‘Info Virus Baru’ Articles
Written by admin on 23 August 2010
W32/Bredolab.GY
Don’t Judge the book from the cover
Tampilan sering mengelabui kita, apalagi kita hidup di dunia yang dapat dikatakan lebih mengutamakan kulit daripada isi. Jika kita dihadapkan pada orang yang rapih, memakai kemeja yang disetrika rapih lengkap dengan dasi yang bermerek berjalan beriringan dengan seorang yang memakai kaus oblong dan sepatu sandal. Dapat dipastikan kita akan lebih menghargai orang yang memakai kemeja rapih dan berdasi. Padahal tidak ada jaminan kalau orang yang penampilannya necis, keren dan mobilnya mahal itu lebih tajir daripada orang yang penampilannya biasa-biasa saja. Malahan sebenarnya yang terjadi terkadang kebalikannya. Karena ingin tampil keren dan mentereng dengan barang-barang bermerek, sebagian besar gaji tersedot untuk membeli barang-barang tersebut dan tidak bisa digunakan untuk tujuan yang produktif seperti menabung atau keperluan lain yang lebih penting. Akibatnya malah hutang menumpuk, plafond kartu kredit mentok dan hanya bayar cicilan minimal tiap bulan. Kalau hal itu terjadi di dunia nyata, rupanya di dunia maya (tanpa “luna”) hal itu juga terjadi. Saat ini banyak sekali menyebar program antivirus palsu yang aktivitasnya jelas bukan melindungi komputer, tetapi mencuri data dan menakut-nakuti korbannya. Tetapi hebatnya, tampilan antivirus palsu ini sangat bagus dan nama-nama yang digunakan juga sangat keren. Karena itu para pengguna komputer harus berhati-hati, “Don’t judge the book from the cover”.
Jika anda menerima email dengan lampiran ”aneh” dari siapapun, baik orang yang anda kenal maupun dari orang yang tidak di kenal, anda harus selalu waspada. Definisi ”aneh” disini bukan lampiran dengan logo tabung gas hijau, itu sih semua langsung tiarap :p.
Aneh yang dimaksudkan adalah lampirannya disertakan tidak lazim seperti “hanya” menyertakan link untuk download suatu file, mengandung lampiran executable terlebih jika menggunakan icon yang di manipulasi / tidak sesuai dengan asosiasi file nya (contohnya: menggunakan icon word tetapi mengandung ekstensi .EXE) karena bisa jadi ini merupakan ulah virus dalam upaya menyebarkan dirinya karena saat ini sudah banyak virus lokal maupun mancanegara yang menggunakan teknik rekayasa sosial seperti ini.
Virus yang menyebar saat ini biasanya akan menggunakan beberapa media yang biasa di akses atau di gemari oleh pengguna komputer sehingga hal ini sangat ”membantu” penyebarannya seperti situs jejaring sosial (facebook, twitter, myspace) atau media chating seperti Yahoo Messager.
Trend antivirus gadungan
Makin maraknya penyebaran virus baik local maupun mancanegara saat ini “memaksa” user harus menginstal piranti pengamanan berupa antivirus, sayangnya hal ini tidak ditunjang dengan pengetahuan dari user itu sendiri tentang bagaimana menerapkan cara berkomputer yang baik dan kurang mengikuti perkembangan virus, hal inilah yang menjadi salah satu celah yang akan dimanfatkan oleh virus.
Kurangnya dari sisi pengetahuan user menjadikan mereka ”mudah” dijebak oleh virus, anda tentu masih ingat dengan jelas dengan kasus virus yang menyamarkan dirinya sebagai ”antivirus palsu” pada beberapa waktu lalu dan sampai saat ini pun peredarannya sudah sangat luas dan sudah menghasilkan banyak varian, beberapa contoh yang sempat booming diantaranya ”Antivirus XP 2008, antivirus XP 2009, Antivirus Xp 2010 atau Internet Security 2010. JIka dibandingkan dengan antivirus alsi, antivirus palsu tersebut mempunyai tampilan yang sangat menarik, antivirus palsu ini juga dilengkapi dengan fitur-fitur yang sama persis dengan antivirus asli seperti fasilitas scan hard disk, update definisi, firewall, email protection dan setting optimalisasi antivirus tersebut sehingga user tidak dapat membedakan antara antivirus palsu tersebut dengan antivirus asli. Antivirus palsu ini lebih “agresif” dibandingkan dengan antivirus asli dengan menampilkan beberapa peringatan hasil deteksi virus “yang tentunya juga palsu” dengan tingkat resiko yang membuat user menjadi lebih “paranoid”.
Saat ini golongan mereka (virus) masih tetap setia mengincar user-user terutama yang awam untuk dijadikan korban, ini terbukti dengan kemunculan varian lain dengan nama W32/Bredolab.GY , virus ini mempunyai tugas untuk membuka port dan melakukan koneksi ke website yang telah ditentukan kemudian mendownload Trojan/ virus lain, virus ini juga akan mendownload dan menginstall sebuah program antivirus palsu dengan nama “Security essentials 2010 ” secara otomatis, jika anda melihat tampilannya anda juga tidak akan percaya bahwa antivirus tersebut sebenarnya adalah virus yang memalsukan dirinya sebagai antivirus. Jika dilihat dari namanya, antivirus palsu ini mempunyai nama yang “hampir” sama dengan program antivirus yang dikeluarkan oleh Microsoft yakni “Microsoft Security Essentials”, perbedaannya terdapat dari segi tampilan selain itu untuk mendapatkan versi full dari program “Security essentials 2010 ” ini anda akan di tawarkan untuk melakukan pembelian terlebih dahulu sedangkan “Microsoft Security Essentials” adalah program free yang dikeluarkan langsung oleh Microsoft, apakah hal ini dilakukan untuk menjebak user ataukan ada hal lain ????. Antivirus palsu tersebut di kenali oleh Norman Security Suite sebagai W32/FakeAV (lihat gambar 1 dan 2)
Gambar 1, Tampilan antivirus “palsu” Security essentials 2010
Gambar 2, Tampilan “Microsoft Security Essentials”
Antivirus palsu yang di install oleh W32/Bredolab.GY ini memang cukup menarik perhatian apalagi ia akan menampilkan beberapa nama virus “berbahaya” yang berhasil di kenali serta peringatan-peringatan lain yang mengiformasikan adanya upaya dari pihak luar yang mencoba untuk menyusup kedalam komputer yang berhasil di tangkal oleh Firewall “palsu” dari antivirus tersebut. Antivirus palsu ini juga mempunyai fasilitas untuk update definisi layaknya antivirus. (lihat gambar 3)
Gambar 3, Hasil deteksi “palsu” dari ”Security essentials 2010 ”
Ternyata dibalik penampilan yang “menawan” tersebut tersisip sebuah ancaman yang cukup berbahaya, apa saja ancamannya …silahkan baca artikel ini lebih lanjut.
Untuk mengelabui user, W32/Bredolab.GY akan mengunakan rekayasa sosial dengan memanfaatkan icon MS.Word dengan ekstensi EXE. Virus ini akan di kompresi dengan menggunakan UPX dan mempunyai ukuran sekitar 50 KB (sebelum di kompres mempunyai ukuran 76 KB), lihat gambar 4.
Gambar 4, Contoh File virus W32/Bredolab.GY
Dengan update definisi terakhir, Norman Security Suite berhasil mendeteksi virus ini sebagai W32/Bredolab.GY (lihat gambar 5)
Gambar 5, Hasil deteksi Norman Security Suite
Pada saat file yang telah terinfeksi W32/Bredolab.GY ini di aktifkan, ia akan mendownload beberapa trojan/virus lainnya yang akan di simpan dibeberapa lokasi kemudian mengeksekusi dan menginstall kan dirinya kedalam komputer target (oleh karena itu virus ini akan aktif sempurna jika komputer target mempunyai koneksi internet). Untuk mengelabui user, ia akan menginstall sebuah program antivirus palsu dengan nama ”Security essentials 2010 ”, kemudian ia akan membuat beberapa file berikut:
· C:\Documents and Settings\%user%\orflrkuat.exe
· C:\Program Files\Securityessentials2010\SE2010.exe
· C:\WINDOWS\system32
o smss32.exe
o orflrkuat.exe
o winlogon32.exe
o Warning.html
o Post.txt
o %x%.exe (%x%, menunjukan angka)
o Pgsb.lto
o Adbd.sys
o Helpers32.dll
o ES15.exe
· C:\Documents and Settings\%user%\Local Settings\Temp
o *.tmp
o *.bat
· C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files
· C:\windows\system32\drivers\ndis.sys (merubah isi file)
· C:\WINDOWS\system32\ipsecndis.sys
· C:\WINDOWS\system32\Drivers\ntndis.sys
· C:\Documents and Settings\%user%\Application Data\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010 .lnk (lihat gambar 6)
Gambar 6, Program Security essentials 2010 pada tray menu
Registry Windows
W32/FakeAV akan membuat perubahan pada sejumlah registry berikut dengan tujuan agar salah satu dari file induk tersebut dapat di aktifkan secara otomatis pada saat komputer dihidupkan
W32/FakeAV juga akan melakukan sejumlah perubahan pada registry berikut
Lumpuhkan Fungsi Windows
Agar tidak mudah di bersihkan oleh user, W32/FakeAV akan melumpuhkan beberapa fungsi Windows seperti Task Manager, Registry Editor atau CMD, selain itu ia akan blok sederetan proses yang mempunyai nama tertentu dengan menampilkan peringatan “palsu” seolah-olah file tersebut telah terinfeksi virus seperti terlihat pada gambar 7 di bawah ini
Gambar 7, Peringatan “palsu” dari W32/FakeAV saat menjalankan fungsi Windows atau tools security
Berikut beberapa daftar nama file yang akan dilumpuhkan oleh W32/FakeAV
Untuk melumpuhkan beberapa fungsi Windows di atas ia akan membuat string pada registry berikut:
Selain itu W32/FakeAV juga akan mendaftarkan sejumlah website dirinya ke zona aman (trusted sites) Internet Explorer agar tidak diblok oleh dengan membuat string pada registry berikut:
Gambar 8, Kumpulan alamat website yang di amankan oleh W32/Bredolab.GY
Peringatan palsu
Untuk menarik perhatian korban, W32/FakeAV “si antivirus palsu” akan menampilkan beberapa peringatan “palsu” berupa hasil deteksi virus dilengkapi dengan tingkat resiko dari virus tersebut lengkap dengan tombol pembersih (Remove Threats], jika user memilih tombol tersebut maka W32/FakeAV akan menampilkan sebuah layar konfirmasi yang mengharuskan anda untuk melakukan aktivasi/register program tersebut terlebih dahulu. Jika user tidak memiliki kode aktivasi, W32/FakeAV akan menyediakan tombol bantu lain untuk mendapatkan kode aktivasi yakni “Get License”, jika user klik tombol tersebut maka W32/FakeAV akan menggiring korban untuk mengisi sederetan kolom-kolom yang akan ditampilkan oleh website yang sudah dipersiapkan yang merupakan website “jebakan” dengan dalih untuk mendapatkan produk “full version”, sebaiknya jangan anda isi karena bukan antivirus “palsu” tersebut yang anda dapatkan melainkan sejumlah uang akan melayang dengan percuma tanpa bisa membersihkan virus tersebut. (lihat gambar 9 – 12)
Gambar 9
Gambar 10
Gambar 11
Gambar 12
Kumpulan virus dan peringatan palsu yang berhasil di deteksi oleh W32/FakeAV (lihat gambar 13 da 14)
Gambar 13, Layar konfirmasi aktivasi “Security essentials 2010 ”
Gambar 14, Website “palsu” Security essentials 2010
Selain itu, ia juga akan menampilkan peringatan palsu pada saat komputer dinyalakan atau di restart seperti terlihat pada gambar 15 dibawah ini
Gambar 15, Peringatan palsu “Security Essentials 2010”, saat computer login Windows
Update layaknya antivirus
Untuk meyakinkan korban, W32/FakeAV akan menyediakan fasilitas update database layaknya sebuah antivirus. Lagi-lagi virus antivirus palsu ini akan meminta anda untuk melakukan register atau melakkan pembelian jika mengaktifkan tombol yang tersedia [update now]. (lihat gambar 16)
Gambar 16, Konfirmasi update database Security essentials 2010
Hidden Proses
Jika dilihat dengan menggunakan tools Wireshark atau dengan menggunakan perintah NETSTAT pada command prompt (cmd) terlihat jelas bahwa W32/FakeAV akan melakukan serangkaian aktifitas tersembunyi dengan melakukan koneksi ke sejumlah alamat IP yang telah ditentukan dengan tujuan untuk mendownload virus/trojan lain atau mendownload file tertentu untuk meng-update dirinya agar tidak mudah dikenali oleh antivirus lain.
