Download PCMAV Express 14 May 2009 3:35 AM (15 years ago)
Bagi anda yang komputernya terkena virus w32/conficker gunakan tool dibawah ini dengan cara copy pastekan link adress dibawah ini ke-adress bar.
link: http://www.ziddu.com/download/4685128/PCMAVExpress.zip.html
Download No$GBA 14 May 2009 3:31 AM (15 years ago)
Bagi anda yang gemar bermain game gba, copy pastekan link dibawah ini ke-adrees untuk mendownload emulatornya selain VisualBoyAdvance.
link: http://www.ziddu.com/download/4685204/nogba-w.zip.html
download VisualBoyAdvance 14 May 2009 3:25 AM (15 years ago)
Bagi anda yang gemar bermain game gba, copy pastekan link dibawah ini ke-adrees untuk mendownload emulatornya.
link: http://www.ziddu.com/download/4685205/VisualBoyAdvance.zip.html
18 Anti Virus Indonesia 4 May 2009 11:20 PM (15 years ago)
1. PCMAV
2. Ansav
3. AI = Antivirus Indonesia
[Download Antivirus Indonesia]
4. AMP = ANTV-MD5-PATTERN
[Download AMP 5.05h SE: 29 Maret 2008]
5. Andre AV
[Download AndreAV 2.0 RC 03 – Juli 2008]
6. AVIGEN
Download Avigen2008 Build 3.0]
7. Compact Byte Antivirus
8. Eura AntiVirus – NG
[Download Eura AntiVirus – NG v1.4.0 database 1.6.0.9 – 25 Juni 2008]
9. Gucup AntiVirus
[Download Gucup AntiVirus 3.2.2]
10. KISAV AntiVirus
[Download KISAV AntiVirus 1.2.3]
11. KVS – Kawanua Virus Scanner
12. NAVi = Narpes AntiVirus
[Download NAVi 1.0.0.1: 29 Juni 2008]
13. O.A.S-AV
14. PCBugar
15. Peradnya Virus Cleaner
[Download Peradnya Virus Cleaner 2.0]
16. ScanLix
17. SMP - Simple Machine Protect
[Download SMP – Sample Machine Protect]
18. SMADAV
Cara Membuat Bahasa pada Antivirus Ansav 1 May 2009 7:47 PM (15 years ago)
Lakukan cara berikut untuk membuat bahasa antivirus ansav :
1. Buka notepad
2. Copykan kata dibawah ini atau buka file language ansav ditempat anda menginstal antivirus ansav (Biasanya ditenmpat C:\Progam Files\Ansav\Language) dan pilih salah satu bahasa yang disediakan.
Lang : Indonesia;
Author : AhmadPintar;
#--------------------------
l_ok: Oke;
l_cancel: Batal;
l_exit: Keluar;
l_close: Tutup;
l_help: Pertolongan;
l_scan : Periksa;
l_scan2: Pemeriksaan;
l_options: Pilihan;
l_settings: Setelan;
l_settings2: Setelan && pengaturan;
l_update: Update;
l_update2: Pembaharuan;
l_control: Kendali;
l_scan_desc:
Periksa tempat-tempat tertentu\n
dari kemungkinan adanya ancaman;
l_refresh: Segarkan;
l_selectobjects: Pilih objek/lokasi :;
l_computer: Komputer;
l_hardisk: Hardisk;
l_othermedia: Media lainnya;
l_localdisk: Hardisk lokal;
l_cdrom: CD-Rom;
l_removablemedia: Media lepas;
l_windowsdirectory: Direktori windows;
l_systemdirectory: Direktori sistem;
l_otherobjectlocation: Objek/lokasi lainnya;
l_sotherobjectlocation: Cari objek/lokasi lainnya;
l_dbclktspb: Klik ganda untuk menjalankan plugin di bawah ini :;
l_tsps: Klik tombol "%s" untuk memulai proses scanning;
l_pause: Pause;
l_resume: Teruskan;
l_stop: Hentikan;
l_inscnpw: Sedang dalam pemeriksaan, mohon ditunggu...;
l_clean: Bersihkan;
l_delete: Hapus;
l_quarantine: Karantina;
l_currfile: Berkas :;
l_threatname: Nama ancaman;
l_objloct: Lokasi ancaman;
l_information: Informasi;
l_back: Kembali;
l_nwdrv: Network drive;
l_netshar: Bagi pakai jaringan;
l_enumnetres: Sedang membaca jaringan...;
l_cof: Gagal membuka berkas;
l_copen: Gagal membuka;
l_procaborted: Proses dibatalkan;
l_language: Bahasa;
l_author: Pembuat;
l_file: Berkas;
l_config: Konfigurasi;
l_scannopt: Pilihan scan;
l_archivescan: Pemeriksaan arsip;
l_info01: Informasi tentang bagian ini bisa anda temukan di %s;
l_type: Tipe;
l_anstat01: Info status :;
l_apply: Terapkan;
l_kps01: Aktifkan mode heuristic ( memperlambat scanning ).;
l_kps02: Curigai setiap packer yang tidak standar ( dapat menyebabkan salah deteksi ).;
l_kps03: Periksa juga file multimedia.;
l_kps04: Periksa juga file terkompres.;
l_kps05: Buat log untuk setiap sesi scanning.;
l_kps06: Nonaktifkan sistem buffering.;
l_kps07: Batasi besar arsip.;
l_kps08: Jangan periksa file arsip yg memiliki ukuran lebih besar dari :;
l_kps09: Tipe arsip yang didukung :;
l_kps10: Pilih semua;
l_kps11: Lepas semua;
l_kps12: Bahasa yang sedang dipakai :;
l_kps13: Bahasa yang bisa digunakan :;
l_kps14: Menggunakan mode verbose ketika proses pemeriksaan.;
l_kps15: Dapatkan bahasa lainnya;
l_kps16: Untuk menggunakan plugin luar\n
klik tombol "%s".;
l_external: Luar;
l_tpl: Tersedia %d plugin.;
l_operation: Operasi;
l_result: Hasil;
l_thf: Ditemukan %d berkas;
l_scanned: Diperiksa;
l_sstat: Status pemeriksaan;
l_scobject: Obyek yang diperiksa;
l_aborted: Dibatalkan;
l_completed: Selesai;
l_nothing: Tidak ada;
l_nscanned: Tak diperiksa;
l_detected: Terdeteksi;
l_suspected: Dicurigai;
l_unknown: Tidak diketahui;
l_thdtc: Bahaya ditemukan!;
l_ssg: Aman;
l_scmem: Memeriksa proses pada memori, silahkan tunggu...;
l_skip: Lewati;
l_activate: Aktifkan;
l_stopit: Hentikan;
l_showdtl: Lihat detail;
l_search: Cari;
l_smvsmpl: Kirim contoh virus;
l_about: Tentang;
l_view: Tampil;
l_eventlog: Catatan kejadian;
l_clearevlog: Bersihkan catatan kejadian;
l_restapp: Jalankan ulang %s;
l_risk: Resiko;
l_qsp: Pilih lokasi cepat :;
l_ssf: Periksa satu file;
l_active: AKTIF;
l_nactive: TIDAK AKTIF;
l_lastscanned: Objek terakhir diperiksa;
l_clean2: BERSIH;
l_sss: Hasil pemeriksaan satu file;
l_ol: Lokasi object;
l_tf2: VIRUS DITEMUKAN;
l_sf: ANCAMAN DITEMUKAN;
l_plugname: Nama plugin;
l_plugdesc: Keterangan;
l_kps17: Objek tidak dapat dibersihkan;
l_kps18: Tidak dapat menghapus file ini.\n%s;
l_kps19: Tidak dapat mengarantina file ini.\n%s;
l_kps20: Ancaman/virus terdeteksi aktif di memori;
l_kps21: Total proses yang diperiksa %d;
l_kps22: ancaman terdeteksi aktif di memori;
l_kps23: %d proses telah dimatikan;
l_kps24: %d proses gagal dimatikan;
l_kps25: Total telah diperiksa : %s direktori dan %s berkas;
l_kps26: Tampilkan jendela laporan ketika selesai pemeriksaan;
l_kps27: Periksa proses yang aktif ketika jalan pertama;
l_kps28: aaa;
l_kps29: Versi %s yang terpasang lebih tua (%s) dari versi ini,
apakah anda ingin melakukan pembaharuan (upgrade) %s ke %s ?;
l_kps30: Tidak dapat mengkarantina file ini.;
l_kps31: Tidak dapat menghapus file ini.;
l_kps32: Total %d proses diperiksa;
l_kps33: %d proses dihentikan;
l_kps34: %d proses gagal dihentikan;
l_kps35: Proses dihentikan;
l_kps36: Tidak dapat dihentikan (masih aktif di memori);
l_kps37: Dibatalkan, membersihkan memory;
l_kps38: Status : Dihentikan sementara;
l_kps39: Silahkan pilih obyek yang akan diperiksa;
l_kps40: Laporan pemeriksaan;
l_kps41: LAPORAN PEMERIKSAAN;
l_kps42: Memeriksa memori...;
l_kps43: Memeriksa;
l_kps44: dihentikan;
l_kps45: selesai;
l_kps46: Memeriksa;
l_kps47: Status : nganggur;
l_kps48: Tunggu sebentar;
l_kps49: Klik tombol "%s" untuk memulai;
l_kps50: Sumber update;
l_kps51: Pilih sumber update. Update secara online membutuhkan koneksi internet
atau server update pada workstation;
l_kps52: Konfigurasi baru saja dirubah, simpan perubahannya?;
l_kps53: %s menemukan update terbaru pada update server.\n
segeralah perbaharui %s anda ke definisi terbaru sesegera mungkin.\n
Apakah anda ingin memperbaharui sekarang juga?;
l_kps54: Tidak ada database luar;
l_kps55: Karantina;
l_kps56: Total %d ancaman dalam karantina;
l_kps57: Kembalikan;
l_kps58: Kembalikan ke;
l_kps59: Kembalikan semua;
l_kps60: Kembalikan semua ke;
l_kps61: Hapus;
l_kps62: Hapus semua;
l_kps63: Total proses: %d %%;
l_kps64: Subproses: %d %%;
l_kps65: Status pembaharuan: %s;
l_kps66: Update server lokal tidak tersedia;
l_kps67: Lokasi asli;
l_kps68: Proses pemeriksaan sedang berjalan, yakinkah Anda ingin menghentikannya?;
l_kps69: Proses pembaharuan sedang berjalan, yakinkah Anda ingin menghentikannya?;
Bila sudah buka File - Save All simpan di tempat anda menginstal anti virus ansav\Language
(Biasanya di C:\Progam Files\Ansav\Language
Catatan : Ganti kata sesudah kata ":" tanpa tanda petik.
Cara setting Hp smart D1200P 28 Apr 2009 6:20 PM (15 years ago)
