Manager\Memory Management\PagingFiles
-> HKLM\SYSTEM\CurrentControlSet\Session Manager\Environment
-> Winlogon -> MSGina.dll
-> Shell (Explorer.exe) ;Nah disini lah permasalahan terjadi

Sang gutbai.exe menggantikan dirinya sebagai shell yang asli, yaitu Explorer.exe. Maka dari itu anda tidak mempunyai shell tapi mempunyai logon yang valid,
karena MSGina sudah dieksekusi terlebih dahulu. TaskManager tidak bisa dibuka, sama halnya dengan Registry Editor (Regedit) karena telah di blok.

Solusi#
Banyak cara untuk mengembalikan shell asli anda, seperti menggunakan media boot CD, disket, USB, dll. Yang pada dasarnya mengganti value registry yang telah
diganti oleh aplikasi tsb. Berhubung kita menggunakan media boot, maka tidak dapat mengubah Registry secara langsung. DIperlukan aplikasi yang dapat membaca
dan mengubah value registry. Untuk penyimpanan Registry Windows terdapat pada %SystemRoot%\Config\Software (karena HKLM\Software yang kita tuju).
Dianjurkan menggunakan aplikasi yang sifatnya GUI (Graphical User Interface) dalam mengubah registry supaya memudahkan recovery. Penulis menggunakan
CD Recovery XP 1.00 Build On PEBuilder yang didalamnya sudah terintegrasi Regedit bawaan. UNtuk mendapatkan atau mengetahui cara membuat CD tsb bisa menghubungi
penulis.

Cara Recovery:
1. Buka Regedit dari Run
2. Browse HKEY_LOCAL_Machine
3. Pilih File pada menu dan pilih Load Hive (File Type : Hive File)
4. Browse ke Drive windows anda (biasanya C:)
5. Browse ke C:\Windows\System32\Config, lalu pilih file Software
6. Akan muncul kotak input box, Buat nama key baru misal HKEY_BARU
7. Browse ke HKEY_BARU\Microsoft\Windows\CurrentVersion\policies\system lalu hapus value Shell
8. Browse ke HKEY_BARU\Microsoft\Windows NT\CurrentVersion\Winlogon lalu ganti value Shell menjadi Explorer.exe
9.Pilih File pada menu dan pilih Export
10.Save 1 folder dengan file software tadi, misal dengan nama software2. Jangan lupa untuk memilih selected branch : HKEY_LOCAL_MACHINE\HKEY_BARU
11.Pilih File pada menu dan pilih UnLoad Hive
12.Browse ke C:\Windows lalu hapus file gutbai.exe
13.Browse ke folder C:\Windows\System32\Config, lalu hapus file Software dan rename file software2 menjadi software
14.Reboot Komputer anda

Bila pada komputer anda masih tidak dapat membuka Task Manager atau Regedit dapat menggunakan file repair.inf :

* BUka Notepad lalu ketikkan :

----Start Here-----
[Version]

Signature="$Chicago$"

Provider=the_killer_team

[DefaultInstall]

DelReg=del

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
-----End Here------

Klik kanan pada file repair.inf tsb dan pilih Install.

Kesimpulan#
Aplikasi Gutbai.exe menghilangkan shell anda dengan menggantinya dengan aplikasi itu sendiri. Apakah ini termasuk "celah" pada Windows?
Kalo menurut penulis ini bukanlah suatu celah, tetapi hanya membuat Explorer.exe tidak Load. Cara Recovery tidak perlu dilakukan
dengan Go back, deep freeze atau instal ulang. Dengan menggunakan CD Recovery XP Bikinan sendiri kita dapat menanggulangi masalah tsb.

Penutup#
Penulis bukanlah Hacker Sejati, melainkan seorang yang masih belajar tentang dunia Teknologi Informasi. Sudah banyak E-zine yang menyebutkan apa itu seorang
hacker Sejati atau Elite atau apapun namanya. Bila ingin benar-benar mengexploitasi suatu celah OS, ada baiknya mempelajari apa itu shellcode, payload dan exploit.
Penulis tidak meragukan kemampuan author Gutbai.exe dalam pemograman, alangkah baiknya bila kemampuan tsb digunakan untuk kebaikan bersama =) =).