Selain itu W32/FakeAV juga melakukan serangkaian aktifitas pengiriman email ke sejumlah alamat email yang sudah di dapat dari komputer target, aktivitas ini dilakukan dalam upaya untuk menyebarkan dirinya. (lihat gambar 17 – 19)
Gambar 17
Gambar 18
Gambar 19, Aktivitas pengiriman email
Jebakan W32/FakeAV
Setelah virus W32/FakeAV berhasil di bersihkan, jangan lupa untuk mengembalikan string yang berada di registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ke nilai default dengan mengganti string Userinit menjadi userinit32.exe atau %windir%\System32\userinit.exe,
Jika hal ini tidak dilakukan, maka pada saat computer booting/restart maka akan terjadi kegagalan pada saat anda login Windows
Catatan: Nilai %Windir% ini berbeda-beda
Blue Screen Windows
Untuk beberapa kasus, virus ini akan menyebabkan computer mengalami blue screen setelah login Windows dengan terlebih dahulu menampilkan pesan error berikut (lihat gambar 20)
Gambar 20
Langkah pembersihan W32/Bredolab.GY dan W32/FakeAV
-
Putuskan komputer yang akan di bersihkan dari intranet dan internet
-
Disable ”system restore” selama proses pembersihan
-
Sebaiknya lakukan pembersihan pada mode “safe mode”
-
Matikan proses virus yang aktif dimemori gunakan tools Security Task Manager.
Pada layer “Security Task Manager”, klik kanan pada proses dengan nama smss32.exe, winlogon32.exe, orflrkuat.exe, Security Essentials 10, klik “Remove”, kemudian pilih opsi “Move file to quarantine”, klik tombol “OK” (lihat gambar 21)
Gambar 21, Matikan proses virus dengan menggunakan Security Task Manager
-
Scan dengan menggunakan antivirus yang up-to-date, anda dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut di alamat http://www.norman.com/support/support_tools/58732/en atau menggunakan tools Malwarebytes Antimalware (www.malwarebytes.org), lihat gambar 22 dan 23
Gambar 22, Hasil deteksi Norman Malware Cleaner
Gambar 23, Hasil deteksi “Malware Bytes Antimalware”
-
Fix Winsock Windows yang sudah di ubah oleh virus. Anda dapat menggunakan tools lsfix, silahkan download di website http://download.cnet.com/LSPFix/3000-2085_4-10417026.html (lihat gambar 24)
-
Pada program “Winsock 2 repair Utility”, klik opsi “I known what I’m doing”
-
Pada kolom “Keep”, pindahkan file “helpers32.dll” (jika ditemukan) ke kolom “Remove” dengan klik tanda ”>>”
-
Klik tombol ”Finish”
Gambar 24, Fix Winsock Windows
-
Hapus file temporary dan temporary internet file, anda dapat menggunakan tools ATF-Cleaner (lihat gambar 25)
Gambar 25, ATF-Cleaner
-
Restart komputer dan lakukan scan ulang dengan menggunakan antivirus yang sudah terupdate atau dengan menggunakan removal tools di atas.
Sumber: www.vaksin.com
Posted in Info Virus Baru | No Comments »
Written by admin on 23 August 2010
Virus yang membuat korbannya beli harddisk baru
Kalau ditanya, virus apa yang bisa menandingi “petasan hijau” alias tabung gas 3 kg yang sering meleduk dan memakan korban jiwa yang banyak sekali dalam beberapa bulan terakhir ini. Jawabannya adalah satu virus yang bernama Stuxnet. Mungkin pembaca tidak terlalu mengerti kalau dibilang Stuxnet, tetapi kalau di bilang Winsta, kemungkinan besar para administrator IT pernah mendengar tentang hal ini, walaupun tidak sampai mengalami luka bakar tetapi setidaknya pernah lembur gara-gara virus Winsta ini. Lalu apa hebatnya si Winsta ini ? Salah satu sebabnya adalah aksinya yang spektakuler menggelembungkan ukuran dirinya (tidak sampai meleduk :p) sehingga harddisk sebesar apapun kapasitasnya akan penuh sehingga pengguna komputer kebingungan, kok harddisknya penuh yah. Dan hebatnya lagi, proses Stuxnet ini menggunakan file dll sehingga di load sebagai driver yang sah dari Realtek. Sehingga proses mendeteksi dan membasmi virus ini menjadi cukup sulit … lha… harus menonaktifkan driver. Menurut pantauan Vaksincom, Indonesia termasuk negara dengan infeksi Winsta terbesar, sehingga para pengguna komputer yang “mendadak” mendapatkan message “Low Disk Space” janga buru-buru beli harddisk dulu, tetapi periksa dulu apakah komputer anda terinfeksi virus Winsta atau tidak.
Bagi pengguna komputer, harddisk merupakan media penyimpan yang sangat penting. Dengan kelebihan-nya pada kecepatan akses dan kapasitas yang sangat besar, tentunya dia menjadi media utama menjalankan OS dan menyimpan data digital yang saat ini makin membengkak ukurannya, dari data penting perusahaan seperti data base pelanggan, data email, desain, foto, koleksi lagu dan koleksi video.
Sebagai salah satu perangkat komputer yang sangat penting, harddisk merupakan favorit bagi semua kalangan. Bagi administrator IT, kalangan multi-media, programmer dan pengguna awam, harddisk yang sangat besar dapat digunakan sebagai tempat berbagi pakai data/dokumen pekerjaan atau program aplikasi, juga digunakan sebagai backup pekerjaan dari user itu sendiri serta media penyimpan utama seperti gambar, foto, video dan musik.
FILE VIRUS
Bagi anda pengguna internet, sebaiknya cukup waspada jika mengunjungi alamat website yang mengindikasi konten porno atau pengguna yang mengunduh software crack, karena bisa saja ternyata file tersebut justru memiliki script trojan “Stuxnet”.
Jika anda sudah terlanjur menjalankan file tersebut, maka “Stuxnet” telah berhasil menginfeksi komputer, dan akan membuat beberapa file sebagai berikut :
ü C:\WINDOWS\system32\winsta.exe
ü C:\WINDOWS\system32\drivers\mrxcls.sys
ü C:\WINDOWS\system32\drivers\mrxnet.sys
File “winsta.exe” yang dibuat akan membengkak sebesar sisa ruang harddisk yang ada, sehingga menyebabkan harddisk menjadi penuh (biasa-nya drive C atau system dari OS). Sedangkan file mrxcls.sys dan mrxnet.sys merupakan file aktif yang digunakan untuk menginfeksi komputer dan perangkat lain yang terkoneksi (seperti USB Flash/removable drive).
Winsta.exe sendiri sebenarnya adalah file asli Windows yang berguna. WinStation Monitor, yaitu salah satu tools dari Microsoft yang digunakan pada Windows 2000 untuk melakukan monitoring Terminal Service pada sesi client. Lokasi file tersebut juga seharusnya berada pada C:\Program Files\Resources\winsta.exe. Keterangan lebih lanjut pada artikel berikut :
http://support.microsoft.com/kb/320190
GEJALA & EFEK VIRUS
Beberapa gejala dan efek yang terjadi jika anda terinfeksi trojan “Stuxnet” adalah sebagai berikut :
- Harddisk komputer-komputer di jaringan kompak mendadak penuh dan mendapatkan peringatan “Low Disk Space”. File winsta.exe yang bertambah besar menyesuaikan sisa ruang harddisk yang anda miliki (drive C atau system OS). (lihat gambar 1)
Gambar 1 . File Winsta bertambah besar, menyesuaikan sisa ruang harddisk yang ada
- Karena sisa ruang harddisk yang kosong, tentunya akan menimbulkan notifikasi dari system windows yang menginformasikan bahwa sisa ruang harddisk anda sudah kosong. (lihat gambar 2)
Gambar 2, Peringatan Low Disk Space yang disebabkan oleh membengkaknya Winsta sehingga menghabiskan sisa ruang harddisk.
- Karena ruang harddisk yang sudah kosong, maka anda tidak bisa menyimpan data atau menjalankan program tertentu yang membutuhkan sisa ruang harddisk / menggunakan cache.
- Komputer akan terasa hang/lambat dan bahkan jika anda terkoneksi jaringan akan terputus, hal ini dikarenakan “Stuxnet” yang menginfeksi komputer dan menginjeksi file system. Beberapa file system windows yang menjadi korban infeksi adalah :
1. Svchost : file yang berhubungan dengan koneksi jaringan, dengan menginfeksi file ini maka jaringan akan terputus.
2. Lsass : membuat komputer hang dan lambat serta restart sendiri, dilakukan dengan menginfeksi file ini.
3. Spoolsv : tidak bisa mencetak data lewat printer, hal ini dilakukan dengan menginfeksi file ini.
METODE PENYEBARAN VIRUS
Trojan “Stuxnet” memanfaatkan dengan baik penggunaan usb atau pun share jaringan yang full akses. Trojan akan melakukan infeksi komputer secara otomatis, karena dengan membuat 2 file yang akan ter-eksekusi dengan baik yaitu :
Ø ~WTR[angka_acak].tmp
Ø ~WTR[angka_acak].tmp
MODIFIKASI REGISTRY WINDOWS
Beberapa modifikasi registry yang dilakukan oleh virus “bekol” antara lain sebagai berikut :
- Menambah Registry
o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls
o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS
o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET
PEMBERSIHAN VIRUS
Langkah-langkah yang harus dilakukan untuk melakukan pembersihan virus “bekol” adalah sebagai berikut :
- Bersihkan virus dengan menggunakan removal tools Dr.Web CureIt. Anda dapat mendownload pada link berikut : (lihat gambar 3)
http://www.freedrweb.com/download+cureit/
Gambar 3, Gunakan Dr Web Cureit untuk mendeteksi dan membasmi Stuxnet
- Perbaiki registri windows yang sudah di modifikasi oleh virus dengan langkah sebagai berikut :
o Salin script dibawah ini menggunakan wordpad. Klik menu [Start] [All Programs] [Accessoris] [Wordpad].
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0×00010001,0
HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
[del]
HKLM, SYSTEM\CurrentControlSet\Services\MRxCls
HKLM, SYSTEM\CurrentControlSet\Services\MRxNet
HKLM, SYSTEM\ControlSet001\Services\MRxCls
HKLM, SYSTEM\ControlSet002\Services\MRxNet
HKLM, SYSTEM\CurrentControlSet\Services\Enum\Root\LEGACY_MRXClS
HKLM, SYSTEM\CurrentControlSet\Services\Enum\Root\LEGACY_MRXNET
HKLM, SYSTEM\ControlSet001\Services\Enum\Root\LEGACY_MRXClS
HKLM, SYSTEM\ControlSet002\Services\Enum\Root\LEGACY_MRXNET
Simpan file dengan nama “repair.inf”. Gunakan pilihan Save as type menjadi Text Document agar tidak terjadi kesalahan.
Klik kanan file “repair.inf” kemudian pilih “Install”. Restart komputer.
- Bersihkan temporary file, hal ini agar dapat mencegah sisa trojan yang mencoba aktif kembali. Gunakan tools seperti “ATF Cleaner” atau gunakan fitur windows yaitu “Disk Clean-Up”.
Solusi Darurat mengatasi Winsta :
Untuk mencegah agar tidak kembali menginfeksi, anda dapat menggunakan script berikut :
@echo off
del /f c:\windows\system32\winsta.exe
rem rd c:\windows\system32\winsta.exe
md c:\windows\system32\winsta.exe
del /f c:\windows\system32\drivers\mrxnet.sys
rem rd c:\windows\system32\drivers\mrxnet.sys
md c:\windows\system32\drivers\mrxnet.sys
del /f c:\windows\system32\drivers\mrxcls.sys
rem rd c:\windows\system32\drivers\mrxcls.sys
md c:\windows\system32\drivers\mrxcls.sys
attrib +r +h +s c:\windows\system32\winsta.exe
attrib +r +h +s c:\windows\system32\drivers\mrxnet.sys
attrib +r +h +s c:\windows\system32\drivers\mrxnet.sys
Simpan file dengan nama “winsta.bat”. Gunakan pilihan Save as type menjadi Text Document agar tidak terjadi kesalahan.
Klik 2x file tersebut.
- Untuk pembersihan yang optimal dan mencegah infeksi ulang, scan kembali menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.
Sumber: www.vaksin.com
Posted in Info Virus Baru | No Comments »
Written by admin on 15 July 2010
Salam kangen untuk Abang-abangku di Moncong Burung Abepura – Jayapura
KOHOIN A
Salam untuk sahabat-sahabatku di Pangkalan Naiboya
Jago, Snts, Glnk, Wnts dan lain-lain
Untuk yang punya komputer:
Hebat, file ini bisa ada di komputer anda, padahal saya tidak pernah
sengaja untuk menyebarkan file ini, ini semua karena ada yang
mencuri lagu-lagu dalam komputerku, dan dia tidak tahu bahwa
diantara lagu-lagu itu ada tersisip sebuah program yang mungkin bisa dianggap virus
Tapi tentu saja ini bukan virus! ini hanya program
dan program ini dibuat saat saya belajar tentang pemrograman, jadi jika anda sampai pusing
karena program ini, dan anda menganggap program ini adalah virus, anda salah !
karena program ini dibuat oleh seseorang yang masih pemula!
by Anak Smoensa T’Buan!