1. Pilih My Menu
2. Pilih WAP
3. Pilih Advance atau tekan "5"
4. Pilih Pengaturan atau tekan "6"
5. Pilih Atur Gateway atau tekan "1"
6. Pilih Gateway 2 atau tekan "2".
7. Pilih IP kemudian ketik 10.20.27.250 lalu ketik OK
8. Pilih Port kemudian ketik 8080 lalu ketik OK
9. Pilih Dial kemudian ketik #777 lalu ketik OK
10. Pilih User Name kemudian ketik wap lalu ketik OK
11. Pilih Password kemudian ketik wap lalu ketik OK
12. Klik "Back" 2 kali sampai kamu berada di menu dengan pilihan Atur Gateway,
PIlih Gateway dan Restore Setting
13. Pilih Pilih Gateway atau tekan "2"
14. Pilih Pilih Gateway 2 dan akan ditampilkan pesan "Please restart browser"
15. Keluarlah dari browser kemudian masuk ke home page.
16. Konfigurasi selesai. Sekarang kamu bisa mengakses dan membuka WAP
Smart Telecom dengan cara pilih Menu -> My Menu -> WAP -> Home Page
Sejarah Punk Rock Jalanan 28 Apr 2009 5:45 PM (15 years ago)
Tersebutlah seorang pemuda berusia 15 tahun. Namanya Tigor bersekolah kelas 3 SMP Kartika Balikpapan. Lahir di keluarga baik-baik. Konon ceritanya keluarganya yang tadinya kaya-raya mendadak jatuh miskin karena perusahaan sang ayah yang bergerak di bidang kontraktor sipil gulung tikar. Di tengah hobinya bergabung dengan klub BMX, Tigor tidak dapat memenuhi kebutuhannya untuk menyalurkan hobinya itu lebih dalam…yaitu memakai barang-barang bermerk di tubuhnya, membeli ornamen-ornamen untuk sepedanya, dan sebagainya. Belum lagi ejekan dari teman-teman satu klub yang selalu diterimanya. Sementara di satu sisi, terdapat sebuah klub juga yang menamai diri mereka ‘street guys‘. Dalam jiwanya yang labil, Tigor akhirnya membelot. Anak-anak ‘street‘ jiwa kekeluargaannya lebih besar dibanding anak-anak BMX yang berasal dari keluarga ‘berada’. Tigor mulai merokok, bahkan untuk anak seusianya yang masih tergolong belia, ia sudah mulai mengenal alkohol. Orang tuanya tak henti-henti menasehatinya, tapi doktrin punk terlalu kuat…isinya antara lain “Nazi fuck…polisi anjing…kita bukan budak, jangan mau disuruh-suruh…kami anti kemapanan!!!”. Orang tuanya hanya bisa mengurut-urut dada saja ketika Tigor membantah sewaktu disuruh membuang sampah rumah tangga mereka di tempat pembuangan sampah yang tidak begitu jauh dari rumahnya. Hingga suatu waktu sang ayah marah besar ketika Tigor membentak beliau hanya karna disuruh pergi ke warung makan. Kemarahan sang ayah membuat Tigor begitu sakit hati karena Tigor belum pernah melihat sang ayah semarah itu kepadanya. Tigor pergi dari rumah tanpa membawa baju ganti satupun. Ia pergi bersama kumpulan barunya yaitu ‘street guys‘ ato lebih kita kenal dengan nama anak punk yang sesungguhnya keberadaan mereka sangat meresahkan masyarakat sekitar dan selalu membuat para polisi jengkel. Di sinilah petualangan Tigor dimulai. Bersama kumpulan barunya ia ikut mengamen di lampu merah, jika lapar dan tidak cukup uang ia mentegakan dirinya mengorek-ngorek tempat sampah demi mengobati perutnya yang sangat kelaparan. Sementara ayah dan ibunya menangis berhari-hari di rumah, berharap Tigor, anak laki-laki satu-satunya mereka segera pulang ke rumah. Tigor memiliki seorang kakak perempuan yang kemudian diasuh oleh tantenya setelah mereka jatuh miskin. Akhirnya suatu saat ibunya mendapati anak lelakinya itu sedang mengorek sebuah tong sampah. Kulitnya bertambah hitam, tubuh jangkungnya terlihat semakin kurus, rambutnya yang hitam legam bagus berubah menjadi model mohawk yang tak beraturan dan berwarna merah yang entah mungkin dari cat rambut murahan. Ibunya menangis melihat anaknya itu dan memintanya pulang ke rumah. Tapi Tigor tetap membantah sampai akhirnya temannya membujuknya untuk pulang…dan pulanglah ia. Ayahnya mulai mengalah padanya. Motor satu-satunya yang tersisa di rumah itu khusus untuk Tigor pakai. Tigor mulai mau sekolah lagi, tapi di akhir pekan, tak ada yang bisa menghalangi langkahnya untuk pergi ke Samarinda, 2 setengah jam dari Balikpapan waktu tempuhnya, bersama anak-anak punk. Namun ayah dan ibunya tak begitu khawatir karena di Samarinda banyak tante-tante dan sepupunya. Sampai akhirnya ia berkenalan dengan seorang gadis kelas 3 SMP di SMPN 2 Samarinda bernama Liza. Kebetulan Liza adalah teman satu sekolah sepupunya. Tigor pulang ke Balikpapan dengan hati berbunga-bunga. Bertambah rajinlah ia berkunjung ke Samarinda karena gadis bernama Liza ini. Orang tuanya sungguh khawatir sesuatu terjadi padanya sepanjang perjalanan lintas kota itu. Akhirnya kelulusan tiba juga. Tigor masuk ke STM Swasta satu-satunya di Balikpapan, jurusan elektro. Belum selesai cobaan yang harus Tigor dan keluarganya terima, berawal dari kecurigaan kedua orang tuanya kalau si anak buta warna karena Tigor sangat susah membedakan antara warna merah muda dan hijau, ditambah lagi dengan sang ayah adalah seorang yang buta warna. Akhirnya keluarga membawanya ke puskesmas, namun kata puskesmas hanyalah kurang latihan. Oleh karena itu kedua orang tuanya tetap nekad memasukkan ke STM yang terdekat dari rumahnya.Namun karena sudah dilatih berulang-ulang si Tigor belum juga bisa menghafal warna-warna tersebut, dengan bantuan sang tante, kemudian Tigor kembali untuk melakukan pemeriksaan dan dibawa ke dokter spesialis mata. Tigor dinyatakan buta warna parsial (60%). Bermaksud baik, sang ibu membawa surat pernyataan dari dokter itu ke pihak sekolahnya agar anaknya dipindahkan jurusan ke jurusan otomotif saja. Ternyata pihak sekolah malah beranggapan bahwa anak buta warna sama sekali tidak bisa masuk di STM di jurusan apapun, jadi lebih baik pindah ke sekolah umum saja. Padahal STM tersebut sebelumnya tidak melakukan test buta warna terhadap calon-calon siswanya maupun meminta surat pernyataan tidak buta warna terlebih dahulu dari para calon siswanya, seperti yang dilakukan oleh STM negeri.
Di sekolah teman-teman memperlakukannya seperti orang yang dikucilkan, sikap sang guru juga kurang baik kepadanya (karena Tigor memang bukan siswa teladan di sekolahnya). Akhirnya Tigor membuat keputusan untuk berhenti sekolah. Ia hanya mempunyai ijazah SMP dan tambah menjadi-jadi kehidupan malam dijalaninya di usianya yang baru 16 tahun itu. Suatu hari yang paling membuat orang tuanya shock adalah Tigor yang baru pulang dari Samarinda, membawa Liza pacarnya ke rumah. Saat itu memang sang kakak sedang nginap juga di rumahnya.
Ketika ditanya oleh orang tuanya, katanya si Liza akan menginap semalam, mau jalan-jalan dulu di Balikpapan, tidurnya bareng kakaknya saja. Ketika orang tuanya menanyai Liza apakah sudah ijin kepada orang tuanya, Liza bilang sudah. Walau masih sedikit curiga karena Liza masih menggunakan seragam pramuka, namun orang tua Tigor cukup lega karena menurut Liza ia sudah meminta ijin sebelum ke Balikpapan. Sampai kemudian terjadi kehebohan besar. Tantenya Tigor telpon ke rumah menanyai Tigor tentang keberadaan Liza karena orang tua Liza membuat ribut di rumah tantenya tersebut. Ketika mengetahui Tigor membawa Liza ke Balikpapan, tantenya langsung menyuruh mamanya Liza berbicara sendiri kepada ibunya Tigor. Ibu meminta mamanya Liza untuk tidak terlalu khawatir, namun mamanya Liza tetap bersikukuh meminta alamat Tigor di Balikpapan. Di tengah tidur pulasnya Liza, jam 4 subhu, orang tuanya menjemput menggunakan taxi argo. Mereka tampak sangat khawatir karena Liza adalah anak semata-wayang mereka. Akhirnya Liza dilarang orang tuanya menemui Tigor lagi. Tigor datang ke Samarinda sudah tidak disambut baik lagi oleh keluarganya Liza. Orang tua Liza tidak suka Tigor bergaul dengan Liza karena Tigor hanyalah seorang yang lulusan SMP, dan seorang punker. Liza berasal dari keluarga kaya.
Tigor patah hati berat dengan Liza. Tigor mencoba untuk bunuh diri, namun teman-teman satu kumpulannya mencegahnya. Kehidupan Tigor tambah lekat pada kehidupan punk. Waktunya habis untuk mengamen dan berkumpul bersama anak-anak punk di jalanan. Puskib adalah tempat berkumpulnya mereka. Lampu merah adalah tempat mereka mengamen. Lagu andalan anak-anak punk berjudul “Punk Rock Jalanan”. Lagu itu selalu Tigor nyanyikan saat mengamen, karena Tigor merasa bahwa lagu itu sangat sesuai untuknya, dia memang seorang “Punk Rock Jalanan”.
Sewaktu orang tuanya memohonnya melepaskan diri dari punk, Tigor berkata, “Bu, mereka juga keluargaku. Sewaktu motorku kehabisan bensin di kilometer 20-an, di tengah hutan sana, aku menghubungi seorangpun temanku tak ada yang bisa datang menolongku, tapi ketika aku menelpon Dedy, salah seorang teman punk, semua anak punk Balikpapan datang menghampiriku, jalan kaki mereka dari kota demi aku, menemaniku mendorong motor sampai aku bisa mengisi bensin motorku. Aku menangis dalam hati saat itu. Karena sebenarnya saat itu aku sudah ingin lepas dari mereka. Saat Liza meninggalkanku, punk tidak pernah meninggalkanku.”
Orang tuanya terharu dan tidak sanggup berkata apapun lagi. Punk memang meresahkan masyarakat, mungkin karena mereka terkesan urakan, tapi sikap kekeluargaan mereka terhadap sesamanya patut diacungi jempol. Begitulah kisah Tigor, Punk Rock Jalanan.
Lagu Punk Rock Jalanan
Sungguh ku menyesal telah mengenal dia
Dan aku kecewa telah menyayanginya
Dan aku tak akan mengulang kedua kalinya
Mungkinkah rindu dihati gelisah tak menentu
Berawal dari kita bertemu kau akan ku jaga
Ku ingin ngkau mengerti
Betapa kau ku cinta
Hanya padamu aku bersumpah
Kau akan ku jaga sampai mati
Ku ingin tau sapa namamu
Dan ku ingin tau di mana rumahmu
Walau sampai akhir hayat ini
Jalan hidup kita berbeda
Aku hanyalah punk rock jalanan
Yang tak punya harta berlimpah, dirimu sayang
Ku tunggu kau ku tunggu
Kunanti kau ku nanti
Walau sampai akhir hayat ini
2x
Ku kira kau setia padaku
Ternyata kau menduakan ku
Sungguh hati ku tak menduga
Dan juga ini yang ku alami
Perjalanan cinta selama ini
Kukira kau setia padaku
Ternyata kau menduakanku
Download lagu Punk Rock Jalanan : http://www.indowebster.com/pUnk_rOCks_JaLanan.html
Request Music 23 Apr 2009 12:04 AM (15 years ago)
Bagi anda yang ingin merequest lagu, yaitu dengan cara :
1. DiPost Comment tuliskan
Nama anda
Band yang diinginkan
Lagu
email anda
2. klik post comment / komentar
Catatan :
1. nanti akan diberikan alamat lagunya melalui email dan tinggal download.
2. Emailnya adalah ahmadpintar9@gmail.com.
3. Apabila bukan dari email ahmadpintar9@gmail.com jangan diterima.
Cara Membersihkan Regristri 21 Apr 2009 11:12 PM (16 years ago)
Bagi anda yang sering menambah software, game, dan lain sebagainya ada cara untuk membersihkan regristri, yaiut dengan cara
1. buka http://www.ccleaner.com/download/downloading
2. Klik "Click here if it does not" apabila tidak mendownload secara otomatis
Download Anti Virus 20 Apr 2009 11:45 PM (16 years ago)
Ansav : Klik Disini
Kaspersky : Klik Disini
Norman : Klik Disini
AVG : Klik Disini
PCMAV : Klik Disini
Portable AntiVirus : Klik Disini
Cara Membuat Virus Palsu 14 Mar 2009 9:17 PM (16 years ago)
Step I :
1. Klik kanan dekstop.
2. Pilih New - Shorcut.
3. Tuliskan shutdown -s -t 300 -c "Kata - kata anda"
4. Klik "Next".
5. Beri nama.
Catatan :
1. Cara membuat virus palsu ini hanya bisa dipakai di windows xp.
2. Kalau sudah tuliskan shutdown ..... dan waktu dinest tidak bisa, berarti di komputer anda tidak terdapat file yang bernama shutdown.exe.
3. kalau tidak ada copy file di windows xp yang difolder C:\WINDOWS\system32, yang bernama shutdown.exe.
Step II
1. Klik kanan file Virus Palsu yang anda beri.
2. Pilih Propertis.
3. Klik Change icon.
4. Bila mendapat peringatan, klik ok.
5. Pilih icon yang ingin anda beri, bila icon yang anda inginkan tidak ada, klik Browse.
6. Bila sudak klik ok.
Step III
Bila anda mencoba , dan anda ingin menghilangkan, klik start - run, dan ketikkan "Shutdown -a" tanda tanda kutip / klik start - run - cmd /command, dan etikkan "Shutdown -a" tanda tanda kutip .
Cara Membuat AntiVirus Di Flashdisk 7 Mar 2009 7:01 PM (16 years ago)
Caranya :
hal - hal yang harus dipersiapkan adalah
a. Antivirus yang bersifat portable (PCMAV, ANSAV)
2. File autorun.inf
1. Buat autorunnya
contoh
[AUTORUN]
open=nama antivirus.exe
shellexecute=nama antivirus.exe
shell\scan_With_Nama_Antivirus\command=nama antivirus.exe
shell=scan_with_Nama_Antivirus
Lalu disave dengan save as tipe all files dan berinama autorun.inf yang berada di flash disk anda (harus berada di file paling depan, tidak boleh berada didalam folder )
2. Sembunyikan file autorun.inf dan antivirusnya dengan cara :
a. buka start - run
b. tuliskan cmd / command
c. masuk di flashdisk anda (biasanya di drive F:)
d. lau tuliskan command dibawah ini
f:\>attrib +h +s nama antivirusnya.exe (buat sembunyiin antivirusnya)
f:\>attrib +h +s autorun.inf (buat hidden file autorunnya)
kalo berhasil, file autorun.inf dan antivirusnya akan hilanf / tersembunyi
Cara Membuat Icon sederhana Menggunakan file .bmp Menjadi .ico 21 Feb 2009 8:23 PM (16 years ago)
Caranya , gantilah file .bmp tersebut menjadi .ico (misalnya potoku.bmp menjadi potoku.ico. Cara yang lain : misalnya Anda ingin mengganti icon dari suatu shortcut. Pertama klik kanan pada shortcut dan pilih Properties. Pindah pada tab Shortcut dan pilih Change Icon. Setelah itu browse ke folder yang menyimpan file .bmp Anda.
Tampilan - tampilan aneh Mozilla Firefox 21 Feb 2009 4:35 AM (16 years ago)
Ternyata ada tampilan tampilan aneh yang gak nyambung sama sekali dengan fungsinya firefox. Mau lihat coba aja cara ini:
Masukkan perintah ini pada address bar :
1.about:mozilla ---> disitu dituliskan :
tersebar ke seluruh penjuru dunia bersama dengan pasukannya. Dan mereka menguasai
jaman mereka serta mengibarkan api pengorbanan dari hasil bumi mereka,
sebagaimana kecerdikan para serigala. Dan membangun dunia baru dalam
imaji seperti dalam janji
suci dan mendongengkan
sang pahlawan pada anak cucu mereka. Sang Mammon terbangun, dan lha! hanya
kenihilan yang menjadi pengikutnya.
dari Buku Mozilla,
11:9
(Edisi 10)
2.about:robots ---> Disitu dituliskan :
Welcome Humans!
We have come to visit you in peace and with goodwill!
* Robots may not injure a human being or, through inaction, allow a human being to come to harm.
* Robots have seen things you people wouldn't believe.
* Robots are Your Plastic Pal Who's Fun To Be With.
* Robots have shiny metal posteriors which should not be bitten.
And they have a plan.
Firefox memang browser yang serba bisa.
Cara Membasmi Virus W32/VBWorm.QXE (bulubebek) 21 Feb 2009 3:42 AM (16 years ago)
Giliran Donal Bebek yang menyerang komputer Indonesia
File Induk
Pada saat virus ini aktif ia akan membuat sejumlah file yang akan dijalankan pertama kali pada saat komputer dinyalakan serta membuat file autorun.inf agar virus tersebut dapat aktif secara otomatis setiap kali user akses folder. Berikut beberapa file induk yang akan dibuat oleh VBWorm.QXE
-
C:\Windows\Script.exe
-
C:\Windows\LSASS.exe
-
C:\Documents and Settings\%user%\autorun.inf
-
C:\Documents and Settings\%user%\bulubebek.ini
-
C:\bulubebek.ini
-
c:\autorun.inf
Auto start registry
Untuk memastikan agar file tersebut dapat dijalankan, ia akan membuat string pada registry berikut:
-
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
-
Shell = explorer.exe script.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
-
Shell = explorer.exe script.exe
-
Blok Fungsi Windows
Sebagai bentuk pertahanan ia akan mencoba untuk blok beberapa fungsi Windows seperti Task Manager, Folder Option atau CMD. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\HideFileExt
- CheckedValue=2
- DefaultValue = 2
- UncheckedValue = 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
- CheckedValue= 0
- DefaultValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
- CheckedValue= 2
- DefaultValue = 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPath
- CheckedValue= 0
- DefaultValue = 0
- UncheckedValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPathAddress
- CheckedValue= 0
- DefaultValue = 0
- UncheckedValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden
- CheckedValue= 2
- DefaultValue = 2
- UncheckedValue = 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
- CheckedValue= 1
- DefaultValue = 1
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden
- CheckedValue= 0
- DefaultValue = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFolderOptions
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- Hidden = 2
- HideFileExt = 1
- ShowSuperHidden = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
-
AutoRun = exit
HKEY_CURRENT_USER\Software\Microsoft\Command Processor
-
AutoRun = exit
Ia juga akan mencoba blok eksekusi file “Microsoft Visual Studio Spy Debugging Tools” yang mempunyai nama file SPYXX.exe dengan menampilkan pesan berikut saat file tersebut di eksekusi dengan terlebih dahulu membuat string pada registry berikut : (lihat gambar 3)
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPYXX.EXE
-
debugger = TAI BEBEK
-
Penyebaran otomatis
Hidden folder dan membuat duplikat folder
Tidak seperti virus lain yang jahat menginjeksi atau menghancurkan file komputer korbannya, pembuat Bulu Bebek ini kelihatannya tidak memiliki niat jahat menghancurkan data komputer korbannya. Bulubebek akan mencoba untuk menyembunyikan folder/subfolder pada flash disk, untuk mengelabui user ia akan membuat file duplikat disetiap folder/subfolder sesuai dengan nama older/subfolder tersebut. File duplikat ini mempunyai ciri-ciri : (lihat gambar 5)
-
Menggunakan icon Folder
-
Ukuran file 53 KB
-
Ekstensi EXE
-
Type File “Application
Membersihkan virus Bulubebek
-
Sebaiknya putuskan komputer yang akan dibersihkan dari jaringan (jika terhubung ke LAN)
-
Disable “System Restore” untuk sementara selama proses pembersihan berlangsung (jika menggunakan Windows ME/XP)
-
Matikan proses virus yang sedang aktif di memori, untuk mematikan proses virus ini gunakan tools penggganti taks manager seperti procexp, kemudian matikan proses virus yang mempunayi icon “Folder”.
-
Repair registry Windows yang sudah di ubah oleh virus. Untuk mempercepat proses tersebut salin script dibawah ini pada program notepad kemdian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:
-
Klik kanan repair.inf
-
Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Command Processor, AutoRun,0,
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue, 0x00010001,2
HKCU, Software\Microsoft\Command Processor, AutoRun,0,
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAYXX.exe
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\HideFileExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPath
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPathAddress
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
Jika Folder Option belum muncul sebaiknya LogOff komputer terlebih dahulu kemudian tampilkan file yang tersebunyi.
Setelah file duplikat ditemukan, hapus file yang mempunyai ciri-ciri : (lihat gambar 8)
-
Menggunakan icon Folder
-
Ukuran file 53 KB
-
Ekstensi EXE
-
Type File “Application
-
Tampilkan kembali file/folder pada Flash Disk yang sudah disembunyikan. Untuk menampilkan file yang disembunyikan anda dapat menggunakan bebarapa tools alternatif seperti Batch File Utility atau dengan menggunakan perintah ATTRIB
Berikut cara menampilkan file/folder yang disembunyikan dengan menggunakan ATTRIB (lihat gambar 9)
-
Klik “Start”
-
Klik “Run”
-
Ketik “CMD”, kemudian tekan tombol “Enter”
-
Pindahkan posisi kursor ke drive Flash Disk
-
Kemudian ketik perintah ATTRIB –s –h –r /s /d kemudian tekan tombol “enter”
Cara Membasmi Virus W32/RootKit.STG 21 Feb 2009 3:38 AM (16 years ago)
Quantum of MicroSoft.bat Gameeeeeee.pif
Masih ingatkah anda pada artikel virus “Agent.FUVR” atau yang biasa dikenal sebagai virus “arp spoofing”, dimana virus ini mampu menggemparkan kalangan pengguna internet Indonesia. Bukan hanya pengguna komputer biasa yang menjadi korban, tetapi justru sangat merepotkan bagi pengguna korporat/jaringan yang tidak memiliki team yang memiliki pengalaman perlindungan antivirus korporat.
Melengkapi aksi Antivirus Palsu / Rogue Antivirus XP 2008 dan gerombolannya, antivirus/antispyware palsu kian marak, maka virus “arp spoofing” part II ini tidak mau kalah dan ikut menjalankan aksinya. Dan kali ini dengan kemampuan yang lebih baik dari ARP terdahulu, ibaratnya Son Go Ku (Dragon Ball) sudah mencapai level 3 (Super Sanya :P). ARP Spoofing bagian dua ini memiliki ciri khas dimana file penyebarannya memiliki nama Gameeeeeee.vbs dan Gameeeeeee.pif (dua-duanya bernama game dengan jumlah huruf "e" 7 buah).
Untuk virus dengan tahap level pertama tentu-nya anda sudah familiar dengan nama “Agent.FUVR”, virus yang menggunakan nama MicroSoft (MicroSoft.bat, MicroSoft.vbs dan MicroSoft.pif) sebagai file virus yang berlokasi pada root drive C:\, dengan menggunakan file ThunderAdvise.dll (lokasi pada C:\WINDOWS\Downloaded Program Files) sebagai media update melalui internet & Jview.dll (lokasi pada C:\WINDOWS\AppPatch) sebagai media penyebaran melalui jaringan (anda dapat melihat artikel virus ini pada http://vaksin.com/2008/0608/microsoft/microsoft.html).
Kemudian pada tahap level kedua, virus ini menggunakan file virus wmsetup.dll dan QQ_Update.cab yang berlokasi pada C:\WINDOWS\Temp, dengan menggunakan file ThunderAdvise.dll (lokasi pada C:\WINDOWS\Downloaded Program Files) sebagai media update melalui internet & DesktopWin.dll (lokasi pada C:\WINDOWS\AppPatch) sebagai media penyebaran melalui jaringan.
Selanjutnya, yang saat ini makin marak menyebar pada pengguna internet sudah memasuki tahap level 3, dengan menggunakan file virus Gameeeeeee.vbs & Gameeeeeee.pif yang berlokasi pada C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files, dan file system.exe (lokasi pada C:\WINDOWS\system32) serta file HBKernel32.sys (lokasi pada C:\WINDOWS/system32/drivers). Selain itu masih menggunakan file ThunderAdvise.dll (lokasi pada C:\WINDOWS\Downloaded Program Files) sebagai media update melalui internet & Update.dll (lokasi pada C:\WINDOWS) sebagai media penyebaran melalui jaringan.
Serangan pertama : Internet attack (yahoo script error, script language=”javascript”...)
Selain itu, virus akan menyisipkan script pada semua aplikasi browser anda dengan menambahkan script pada setiap halaman website yang kita akses.
Setelah memalsukan Mac Address gateway dan menjadi transparent proxy bagi (bridging) gateway tersebut sehingga semua pengguna komptuer yang mengakses internet melalui gateway secara diam-diam akan melewati komputer yang terinfeksi ini, maka dengan mudah komputer ini menyisipkan link tambahan pada setiap akses ke internet yang dilakukan. Karena yang di eksploitasi adalah sistem jaringan dan bukan OS, maka korban potensial dari eksploitasi ini adalah seluruh browser, tidak perduli Internet Explorer, Opera, Firefox atau Safari. Selain itu, link tambahan TETAP akan diterima pengakses komputer lain, meskipun OS yang digunakan non Windows. Dalam hal ini, pengguna Linux dan Mac tidak mengandung resiko terinfeksi virus ini karena virus ini hanya kompatibel dengan OS Windows TETAPI bagi pengguna Linux atau Mac yang menjalankan aplikasi emulasi Windows seperti WINE harap berhati-hati karena WINE akan mampu menjalankan aplikasi virus ini pada Linux.
Dengan menyisipkan link pada saat user akses internet, korban secara tidak sadar akan mendownload dan menjalankan virus secara otomatis. Sama seperti varian awal, virus menyisipkan link untuk mendownload file virus. Vaksincom dengan bantuan NNP (Norman Network Protector) mendeteksi beberapa link yang secara otomatis mendownload virus, yaitu :
Setelah file gameeeeeee.pif ter-eksekusi, virus akan mendelete dirinya sendiri yang kemudian aktif dengan membuat file ThunderAdvise.dll pada folder C:\WINDOWS\Downloaded Program Files dan Update.dll pada folder C:\WINDOWS. Jika komputer terkoneksi internet, file ThunderAdvise.dll akan mendownload segambreng file virus. Berikut kumpulan file yang didownload oleh virus :
-
C:\Documents and Settings\%user%\Local Settings\temp
-
liv1.tmp, liv2.tmp, liv3.tmp, liv4.tmp, liv5.tmp, 6.tmp, 7.tmp, 8.tmp, makecab.exe, winipsec.dll, 001.cab, 002.cab, 003.cab, 004.cab, dst....
-
-
C:\Documents and Settings\dhiely\Local Settings\Temporary Internet Files
-
Office[1].htm, Sina[1].htm, 001[1].cab, 002[1].cab, 003[1].cab, 004[1].cab, dst....
-
-
C:\WINDOWS\AppPatch
-
AcSpecf.sdb, AcXtrnel.sdb, AcSpecf.dll
-
-
C:\WINDOWS\system32
-
system.exe, HBBO.dll, HBCHIBI.dll, HBQQFFO.dll, HBmhly.dll, HBZHUXIAN.dll, HBZG.dll, HBSO2.dll, HBQQSG.dll, HBSOUL.dll, E0D39066.dll (nama file acak), 9fd8db.sys (nama file acak), dst....
-
-
C:\WINDOWS\system32\drivers
-
HBKernel32.sys, eth8023.sys
-
Serangan kedua : Network attack (jaringan lambat, komputer “mati suri” alias HANG)
Dengan mengubah Mac Address, virus mendeklarasikan dirinya sebagai router/gateway, yang kemudian akan dengan mudah melakukan infeksi pada jaringan (salah satunya dengan menyisipkan script virus).Dengan melakukan broadcast ke jaringan dan melkaukan infeksi, secara otomatis akan membuat jaringan menjadi lambat/down.
Bahkan, salah satu kelebihan utama virus ini yaitu memanfaatkan Default Share Windows, dengan mengirim 3 file virus pada folder C:\WINDOWS\AppPatch (AcSpecf.sdb, AcXtrnel.sdb, AcSpecf.dll, lihat gambar 6), niscaya dalam seketika komputer anda akan “mati suri” alias hang.
Rubah Host file
Sebagai informasi, Hosts file pada OS Windows berfungsi mirip seperti DNS dimana jika virus berhasil menguasai Hosts file, dengan mudah ia dapat memanipulasi akses internet dan mengalihkan ke website yang di ingini. Hal ini sangat berbahaya khususnya untuk pengguna internet banking karena di tangan orang yang mengerti bagaimana mengeksploitasi Hosts file ini, koneksi internet banking dengan mudah dialihkan ke komputer lain untuk kemudian di fraud, sekalipn sudah di proteksi dengan token / kalkulator PIN.
Yahoo Messenger aktif --> Office instalation error....
Seperti yang kita tahu bahwa virus mendownload file virus dengan extension CAB, dimana file extension CAB merupakan file-file windows untuk cabinet yang digunakan untuk instalasi windows atau aplikasi windows lain seperti MS Office. Jika komputer sudah terinfeksi cukup lama dan virus semakin banyak mengumpulkan file virus berekstension CAB, maka saat kita menggunakan Yahoo Messenger, bukan script error lagi yang muncul melainkan jendela instalasi office yang mengindikasikan error instalation (padahal sebenarnya tidak ada masalah dengan MS Office yang terinstall).