Perkembangan IT cepat atau lambat merambah seluruh Indonesia. Indonesia bagian Timur sekalipun yang dari sisi pembangunan agak tertinggal dari daerah lainnya, rupanya pelan tapi pasti mulai tersentuh oleh teknologi informasi. Terbukti dengan beredarnya virus iseng yang memalsukan diri sebagai file MP3.
Bagi Anda yang gemar mengkoleksi lagu-lagu terutama dalam format Winamp (mp3) sebaiknya mulai berhati-hati karena saat ini sedang menyebar virus yang akan memanfaatkan icon dari file winamp tersebut untuk mengelabui user dan disinyalir berasal dari Sorong. Virus ini akan blok program winamp serta program pengolah kata seperti MS Word, ia juga akan blok file instalasi yang mempunyai nama file setup.exe, berikut beberapa ciri-ciri umum yang dapat ditemui pada virus ini :
- Mucul file dengan nama Kohoin.txt di setiap drive, file ini berisi pesan dari sang pembuat virus kepada pengguna komputer yang telah terinfeksi
- Muncul pesan dibawah ini saat komputer pertama kali dihidupkan (lihat gambar 1)
Gambar 1, Pesan saat komputer pertama kali dinyalakan
- Tidak dapat menjalankan program utility Windows seperti msconfig, winamp, file instalasi yang mempunyai nama file setup.exe serta file pengolah kata MS Word, dengan memunculkan pesan error pada saat menjalankan file tersebut (lihat gambar 2)
Gambar 2, Pesan error saat menjalankan file yang di blok oleh virus
- Berusaha menjalankan file “Mixers.exe” setiap kali komputer dinyalakan. (lihat gambar 3)
Gambar 3, Virus berusaha menjalankan file dengan nama “Mixers.exe” saat komputer dihidupkan
File induk Virus
Gurita (eh salah) .. Virus ini dibuat dengan menggunakan program Visual Basic dengan ukuran file skitar 68 KB. Agar mudah mengelabui user dan mudah menyebar, ia akan memanfaatkan program pemutar musik winamp dengan menggunakan icon Winamp pada file yang menyertai virus tersebut dengan type file sebagai aplikasi. (lihat gambar 4)
Gambar 4, File induk virus
Dengan update terbaru Norman Security Suite dan Norman Security Siite PRO mendeteksi virus ini sebagai W32/Smallworm.GQK. (lihat gambar 5)
Gambar 5, Norman Security Suite medeteksi virus ini sebagai W32/Smallworm.GQK
Pada saat virus ini di aktifkan ia akan menampilkan pesan error seperti terlihat ada gambar 6 dibawah, kemudain ia akan membuat beberapa file induk yang akan dijalankan pada saat komputer dinyalakan diantaranya:
- C:\Sisboot.exe
- C:\Windows\Dell.bat
- C:\Windows\Mixers.exe
- C:\Windows\systems.ini
- C:\Windows\sys.exe
- C:\Windows\xpsys.exe
- C:\Windows\system32\xpsys.exe
- C:\Documents and user\%user%\Local settings\Temp\xpsys.exe
Gambar 6, Pesan error saat menjalanan file virus
Agar file tersebut dapat dijalankan secara otomatis pada saat komputer dinyalakan, ia akan membuat string ada beberapa registry berikut
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Fonts System = C:\WINDOWS\Sys.Exe
- WinConfig = C:\WINDOWS\Mixers.Exe
- Windows System0 = C:\Sisboot.Exe
- Windows System1 = E:\Sisboot.Exe
- Xpfrm = C:\WINDOWS\system32\xpsys.exe
- Xpfrx = C:\Document and Settings\%user%\Local Settings\Temp\xpsys.exe
- XpSys = C:\WINDOWS\xpsys.exe
- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
- load = C:\Windows\Dell.bat
File Dell.bat ini berisi perintah lain untuk merubah nama file C:\Windows\Systems.ini menjadi C:\Windows\Mixers.exe
Sebagai benteng pertahanan, ia akan melakukan blok terhadap beberapa fungsi utility Windows seperti Task Manager, MSConfig dengan memunculkan pesan error seperti terlihat pada gambar 2 di atas.
Untuk melakukan hal tersebut, ia akan membuat string berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- NoFolderOptions
- NoTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
- 1 = msconfig.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools
- DisabletaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- DisallowRun
- NoFolderOptions
Blok program MS Word dan Wimamp
Selain blok fungsi Windows di atas ia juga akan melakukan blok terhadap program pengolah kata Microsoft Word (MS Word) atau pada saat user menjalankan file pemutar musik (Winamp) atau saat menjalankan file MP3, untuk melakukan hal tersebut ia akan membuat string pada registry berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
- 1 = Winamp.exe
- 3 = Winword.exe
Pesan pembuat virus
Untuk mengabadikan dirinya, ia akan meninggalkan beberapa jejak dengan menampilkan pesan-pesan baik yang akan ditampilkan pada saat kompter booting atau dalam bentuk file dengan membua file kohoin.txt di setiap drive. (lihat gambar 1)
Untuk menampilkan pesan di atas ia akan membuat perubahan pada string registry berikut :
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- legalnoticecaption = Pesan dari Novi Montegarza
- legalnoticetext = Salam kangen untuk Abang-abangku di Moncong Burung Abepura – Jayapura (lihat gambar 7)
Gambar 7, Pesan yang akan dituangkan dalanm bentuk file dengan nama Kohonin.txt
Media penyebaran
Untuk mempermudah penyebarannya, ia akan memanfaatkan media removable disk termasuk flash disk dengan membut file (acak) di setiap drive seperti anima bintang.exe, Kutak bisa.exe, Ungu-Demi waktu.exe, Once Dealova.Exe atau cenderawasih.exe, file ini mempunyai ukuran 68KB dengan menggunakan icon Winamp dengan tujuan untuk mengelabui user.
Cara mengatasi W32/Smallworm.GQK dengan Norman Security Suite PRO
Dalam artikel ini, Vaksincom memberikan satu trik baru membersihkan virus menggunakan fitur “Intrusion Guard” yang mampu mencegah injeksi file virus dan fitur “Advance System Reporter” yang memiliki fungsi dasar seperti Process Manager tetapi dengan fitur yang jauh lebih lengkap. Anda dapat mendownload Norman Security Suite Pro di http://www.norman.com/downloads/special/nss80, untuk mendapatkan Kode Lisensi NSS Pro Gratis untuk 30 hari silahkan isi form di http://www.norman.com/downloads/trial_registrations/58627/?utm_source=pressrelease&utm_medium=try_link&utm_campaign=nsspro. Anda juga dapat menggunakan tools selain Intrusion Guard seperti Security Task Manager untuk menghentikan proses virus yang aktif.
- Nonaktifkan “System Restore” selama proses pembersihan
- Matikan proses virus yang sedang aktif di memori. Norman Security Suite PRO dengan fitur Intrusion Guard mempunyai kemampuan untuk memonitoring setiap file yang aktif dimemori serta mempunyai kemampuan untuk mematikan setiap proses yang kita inginkan sekaligus menghapus registri startup dari proses tersebut (jika ditemukan).
Untuk memanggil fitur ini, lakukan langkah bereikut
-
- Pada layar utama Norman Security Suite PRO, klik pada menu “Intrusion Guard”
- Klik “Advanced System Reporter” (lihat gambar
Gambar 8, Menu utama Norman Security Suite Pro
-
- Klik “Go to View”, pada menu “Processes” (lihat gambar 9)
Gambar 9, Klik “Go to view” untuk melihat proses virus
-
- Klik pada tabulasi “Auto Start”, klik kanan proses virus dengan icon “Winamp”, kemudian klik menu “Terminate Process” untuk menghentikan proses file tersebut dan “Remove Autorun untuk menghapus string Autorun dari file tersebut agar tidak aktif kembali pada saat komputer di restart. Cek juga pada tabulasi “Other, matikan file proses dengan icon Winamp. (lihat gambar 10)
Gambar 10, Mematikan proses virus dengan menggunaakn Norman Intrusion Guard
- Repair registry, untuk memperludah proses penghapusan silahkan copy script dibawah ini kemudian simpan dengan mama repiar.inf, install file tersebut dengan cara: Klik kanan REPAIR.INF | Klik INSTALL
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, load, 0,”"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Microsoft System Info
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, DisallowRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisabletaskMgr
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoTaskMgr
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, legalnoticecaption
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, legalnoticetext
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Fonts System
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, WinConfig
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Windows System0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Windows System1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Xpfrm
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Xpfrx
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, XpSys
- Hapus file induk, Untuk mempercepat proses penghapusan, silahkan salin script dibawah ini kemudian simpan dengan nama sembarang (contoh: DelVirus.bat), jalankan file tersebut dengan cara Klik 2x pada file yang tersebut.
—- awal code —-
cd\
attrib -s -h -r sisboot.exe
Del Anima-bintang.exe /f
Del Kohoin.txt /f
Del sisboot.exe /f
CD\
CD Windows
attrib -s -h -r Dell.bat /f
attrib -s -h -r Mixers.exe /f
attrib -s -h -r systems.ini /f
attrib -s -h -r sys.exe /f
attrib -s -h -r xpsys.exe /f
Del Dell.bat /f
Del Mixers.exe /f
Del systems.ini /f
Del sys.exe /f
del xpsys.exe /f
CD\
CD Documents and Settings\%username%\local settings\temp
attrib -s -h -r xpsys.exe
del xpsys.exe /f
cd\
msg %username% /time:30 /w /v “Hapus string copy C:\WINDOWS\systems.ini C:\WINDOWS\Mixers.Exe”, pada file C:\AUTOEXEC.BAT
notepad.exe c:\autoexec.bat
msg %username% /time:30 /w /v “Proses penghapusan file induk virus telah selesai dilakukan, silahkan scan ulang dengan antivirus yang up-to-date”
—- akhir code —-
- Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang terupdate dan sudah dapat mendeteksi dan membasmi virus ini dengan baik.
Sumber www.vaksin.com
Posted in Info Virus Baru | No Comments »
Written by admin on 12 July 2010
Suspicious_Gen2.LBTU
Kalau anda tanya mania bola, nama siapa yang paling sering dibicarakan dalam dua minggu terakhir ini. Jawabannya kemungkinan besar adalah Messi, Torres, atau Kaka. Tetapi jika anda tanya ke masyarakat umum, termasuk anak kecil, kira-kira nama siapa yang paling sering menjadi pembicaraan dalam 2 minggu terakhir ini ? Jawabannya bisa bervariasi, tetapi kemungkinan besar akan muncul nama Ariel, Luna Maya dan Cut Tari.
Hal ini tidak terlepas dari peran media massa baik media cetak, televisi dan internet ramai memberitakan beredarnya video porno yang (katanya) mirip artis seperti Ariel, Luna Maya dan Cut Tari. Bahkan saking ramainya hingga menjadi pembicaraan hangat tidak hanya di Indonesia tetapi juga di luar negeri. Tentunya hal ini di pengaruhi oleh trend penggunaan media jejaring sosial seperti Facebook dan Twitter, sehingga sangat mudah sekali menyebar dan kadang menjadi sebuah pembicaraan yang populer. Ditengah trend pemberitaan video porno yang dapat dikatakan cukup masif dimana banyak media berlomba-lomba memberitakan hal ini sehingga menimbulkan rasa ingin tahu dan penasaran seperti apa sih video yang dihebohkan dan menjadi buah bibir dimana-mana sehingga masyarakat umum (termasuk anak dibawah umur L) berlomba-lomba mencari dan mendownload video porno tersebut.
Rupanya hal ini juga dapat menjadi inspirasi bagi pembuat virus untuk menyebarkan virus dengan memanfaatkan situasi yang ada. Untuk hal itu pengguna komputer dan internet agar tetap ber-hati hati terhadap serangan virus yang membonceng topik video porno ini. Salah satu virus lokal yang juga ikut memanfaatkan trend video porno mirip artis baru baru ini telah terdeteksi oleh Vaksincom dengan kiriman file bernama “Luna Maya”. Virus ini terdeteksi oleh Norman Security Suite sebagai varian trojan : Suspicious_Gen2.LBTU. (lihat gambar 1)
Gambar 1 . Norman Security Suite mendeteksi virus “Luna Maya” sebagai Suspicious_Gen2.LBTU.
GEJALA & EFEK VIRUS
Jika anda termasuk penggemar artis “Luna Maya” atau anda mencari video hot artis “Luna Maya”, harap waspada jika anda menerima kiriman file atau mendownload file dan bermaksud menjalankan-nya atau membuka-nya. (lihat gambar 2)
Gambar 2 .File virus yang membonceng issue video porno “Luna Maya.