Know Your Enemy
Dengan menggunakan Norman Network Protector (NNP), Vaksincom mencatat beberapa IP luar yang berusaha melakukan serangan virus ke jaringan lokal. NNP mampu melakukan blocking serangan virus, sehingga komputer dalam jaringan dapat aman saat mencoba koneksi internet.
Registry Windows
Agar dapat aktif saat komputer dijalankan, virus akan membuat string registry sebagai berikut :
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3PMmUpdate = rundll32 “C:\WINDOWS\Update.dll”
, Main
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HBService32 = SYSTEM.EXE
Untuk melakukan blok beberapa fungsi program aplikasi, virus membuat string berikut :
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Browser Helper Objects\{97421D0D-E07F-40DF-8F07-99597B9585AD}
ThunderAdvise = C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\ShellExecuteHooks
{3474A8C2-BEF9-46C8-983A-A26A0030EC30} = 3474A8C2.dll
{58FF3024-8A83-4B1A-88E9-302F47646EEE} = 58FF3024.dll
{DA63E650-537C-4042-87BB-9D19D844680B} = DA63E650.dll
{F65BDEC7-4BF3-4512-840F-68B166B6D7AC} = F65BDEC7.dll
{122B901E-493F-4AD9-BC69-7DE8C3E52FCC} = 122B901E.dll
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad
ThunderAdvise = C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Windows
AppInit_DLLs = HBBO.dll, HBCHIBI.dll, HBQQFFO.dll, HBmhly.dll, HBZHUXIAN.dll, HBZG.dll, HBSO2.dll, HBQQSG.dll, HBSOUL.dll
Cara pembersihan virus W32/RootKit.STG
-
Putuskan komputer yang akan dibersihkan dari jaringan.
-
Matikan proses virus yang inject proses system dengan menggunakan aplikasi unlocker. Anda dapat mendownload aplikasi ini pada link berikut :
http://ccollomb.free.fr/unlocker/unlocker1.8.7.exe
Install terlebih dahulu aplikasi unlocker, kemudian lakukan delete dan Unlock All pada file-file virus. Lakukan delete file virus secara bertahap yaitu :
-
system.exe
-
HBBO.dll, HBCHIBI.dll, HBQQFFO.dll, HBmhly.dll, HBZHUXIAN.dll, HBZG.dll, HBSO2.dll, HBQQSG.dll, HBSOUL.dll
-
AcSpecf.sdb, AcXtrnel.sdb, AcSpecf.dll
-
HBKernel32.sys, eth8023.sys
-
Hapus dan bersihkan file virus. Anda dapat menggunakan removal tool dari Norman untuk membersihkan-nya (dapat anda download melalui link dibawah ini).
-
Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObject
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 3PMmUpdate
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HBService32
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectsDelayLoad, ThunderAdvise
Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
-
Normalkan kembali Host file yang telah diubah. Gunakan tools HijackThis. Download pada link berikut :
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
-
Jalankan Hijackthis, Pilih Open the Misc Tools section.
-
Kemudian pada System tools, pilih Open hosts file manager.
-
Selanjutnya lakukan Delete line(s). Blok seluruh line termasuk localhost (127.1), kemudian Delete line(s). Setelah selesai, Pilih Open in Notepad, kemudian masukkan isi file localhost asli (127.0.0.1 localhost), kemudian save file tsb.
-
Hapus file temporary dan temporary internet files, gunakan ATF Cleaner. Download pada link berikut :
http://www.atribune.org/ccount/click.php?id=1
Pastikan untuk menghapus temporary, temporary internet files, history, prefetch, cookies dan java cache.
-
Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.
Music waktu Windows XP Booting, Logoff, Restart, dan lain - lain 21 Feb 2009 2:53 AM (16 years ago)
Untuk melihat music waktu Windows XP Booting, Logoff, Restart, dan lain - lain dengan cara
1. Buka My Computer.
2. Klik dua kali Drive C:\
3. Buka WINDOWS.
4. Pilih Media.
Catatan : mungkin untuk Windows ME, 2000 Bisa
Antivirus Gadungan Menyerbu Indonesia 19 Feb 2009 3:17 AM (16 years ago)
Pengantar :
Jumlah Antivirus Gadungan saat ini yang terdeteksi adalah 304 antivirus gadungan. Data yang dikumpulkan statistik virus Vaksincom didukung data statistik Norman Network Protector (NNP) yang di instal di beberapa ISP mengkonfirmasikan hal ini. Dapat dipastikan ribuan komputer di Indonesia yang terkoneksi ke internet terinfeksi virus ini dan celakanya virus ini memiliki genetik Spyware dan memiliki kemampuan mengupdate dirinya sendiri, sehingga untuk membersihkannya membutuhkan perjuangan berat dan beberapa user yang kesal memilih jurus Pasopati (format :P).
Antivirus Gadungan ini memiliki banyak cara menyebarkan dirinya, menurut pengamatan Vaksincom metode ini selalu diperbaharui setiap kali ditemukan cara efektif mengatasinya. Adapun metode yang umum digunakan adalah sebagai berikut :
-
Mengeksploitasi celah keamanan (Java Script) browser waktu mengunjungi website tertentu sehingga akan terinstal secara otomatis dan menampilkan peringatan palsu.
-
Menawarkan scan malware gratis atau tune up sistem komputer gratis.
-
Email, dalam hal eksploitasi email pembuat virus ini cukup kreatif. Adapun bentuk-bentuk email yang terdeteksi adalah sebagai berikut :
-
Kartu ucapan / greeting card. Email yang datang juga memiliki banyak varian, baik yang datang dalam lampiran bervirus (biasanya di kompres / zip) maupun hanya link download yang memanfaatkan fitur “drive by download”.
-
Breaking News dari CNN atau situs berita yang lain.
-
Menawarkan film porno artis ternama seperti Angelina Jolie yang dikombinasikan dengan baik sekali dengan rekayasa sosial pada situs You Tube. Dimana file yang mengandung virus seakan-akan harus di download sebagai codec (file yang diperlukan untuk menonton file film di You Tube). Lihat artikel http://vaksin.com/2008/0808/anjelina-jolie2/anjelina-jolie2.html
-
Datang dalam lampiran terkompres seperti yang terakhir ditemui Vaksincom datang sebagai email konfirmasi pengiriman barang dari UPS yang meminta kita mencetak invoice .doc yang sebenarnya adalah file virus karena memiliki ekstensi ganda (ups_letter.doc.exe). Supaya lampiran ini tidak diblok di mailserver ia di kompres terlebih dahulu dengan nama “ups_letter.zip”. (lihat gambar 3)
-
Masih ingatkah anda pada artikel virus "anjelina jolie" atau yang lebih dikenal dengan "AntivirusXP 2008", virus yang umum-nya menyerang para pengguna e-mail yang kemudian alih-alih justru mendownload serta meng-install antivirus palsu. Berikut informasi selengkapnya pada, http://vaksin.com/2008/0708/anjelina-jolie/anjelina-jolie.html, dan http://vaksin.com/2008/0808/anjelina-jolie2/anjelina-jolie2.html .
Bagi anda yang masih “trauma” dengan kasus virus tsb, maka kali ini anda harus bersiap-siap dengan kedatangan varian terbaru virus tsb. Jika sebelumnya menggunakan nama “AntivirusXP 2008”, maka kali ini menggunakan nama “XP AntiSpyware 2009”.
maka sebaiknya jangan sekali-kali dibuka karena akan menginfeksikan komputer anda dengan Antivirus Gadungan.
E-mail tsb menyertakan attachment file dengan nama “UPS_letter.zip”, yang didalamnya berisi sebuah file virus yang memiliki ekstensi ganda, UPS_letter.doc.exe, dan menggunakan icon word serta berukuran 42 kb.
Jika anda sudah terlanjur membuka attachment tsb, maka file virus yang terdapat pada attachment file tsb secara otomatis akan tereksekusi dan membuat beberapa file virus pada komputer anda. Berikut beberapa file virus yang akan dibuat oleh virus :
- C:\WINDOWS\system32\braviax.exe (10 kb)
- C:\WINDOWS\brastk.exe (10 kb)
- C:\WINDOWS\system32\brastk.exe (10 kb)
- C:\WINDOWS\karna.dat (6 kb)
- C:\WINDOWS\system32\karna.dat (6 kb)
- C:\WINDOWS\system32\delself.bat (1 kb)
- C:\WINDOWS\Tasks\SA.dat (1 kb)
- C:\Program Files\Microsoft Common\wuauclt.exe (42 kb)
- C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\content.ie5\4jkxkjch\kashi[1].exe (43 kb)
- C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\content.ie5\4jkxkjch\kashi[1].exe (43 kb)
Kemudian setelah membuat beberapa file virus dan aktif pada proses windows, virus akan mulai beraksi dengan memberikan sebuah pesan palsu (menyerupai program windows), yang seolah-olah memberitahu anda bahwa di komputer kita terdapat spyware/virus.
Dengan pesan tsb, virus ini akan “memaksa” anda untuk mengklik link yang dituju. Jika anda sudah mengklik pesan tsb, maka virus akan mendownload secara otomatis file instalasi antispyware palsu, yang secara otomatis pula akan menginstall dirinya (lokasi file download tsb yaitu http://xpas-2009.com/install/Installer.exe).
Saat anda melanjutkan proses selanjutnya, antispyware palsu ini akan mendownload beberapa file virus berikut file instalasi antispyware tsb. Beberapa file yang didownload oleh virus tsb, yaitu :
- C:\Program Files\Common Files\ : ibureqag.dll, nysexireh.vbs, ybofomas._sy (nama file acak)
- C:\WINDOWS\ : yvohidol.bin, dyfype._dl (nama file acak)
- C:\ WINDOWS\system32\iceze.dl (nama file acak)
- C:\Documents and Settings\all users\Documents\ : isir.sys, tucyf.sys (nama file acak)
- C:\Documents and Settings\%user%\Application Data\ : iwin.dat, jikym.vbs, ojahu.pif, pejax.exe, ypehij.db (nama file acak)
- C:\Documents and Settings\%user%\Cookies\ : ahicixicyd.reg, ihowed.exe, itaw.bin, lebiwige.db, ytar.vbs (nama file acak)
- C:\Documents and Settings\%user%\Local Settings\Application Data\ : awapufu.lib, iqodud.lib, umyh._sy (nama file acak)
- C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files\ibykotit.vbsSelanjutnya virus meng-install program antispyware palsu yaitu “XP AntiSpyware 2009”. Program ini tidak jauh berbeda seperti halnya program antispyware lain, seperti terdapat shortcut pada desktop, terinstall pada C:\Program Files, terdapat shortcut pada Start Menu, icon pada taskbar dan terdaftar pada Add Remove Program . Bedanya adalah program ini bukan antispyware, melainkan spyware :P. Untuk meyakinkan korbannya mendownload lebih banyak spyware lagi, ia akan menjalankan aksinya menampilkan pesan “seram” bahwa komptuer tersebut terinfeksi virus-virus dengan resiko tinggi
Setelah terinstall dengan mudah, program antispyware palsu akan menjalankan aksi-nya (melakukan scanning palsu dan menampilkan pesan palsu).
Setelah selesai menjalankan aksinya, virus akan memberikan report palsu serta meminta anda untuk melakukan register program antispyware palsu tsb. Jika anda tidak ingin melakukan register, maka program akan menampilkan pesan infeksi virus secara terus menerus, dan virus akan terus menambah atau mendownload file virus.Jika anda melakukan register, maka anda akan di bawa ke sebuah website yaitu : http://www.xp-antispyware2009.com/buy.html, dimana anda harus membayar sebesar $49.95 hingga $79.95 secara online dengan menggunakan kartu kredit (lihat gambar 9). Hebatnya website ini berfungsi dan memiliki sistem untuk mendebet Kartu Kredit anda. Kalau anda merasa cukup banyak uang dan memiliki kartu kredit untuk membeli antivirus ini. Maka ibarat kata pepatah, “Sudah Jatuh, Tertimpa Tangga, Di gigit anjing Tetangga, anjingnya Rabies lagi“alias sial banget. Mengapa ?
Karena :
-
Anda sudah dibodohi dengan peringatan virus palsu (sudah rugi moril).
-
Anda kehilangan uang (rugi materi)
-
Anda akan mendapatkan produk yang anda kira antivirus, tetapi ternyata virus / spyware juga. Jadi anda membayar untuk mendapatkan spyware.
-
Kartu kredit anda akan di charge besar, tidak sesuai dengan nominal yang tertera pada saat transaksi.
-
Kartu kredit anda akan dijadikan sebagai daftar Fraud. Jadi, jika anda pernah bertransaksi membeli antivirus gadungan ini, Saya menyarankan sebaiknya segera matikan nomor kartu kredit anda dan ganti dengan nomor baru.
Jika dilihat sekilas, ibaratnya mata-mata Korea Utara yang cantik, website tsb mampu menipu user dengan menampilkan beberapa data palsu seperti definisi virus terbaru, penghargaan dari beberapa majalah IT dunia, testimonial dari para pengguna program antispyware palsu serta beberapa keuntungan menggunakan program antispyware palsu tsb, dll.
yang sudah dipersiapkan oleh virus ini (yang tentu-nya juga akan menampilkan pesan untuk melakukan register dan diarahkan ke website palsu virus). Pokoknya benar-benar lengkap dan profesional cara kerja Antivirus Gadungan ini.
Registri Windows
Agar dapat aktif saat komputer dijalankan, virus akan membuat string registry sebagai berikut :
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
braviax = C:\WINDOWS\system32\braviax.exe
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Windows
AppInit_DLLs = karna.dat
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
braviax = C:\WINDOWS\system32\braviax.exe
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
brastk = brastk.exe
Selain itu, virus membuat string berikut :
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Executions Options\Explorer.exe
Debugger"="C:\Program Files\Microsoft Common\wuauclt.exe
Untuk mengubah default web, virus pun membuat string berikut :
-
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
Search Bar = http://www.google.com/ie
Search Page = http://www.google.com
Start Page = http://www.google.com
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
Default_Search_URL = http://www.google.com/ie
Search Page = http://www.google.com
Start Page = http://www.google.com
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search
SearchAssistant = http://www.google.com
Selain itu, virus pun membuat string pada security windows berikut :
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = 1
FirewallDisableNotify = 1
UpdateDisableNotify = 1
Untuk mempermudah penyebaran, virus pun membuat string :
-
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\ MountPoints2\{706ab86c-937e-11dd-a04c-000c290bc510}\Shell\AutoRun\Command
(Default) = C:\WINDOWS\system32\RunDLL32.EXEShell32.DLL, ShellExec_RunDLL system.exe
-
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\ MountPoints2\{706ab86c-937e-11dd-a04c-000c290bc510}\Shell\Explorer\Command
(Default) = %drive%:\system.exe
-
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\ MountPoints2\{706ab86c-937e-11dd-a04c-000c290bc510}\Shell\Open\Command
(Default) = %drive%:\system.exe
Menyebarkan diri melalui Flash Disk
Kelihatannya virus ini juga “belajar” dari pembuat virus Indonesia. Sebagai media penyebaran awal, virus mencoba menggunakan media “Flashdisk” ataupun “Disket”, dengan memanfaatkan system autoplay windows agar dirinya dapat aktif secara otomatis setiap kali user akses ke Flashdisk tersebut (lihat gambar 11). File yang di buat yaitu :
-
autorun.inf
-
system.exe
Cara pembersihan virus Rogue Spyware
-
Putuskan hubungan komputer yang akan dibersihkan dari jaringan.
-
Scan komputer anda dengan menggunakan removal tool dari Norman.
Anda dapat menggunakan removal tool dari Norman untuk membersihkan-nya (dapat anda download melalui link dibawah ini).
http://download.norman.no/public/Norman_Malware_Cleaner.exe-
Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Internet Explorer\Main, Search Bar, 0
HKCU, Software\Microsoft\Internet Explorer\Main, Search Page, 0
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page, 0
HKLM, SOFTWARE\Microsoft\Internet Explorer\Main, Default_Search_URL, 0
HKLM, SOFTWARE\Microsoft\Internet Explorer\Main, Search Page, 0
HKLM, SOFTWARE\Microsoft\Internet Explorer\Main, Start Page, 0
HKLM, SOFTWARE\Microsoft\Internet Explorer\Search, SearchAssistant, 0
HKLM, SOFTWARE\Microsoft\Security Center, AntiVirusDisableNotify, 0
HKLM, SOFTWARE\Microsoft\Security Center, FirewallDisableNotify, 0
HKLM, SOFTWARE\Microsoft\Security Center, UpdateDisableNotify, 0
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, braviax
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, braviax
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, brastk
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2, {706ab86c-937e-11dd-a04c-000c290bc510}
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Executions Options, Explorer.exe
Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
-
Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali seluruh file instalasi virus ini dengan baik seperti Norman Security Suite.
Cara Membasmi Virus Trojan:W32/VBTroj.NYH 19 Feb 2009 2:56 AM (16 years ago)
(^_^)NITA_WORM was here
Saat ini penyebaran virus mancanegara mulai menggeser keberadaan virus lokal, dimulai dengan kasus virus arp spoofing yang akan memalsukan Mac Address gateway dalam LAN serta dapat melakukan update secara otomatis guna memperbaharui dirinya kemudian dilanjutkan dengan spyware yang menyamarkan sebagai antivirus atau anti spyware seperti Antivirus XP 2008 atau Antivirus XP 2009 serta XP Antispayware dan masih banyak varian lainnya. Lalu terakhir Vaksincom menerima banyak laporan komputer yang mengalami masalah Generic Host Process (GHP) Error yang disinyalir merupakan serangan terhadap port RPC Dcom, Vaksincom mengirimkan artikel “Napak Tilas RPC Dcom” yang dapat anda temukan pada edisi terbaru PC Plus yang akan terbit minggu depan.
Maraknya penyebaran virus mancanegara bukan indikasi menurunnya pembuat virus lokal, karena dalam kenyataannya kuantitas pembuat virus lokal tidak mengalami penurunan dan malahan menurut virus statistik virus yang diterima oleh Vaksincom rata-rata setiap bulan ditemukan 100 virus lokal baru.
Kali ini giliran virus VBTroj.NYH atau biasa disebut dengan virus Tati yang disebarkan untuk turut menyemarakan dunia maya.
Ciri Umum VBTroj.NYH
Berikut beberapa ciri yang dapat dijumpai jika komputer terinfeksi VBTroj.NYH diantaranya:
Muncul pesan error saat membuka file dengan menggunakan program “notepad” seperti *.txt, *.ini, *.log, *.inf. (lihat gambar 1)
Muncul header tambahan pada jendela internet explorer dengan menambahkan pesan “(^_^)NITA_WORM ==> Infected Your PC ..again..!!!”
- Muncul 3 menu palsu pada menu “send to” yakni “Image, My Picture dan Send to”. Ke tiga menu palsu tersebut jika di klik maka secara otomatis akan menjalankan file virus.
- Muncul pesan error saat menjalankan fungsi windows tertentu atau saat menjalankan removal tools seperti regedit, msconfig, cmd, ansav atau avigen antivirus sehingga membuat file tersebut tidak dapat di jalankan.
- Membuat folder “NITA_WORM was here.exe” sebagai default install pada saat menginstall suatu program atau aplikasi.
- Munculnya file duplikat di setiap folder termasuk di media penyimpanan “Flash Disk” yang mempunyai ukuran file 108 KB dengan icon “Folder”.
File induk VBTroj.NYH
Virus ini dibuat dengan menggunakan program bahasa Visual Basic dengan ukuran file sebesar 108 KB, untuk mengelabui user ia akan menggunakan icon Folder.Pada saat virus ini dijalankan ia akan membuat beberapa file induk di bawah ini yang akan dijalankan pertama kali pada saat komputer di hidupkan:
-
C:\New Folder.exe (akan di buat disemua Drive)
-
C:\Documents and Settings\%user%\Start Menu\Programs\Startup
-
Startup.exe
-
New Folder
-
New Folder(x), dimana x menunjukan angka (1-19)
-
-
Copy file C:\Windows\system32\msvbvm60.dll ke direktori berikut:
-
%Flash Disk%>:\msvbvm60.dll
-
C:\Documents and Settings\All Users\Documents\My Videos\msvbvm60.dll
-
C:\Documents and Settings\All Users\Documents\My Videos\msvbvm60.dll
-
Untuk memastikan agar file tersebut dapat dijalankan setiap kali komputer dinyalakan, ia juga akan membuat string pada registry berikut:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
-
loader = \WinSys.exe
-
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-
loader = \shell.exe
-
Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:
-
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VIGen32.exe
-
debugger = explorer.exe
-
-
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VSafeRun.exe
-
debugger = explorer.exe
-
-
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2HIJACKFREE.EXE
-
debugger = explorer.exe
-
-
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe
-
debugger = explorer.exe
-
-
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMD.exe
-
debugger = explorer.exe
-
-
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dxdiag.exe
-
debugger = explorer.exe
-
-
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
-
debugger = explorer.exe
-
-
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe
-
debugger = explorer.exe
-
-
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Notepad.exe
-
debugger = explorer.exe
-
-
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProMo.exe
-
debugger = explorer.exe
-
-
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe
-
debugger = explorer.exe
-
-
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit32.exe
-
debugger = explorer.exe
-
-
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe
-
debugger = explorer.exe
-
-
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VB6.EXE
-
debugger = explorer.exe
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2HIJACKFREE.EXE
-
debugger = explorer.exe
-
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 0
-
HideFileExt = 1
-
ShowSuperHidden = 0
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
-
DisableThumbnailCache = 1
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
-
ShowDriveLettersFirst = 4
-
-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt"
-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden"
-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden"
VBTroj.NYH juga akan blok fungsi klik kanan dengan membuat string pada registry berikut:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-
NoViewContextMenu
Ubah Header Internet Explorer
Untuk menunjukan keberadaannya ia akan merubah judul pada program internet explorer dengan menambahkan pesan “(^_^)NITA_WORM ==> Infected Your PC ..again..!!!”. Untuk merubah judul IE ini VBTroj.NYH akan membuat string pada regsitry berikut:
-
HKCU\Software\Microsoft\Internet Explorer\Main
-
Window Title = (^_^)NITA_WORM ==> Infected Your PC ..again..!!!
-
Selain merubah judul internet explorer untuk menunjukan ekstensinya VBTroj.NYH juga akan mencoba untuk merubah type file “setup information” (inf) dan “System file“ (sys) menjadi NITA_WORM dengan terlebih dahulu merubah string pada registry berikut: (lihat gambar 2 di atas)
HKLM\SOFTWARE\Classes
- sysfile = NITA_WORM
HKLM\SOFTWARE\Classes\inffile
- FriendlyTypeName = NITA_WORM
Ubah default folder installasi program
VBTroj.NYH juga akan merubah default folder program installer dari “..\Program Files” menjadi “...\NITA_WORM was here.exe”. Untuk melakukan hal ini ia akan membuat string pada registry berikut: (lihat gambar 5 di atas)
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
-
ProgramFilesDir = NITA_WORM was here.exe
-
Untuk mengelabui user, VBTroj.NYH juga akan membuat menu palsu (icon Folder) pada menu utama “send to” setiap kali user melakukan klik kanan pada suatu file yakni “Send to / My Picture dan Image”, untuk melakukan hal ini ia akan membuat file virus di direktori : (lihat gambar 3 di atas)
C:\Documents and Settings\%user%\SendTo
-
Image.xe
-
My Picture.exe
-
Send to.exe
-
Membuat file diplikat dan media penyebaran
Sebagai tujuan akhir dari VBTroj.NYH ini adalah membuat file duplikat disetiap folder/subfolder termasuk di media Flash Disk dengan ciri-ciri:
-
Menggunakan icon Folder
-
Ukuran 108 KB
-
Ekstensi EXE
-
Type File “Application”
Membuat duplikati di media penyimpanan “Flash Disk” adalah salah satu upaya yang akan di lakukan oleh VBTroj.NYH untuk menyebarkan dirinya.
Cara membersihkan VBTroj.NYH
-
Putuskan hubungan komputer yang akan dibersihkan dari LAN
-
Matikan “system restore” selama proses pembersihan.
-
Matikan proses virus yang mempunyai icon folder dengan menggunakan tools pengganti task manager seperi tools Ice sword. Silahkan download tools tersebut di alamat berikut: (lihat gambar 9)
http://202.38.64.10/%7Ejfpan/download/IceSword120_en.zip
-
Hapus registry yang sudah di buat oleh virus. Untuk mempercepat proses penghapusan salin script dibawah ini pada program notepad kemudian simpan dengan nama “repair.vbs” kemudian jalankan file tersebut (klik 2x file repair.vbs)
------- awal script -------
Dim oWSH: Set oWSH = CreateObject("WScript.Shell")
on error resume Next
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command\","""%1"" /S"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\loader")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\loader")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSaveSettings")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Nofind")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title")
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\FriendlyTypeName","C:\Windows\System32\setupapi.dll,-2000"
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VIGen32.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VSafeRun.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMD.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dxdiag.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Notepad.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProMo.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit32.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VB6.EXE\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2HIJACKFREE.EXE\")
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir","C:\Program Files"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\Info Tip","prop:FIleDescription;Company;FileVersion;Create;Size"
oWSH.RegDelete("HKEY_CLASSES_ROOT\sysfile")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\sysfile")
oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Desktop\CursorBlinkRate","530"
------- akhir script -------
-
Hapus file duplikat yang dibuat oleh VBTroj.NYH termasuk ke media Flash Disk. Untuk mempercepat proses mencarian sebaiknya gunakan fungsi “Search windows”. Jangan sampai terjadi kesalahan dalam penghapusan file duplikat tersebut, hapus file yang mempunyai ciri-ciri:
-
Menggunakan icon folder
-
Ukuran 108 KB
-
Type File “Application”
-
Ekstensi EXE
-
Untuk Pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus Norman Virus Control yang sudah dapat mendeteksi dan membasmi virus ini. Jika anda menggunakan antivirus lain, silahkan gunakan removal tools Noman Malware Cleaner (Gratis).
Silahkan download antivirus Norman Virus Control trial di alamat berikut :
http://www.norman.com/Download/Trial_versions/
Silahkan download removal tools Norman Virus Control di alamat berikut :
http://download.norman.no/public/Norman_Malware_Cleaner.exe
Cara Membasmi Virus W32/Sasan.A 19 Feb 2009 2:47 AM (16 years ago)
Virus “JeNGKol”
Bagaimana menghilangkan bau habis makan Pete ? Seperti anda ketahui, jika makan pete di ibaratkan merokok, maka yang menjadi korban paling parah adalah “perokok pasif” alias yang tidak makan pete tetapi dapat baunya saja. Ada lagi saran yang tidak kalah “maut” nya, kalau mau menghilangkan bau pete...... caranya ?