Jika anda sudah terlanjur menjalankan file virus tersebut, maka virus akan langsung beraksi dengan menimbulkan gejala sebagai berikut :
- Memunculkan pop-up pemberitahuan kepada user yang telah menjalankan file virus. (lihat gambar 3)
Gambar 3 .Pop-up setelah anda menjalankan file virus.
- Membuat drive CD/DVD-ROM selalu terbuka, meskipun sudah anda tutup kembali tetapi akan terbuka lagi.
- Menu “Start” Windows yang bergerak bolak balik ke-kanan dan ke-kiri. Hal ini digunakan untuk mempersulit user mengklik tombol “Start” (lihat gambar 4).
Gambar 4 . Menu “Start” Windows bergerak ke-kanan dan ke-kiri.
- Merubah fungsi klik pada “mouse” yaitu fungsi klik kiri menjadi klik kanan, dan sebaliknya serta memanipulasi key pada keyboard. Hal ini digunakan untuk mempersulit user menjalankan atau meng-eksekusi file.
- Menyembunyikan dan mematikan fungsi Windows, seperti Task Manager dan Run. (lihat gambar 5)
Gambar 5 . Fungsi Windows yang di blok oleh virus.
- Membuat komputer menjadi lambat atau hang secara mendadak.
- Menyembunyikan notifikasi jam/waktu yang ada pada taskbar. (lihat gambar 6)
Gambar 6 . Fungsi jam/waktu yang disembunyikan oleh virus.
- Membuat komputer menjadi mati atau shutdown secara tiba-tiba atau mendadak.
- Membuat USB flash atau removable drive anda menjadi tidak terbaca. Virus melakukan dengan menjalankan file virus “nt.bat” yang berisi script untuk melakukan format drive. (lihat gambar 7).
Gambar 7. Drive USB menjadi tidak terbaca karena aksi virus.
- Mematikan atau menutup beberapa aplikasi/program Windows seperti Notepad, Windows Media Player dan Internet Explorer.
FILE VIRUS
Virus “Luna Maya” merupakan virus lokal yang dibuat menggunakan bahasa Visual Basic. Ciri-ciri virus “Luna Maya” yaitu sebagai berikut :
- Memiliki ukuran 37 kb
- Memiliki type file “application” dan ber-ektensi “exe”.
- Menggunakan icon MS Word. (lihat gambar
Gambar 8 . File virus “Luna Maya”.
Jika virus berhasil menginfeksi komputer, maka akan membuat beberapa file virus sebagai berikut :
ü C:\nt.bat
ü C:\WINDOWS\system32\Amoumain.exe
ü Love.exe (pada semua root drive)
File virus yaitu “Love.exe” akan terdapat pada setiap root drive termasuk pada mapping drive atau removable drive. Sedangkan file “nt.bat” merupakan script virus untuk melakukan format drive. (lihat gambar 9)
Gambar 9. Isi script file “nt.bat”..
METODE PENYEBARAN VIRUS
Tidak jauh berbeda dengan varian virus lokal lainnya, virus “Luna Maya” juga otomatis dapat menginfeksi UFD / USB Flashdisk atau removable disk, virus akan membuat file virus dengan nama “Love.exe” baik penggunaan usb atau pun share jaringan yang full akses. (lihat gambar 10)
Gambar 10. File virus menginfeksi flash/removable.
MODIFIKASI REGISTRY WINDOWS
Tidak banyak yang dilakukan oleh virus dalam perubahan pada registry. Beberapa modifikasi registry yang dilakukan oleh virus “Luna Maya” antara lain sebagai berikut :
- Menambah Registry
o Start-up
ü HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe C:\WINDOWS\system32\Amoumain.exe
o Blok Fungsi Windows
ü HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
DisableTaskMgr = 1
ü HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer
NoRun = 1
PEMBERSIHAN VIRUS
Langkah-langkah yang harus dilakukan untuk melakukan pembersihan virus ini adalah sebagai berikut :
- Lakukan pembersihan virus pada mode “safe mode”. Untuk masuk pada mode “safe mode”, tekan tombol F8 pada keyboard saat komputer dinyalakan. (lihat gambar 11)
Gambar 11 . Masuk windows melalui mode safe mode.
Pada menu Windows Advanced Options, anda dapat memilih mode “safe mode” atau dapat juga mode “safe mode with networking” dan “command prompt”. Agar lebih mudah pilih saja mode “safe mode”.
Biarkan windows berjalan hingga muncul jendela konfirmasi penggunaan “safe mode”. (lihat gambar 12)
Gambar 12. Konfirmasi penggunaan mode safe mode.
Klik pilihan “Yes”, untuk menggunakan mode “safe mode” pada jendela konfirmasi tersebut.
- Matikan proses virus yang aktif pada memory. Gunakan tools pengganti Task Manager dalam hal ini gunakan CurProcess. Download tools CurrProcess pada link berikut ini : (lihat gambar 13)
http://www.nirsoft.net/utils/cprocess.zip
Gambar 13. Matikan proses virus dengan CurrProcess.
Jalankan CurrProcess, kemudian cari file virus “Amoumain.exe”. Klik kiri file virus, kemudian pilih “Kill Selected Processes”. Jika file virus sudah hilang, maka tutup jendela CurrProcess.
- Perbaiki registry windows yang sudah di modifikasi oleh virus dengan langkah sebagai berikut :
o Salin script dibawah ini menggunakan wordpad. Klik menu [Start] à [All Programs] à [Accessoris] à [Wordpad].
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0×00010001,0
HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\system, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoRun
o Simpan file dengan nama “repair.inf”. Gunakan pilihan Save as type menjadi Text Document agar tidak terjadi kesalahan.
o Klik kanan file “repair.inf” kemudian pilih “Install”.
- Hapus file virus “Luna Maya” dengan ciri-ciri sebagai berikut :
ü Memiliki type file “Application”
ü Memiliki ukuran file “37 kb”
ü Memiliki icon file MS Word
Catatan :
o Untuk mempermudah pencarian sebaiknya gunakan fungsi Search Windows dengan menggunakan filter file *.exe dan *.inf dan berukuran 37 kb.
o Hapus file virus yang biasanya mempunyai date modified yang sama.
o Pastikan hapus file virus utama seperti : Amoumain.exe, Luna Maya.exe, Love.exe, dan nt.bat (lihat gambar 14)
Gambar 14. Hapus file virus melalui fitur search windows.
o Log-off komputer, kemudian log-in kembali.
- Untuk pembersihan yang optimal dan mencegah infeksi ulang, scan kembali menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.
- Untuk USB flash atau removable drive yang sudah di rusak atau format oleh virus, sebaiknya gunakan software recovery untuk mengembalikan data yang hilang.
Sumber www.vaksin.com
Posted in Info Virus Baru | No Comments »
Written by admin on 16 June 2010
Steve Jobs dipecat gara-gara film porno ?
Geger video aksi dewasa artis terkenal dalam 2 minggu terakhir ini benar-benar memberikan dampak luar biasa bagi dunia internet Indonesia. Andai saja yang diumbar bukan konten dewasa, rasanya artis tersebut patut mendapatkan penghargaan dari ISP karena meningkatkan popularitas akses internet dengan luar biasa. Bahkan karena popularitas artis tersebut yang berhasil menjadi Trending Topics (topik yang paling banyak dibicarakan) nomor 1 di Twitter, mengalahkan Iphone 4, beredar guyonan kalau Cupertino (markas besar Apple) mempertimbangkan untuk mengganti Steve Jobs karena kerjanya tahunan membuat Iphone 4 dikalahkan oleh satu video berdurasi 8 menit :p.
Rupanya virus juga tidak mau kalah, Vaksincom kembali menerima laporan tentang satu virus yang menggiring korbannya mengkases situs porno yang sedang marak menyebar saat ini, laporan yang kami terima virus ini cukup banyak beredar di Sulawesi Utara.
Apa yang membuat virus ini begitu heboh ?
Dilihat secara sepintas sebenarnya virus ini tidak lah terlalu ganas seperti kebanyakan virus lokal yang menyebar, aksi yang dilakukanpun tidak terlalu banyak, lalu apa yang membuat virus ini begitu heboh ? Silahkan lanjutkan pada artikel di bawah ini.
Ciri umum
- Virus ini ditulis menggunakan program Visual basic Script (VBS) dengan ukuran file sebesar 4 KB (lihat gambar 1) yang akan menggunakan icon
. File induk tersebut akan di enkripsi agar isi script tidak mudah di ketahui oleh user (lihat gambar 2). Komputer yang telah terinfeksi virus ini akan mengakses media flash disk terus menerus, hal ini di tandai dengan lampu indikator flash disk yang selalu menyala walaupun pengguna komputer tidak mengakses flash disk tersebut.
Gambar 1, File induk VBS/Autorun.BM
Gambar 2, File virus yang di enkripsi
- Ciri lain yang dapat dilihat adalah munculnya sebuah file di setiap drive dengan nama “Lady Atenean Scandal.vbs” serta akan menampilkan situs porno saat mengakses internet explorer.
Dengan update terbaru Norman Security Suite mengenali virus ini sebagai VBS/Autorun.BM (lihat gambar 3)
Gambar 3, Hasil scan Norman Malware Cleaner
Agar virus ini dapat aktif, ia memerlukan file pendukung yakni “C:\Windows\System32\WSCRIPT.exe” yang yang merupakan file asli Windows. Pada saat user menjalankan file virus tersebut ia akan membuat file induk berikut:
- C:\WINDOWS\SysInfo.vbs
- “…\Recycled\info.vbs”.
Agar file tersebut dapat aktif secara otomatis pada saat computer tersebut dihidupkan, ia akan membuat string pada registri berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Microsoft System Info = wscript.exe “C:\WINDOWS\SysInfo.vbs”
Untuk mempertahankan dirinya ia akan memblok beberapa fungsi Windows seperti Folder Options, Registry Tools maupun Task Manager (gambar 4, 5 dan 6) dengan membuat string pada registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFolderOptions = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableTaskMgr =
- DisableRegistryTools =1
Gambar 4, Akses Registry Editor yang diblok oleh virus
Gambar 5, Akses ke Task Manager yang diblok oleh virus
Gambar 6, Folder Options yang di blok oleh virus
Menyebarkan situs Perusak moral
VBS/Autorun.BM mempunyai tugas khusus, bukan menyembunyikan file atau menghapus file saja, tetapi ia akan membuat para orang tua jantungan. Bagaimana tidak, jika merokok saja dilarang oleh para orang tua yang sayang anaknya, virus ini malahan menampilkan situs saingan YouTube, tetapi yang ini berkategori “Lampu Merah” (lihat gambar 7) alias porno setiap kali komputer korbannya mengakses internet. PERHATIAN !!! Jika anda dibawah umur dan belum waktunya untuk mengkases situs dewasa, harap hindari situs-situs dewasa.
Untuk melakukan hal tersebut, ia akan merubah string berikut :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Search page = http://www.r**tube.com/
- Start page = http://www.r**tube.com/
- Window Title = Sowar? PagSureOy!!! Guba gyud nang PC nimo!
Gambar 7, Halaman IE yang diubah oleh VBS/Autorun.BM
Untuk memperlancar aksi nya ia akan membuat sebuah file yang cukup “menggoda” agar user tertarik untuk menjalankan file tersebut, file ini akan dibuat di setiap Drive dengan nama “Lady Atenean Scandal.vbs”.