Makan Jengkol :P. Ini ibarat mengusir pak Ogah pakai jasa preman. Sebenarnya ada cara yang efektif untuk menghilangkan bau pete, benar manjur dan bukan pakai jengkol atau parfum CK. Caranya adalah menkonsumsi tablet vitamin B Kompleks. :) (Trims untuk JSer atas informasinya).
Tetapi vitamin B Kompleks hanya bermanfaat untuk menghadapi masalah yang timbul karena Jengkol / Pete beneran, kalau JeNGKol yang satu ini harus di hilangkan pakai Norman Security Suite.
Setelah sebelumnya digencarkan oleh virus arp spoofing dan virus Anjelina Jolie (Agent.GPKB) dengan dampak yang cukup besar khususnya untuk kalangan corporate .
Sampai saat ini kemunculan virus lokal masih terus berlanjut seperti tak mau surut di makan waktu selama masih ada komputer dan perangkatnya mereka (red.virus marker) tidak akan berhenti berkreasi untuk meluangkan sedikit bahkan banyak waktu untuk membuat program yang bernama virus.
Berikut ciri-ciri jika terinfeksi virus JeNGKol
-
Munculnya file dengan icon JPEG dengan ukuran 14 KB
-
Munculnya nama file JeNGKol.vb di setiap folder dan subfolder dengan ukuran file sekitar 14 KB
-
Komputer akan Logoff jika user menjalankan file yang mempunyai ekstensi .INF [Klik kanan file .inf | Install]
-
Komputer akan Logoff jika user edit file VBS
Target yang akan di incar oleh JeNGKol ini adalah file yang mempunyai ekstensi .DOC yakni dengan menyembunyikan file tersebut, selain itu ia juga akan membuat file duplikat di setiap folder/subfolder sesuai dengan nama file yang ada di folder/subfolder.
Jika komputer sudah terinfeksi, ia akan membuat beberapa file induk berikut:
-
%Drive%:\>JeNGKol.vbs
-
%DRive%:\>Autorun.inf
-
%Allfolder%:\>JeNGKol.vbs
-
C:\Documents and Settings\%user%\Favorites\JeNGKol.vbs
-
C:\Documents and Settings\%user%\Favorites\JeNGKol.lnk
-
C:\Windows\JeNGKol.vbs
Catatan:
%Drive% ini menunjukan Drive Hardisk (c:\ atau d:\)
%Allfolder% ini menunjukan folder/subfolder
%user% ini menunjukan user account yang sedang menggunakan komputer
Agar virus tersebut dapat aktif secara otomatis, ia akan membuat string pada registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
-
JeNGKol = C:\Documents and Settings\%user%\Favorites\JeNGKol.lnk
Untuk mempertahankan diri, JeNGKol akan mencoba untuk memblok beberapa fungsi windows seperti : Run, Folder Options, Regedit, Search dan Task Manager. Untuk blok fungsi windows tersebut JeNGKol akan membuat string pada registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer
- NoFileAssociate
- NOFInd
- NOFolderOptions
- NoRun
- NoDrives
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD
- DisableRegedit
- RunLogonScriptSync
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- NoDriveAutoRun = 03FFFFFF (hex)
- NoDrives
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- DisableTaskMgr
- DisableRegedit
- RunLogonScriptSync
- EnableLUA
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp
- Disabled
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- attrib.exe --> debugger = notepad.exe
- cmd.exe --> debugger = notepad.exe
- Install.exe --> debugger = notepad.exe
- msconfig.exe --> debugger = notepad.exe
- regedit.exe --> debugger = notepad.exe
- regedit32.exe --> debugger = notepad.exe
- setup.exe --> debugger = notepad.exe
- taskMgr.exe --> debugger = notepad.exe
Duplikat File
Virus ini akan mencoba untuk membuat file duplikat disetiap folder / subfolder dengan nama file sesuai dengan nama file yang ada pada folder / subfolder tersebut. Berikut ciri-ciri file duplikat yang akan dibuat oleh JeNGKol. (lihat gambar 5)
-
Icon JPEG
-
Ukuran 14 KB
-
Type File “JPEG Image”
Selain itu virus ini akan mencoba untuk menyembunyikan file yang mempunyai ekstensi DOC, untuk mengelabui use ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan dengan ciri-ciri:
-
Icon JPEG
-
Ukuran 14 KB
-
Type File “JPEG Image”
Windows File Protection
JeNGKol juga akan selalu memunculkan pesan “Windows File Protection” setiap saat seolah-olah Windows error atau terdapat file System Windows yang dihapus, sehingga user akan mengira bahwa komputer mengalami kerusakan.Media Penyebaran
Untuk menyebarkan dirinya, JeNGKol masih menggunakan Flash Disk / Disket dengan membuat file JeNGKol.vbs disetiap folder dan subfolder serta membuat file duplikat disetiap folder / subfolder sesuai dengan nama file yang ada di foldeer/subfolder tersebut.
Agar file ini dapat aktif secara otomatis tanpa bantuan manusia, JeNGKol akan memanfaatkan celah autoplay / autorun dari system operasi Windows dengan membuat file autorun.inf (lihat gambar 8). Script yang ada pada file ini akan menjalankan file dengan nama JeNGKol.vbs secara otomatis setiap kali flash disk dicolokkan ke komputer.
Cara membersihkan JeNGKol :
-
Putuskan komputer yang akan dibersihkan dari jaringan (LAN)
-
Nonaktifkan "System Restore" selama proses pembersihan (Windows XP)
-
Matikan proses virus. Untuk mematikan proses virus ini dapat menggunakan tools pengganti task manager seprti "Process explorer".
Silahkan downlod tools tersebut di alamat berikut:
http://download.sysinternals.com/Files/ProcessExplorer.zip-
Hapus registri yang dibuat oleh virus. Untuk mempermudah proses penghapusan silahkan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.vbs, kemudiai Jalankan file tersebut (klik 2x)
Dim oWSH: Set oWSH = CreateObject("WScript.Shell")
on error resume Next
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Edit\Command\","C:\Windows\System32\notepad.exe %1"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\DefaultIcon\","C:\Windows\System32\WScript.exe,2"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command\","C:\windows\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\RunLogonScriptSync")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\HideLegacyLogonScripts")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\HideLogoffScripts")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\HideStartupScripts")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\RunStartupScriptSync")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run\JeNGKoL")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\NeverShowExt")
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\","VBScript Script File"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\FriendlyTypeName","VBScript Script File"
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\RunLogonScriptSync")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NOFind")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NORun")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\command.com\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe\debugger")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe\debugger")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer\DisallowRun\")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer\Run\")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\")
-
Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri:
-
Menggunakan icon JPEG atau VBS
-
ukuran 14 KB
-
Type file JPEG Image atau VbScript Script File
-
Setelah menu Search muncul kemudian cari file duplikat virus. Untuk mempermudah dalam mencari file duplikat virus lakukan setting berikut pada layar Search Results
-
All or part of the file name = *.vbs
-
Looks in = lokasi drive (C:\ atau D:\)
-
What size is it = Specify size (in KB)
-
At Most
-
15
-
Seteah semua file duplikat virus berhasil ditemukan hapus file yang mempunyai ciri-ciri seperti di atas.
-
Untuk pembersihan optimal dan mencegah infeksi ulang, lindungi komputer anda dengan Norman Security Suite yang sudah dapat mendeteksi dan membasmi virus ini.
Cara Membasmi Virus W32/VBWorm.QTT aka Koplaxz 19 Feb 2009 2:36 AM (16 years ago)
Mengacaukan Icon dan type file MS Office
Para pengguna komputer Indonesia, khususnya yang memiliki banyak file MS Office, harap berhati-hati karena saat ini sedang menyebar virus lokal dengan target file MS Office dengan cara mengganti icon file dan type file. Virus ini cukup merepotkan (setidaknya menyebabkan jantung anda dag dig dug) tetapi kabar baiknya pembuat virus ini tidak sejahat KEspo sehingga tidak menginjeksi atau menghancurkan file MS Office komputer korbannya.
Ciri-ciri Koplaxz
-
Merubah icon Windows dari icon “folder” menjadi icon “Control Panel “ serta merubah isi dari folder Windows tersebut menjadi isi yang ada pada menu “Control Panel”, perhatikan gambar 3 di bawah ini:
- Merubah Type File serta icon shortcut aplikasi MS.Office
- Merubah nama pemilik komputer menjadi KUDO_SHOP
- Merubah “start page” dan “search page” Internet Explorer
-
Menampilkan pesan berikut saat menjalankan fungsi Windows
2. Uncheck opsi Hide file extentions for known file types akan menampilkan pesan AduH,,,Lo jangan sok Tau dwEEh,,Luwh_Tuwh SombOng bGtz DasAr KopLaXz kurang KerJaan!!!!
3. Uncheck opsi Hide protected operating system file (recommended) akan menampilkan pesan Hayooooo,,,Mo Ngapain Sih Loo ??? Ga Sopan Tau ,,Dasar KOPLAXZ !!!!biLangiN KeManAjer KUDO nIh Luwh_Tuwh SombOng bGtz PeCat Aja Si_JonGoz!!!!
File induk Koplaxz
Pada saat file tersebut dijalankan ia akan membuat banyak file yang salah satunya akan dijalankan pada saat komputer di aktifkan, berikut beberapa file induk yang akan dibuat oleh Koplaxz:
-
C:\Documents and Settings\%user%\Start Menu\Programs\Startup
-
Winhelp.exe
-
-
C:\Documents and Settings\%user%\Start Menu\Programs
-
Hellloo_Gheea.exe
-
-
C:\Documents and Settings\%user%\My Documents
-
Jangan_Dihapus_Apalagi_Dibuka.exe
-
-
C:\Documents and Settings\%user%\Start Menu
-
Koplaxz Kudo Shop.exe
-
-
C:\Documents and Settings\%user%\Start Menu\Programs
-
Hellloo_Gheea..exe
-
-
C:\Windows
-
TourWindowsXP.exe
-
svchost.exe
-
Kudo.com
-
command32.pif
-
KopLaXz@KudoShop.exe
-
-
C:\F4HM1_KudO_M4n4j3r.exe
-
C:\G0d3G.exe
-
C:\Ghe@_i_miss_u.3gp.exe (All Drive)
-
C:\K0pL4xZ.exe
-
c:\K 0 P L 4 X Z.exe
-
C:\KopLaXz@KudoShoP.exe (All Drive)
-
C:\R0n13G4N_G3Ndut_S3xY.exe
-
C:\R3eve5.exe
-
C:\K0pL4xZ@KudoShop (All Drive)
-
folder.htt
-
msvbvm60.dll
-
K0pL4xZ.exe
-
-
C:\K0pl4xZ@KudoShop\K0pL4xZ.exe
-
C:\[spasi] WINDOWS\System_FriendZ_KopLaXz32
-
F4HM1_KudO_M4n4j3r.exe
-
G0d3G.exe
-
K 0 P L 4 X Z.exe
-
R0n13G4N_G3Ndut_S3xY
-
R3eve5.exe
-
-
C:\ [spasi] Windows\Zx4Lp0K.html
-
c:\WIndows\system32\smkn2majalengka.scr
-
C:\Windows\system32\PCMAV.exe
-
C:\Windows\system32\Asholest.exe
-
C:\Documents and Settings\%user%\SendTo\KoPLaXzKudo(e-mail).exe
-
C:\Autorun.inf (semua Drive)
-
C:\Desktop.ini (semua Drive)
-
C:\A Letter 4 Ghe@.txt (semua Drive)
-
C:\K0pL4xZ@kUdO_5h0P.txt
-
C:\Documents and Settings\All Users\Desktop\A Letter 4 Ghe@.inf
-
C:\WIndows\desktop.ini (file untuk merubah icon windows menjadi icon control panel)
Autostart Registry
Untuk memastikan agar dirinya dapat aktif secara otomatis setiap kali komputer dinyalakan ia akan membuat string pada registrt berikut:
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-
System = C:\WINDOWS\System32\PCMAV.exe
-
Disable Fungsi Windows
Seperti yang banyak dilakukan oleh virus lokal lainnya, K0pL4xZ juga akan mencoba untuk melakukan blok fungsi windows seperti Regedit/msconfig/task manager/system restore atau Folder Option serta tools security sebagai bentuk pertahanan dirinya. Untuk blok fungsi Windows tersebut ia akan membuat string pada registry berikut:
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-
NoFolderOptions = 1
-
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-
DisableCMD
-
DisableRegistryTools
-
DisableTaskMgr
-
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
-
HIdden = 1
-
HideFileExt = 1
-
SuperHidden = 0
-
ShowSuperHidden = 1
-
-
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
-
DisableCMD = 2
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
-
DisableRegistryTools
-
DisableTaskMgr
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
-
DisableConfig
-
DisableSR
-
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
-
NoDeletingComponents = 1
-
NoEditingComponents = 1
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
-
UncheckedValue = 1
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
-
UncheckedValue = 0
-
K0pL4xZ juga akan mencoba untuk merubah pesan jika user mencoba untuk menjalankan fungsi Search Windows atau uncheck opsi “Hide file extentions for known file types” dan “Hide protected operating system file (recommended)”, lihat gambar 8, 9 dan 10 di atas.
Untuk melakukan hal tersebut ia akan merubah string pada registry berikut:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
-
UncheckedValue = 1
-
WarningIfNotDefault = AduH,,,Lo jangan sok Tau dwEEh,,Luwh_Tuwh SombOng bGtz DasAr KopLaXz kurang KerJaan!!!!
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
-
UncheckedValue = 0
-
WarningIfNotDefault = Hayooooo,,,Mo Ngapain Sih Loo ??? Ga Sopan Tau ,,Dasar KOPLAXZ !!!!biLangiN KeManAjer KUDO nIh Luwh_Tuwh SombOng bGtz PeCat Aja Si_JonGoz!!!!