Media penyebaran
Untuk memperluas penyebarannya, ia akan memanfaatkan media flash disk dengan membuat file “autorun.inf” dan file “Lady Atenean Scandal.vbs”. Agar dirinya dapat aktif secara otomatis pada saat user akses Drive atau flash disk, ia akan memanfaatkan fitur Autorun windows dengan membuat file autorun.inf di setiap drive termasuk di flash disk, file autorun.inf ini mempunyai tugas utama untuk menjalankan file “…\Recycled\info.vbs” saat user mengakses Drive / flash disk, seperti terlihat pada gambar 8 dibawah ini
Gambar 8, Script Autorun.inf memungkinkan virus dapat aktif saat user akses drive/flash disk
Cara mengatasi VBS/Autorun.BM
- Nonaktifkan “System Restore” selama proses pembersihan
- Matikan proses virus dengan nama WSCRIPT.EXE dengan menggunakan tools pengganti registry editor seperti “process explorer”, silahkan download di alamat berikut (lihat gambar 9)
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
Gambar 9, Mematikan proses virus dengan tools Process Explorer
- Untuk antisipasi agar virus tersebut tidak aktif kembali selama proses pembersihan, silahkan ubah nama file WSCRIPT.exe menjadi WSCRIPT_OLD.exe yang berada di direktori “C:\Windows\System32”
- Benarkan registri yang sudah di ubah oleh virus. Untuk membantu proses perbaikan, silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama REPAIR.INF. Install file tersebut dengan cara :
-
- Klik kanan REPAIR.INF
- Klik INSTALL
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKCU, Software\Microsoft\Internet Explorer\Main, start page,0, “about:blank”
HKCU, Software\Microsoft\Internet Explorer\Main, Search Page,0, “about:blank”
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Microsoft System Info
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
- Hapus file virus yang dibuat oleh VBS/Autorun.BM dibawah ini, sebelum menghapus file tersebut tampilkan semua file yang tersembunyi dengan merubah pada setting Folder Options seperti terlihat pada gambar dibawah ini, jika menu Folder Options tidak muncul sebaiknya Anda Log Off komputer terlebih dahulu (lihat gambar 10)
Gambar 10, Menampilkan file yang tersembunyi
Kemudian hapus file berikut:
-
- Autorun.inf (semua drive)
- Lady Atenean Scandal.vbs (semua drive)
- C:\WINDOWS\SysInfo.vbs
- …\Recycled\info.vbs
- Empty file yang ada di Recycle Bin [Klik kanan Recycle Bin | klik Empty Recycle Bin]
- Untuk pembersihan secara optimal, silahkan scan dengan antivirus yang up-to-date atau dengan menggunakan removal tools. Silahkan download Norman Malware Cleaner di alamat berikut (lihat gambar 3 di atas)
http://www.norman.com/support/support_tools/58732/en
- Setelah komputer bersih dari virus, ubah kembali file :
“C:\Windows\System32\WSCRIPT_OLD.exe”
menjadi
“C:\Windows\System32\WSCRIPT.exe”
TIPS:
Untuk menghindari agar virus ini tidak kembali menginfeksi komputer, Anda dapat mencoba cara di bawah ini:
1) Install antivirus yang dapat mendeteksi virus ini.
2) Blok akses Flash Disk (agar user tidak dapat menjalankan file aplikasi yang ada di flash disk) dan blok akses file yang sudah terinfeksi virus VBS/Autorun.BM dengan menggunakan fitur “Security Policy”. Fitur ini hanya tersedia pada Windows XP Proffesional, Windows Server 2003, Windows Vista dan Windows 7, berikut cara-caranya :
a. Blok akses file aplikasi pada Dive / Flash Disk, langkah ini dilakukan agar user tidak dapat menjalankan file aplikasi (file yang mempunyai ekstensi exe, com, scr, bat, lnk, vbs, inf) (lihat gambar 11)
ü Klik menu [Start]
ü Klik [Run]
ü Ketik [secpol.msc]
ü Pada layar “Local Security Policy”, klik “Software restriction policies”
ü Klik kanan pada “software restriction policies” dan pilih “Create new policies”
ü Kemudian klik kanan di “Additional Rule”, dan pilih “New Path Rule.”
Gambar 11, Membuat rule untuk blok ekseksi aplikasi pada Drive
ü Pada Kolom “Path”, isi dengan lokasi drive yang di inginkan. Karena kebanyakan malware menular dari flash disk, sebaiknya ketik drive di mana flash disk berada. Misalnya, jika flash disk ada di drive G maka ketik G:\ (lihat gambar 12)
Gambar 12, Lokasi drive yang akan di monitoring
ü Pada kolom “Security Level” pilih “Disallowed”
ü Klik tombol “Apply”
ü Klik tombol “Ok”
b. Blok akses file virus VBS/Autorun.BM
ü Klik kanan pada menu “Additional Rule”, dan pilih “New Hash Rule.” (lihat gambar 13)
Gambar 13, Membuat rule untuk blok file virus
ü Pada kolom “File hash”, klik tombol “Browse” dan pilih file yang akan diblok. Pada kolom “file information” akan terisi informasi dari file tersebut secara otomatis. (lihat gambar 14)
Gambar 14, Menentukan file yang akan di blok
ü Pada kolom Security Level pilih “Disallowed”
ü Pada kolom “description” isi deskripsu dari nama file tersebut (bebas),
ü Pilih “OK”
ü Restart komputer.
Catatan:
Pada saat user menjalankan file yang sudah di add tersebut maka akan mucul pesan peringatan berikut : (lihat gambar 15)
Gambar 15, Pesan peringatan saat menjalankan file aplikasi
Suber www.vaksin.com
Buy Norman
Download Trial
Single / Home User
Posted in Info Virus Baru | No Comments »
Written by admin on 21 May 2010
this without doubt the sexiest video ever
Candid Camera Prank ! [HQ]
Bulan Mei 2010 dapat menjadi bulan bersejarah dalam dunia pervirusan dimana tercatat virus baru yang menyebar melalui Application (Apps) Facebook mulai menyebar. Varian pertama dengan mengusung judul “Optical Illision [HQ]” ditemukan menyebar pada tanggal 2 Mei 2010 dengan alamat Application http://apps.facebook.com/hghh_rtrt/ telah dinonaktifkan oleh Facebook. Dalam bilangan minggu, keluar varian kedua yang lebih canggih dan sampai artikel ini dibuat aplikasi Facebook tersebut menyebar dengan kecepatan luar biasa. Menurut pengamatan Vaksincom, varian kedua dengan thema “[Nama Anda], this is without doubt the sexiest video ever :p :p :p” mulai disebarkan pada hari Sabtu pagi 15 Mei 2010 dan dalam waktu 48 jam telah memakan korban belasan ribu pengguna Facebook. Aplikasi ini perlu diwaspadai karena kemampuannya mengeksploitasi sistem pengamanan Apps Facebook dimana tidak seperti Apps Facebook lainnya yang “hanya” terinstal jika pemilik account FB memberikan persetujuan [Allow], sebapiknya aplikasi ini akan memaksakan dirinya terinstal pada account FB anda sekalipun anda TIDAK PERNAH memberikan persetujuan instal aplikasi dan cukup dengan melakukan klik pada link yang diberikan, maka account FB anda sudah diambil alih oleh aplikasi ini dan ia akan mulai melakukan posting link ke kontak-kontak FB anda yang lain. Karena yang di eksploitasi adalah kerentanan pada Apps Facebook, maka ancaman eksploitasi account Facebook ini tidak terbatas pada OS Windows saja. Vaksincom menyarankan semua pemilik account Facebook untuk berhati-hati dan jangan pernah mengklik link pada gambar dan pesan seperti pada gambar 1 dibawah ini.
Gambar 1, Candid Camera Prank! [HQ]
Mencatut nama Winamp
Jika anda mengklik link yang diberikan, baik pada gambar kecil maupun link yang diberikan tanpa anda sadari secara otomatis aplikasi jahat ini akan menginstalkan dirinya secara ilegal sebagai aplikasi pada Facebook anda. Jika aplikasi Facebook yang sah seperti Birthday Reminder, Mafia Wars dn lainnya sebelum melakukan instalasi akan meminta izin anda terlebih dahulu, sebaliknya aplikasi ini secara diam-diam akan langsung terinstal dengna tujuan supaya ia bisa mengirimkan dirinya secara otomatis ke kontak Facebook anda dengan menggunakan nama anda. Hebatnya lagi, aplikasi jahat ini mencatut nama aplikasi Winamp sehingga pengguna komputer yang cukup mahir sekalipun tentunya tidak akan mencurigai Winamp sebagai aplikasi jahat dan akan mempercayainya. Tetapi akal-akalan yang dilakukan pembuat aplikasi ini adalah menggunakan nama aplikasi “Winamp on Facebook” dan bukan menggunakan nama “Winamp” (lihat gambar 2)
Gambar 2, Nama aplikasi adalah “Winamp on Facebook” supaya dikira korbannya aplikasi pemutar musik “Winamp” milik Nullsoft
Jika anda mengklik link yang diberikan, maka aplikasi yang tadinya belum terinstal (lihat gambar 3)
Gambar 3, Aplikasi “Winamp on Facebook” belum terinstal
Akan secara diam-diam menginstalkan dirinya sebagai aplikasi yang sah pada account Facebook anda (lihat gambar 4)
Gambar 4, Aplikasi “Winamp on Facebook” secara diam-diam menginstalkan dirinya pada account Facebook anda.
Jika hal ini terjadi dan tidak anda sadari, maka kontak-kontak Facebook anda akan mendapatkan kiriman pesan dari account Facebook anda seperti pada gambar 1 di atas. Dan jika kontak Facebook anda mengklik link yang diberikan, hal yang sama akan berulang kembali dimana seluruh kontaknya akan dikirimi pesan “Candid Camera Prank [HQ]”
Menurut pengamatan Vaksincom, pada beberapa kasus dimana program Winamp terinstal, klik pada link akan menyebabkan download file “vlcplayer.exe” yang sebenarnya akan mengaktifkan pengiriman pesan palsu tersebut.
Jika kita telaah lebih jauh pembuat aplikasi jahat ini, kelihatannya memang aplikasi ini sengaja dirancang untuk tujuan negatif dimana developer aplikasi ini memasang foto dengan nama “Kiley Hodge” dan menurut pengamatan Vaksincom, page developer tersebut penuh dengan segala macam sumpah serapah korban aksi jahat ini. (lihat gambar 5 dan 6)
Gambar 5, Profil pembuat aplikasi “Winamp on Facebook”
Gambar 6, Pesan-pesan korban “Winamp on Facebook” yang marah
Apa yang harus dilakukan jika anda menjadi korban “Winamp on Facebook” (WoF)
Pertama-tama, sebelum anda menjadi korban aksi jahat ini, tentunya lebih baik kalau anda tidak menjadi korban dulu. Satu-satunya cara adalah JANGAN MENGKLIK link yang diberikan. Walaupun secara hukum tindakan menginstal aplikasi tanpa persetujuan pemilik komputer adalah ilegal, tetapi terbukti aplikasi WoF ini melakukan hal ini. Anda juga bisa melakukan bloking terhadap aplikasi ini sehingga tidak akan bisa di instal pada account Facebook anda, tetapi harap ingat bahwa bloking dapat kita lakukan “hanya” pada aplikasi jahat yang telah kita ketahui sampai hari ini. Jika dikemudian hari muncul aplikasi jahat dengan alamt baru, anda harus melakukan bloking kembali. Karena itu, cara paling baik melindungi diri anda adalah JANGAN MENGKLIK link yang diberikan, sekalipun link tersebut tidak mengarahkan pada situs yang aneh. Dalam kasus WoF ini, link yang diberikan adalah link resmi Facebook dan bukan link palsu (forging). Tetapi yang diakali adalah script aplikasi yang membypass autentikasi yang seharusnya dilakukan tetapi tidak dilakukan.
Jika anda sudah menjadi korban aplikasi ini, ada dua pilihan. Pertama, anda dapat melakukan uninstal aplikasi dengan cara :
1. Login pada account Facebook anda http://www.facebook.com
2. Pada bagian kanan atas layar klik [Account] lalu pilih [Application Settings] anda akan mendapatkan layar “Application Settings – Recently Used”
3. Arahkan mouse anda pada tanda silang [X] di aplikasi yang bernama “Winamp” (lihat gambar 7)
Gambar 7, Klik tanda silang pada aplikasi Winamp gadungan untuk uninstal aksi jahat ini
4. Anda akan mendapatkan kotak dialog konfirmasi “Remove Winamp” (lihat gambar 8 )
Gambar 8, Kotak konfirmasi Remove Winamp
Klik pada tombol [Remove] dan [Refresh] pada browser anda dan pastikan aplikasi “Winamp” sudah hilang dari Application Settings.
Sumber www.vaksin.com
Buy Norman Virus Control
Posted in Info Virus Baru | No Comments »
Written by admin on 06 May 2010
Worm:W32/Palevo.BQZ
Virus maut via YM bisa mem”bailout” komputer anda
Aplikasi messenger seperti Yahoo Messenger, MSN Messenger dan Skype saat ini dapat dikatakan sebagai salah satu aplikasi favorit para pembuat virus menyebarkan dirinya secara realtime dan dapat dikatakan posisinya menggantikan email yang dulunya menjadi agen favorit penyebaran virus. Salah satu sebabnya adalah karena penyebaran file virus melalui messeger saat ini relatif kurang diperhatikan oleh vendor antivirus, berbeda dengan mailserver yang sepertinya antivirus untuk mailserver sudah menjadi salah satu kewajiban administrator mailserver. Dalam 1 minggu terakhir ini, Vaksincom mendapatkan gelombang laporan serangan virus yang menyebarkan diri memanfaatkan messenger seperti Skype dan Yahoo Messenger. Dimana virus pertama yang akan dibahas dalam artikel ini adalah Worm: W32/Palevo.BQZ yang mengeksploitasi MySpace.