-
Menguasai Internet Explorer
Untuk menunjukan eksitensinya VBorm.QTT juga akan merubah judul Internet Explorer menjadi “KOPLAXZ_KUDO_SHOP_LUUPH_CLASS_MILD” serta merubah halaman utama setiap kali user membuka program “Internet Explorer” dengan menampilkan pesan dari sang pembuat virus serta merubah “Search Page” dengan terlebih dahulu merubah string pada registry berikut : (lihat gambar 7 di atas)
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Window Title = KOPLAXZ_KUDO_SHOP_LUUPH_CLASS_MILD
- Start Page = C:\ WINDOWS\Zx4Lp0K.htm
- Search Page = http://profiles.friendster.com/kopl4xzcyb3ruch1h4
Menguasai komputer korban
Selain merubah judul “Internet Explorer” K0pL4xZ juga akan merubah nama pemilik Windows menjadi KUDO_SHOP. Untuk melakukan hal tersebut ia membuat string pada registry berikut : (lihat gmbar 6)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- RegisteredOrganization = 4r1_KopLaxZ
- RegisteredOwner = KUDO_SHOP
Pesan dari K0pL4xZ
Ibarat kata pepatah (orang IT) “Cinta di tolak, Virus bertindak”, kelihatannya pembuat virus ini sedang patah hati dan berumur pendek (karena suka merokok), karena tak ketinggalan K0pL4xZ juga akan meninggalkan pesan untuk sang kekasih. Pesan ini akan di simpan dalam sebah file yang di dibuat di Root Drive (c:\ atau D:\) serta di “Flash Disk” dengan nama file “A Letter 4 Ghe@.txt” , “K0pL4xZ@kUdO_5h0P.txt” , “C:\[spasi] Windows\Zx4Lp0K.html”Merubah icon dan type file MS.Office
K0pL4xZ akan membuat file Office seperti MS. Word/Ms.Excel/MS. Power Point/Ms.Access/txt file serta EXE File manjadi kacau dengan merubah icon serta type file walaupun sebenarnya file tersebut masih bisa di buka. (lihat gambar 4 dan 5 di atas)
Untuk melakukan hal tersebut, K0pL4xZ akan merubah beberapa string pada registry berikut:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile
-
FriendlyTypeName = Catatan_KopLaxZ
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Word.Document.8
-
[default] = Application
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Word.Document.8\DefaultIcon
-
[default] = C:\WINDOWS\system32\cmd.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PowerPoint.Show.8
-
default = KopLaXz@KudoShop
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PowerPoint.Show.8\DefaultIcon
-
default = C:\WINDOWS\NOTEPAD.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.8
-
Default = KopLaXz@KudoShop
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.8\DefaultIcon
-
Default = C:\WINDOWS\regedit.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Access.Application.11
-
Default = KopLaXz@KudoShop
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Access.Application.11\DefaultIcon
-
C:\WINDOWS\KopLaXz@KudoShoP.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
-
FriendlyTypeName = 3GP File
-
Media Penyebaran (Flash Disk) dan memiliki copy backup MSVBVM60.dll
Untuk mempermudah penyebarannya ia akan menggunakan media “Flash Disk” dengan memanfaatkan fitur autorun Windows dengan cara membuat file autorun.inf, Desktop.ini dan Folder.htt sehingga virus ini akan langsung aktif ketika Flash Disk dihubungkan ke komputer atau saat user akses ke Flash Disk.
Jika diperhatikan lebih detail file [autorun.inf] akan menjalankan file KopLaXz@KudoShoP.exe. Sedangkan file [Desktop.ini] akan menjalankan file [Folder.htt] yang ada di direktori [%FlashDisk%:\>K0pL4xZ@KudoShop]. Folder.htt ini akan menjalankan file [%FlashDisk%:\> K0pL4xZ@KudoShop\K0pL4xZ.exe], agar file ini dapat dijalankan tanpa ketergantungan dengan file “msvbvm60.dll” yang ada di direktori [C:\Windows\system32] K0pL4xZ akan copy file msvbvm60.dll ke direktori [%FlashDisk%:\>K0pL4xZ@KudoShop] (lihat gambar 16, 17 dan 18 dibawah ini).
Selain itu K0pL4xZ juga akan membuat file [Ghe@_i_miss_u.3gp.exe] dan meninggalkan sebuah pesan yang dituangkan dalam sebuah file dengan nama [A Letter 4 Ghe@.txt].
Catatan:
%FlashDisk% adalah lokasi Flash Disk, contohnya drive [F:\]
Cara membasmi K0pL4xZ
-
Putuskan komputer yang akan dibersihkan dari jaringan (LAN)
-
Matikan "System Restore" selama proses pembersihan.
-
Matikan proses virus yang aktif di memory. Gunakan tools KillVB untuk mematikan proses di memory.
Silahkan downlod tools tersebut di alamat berikut: (lihat gambar 18)
http://www.compactbyte.com/brontok/killvb.zip
-
Fix registry yang sudah di ubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program “notepad” kemudian simpan dengan nama "Repair.inf". Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Classes\exefile,,,application
HKCU, Software\Microsoft\Internet Explorer\Main, start page,0, "about:blank"
HKCU, Software\Microsoft\Internet Explorer\Main, Search Page,0, "about:blank"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner"
HKLM, SOFTWARE\Classes\txtfile, FriendlyTypeName,0, "@C:\Windows\system32\notepad.exe,-469"
HKLM, SOFTWARE\Classes\Word.Document.8,,,"Microsoft Word Document"
HKLM, SOFTWARE\Classes\Word.Document.8\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe,1"
HKLM, SOFTWARE\Classes\PowerPoint.Show.8,,, "Microsoft PowerPoint Presentation"
HKLM, SOFTWARE\Classes\PowerPoint.Show.8\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\pptico.exe,1"
HKLM, SOFTWARE\Classes\Excel.Sheet.8,,,"Microsoft Excel Worksheet"
HKLM, SOFTWARE\Classes\Excel.Sheet.8\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\xlicons.exe,1"
HKLM, SOFTWARE\Classes\Access.Application.11,,,"Microsoft Office Access Application"
HKLM, SOFTWARE\Classes\Access.Application.11\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\accicons.exe,1"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt, 0x00010001,0
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden, 0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,WarningIfNotDefault,0,"@shell32.dll,-28964"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DIsablecmd
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableTaskMgr
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, System
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
HKCU, Software\Policies\Microsoft\Windows\System, DisableCMD
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, WarningIfNotDefault
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run, cintaku
HKLM, SOFTWARE\Classes\exefile, FriendlyTypeName
-
Hapus file “C:\Windows\desktop.ini” (file yang berfungsi untuk merubah icon Windows menjadi icon Control Panel). Gunakan dos prompt untuk menghapus file tersebut.
-
Cari dan hapus file induk virus di Hard Disk dan Flash Disk dengan terlebih dahulu menampilkan file yang tersembunyi. Untuk mempcepan pencarian gunakan fungsi “Search Windows”.
Kemudian hapus file induk virus yang mempunyai ciri-ciri:
-
Icon "Windows Media Player" clasic / 3GP Video Format
-
Ukuran 31 KB
-
Ekstensi EXE, PIF, COM dan SCR
-
Type file "Application"
Hapus juga file berikut
-
C:\Autorun.inf (setiap root drive: c:\ atau D:\)
-
C:\Desktop.ini (setiap root drive: c:\ atau D:\)
-
c:\A Letter 4 Ghe@.txt (setiap root drive: c:\ atau D:\)
-
C:\K0pL4xZ@kUdO_5h0P.txt (setiap root drive: c:\ atau D:\)
-
C:\K0pL4xZ@KudoShop (disetiap root drive dan Flash Disk)
-
C:\Documents and Settings\All Users\Desktop\A Letter 4 Ghe@.inf
-
C:\[spasi] WINDOWS
-
C:\[spasi] WIndows\Zx4Lp0K.html
-
Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan menggunakan Antivirus yang up-to-date seperti Norman Security Suite.
Jika anda ingin mencoba Norman Security Suite, silahkan download di url
http://www.norman.com/Download/Trial_versions/
Cara Membasmi Virus Trojan:Dloader.ERQB (Hopeless) 19 Feb 2009 2:28 AM (16 years ago)
Trojan:Dloader.ERQB
Jika anda pengguna komputer dan kebetulan “kepingin” menjadi hacker, harap berhati-hati jika menemui folder (palsu) dengan nama “Credit Card”, “Hack” dan “XXX” dan jangan sekali-kali dijalankan karena komputer anda akan menjadi “tanpa harapan” karena terinfeksi virus Hopeless 2008.
Jika penyebaran virus/trojan mancanegara sudah mencapai tingkat krusial, maka lain lagi dengan virus lokal. Tidak mau kalah, melanjutkan rekan-rekannya sesama virus lokal maka telah menyebar jenis virus “Hopeless” part II. Virus Hopeless sebenar-nya telah muncul pada akhir tahun 2007 lalu, dan kali ini melanjutkan pendahulunya yang kembali muncul pada akhir tahun 2008 ini.
Karakteristik Virus
Berbeda dengan pendahulunya, virus ini dibuat dengan script bahasa BASIC menggunakan software Autoit versi 3 yang kemudian di kompress dengan program UPX. Dengan program UPX, virus dapat di kompress sehingga ukurannya tidak terlalu besar dan dapat memudahkan dalam penyebaran. Tujuan mengkompres ukuran ini adalah karena makin kecil ukuran file suatu virus, akan makin mudah di sebarkan. Setelah di kompress dengan UPX, virus memiliki ciri-ciri sebagai berikut :
-
Menggunakan icon folder
-
Ukuran file 247 kb
-
Extension file *.exe
-
Type file “Application”
Jika sudah terinfeksi virus “Hopeless”, maka virus akan menimbulkan gejala berikut : (lihat gambar 4)
-
Blok beberapa fungsi windows seperti Task Manager, Command Prompt dan Registry Editor.
-
Menghilangkan fungsi windows seperti Run, Find, Folder Options dan Log Off
- Membuka jendela IE tambahan (jika kita membuka jendela IE) dengan link URL http://wewe.helo_iam_hopeles_.com
-
Duplikasi file virus pada seluruh drive dan folder (baik root maupun sub folder)
File virus dan penyebarannya
Jika virus “Hopeless” berhasil menginfeksi, maka virus akan membuat file virus diantaranya :
-
C:\WINDOWS\system32\find..exe
-
C:\WINDOWS\system32\spool\idle.exe
-
Credit Card.exe (Pada root drive lain seperti D:, E:, ataupun pada flashdisk)
-
Hack.exe (Pada root drive lain seperti D:, E:, ataupun pada flashdisk)
-
XXX ((Pada root drive lain seperti D:, E:, ataupun pada flashdisk)
-
Duplikasi file virus pada seluruh folder dan sub folder
Manipulasi Registry Windows
Agar dapat aktif saat komputer dijalankan, virus akan membuat string registry sebagai berikut :
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Repair = C:\WINDOWS\system32\spool\Idle.exe
Untuk menghilangkan beberapa fungsi windows, virus membuat string berikut :
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer
NoFind = 1
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer
NoFolderOptions = 1
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer
NoRun = 1
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer
StartMenuLogoff = 1
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\Explorer
NoFolderOptions = 1
Untuk melakukan blok beberapa fungsi windows, virus membuat string berikut :
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System
DisableRegistryTools = 1
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System
DisableTaskMgr = 1
Cara pembersihan virus Dloader.ERQB
-
Putuskan hubungan komputer yang akan dibersihkan dari jaringan.
-
Sebaiknya lakukan pembersihan pada mode safe mode.
-
Matikan proses virus, gunakan tools pengganti task manager, seperti Itty Bitty Process Manager :
Lakukan kill process, pada file virus yang aktif yaitu :
-
C:\WINDOWS\system32\spool\idle.exe
-
Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, StartMenuLogoff
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Repair
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Repair
Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
-
Hapuskan file induk serta file duplikat yang telah dibuat oleh virus “Hopeless”, dimana file tsb mempunyai ciri-ciri sebagai berikut :
-
Ukuran file 247 kb
-
Icon file folder
-
Extension file *.exe
-
Type file “Application”
-
Catatan : untuk mempermudah penghapusan dapat menggunakan fasilitas [search]
-
Untuk pembersihan yang optimal dan mencegah infeksi ulang, gunakan antivirus yang sudah dapat mengenali virus dengan baik.
Cara Membasmi Virus FreE_MiNe 19 Feb 2009 2:23 AM (16 years ago)
Virus Lokal yang memiliki backup msvbvm60.dll
Pertempuran pembuat virus dengan antivirus ini ibarat Tom and Jerry, setiap kali pembuat virus mengeluarkan satu varian baru, pembuat antivirus mengeluarkan cara membasmi virus tersebut dan cara mencegahnya dan sebaliknya setiap kali pembuat antivirus mengeluarkan cara untuk menghambat penyebaran virus, pembuat virus selalu menemukan cara lain untuk menyebarkannya. Hal ini juga terjadi pada penyebaran virus lokal yang karena mayoritas dibuat menggunakan Visual Basic (VB), maka banyak pengguna komputer yang menonaktifkan MSVBVM60.dll yang merupakan file yang dibutuhkan oleh semua program VB (termasuk virus) untuk dapat aktif di komputer. Tetapi lihat virus yang satu ini, sekalipun anda sudah mendhapus MSVBVM60.dll dari komputer anda dan secara teori virus VB tidak akan mampu menginfeksi komputer anda, virus ini memiliki backup MSVBVM60.dll yang ditempatkan di direktori lain sehingga tetap dapat menginfeksi komputer anda.