Facebook, Twitter dan Myspace merupakan salah satu contoh situs jaring sosial yang memungkinkan anggotanya dapat melakukan komunikasi di dunia maya dan mempermudah berbagi informasi, hal ini menjadi salah satu celah dan daya tarik tersendiri yang dapat dimanfaatkan oleh virus untuk menyebarkan dirinya. Salah satu cara yang digunakan adalah dengan mengirimkan sebuah link atau file yang “mempunyai” hubungan dengan situs jaringan sosial tersebut sehingga menarik user untuk menjalankan file tersebut, hal ini sudah dibuktikan oleh virus Bredolab (virus Facebook) yang akan mengirimkan sebuah link untuk mendownload file yang seolah-olah dikirimkan oleh administrator pengelola situs facebook, penyebaran ini semakin sukses dengan memanfaatkan aplikasi media chating (YM) untuk mengirimkan dirinya ke semua alamat ID yang terdapat pada aplikasi YM di komputer yang telah terinfeksi.
Untuk informasi lebih jelas mengenai virus W32/Bredolab, silahkan klik link berikut
http://vaksin.com/2009/1109/facebook/facebook.html
http://vaksin.com/2010/0210/basmi%20zbot/basmi%20zbot.html
http://vaksin.com/2009/1109/facebook-zbot/facebook-zbot.html
Setelah para pengguna facebook yang menjadi korban akibat virus bredolab , kini gililran para penguna Myspace yang akan menjadi target serangan virus, walaupun pengguna myspace tidak sebanyak pengguna facebook tetapi hal ini akan tetap dimanfaatkan oleh virus untuk menjaring korban.
Sama seperti yang terjadi pada kasus virus Bredolab, virus ini juga akan memanfaatkan aplikasi yahoo messager (YM) untuk menyebarkan dirinya ke semua alamat ID berupa link untuk download sebuah file yang telah ditentukan [contoh: IM87654.JPG-www.myspace.com.exe atau IM25394.JPG-www.myspace.com.exe]. Untuk menarik perhatian user, ia akan menggunakan icon image [gambar] seperti terlihat pada gambar 1 di bawah ini.
Gambar 1, File induk virus
Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai W32/Palevo.BQZ (lihat gambar 2)
Gambar 2, Hasil deteksi Norman Security Suite
Pada saat file yang telah terinfeksi W32/Palevo.BQZ dijalankan, ia akan menjalankan perintah “explorer.exe http//browseusers.myspace.com/Browse/Browse.aspx” untuk menampilkan sebuah halaman web myspace, hal ini dilakukan sebagai upaya agar aksi nya tidak dicurigai oleh user, agar aktivitas virus tersebut tidak diblok oleh Windows Firewall ia akan mendaftarkan dirinya dengan membuat rule firewall dengan menjalankan perintah netsh firewall add allowedprogram 1.exe 1 ENABLE. (lihat gambar 3, 4 dan 5)
Gambar 3, Web MySpace.com yang akan ditampilkan untuk mengelabui user
Gambar 4, Proses Virus W32/Palevo.BQZ saat di aktifkan
Gambar 5, W32/Palevo.BQZ mendaftarkan diri pada rule Windows Firewall
File induk W32/Palevo.BQZ
Pada saat menginfeksi komputer target ia akan membuat beberapa file induk yang akan di jalankan secara otomatis pada saat komputer dinyalakan
- C:\WINDOWS\infocard.exe
- C:\Windows\mds.sys
- C:\Windows\mdt.sys
- C:\WINDOWS\winbrd.jpg
- C:\Documents and Settings\%user%\winbrd.jpg
Registry Windows
Agar file tersebut dapat di aktifkan secara otomatis ia akan membuat string pada registry berikut:
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
- Firewall Administrating = C:\WINDOWS\infocard.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Firewall Administrating = C:\WINDOWS\infocard.exe
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Firewall Administrating = C:\WINDOWS\infocard.exe
Agar proses virus tersebut tidak diblok oleh Windows Firewall, ia akan mendaftarkan rule pada Firewall Windows dengan membuat string pada registry berikut : (lihat gambar 6 dan 7)
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %Drive%\IM87654.JPG-www.myspace.com\IM87654.JPG-www.myspace.com.exe = C:\WINDOWS\infocard.exe:*:Enabled:Firewall Administrating
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %Drive%\IM87654.JPG-www.myspace.com\IM87654.JPG-www.myspace.com.exe = C:\WINDOWS\infocard.exe:*:Enabled:Firewall Administrating
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %Drive%\IM87654.JPG-www.myspace.com\IM87654.JPG-www.myspace.com.exe = C:\WINDOWS\infocard.exe:*:Enabled:Firewall Administrating
Gambar 6, Perubahan pada Windows Firewall yang dilakukan virus
Gambar 7, Rule W32/Palevo.BQZ pada Windows Firewall
Disable Windows Automatic Update
Virus ini juga akan disable service Windows update dengan merubah string pada registry berikut : (lihat gambar
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\wuauserv
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\wuauserv
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv
Gambar 8, W32/Palevo.BQZ Disable Windows Update
W32/Palevo.BQZ akan mencoba untuk melakukan koneksi ke beberapa alamat ip server yang sudah ditentukan dengan menggunakan port 2345 dengan tujuan untuk download file yang telah ditentukan. (lihat gambar 9)
Gambar 9, Palevo akan berusaha melakukan koneksi ke internet untuk mengupdate dirinya
Media penyebaran
Saat ini media chating khususnya yahoo Messager (YM) sudah menjadi “primadona” bagi virus untuk menyebarkan dirinya hal ini dilakukan untuk mempercepat proses penyebarannya, karena saat ini “hampir” semua pengguna komputer menggunakan alamat YM. Untuk menyebarkan dirinya, W32/Palevo.BQZ juga akan akan memanfaatkan media chanting seperti YM dengan mengirimkan sebuah file yang sudah terinfeksi virus ke semua alamat ID yang terdapat pada aplikasi YM di komputer korban berupa sebuah link untuk download file virus yang telah ditentukan (nama file acak) contohnya: nama file IM87654.JPG-www.myspace.com.exe atau IM25394.JPG-www.myspace.com dengan ukuran sekitar 102 KB atau 109 KB. Berikut contoh pesan yang akan dikirim oleh W32/Palevo.BQZ. (lihat gambar 10)
Gambar 10, Contoh pesan yang akan dikirimkan oleh W32/Palevo.BQZ
Cara membersihkan Myspace
1. Putuskan komputer dari koneksi internet dan intranet
2. Nonaktifkan “System Restore” selama proses pembersihan dilakukan
3. Matikan proses virus yang aktif dimemori, anda dapat menggunakan fiur Advanced System Reporter yang terdapat pada Norman Security Suite Pro yang, fitur ini dirancang khusus untuk mengetahui dan monitoring proses yang aktif di memori serta mempunyai kemampuan untuk mematikan proses virus sekaligus menghapus registry startup dari virus tersebut
Berikut langkah untuk mematikan proses virus yang aktif di memori dengan menggunakan Advanced System Reporter
- Pada aplikasi Advanced System Reporter, klik tabulasi “Other”
- Klik kanan pada proses INFOCARD.EXE
- Klik “Terminate Process”
- Klik “Yes”
Untuk menghapus registry autostart yang dibuat oleh virus, lakukan langkah berikut
- Klik tabulasi “Autostart”
- Klik kanan file virus INFOCARD.EXE
- Klik “Terminate Process” jika proses tersebut masih aktif
- Kemudian klik “Remove Autorun” untuk menghapus registry autostart yang telah dibuat oleh virus (lihat gambar 11)
Gambar 11, Gunakan Advance system Reporter dari Noeman untuk menghentikan proses virus yang disembunyikan
4. Blok file virus dengan menggunakan “Software Restriction Policy” agar virus tidak dapat aktif kembali. Sementara fitur ini baru terdapat pada Windows XP Professional, Vista dan Windows 7, Windows Server 2003, Windows Server 2008.
- Klik tombol “Start”
- Klik “Run”
- Ketik SECPOL.MSC kemudian klik tombol “OK”
- Pada layar “Local Security Settings”, klik kanan pada menu “Software Restriction Policies”
- Klik “Create New Policies” Kemudian akan muncul 2 menu lain yakni “Security levels” dan “Additional rules” (lihat gambar 12)
Gambar 12, Optimalkan Secpol untuk menghadang virus
- Klik kanan pada menu “Additional Rules”, kemudain klik “New Hash Rule….”
- Pada kolom “File hash”, klik tombol “Browse” kemudian arahkan ke direktori dimana file virus tersebut berada [contoh: C:\Windows\IINFOCARD.EXE], kemudian klik “Open”
- Klik tombol “Apply”
- Klik tombol “OK”
5. Pulihkan registry yang sudah diubah oleh virus, untuk mempercepat proses pemulihan silahkan salin script berikut pada program notepad kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara [Klik kanan REPAIR.INF | Install]
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Firewall Administrating
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Firewall Administrating
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run, Firewall Administrating
Hapus manual registry yang berada lokasi berikut:
· HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
o %virus%= C:\WINDOWS\infocard.exe:*:Enabled:Firewall Administrating
Catatan: %virus%, adalah lokasi file virus pertama kali di jalankan
6. Hapus file induk yang dibuat oleh virus
· C:\WINDOWS\infocard.exe
· C:\windows\mds.sys
· C:\windows\mdt.sys
· C:\WINDOWS\winbrd.jpg
· C:\Documents and Settings\%user%\winbrd.jpg
7. Hapus temporary internet file dan file temporary Windows, untuk mempercepaat proses penghapusan anda dapat menggunakan fitur Norman Privacy Tools yang terdapat pada Norman Security Suite PRO. Berikut cara untuk menghapus file temporary internet file dan file temporary Windows dengan menggunakan Norman Privacy Tools (lihat gambar 13)
a. Pada menu utama Norman Security Suite, klik menu “Privacy Tools”
b. Checklist opsi user profile yang digunakan
c. Checklist web browser yang digunakan
d. Klik tombol “Delete history now”, untuk memulai proses penghapusan
Gambar 13, Gunakan Norman Privacy Tools untuk menghapus file temporary Windows
8. Untuk pebersihan optimal silahkan install dan scan dengan antivirus yang up-to-date, anda juga dapat menggunakan tools Norman Malware Cleaner, silahkan download di alamat http://www.norman.com/support/support_tools/58732/en (lihat gambar 14)
Gambar 14, Gunakan Norman Malware Cleaner untuk memastikan Palevo terbasmi dengan tuntas.
Sumber www.vaksin.com
Buy Norman Virus Control
Posted in Info Virus Baru | No Comments »
Written by admin on 06 May 2010
Bukan hanya scam Facebook palsu tetapi mengandung virus berbahaya
Dimana ada gula, disitu ada semut, pepatah lama ini terbukti berlaku sampai hari ini. Perkembangan situs jejaring sosial yang sangat luar biasa dimana Facebook adalah salah satu situs jejaring sosial dengan perkembangan pengguna yang sangat tinggi dan seperti yang diperkirakan, virus yang mengeksploitasi Facebook juga bermunculan sejak pertengahan tahun 2009. Seperti Bredolab, Koobface, lihat artikel Vaksincom http://vaksin.com/2009/1109/facebook/facebook.html dan http://vaksin.com/2009/1109/facebook/facebook2.html. Sebenarnya tidak ada hal yang baru dari satu virus yang di deteksi Norman sebagai W32/Oficla.FA karena payloadnya memang sangat mirip dengan Bredolab atau Pendex. Dan kabar buruknya, walaupun varian awalnya sudah terdeteksi oleh program antivirus di akhir tahun 2009, virus ini memiliki kemampuan mengupdate dirinya setiap kali di deteksi oleh program antivirus dan setiap kali menginfeksi ia akan mendownload virus baru ke situs yang telah dipersiapkannya. Jika anda menerima virus ini, bukan cuma scam (email bohong) yang anda terima, tetapi email mengandung virus yang akan menginstalkan program jahat dengan isi yang direkayasa sedemikian rupa sehingga sangat meyakinkan sehingga pengguna awam Facebook akan langsung menjalankan lampiran tersebut tanpa berpikir dua kali. Hal ini terjadi karena perkembangan pembuat malware saat ini sudah bukan programmer iseng yang ingin menunjukkan jati dirinya dengan membuat virus, tetapi sudah menjadi kejahatan terorganisir dimana membuat virus dan mengarahkan ke Rogue Antivirus / Fake Antivirus sudah menjadi mata pencaharian bagi sebagian kalangan. Ibaratnya anda kalau bermain game Warcraft melawan komputer, walalupun memainkan level yang paling sulit sekalipun (level Hell) cepat atau lambat dapat dipastikan anda akan dapat mengalahkan komputer karena komputer memiliki keterbatasan dalam berpikir dibandingkan otak manusia. Tetapi jika anda bermain multiplayer melawan manusia lain, yang terjadi adalah sebaliknya, cepat atau lambat dapat dipastikan anda akan kalah karena lawan anda adalah manusia yang tidak kalah pintar dari anda. Barcelona saja bisa kalah J (Jangan bilang …… gimana PSSI :p.)
Akibat yang ditimbulkan oleh virus ini dapat dibilang sangat merepotkan, bukan hanya password Facebook anda yang dapat hilang, tetapi dengan menjalankan virus ini anda sudah memberikan akses pada semua kredensial (username dan password) di komputer anda, termasuk data kartu kredit dan data keuangan lain yang pernah atau akan anda gunakan untuk transaksi online. Karena itu, salah satu cara yang terbaik untuk terhindar dari virus ini adalah jangan mudah mempercayai apa yang datang di email karena semuanya bisa dipalsukan. Jangankan pesan, gambar atau background yang bisa dibuat semirip mungkin dengan situs Facebook, pengirim (from) juga dapat dipalsukan seakan-akan dari administrator Facebook.
Trend penggunaan berbagai aktifitas jejaring sosial seperti Facebook dan Twitter sudah sangat umum digunakan bagi semua orang. Kemudahan aktivitas jejaring sosial tersebut dapat digunakan sebagai sarana informasi dan juga komunikasi dengan sesama pengguna. Banyak fitur-fitur yang dilengkapi agar semakin memudahkan pengguna menggunakannya. Salah satu yang umum yaitu fitur “Forgot your password?”. Fitur ini dapat membantu pengguna jika kehilangan atau lupa “password” yang digunakan saat akan login/masuk. Dengan mencantumkan alamat e-mail, maka akan dikirimkan sebuah e-mail yang berisi sebuah link yang akan digunakan untuk me-reset password yang baru.
Tetapi bagaimana jika yang dikirimkan bukanlah sebuah link konfirmasi untuk me-reset password, tetapi justru dikirimkan sebuah informasi yang disertakan attachment file? Jika seperti itu, maka anda harap berhati-hati karena bisa jadi anda telah menjadi sasaran serangan virus Facebook. Jika sebelumnya anda pernah membaca salah satu artikel Vaksincom tentang virus Facebook atau Bredolab yaitu http://vaksin.com/2009/1109/facebook/facebook.html, maka kali ini kami menemukan salah satu varian terbaru virus Facebook tersebut dengan nama Oficla.
Email yang dikirimkan dan mengandung virus Oficla memiliki ciri yang sama dengan Bredolab seperti : (lihat gambar 1)
Gambar 1. Email yang dikirimkan dan mengandung virus Oficla
FILE VIRUS
Attachment file yang disertakan mengandung virus Oficla yang telah di kompress zip, berisikan file virus yang berukuran 48 kb dan memiliki icon mirip dokumen. Jika anda menjalankan file tersebut, maka virus akan membuat beberapa file induk yaitu :
- C:\Documents and Settings\klasnich\reader_s.exe
- C:\Documents and Settings\klasnich\Local Settings\Application Data\ave.exe
- C:\WINDOWS\system32\reader_s.exe
GEJALA & EFEK VIRUS
Beberapa gejala dan efek yang terjadi jika anda terinfeksi varian virus Oficla yaitu sebagai berikut :
ü Scareware Fake Antivirus/Antispyware
Sama seperti varian virus Bredolab, varian virus ini mendownload dan menjalankan file program yang mengindikasikan sebagai sebuah antivirus/antispyware. Dengan aksi palsu-nya program ini mencoba memberitahu pengguna bahwa di komputer tersebut terdapat banyak virus. (lihat gambar 2)
Gambar 2. Scareware fake Antivirus/Antispyware beraksi
Dan untuk hal itu antivirus/antispyware palsu tersebut meminta pengguna segera menggunakan program antivirus/antispyware palsu tersebut dengan syarat membayar sejumlah tertentu melalui online. (lihat gambar 3)
Gambar 3. Website yang digunakan untuk melakukan pembelian Antivirus palsu secara online
ü Mematikan firewall dan Security Center Windows dan mengganti-nya dengan fake Firewall dan fake Security Center
Sama dengan hal-nya fake antivirus/antispyware, virus juga menggantikan fungsi dari Firewall Windows dan Security Center. (lihat gambar 4)
Gambar 4. Fake Firewall beraksi menggantikan fungsi Firewall Windows.
Dengan hal ini bertujuan agar meyakinkan pengguna serta membuat panik pengguna karena ada-nya serangan virus yang mencoba masuk komputer pengguna (lihat gambar 5)
Gambar 5. Fake Security Center beraksi menggantikan fungsi Security Center Windows.
ü Melakukan Koneksi ke server, update dan download trojan/spyware
Agar sulit di deteksi oleh antivirus karena ia akan selalu mengupdate dirinya dan melakukan release ulang/download guna mencegah deteksi program antivirus. Anda tidak dapat menghentikan proses download yang berlangsung, sekalipun anda menutup browser anda karena proses download akan berlangsung di background (tidak terlihat).
Untuk melihat aktivitas dari virus melakukan koneksi, update dan download trojan, dapat menggunakan perintah “netstat” pada command prompt. (lihat gambar 6)
Gambar 6. Aksi virus melakukan koneksi, update dan download.
ü Melakukan spam ke alamat e-mail tertentu
Untuk menyebarkan dirinya ia akan mengirimkan email kesemua alamat email yang telah diperolahnya dengan melampirkan sebuah file dalam bentuk ZIP. Bagi anda yang mempunyai account Facebook harap berhati-hati jika menerima email yang anda terima seolah-olah berasal dari Admin Facebook karena kemungkinan email yang Anda terima adalah email yang berisi virus.
Jika kita telurusi dengan tools monitoring jaringan seperti wireshark atau perintah “netstat” dari command prompt maka dapat dilihat dengan jelas bahwa komputer yang telah terinfeksi virus berusaha untuk mengirimkan email ke sejumlah alamat e-mail yang telah ditemukan dengan menyertakan sebuah file attachment yang berisi virus. (lihat gambar 7)
Gambar 7. Aksi virus melakukan penyebaran melalui spam e-mail dengan attachment virus.
REGISTRI VIRUS
Tidak banyak perubahan registry yang dilakukan oleh virus Oficla, beberapa yang dilakukan perubahan yaitu :
- Menambah Registry
· Start-Up
Agar virus dapat aktif pada saat start-up, maka virus membuat string berikut :
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Reader_s = C:\WINDOWS\System32\reader_s.exe
Ø HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
reader_s = C:\Documents and Settings\%user%\reader_s.exe
· Executable virus
Agar virus dapat berjalan saat pengguna menjalankan file executable, maka virus membuat string berikut :
Ø HKEY_CLASSES_ROOT\.exe\DefaultIcon
Ø HKEY_CLASSES_ROOT\.exe\Shell
- Merubah Registry
· Executable virus
Agar virus dapat berjalan saat pengguna menjalankan file executable, maka virus merubah string berikut :
Ø HKEY_CLASSES_ROOT\.exe
(default) = secfile
PEMBERSIHAN VIRUS
Sebelum melakukan pembersihan virus , download dan install terlebih dahulu antivirus Norman Security Suite Pro (NSS Pro) dengan Intrusion Guard. Anda dapat melakukan download dengan melakukan registrasi form trial pada link berikut :
http://www.norman.com/downloads/trial_registrations/58627/en
Langkah-langkah yang harus dilakukan dalam melakukan pembersihan virus Oficla adalah sebagai berikut :
- Putuskan koneksi jaringan/internet.
- Matikan System Restore pada System Properties My Computer. (lihat gambar
Gambar 8. Matikan System Restore Windows.
- Matikan proses virus (menggunakan Advanced System Reporter). Bagi pengguna Norman Security Suite Pro dapat menggunakan fitur dari Intrusion Guard yaitu Advanced System Reporter.
· Klik kanan logo/icon Norman, pilin Norman Security Suite. (lihat gambar 9)
Gambar 9. Logo/Icon Norman
· Pada Norman Security Suite, klik [Intrusion Guard] kemudian klik [Advanced System Reporter]. (lihat gambar 10)
Gambar 10. Menu Norman Security Suite Pro
· Pada Menu Advanced System Reporter, klik icon paling bawah di kiri yang bergambar roda gigi dengan kaca pembesar atau klik link [Processes] [Go to view]. (lihat gambar 11)
Gambar 11. Menu Advanced System Reporter
· Pada tab Other, matikan proses virus yang aktif/berjalan. (lihat gambar 12)
Gambar 12. Menu Proses pada Advanced System Reporter
ü Pilih file virus dengan nama file “ave.exe”
ü Klik kanan, dan klik Terminate Process
· Pada tab Auto Start, matikan proses virus yang aktif/berjalan pada start-up Windows. (gambar 13)
Gambar 13. Menu Proses pada Advanced System Reporter
ü Pilih file virus dengan nama file “reader_s.exe”
ü Klik kanan, dan klik dahulu Terminate Process kemudian klik Remove Autorun
ü Lakukan sama pada file “reader_s.exe” yang lain.
- Perbaiki registry Windows. Salin script dibawah ini untuk memperbaiki registry dengan menggunakan Notepad.
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCR, .exe,,,exefile
HKCR, .txt,,,txtfile
HKCR, .reg,,,regfile
HKCR, .vbs,,,VBSFile
HKCR, exefile,,,Application
HKCU, Software\Microsoft\CommandProcessor, Autorun,0,0
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
[del]
HKCR, .exe\DefaultIcon
HKCR, .exe\shell
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, reader_s
Gunakan notepad, simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install
- Hapus file virus induk virus Oficla yaitu sebagai berikut :
· C:\Documents and Settings\klasnich\reader_s.exe
· C:\Documents and Settings\klasnich\Local Settings\Application Data\ave.exe
· C:\WINDOWS\system32\reader_s.exe
- Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya scan kembali menggunakan antivirus Norman Security Suite Pro (NSS Pro) yang ter-update. (lihat gambar 14)
Gambar 14. Scan ulang virus dengan Norman Security Suite Pro (NSS Pro)
Sumber www.vaksin.com
Buy Norman Virus Control
Posted in Info Virus Baru | No Comments »
Written by admin on 09 April 2010
Amburadul part 2 yang membackup MSVBVM60.DLL
++++ Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places,
Wanna start a War ++++
(7 Langkah membasmi Amburadul dan Antisipasinya)
Anda masih ingat dengan virus amburadul ?
http://www.vaksin.com/2008/0408/amburadul/amburadul.html, sampai sekarang ternyata virus ini masih banyak berkeliaran di dunia maya yang siap untuk menginfeksi komputer target dengan memanfaatkan media Flash Disk. Dari hasil pantauan Vaksicom saat ini sudah lebih dari 6 varian yang dikeluarkan. Dari ke enam varian tersebut sebenarnya tidak mempunyai perbedaan yang mencolok mulai dari penamaan file induk virus, media penyebaran dan aksi yang dilakukan. Yang membedakan adalah dari ukuran file dan file security yang akan diblok oleh virus ini. Dalam artikel ini, selain memberikan cara membasmi virus Amburadul, Vaksincom juga memberikan bonus bagaimana mencegah satu virus tertentu aktif di komputer anda menggunakan Tools standar yang dimiliki Windows, Secpol dan Hash Rule.
Virus buatan Palangkaraya ini dibuat menggunakan bahasa Visual Basic yang akan mempunyai ukuran berbeda-beda untuk masing-masing varian dan untuk mengantisipasi bilamana user merubah file MSVBVM60.DLL yang merupakan file pendukung dari aplikasi VB dengan cerdik ia akan menyertakan file MSVBVM60.DLL di direktori dimana file induk tersebut di simpan dengan atribut Hidden, System dan Read Only sehingga virus ini akan tetap aktif di dalam memory komputer target.
Virus yang merupakan modifikasi dari virus W32/MoontoxBro ini mempunyai tujuan utama akan menyerang semua type file gambar yang berada di media Flash Disk atau Removable Disk (external disk) dengan cara menyembunyikan file tersebut dan membuat file duplikat dengan nama file dan ekstensi file yang sama di ikuti tanda petik (contoh : Foto.bmp.
Bagaimana mengenali komputer terinfeksi Amburadul?
- Muncul file folder IMAGE disetiap drive yang berisi file gambar (JPG) padahal sebenarnya adalah virus dengan ciri-ciri :
- Icon JPG
- Ukuran bervariasi sesuai dengan varian virus
- Type File Application
- Ekstensi file EXE
- Muncul file duplikat terutama di media flash disk, file duplikat yang dibuat mempunyai format %nama file%.%ekstensi file%, lihat gambar 1 :
Gambar 1, Contoh file duplikat yang dibuat oleh virus Amburadul
- Merubah Header Internet Explorer menjadi ++++ Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places, Wanna start a War ++++ (lihat gambar 2)
Gambar 2, Header Internet Explorer yang diubah oleh virus Amburadul
- Muncul file FoToKu %tanggal%.exe, %tanggal% menunjukkan tanggal file tersebut dibuat oleh virus (contohnya : FoToKu 29-7-2008.exe) atau muncul file lain yang merupakan nama jembatan yang ada di kota Palangkaraya yakni J3MbataN K4HaYan.exe
Norman Security Suite mendeteksi virus ini sebagai Woem:VBWorm.gen22 (lihat gambar 3)
Gambar 3, Norman Security Suite mendeteksi varian Amburadul barusebagai Worm: VBWorm.gen22
File Induk Amburadul
File induk yang akan dibuat oleh masing-masing varian mempunyai nama yang tidak jauh berbeda begitupun dengan lokasi penyimpanannya. Agar tidak mudah diketahui dan dihapus oleh user, file induk tersebut akan di sembunyikan. File induk yang akan aktif di memori biasanya akan lebih dari satu dengan tujuan untuk saling melindungi sehingga tidak mudah untuk dimatikan.
File induk ini akan dijalankan secara otomatis setiap kali komputer tersebut di start/direstart. Berikut beberapa file induk yang akan dibuat :
- C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
-
- Csrcc.exe
- Smss.exe
- Lsass.exe
- Services.exe
- Winlogon.exe
- Paraysutki_VM_Community.sys
- Msvbvm60.dll
- C:\Windows\Syem32\Windows 3D.scr
- C:\Autorun.inf
- C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
- C:\Friendster Community.exe
- C:\J3MbataN K4HaYan.exe
- C:\MyImages.exe (hidden file)
- C:\PaLMa.exe
- C:\Images
-
- Ce_Pen9God4.exe
- J34
- M0D3L_P4ray_ 2008.exe
- MalAm MinGGuan.exe
- NonKroNG DJem8ataN K4H4yan.exe
- Ph0to Ber5ama.exe
- PiKnIk dT4ngKilin9.exe
- RAja Nge5ex.exe
- TrenD 9aya RAm8ut 2008.exe
-
- (V.4.9)_D053n^908L0K.exe
- ~ G0YanG Ranjang ~.exe
- GePaCar4an Neh!!!.exe
- GuE… BgT!.exe
- Ke.. TaUan N90C0k.exe
- Ma5tURbas1 XL1M4xs.exe
- PraPtih G4diEs PuJAAnku.exe
- SirKuit BaLi SmunZa.exe
- C:\Documents and Settings\%user%\My Documents
-
- MalAm MinGGuan.exe
- Ma5turbas1 Xlim4xs.exe
- Raja Nge5ex.exe
Registri Windows
Agar file tersebut dapat di aktifkan secara otomatis tanpa bantuan manusia, ia akan membuat string di beberapa lokasi yakni:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- PaRaY_VM=C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\winlogon.exe
- ConfigVir = C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\services.exe
- NviDiaGT = C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\lsass.exe
- NormanVirusAnti=C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\smss.exe
- AVManager = C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\csrss.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\winlogon.exe
Metode Pertahanan Virus
Metode pertahanan yang akan dilakukan oleh virus Amburadul ini cukup banyak dengan blok beberapa fungsi Windows seperti :
- Disable Task Manager
- Disable CMD
- Disable Registry Tools
- Disable Search
- Disable System Restore
- Disable MSI Files
- Pembatasan restore point system restore
- Disable instal/setup program
- Disbable Msconfig
- Script file (vbs)
Selain blok fungsi Windows di atas, ia juga akan blok beberapa software security termasuk program antivirus lokal dengan cara menghapus file tersebut jika dijalankan.
Berikut beberapa registry yang akan dibuat dengan tujuan untuk blok akses ke sejumlah fungsi windows serta blok beberapa software antivirus lokal.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
-
- DisableMSI
- LimitSystemRestoreCheckpointing
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- HKEY_CLASSES_ROOT\exefile
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Acha.exe
-
- Debugger = cmd.exe /c del
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Amy Mastura.exe
-
- Debugger = cmd.exe /c del
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe
-
- Debugger = cmd.exe /c del
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe
-
- Debugger = cmd.exe /c del
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe
-
- Debugger = cmd.exe /c del
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smsss.exe
-
- Debugger = cmd.exe /c del
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
-
- Debugger = cmd.exe /c del
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\registry.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
-
- Debugger = cmd.exe /c del
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
-
- Debugger = cmd.exe /c del
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe
-
- Debugger = cmd.exe /c del
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe
-
- Debugger = cmd.exe /c del
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe
-
- Debugger = cmd.exe /c del
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
-
- Debugger = cmd.exe /c del
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
-
- Debugger = cmd.exe /c del
Membasmi Virus Hokage
Walaupun bersal dari daerah yang sama, tidak menjamin akan Worm.Gen16) dengan menghapus semua file induk dari virus tersebut dengan cara membuat string pada
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BabyRina.exe
-
- Debugger = cmd.exe /c del
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
-
- Debugger = cmd.exe /c del
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
-
- Debugger = cmd.exe /c del
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Hokage4.exe
-
- Debugger = cmd.exe /c del
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Hokagefile.exe
-
- Debugger = cmd.exe /c del
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
-
- Debugger = cmd.exe /c del
Virus amburadul juga akan meninggalkan jejak pada aplikasi cara merubah header dari aplikasi tersebut. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
-
- Window Title = ++++ Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places, Wanna start a War ++++ (lihat gambar 2 di atas)
Sikat File gambar
Misi utama dari virus ini tak lain adalah akan mengincar semua file gambar yang ada di komputer, tapi ia masih berbaik hati karena hanya mengincar file gambar yang ada di Flash Disk atau Removable Disk/External Hard Disk saja. Anda tidak perlu khawatir dengan file gambar yang anda miliki, karena virus ini tidak menghapus tetapi hanya menyembunyikan saja jadi anda masih bisa menampilkan kembali file tersebut dengan catatan komputer bersih dari virus tersebut.
Untuk mengelabui user, ia akan membuat file duplikat di direktori yang sama dengan format file %nama file.%ekstensi files% File diplikat ini biasanya akan mempunyai ukuran yang sama dengan ciri-ciri : (lihat gambar 1 di atas)
- Icon Gambar (Jpg)
- Ukuran file sama (tergantung dengan varian yang menginfeksi)
- Ekstensi EXE
- Type File
Virus ini akan mencatat log di direktori C:\Windows\Temp\Amburadul_List setiap kali menyembunyikan file gambar. (lihat gambar 4)
Gambar 4, Log file yang di sembunyikan oleh Amburadul
Media Penyebaran
Media Flash Disk masih merupakan media favorit yang akan digunakan oleh virus Amburadul sebagai media penyebaran dengan membuat beberapa file berikut:
- Autorun.inf
- FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 7-1-2010.exe)
- C:\Friendster Community.exe
- C:\J3MbataN K4HaYan.exe
- C:\MyImages.exe (hidden)
- C:\PaLMa.exe
- C:\Images
-
- Ce_Pen9God4.exe
- J34
- M0D3L_P4ray_ 2008.exe
- MalAm MinGGuan.exe
- NonKroNG DJem8ataN K4H4yan.exe
- Ph0to Ber5ama.exe
- PiKnIk dT4ngKilin9.exe
- RAja Nge5ex.exe
- TrenD 9aya RAm8ut 2008.exe
-
- (V.4.9)_D053n^908L0K.exe
- ~ G0YanG Ranjang ~.exe
- GePaCar4an Neh!!!.exe
- GuE… BgT!.exe
- Ke.. TaUan N90C0k.exe
- Ma5tURbas1 XL1M4xs.exe
- PraPtih G4diEs PuJAAnku.exe
- SirKuit BaLi SmunZa.exe
Agar virus tersebut dapat aktif secara otomatis setiap kali user akses Drive atau Flash Disk ia akan membuat script autorun.inf pada root Flash Disk atau Drive. File Autorun ini akan menjalankan file MyImage.exe. (lihat gambar 5)
Gambar 5, Autorun.inf, memungkinkan Amburadul aktif secara otomatis
7 langkah membasmi virus Amburadul
- Putuskan komputer yang akan dibersihkan dari internet dan intranet
- Matikan proses virus yang aktif di memory resident. Untuk mematikan proses tersebut dapat menggunakan tools mempunyai icon JPG, file ini akan mempunyai ekstensi EXE.Tools tersebut dapat di unduh di website (lihat gambar 6)
http://www.neuber.com/taskmanager/download.html
Gambar 6, Mematikan proses virus Amburadul dengan menggunakan
- Repair registry yang sudah diubah/dibuat oleh Amburadul. Untuk mempercepat proses perbaikan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf.
Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, “about:blank”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, “checkbox”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, “checkbox”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
[del]
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableSR
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msc.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BabyRina.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Acha.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Amy Mastura.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe, debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\registry.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smsss.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, PaRaY_VM
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ConfigVir
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NviDiaGT
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NormanVirusAnti
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AVManager
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, EnableLUA
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
- Disable , agar pembersihan dapat dilkakukan secara optimal
- Hapus file induk virus. Sebelum menghapus file tersebut sebaiknya tampilkan file yang tersembunyi caranya : (lihat gambar 7)
-
- Buka Windows Explorer
- Klik menu [Tools]
- Klik [Folder Options]
- Klik Tabulasi [View]
- Pada kolom [Advanced settings]
- Pilih opsi
- Unchek
- Uncheck
Gambar 7, Menampilkan file yang tersembunyi
Kemudian hapus file berikut:
- C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
-
- Csrcc.exe
- Smss.exe
- Lsass.exe
- Services.exe
- Winlogon.exe
- Paraysutki_VM_Community.sys
- Msvbvm60.dll
- C:\Windows\Syem32\Windows 3D.scr
- C:\Autorun.inf
- C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan
(contohnya: FoToKu 14-3-2008.exe)
- C:\Friendster Community.exe
- C:\J3MbataN K4HaYan.exe
- C:\MyImages.exe (hidden file)
- C:\PaLMa.exe
- C:\Images
- C:\Documents and Settings\%user%\My Documents
-
- MalAm MinGGuan.exe
- Ma5turbas1 Xlim4xs.exe
- Raja Nge5ex.exe
- Tampilkan file gambar yang telah disembunyikan di Flash Disk dengan cara : (lihat gambar
-
- Klik Menu [Start]
- Klik [Run]
- Ketik [CMD]
- Pada Dos Prompt, pindahkan posisi kursor ke lokasi Flash Disk kemudian ketik perintah ATTRIB
Gambar 8, Menampilkan file yang disembunyikan
- Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan antivirus yang up-to-date dan sudah dapat mengenali virus ini dengan baik. Anda juga dapat download Norman Malware Cleaner di alamat dibawah ini:
http://www.norman.com/support/support_tools/58732/en
Pencegahan Amburadul
Agar komputer Anda tidak menjadi korban virus Amburadul berikut beberapa tips dan trik yang dapat dilakukan
- Install antivirus yang up-to-date
- Rename/ubah program pendukung aplikasi Visual Basic [C:\Windows\Syetm32\MSVBVM60.DLL]. Perubahan nama file ini dapat menyebabkan semua program aplikasi yang dibuat menggunakan Visual Basic tidak dapat di jalankan, untuk mengatasi hal ini copy file tersebut di direktori dimana program aplikasi tersebut di simpan
- Blok akses Flash Disk dan blok akses file yang sudah terinfeksi virus Amburadul dengan menggunakan fitur . Fitur ini hanya tersedia pada Windows XP Proffesional, Windows Server 2003, Windows Vista dan Windows 7. berikut cara-caranya:
- Blok akses aplikasi pada Dive / Flash Disk
-
- Klik menu [Start]
- Klik [Run]
- Ketik [secpol.msc]
- Pada layar
- Klik kanan pada
- Kemudian klik kanan di (lihat gambar 9)
Gambar 9, Optimalkan Secpol untuk mencegah infeksi virus
-
- Pada Kolom Path, masukkan drive dimana aplikasi di dalamnya tidak dapat dieksekusi. Karena kebanyakan malware menular dari flash disk, sebaiknya ketik drive di mana flash disk berada. Misalnya, jika flash disk ada di drive G maka ketik G:\ (lihat gambar 10)
Gambar 10, Tingkatkan keamanan dengan melarang aktivasi aplikasi otomatis dari USB Flashdisk
-
- Pada kolom Security Level pilih Disallowed
- Klik tombol
- Klik tombol
-
- Blok akses file virus virus Amburadul
-
- Klik kanan pada menu (lihat gambar 11)
Gambar 11, Gunakan Secpol untuk membatasi file dengan Hash tertentu
-
- Pada kolom (lihat gambar 12)
Gambar 12, Hash Rule dapat dipakai untuk mencegah aktivasi banyak virus.
-
- Pada kolom Security Level pilih
- Pada kolom ari nama file tersebut (bebas),
- Pilih OK
- Restart komputer.
Catatan:
Pada saat user menjalankan file yang sudah di add tersebut maka akan mucul pesan peringatan berikut : (lihat gambar 13)
Gambar 13, Pesan peringatan saat menjalankan file aplikasi
Sumber Vaksin.com
Posted in Info Virus Baru | No Comments »