FreE_MiNe ini dibuat dengan menggunakan program bahasa Visual Basic tanpa di kompresi dengan ukuran 68 KB, file ini mempunyai ekstensi EXE dengan type file “Application”.
Jika file tersebut dijalankan, ia akan membuat file induk dibawah ini yang akan dijalankan secara otomatis setiap kali komputer di nyalakan/restart:
- C:\FreE_MiNe.exe (semua drive)
- C:\WINDOWS\system32\LoLOxz
o smss.exe
o msvbvm60.dll
File msvbvm60.dll yang dijalankan dari direktori C:\Windows\System32\LoLOxz\ di atas dimaksudkan sebagai backup untuk mengantisipasi kalau komputer korbannya memblok MSVBVM60.dll (MSVBVM60 = Microsoft Visual Basic Virtual Machine versi 6.0) yang merupakan syarat mutlak untuk menjalankan aplikasi Visual Basic di OS Microsoft (termasuk virus). Jadi sekalipun komputer korban berusaha mencegah infeksi virus VB dengan memblok msvbvm60.dll dari direktori C:\Windows\System32, virus ini tetap akan bisa aktif karena memiliki backup msvbvm60.dll.
Untuk memastikan agar file virus dijalankakn secara otomatis, FreE_MiNe akan membuat string pada registry berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- shell = explorer.exe C:\WINDOWS\system32\LoLOxz\smss.exe
- system = C:\WINDOWS\system32\LoLOxz\smss.exe
- userinit = userinit,C:\WINDOWS\system32\LoLOxz\smss.exe
Untuk mengelabui user, pada waktu yang telah ditentukan FreE_MiNe ini akan menghapus string C:\WINDOWS\system32\LoLOxz\smss.exe untuk kemudian akan membuatnya lagi sehingga user beranggapan bahwa virus ini tidak akan membuat string pada registry tersebut.
Untuk memperlancar aksinya, FreE_MiNe juga akan mencoba blok beberapa fungsi Windows tetapi virus ini hanya akan blok fungsi “Find/Search dan CMD serta Folder Option” saja.
Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:
HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced
- HideFileExt
- ShowSuperHidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFind = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD =1
Walaupun virus ini tidak akan aktif pada mode “safe mode with command prompt” tetapi virus ini akan mencoba untuk blok akses ke mode tersebut dengan cara blok file “cmd.exe”.
Pesan dari sang pembuat virus
Pembuat virus juga akan meninggalkan pesan yang di simpan pada body virus tersebut, berikut pesan yang akan disampailan oleh sang VM
FreE_MiNe From Picture Village
Pesan dari Dunia lain
Sunyinya malam yang kian larut
Bagaikan awan putih dilangit
Menambah sesak dadaku yang menahan nafas
Nafas rindu, nafas Cinta dan nafas sepi
Tiap waktu dan tiap saat tak pernah berhenti
Seperti juga darahku yang selalu
Setia pada tubuh
Seperti juga keinginanku
yang semakin ingin ku jangkau
tetapi semua itu NIHIL
Picture Worms Vill
Messange me,, Attention Please ..
Ne Buat temen
temen New Bie TI
Tenang Ulet Ne ga berbahaya buat your PC.
Yang Penting lo ga Macem
Kalo lo mow kasar ntar q juga bisa..wee
Membuat duplikat File dan menyembunyikan MS.Word
Sebagai tujuan akhir dari petualangannya, ia akan membuat duplikat file di setiap folder/subfolder yang terdapat file MS.Word dengan ukuran file sekitar 68 KB dengan ekstensi EXE sesuai dengan nama file asli dan untuk mengelabui user ia akan menyamarkan type file dari “application” menjadi “Microsoft Word Document” sehingga user beranggapan bahwa file tersebut adalah file asli. Jika file tersebut dijalankan maka secara otomatis akan mengaktifkan dirinya sedangkan isi dari file asli tersebut tidak akan dapat di buka. Lalu kemana file aslinya apakah dihapus? Kelihatannya pembuat virus ini memang tidak beritikad merusak / menghancurkan file komputer korbannya, jadi file asli kita tidak dihapus tetapi disembunyikan di folder yang sama.
Untuk merubah type dari file duplikat tersebut ia akan merubah string pada registry berikut : (lihat gambar 3)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
Selain itu ia juga akan merubah string infotip dan tileinfo dari file exe pada registry berikut :
HKEY_CLASSES_ROOT\exefile
- infotip = prop:FileDescription;Size
- TileInfo = prop:FileDescription;Size
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
- infotip = prop:FileDescription;Size
Agar ia dapat aktif secara otomatis pada saat user mengakses Drive atau Flash Disk, FreE_MiNe akan memanfaatkan fitur autorun Windows dengan membuat file autorun.inf di setiap root drive seperti drive C:\ atau D:\ serta pada Flash Disk. File autorun.inf ini berisi script untuk menjalankan file FreE_Mine.exe.
FreE_MiNe juga akan menambahkan script @echo off pada file C:\autoexec.bat dengan tujuan supaya komputer tidak menampilkan pesan pada layar.
Media Penyebaran
Untuk menyebarkan dirinya FreE_MiNe memanfaatkan media Flash Disk dengan membuat file berikut:
- Autorun.inf (berisi script untuk menjalankan file FreE_MiNe.exe) secara otomatis saat user akses Flash Disk.
- FreE_MiNe.exe
Selain itu ia juga akan menyembunyikan file MS.Word disetiap folder/subfolder dan untuk mengelabui user ia akan membuat duplikat disetiap folder/subfolder yang terdapat file MS.Word sesuai dengan nama file yang disembunyikan.
Bagaimana cara membasmi FreE_MiNe
- Nonaktifkan “System Restore” selama proses pembersihan
- Matikan proses virus yang aktif di memori. Gunakan tools “Security task Manager” untuk mematikan proses virus tersebut. Matikan proses virus yang mempunyai icon MS.Word dengan cara : (lihat gambar 8 dan 9)
- Pilih proses virus yang akan di matikan
- Klik kanan pada proses tersebut
- Pilih “Remove”
- Pada layar “Remove”, pilih opsi “Move file to quarantine” agar file langsung di hapus.
- Klik tombol “Ok”
Security Task Manager dapat di download dari :
http://www.neuber.com/taskmanager/download.html
- Fix registry yang sudah diubah atau dibuat oleh virus. Untuk mempercepat proses perbaikan registry ini salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, userinit,0, "userinit.exe,"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, system,0, ""
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x00010001,255
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x00010001,255
HKLM, SOFTWARE\Classes\exefile,,,"Application"
HKLM, SOFTWARE\Classes\exefile,InfoTip,0,"prop:FileDescription;Company;FileVersion;Create;Size"
HKLM, SOFTWARE\Classes\exefile,TileInfo,0,"prop:FileDescription;Company;FileVersion;Create;Size"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD
kemudian cari dan hapus file yang mempunyai ciri-ciri :
- Icon MS.Word
- Ukuran 68 KB
- Type File “Application”
Anda juga dapat menggunakan Norman Malware Cleaner untuk membasmi virus Freemine di komputer anda yang dapat di download secara gratis dari http://download.norman.no/public/Norman_Malware_Cleaner.exe
- Hapus juga file “Autorun.inf” disemua drive dan file C:\msvbvm60.dll”
- Hapus script @echo off pada file C:\Autoexec.bat, caranya:
- Klik kanan file C:\Autoexec.bat
- Klik menu “Edit”
- Hapus script @echo Off
- Klik menu “File”
- Klik “save”
Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya install antivirus yang up-to-date dan dapat mendeteksi dan mengenali virus ini.
Cara Membasmi Virus VBS/Autorun.AO (huhuhaha) 19 Feb 2009 2:17 AM (16 years ago)
Virus lokal yang menyulap Windows Vista anda serentan Windows XP
Siapa bilang Windows Vista aman dari virus. Pada saat peluncurannya boleh-boleh Windows Vista di klaim aman dari virus. Tetapi waktu membuktikan bahwa buatan manusia tidak ada yang sempurna dan hanya tinggal tunggu waktu saja sampai satu OS berhasil di eksplorasi dan ditemukan cara untuk mengeksploitasinya. Hal ini terbukti dari virus Huhuhaha yang saat ini sedang marak menyebar di Indonesia yang mepumpuhkan UAC (User Account Control) Windows vista yang digunakan untuk mencegah program tidak diinginkan berjalan secara otomatis tanpa persetujuan pengguna komputer.
Belum lepas terkejutnya pengguna komputer akan ancaman virus Hopeless, serta makin mengganasnya ancaman virus mancanegara W32/Conficker (alias W32/Downadup, alias W32/Kido) yang sejak awal hingga pertengahan januari ini sudah memakan korban hingga “9 Juta” pengguna komputer dunia. Kini dilanjutkan kembali oleh pembuat virus lokal dengan semakin merebaknya virus VBS yang memakan korban pengguna USB (Flash maupun Drive) pada Instansi Pemerintah, BUMN, Perusahaan Swasta, Instansi Pendidikan serta warnet-warnet di Indonesia.
Ciri File Virus
Virus Huhuhaha dibuat dengan menggunakan bahasa pemrograman VBScript. File virus berukuran 6 kb, dan agar dapat menyebar secara otomatis ia akan membuat file pendamping yaitu “autorun.inf” yang berisi script untuk menjalankan file virus.
Jika virus berhasil menginfeksi, ia akan membuat beberapa file virus diantaranya :
-
autorun.inf (pada semua root drive)
-
huhuhaha.vbs (pada semua root drive)
-
C:\WINDOWS\system32\XpWin.vbs
Gejala/Efek Virus
Jika sudah terinfeksi virus huhuhaha, akan menimbulkan gejala/efek berikut :
Memunculkan text virus pada menu “Run”.-
Menonaktifkan system restore. Hal ini dilakukan agar user tidak dapat mengembalikan setingan system windows kembali seperti sebelum terinfeksi virus ini.
-
Menambah header text virus pada Internet Explorer.
-
Disable fungsi UAC (User Account Control) Windows Vista. UAC adalah fitur pada Windows Vista yang diklaim Microsoft membuat Vista lebih aman daripada Windows XP. Bedanya adalah satu pop up Windows yang menghalangi program (baik program virus atau bukan) dijalankan secara otomatis dan pengguna komputer tetap bisa menyetujui atau menolak program tersebut untuk dijalankan. Dalam banyak kasus serangan virus, pengguna Vista yang terganggu dengan peringatan UAC yang berulang-ulang (karena virus yang terus menerus berusaha menginfeksikan dirinya pada sistem) akan cenderung mengabaikan peringatan UAC dan mengijinkan program untuk dijalankan. Dalam kasus virus Huhuhaha ini, UAC sudah dianggap mengganggu oleh pembuat virus lokal sehingga perlu di nonaktifkan guna memuluskan penyebarannya. Hal ini kembali membuktikan bahwa pada prinsipnya tidak ada OS yang aman dari serangan virus. Pertanyaannya bukanlah “OS apa yang aman dari serangan virus ? ” tetapi “Apakah pembuat virus ingin menyerang OS tersebut atau tidak ?”. (lihat gambar 5)
- Merubah nama registrasi computer dengan text virus.
- Menonaktifkan fungsi “safe mode” dan membuat “blue screen” windows. Saat user berusaha masuk melalui fitur safe mode, maka akan muncul blue screen.
-
Mematikan fungsi Security Center Windows. Fitur ini digunakan untuk memastikan kondisi komputer dari 3 aspek keamanan yaitu Automatic Updates, Firewall dan Software Antivirus.
Metode Penyebaran
Sama seperti virus lokal lainnya, virus huhuhaha masih menggunakan media USB (flash/drive) sebagai penyebarannya. Virus akan membuat file “autorun.inf” dan “huhuhaha.vbs” pada setiap usb (flash/drive) yang ditancapkan/dicolokkan pada komputer yang terinfeksi. Kedua file tersebut akan aktif secara otomatis dengan hanya mengkases usb (drive/flash) tersebut.
Modifikasi Registry
Agar dapat aktif saat komputer dijalankan, virus membuat string berikut :
-
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run
Ageia = C:\WINDOWS\system32\XpWin.vbs
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Systemdir = C:\WINDOWS\huhuhaha.vbs
Agar dapat muncul pada menu Run, virus membuat string berikut :
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunMRU
a = huhuhaha
Walau tidak men-disable fungsi windows seperti task manager, folder options, regedit, dll, virus men-disable system restore dengan membuat string berikut :
-
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\SystemRestore
DisableSR = 1
Serta men-disable fungsi UAC (User Account Control) dengan membuat string berikut :
-
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System
EnableLUA = 0x00000000
Selain itu, virus menambah caption text pada Internet Explorer dengan membuat string berikut :
-
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Window Title = huhuhaha
Kemudian, virus juga merubah registrasi komputerdengan membuat string berikut :
-
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion
RegisteredOrganization = huhuhaha
RegisteredOwner = huhuhaha
Agar dapat muncul text virus saat login windows, virus membuat string berikut :
-
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion
LegalNoticeCaption = huhuhaha virus
LegalNoticeText = huhuhaha
Untuk men-disable fungsi safe mode, virus men-“delete” string berikut :
-
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell
-
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell
-
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell
-
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell
Serta men-“delete” key berikut :
-
HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\SafeBoot\Minimal
-
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
Terakhir, virus berusaha mematikan fungsi Security Center dengan membuat string berikut :
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntivirusDisableNotify = 1
FirewallDisableNotify = 1
UpdatesDisableNotify = 1
Pembersihan Virus
-
Putuskan komputer yang akan dibersihkan dari jaringan/internet.
-
Matikan proses virus yang aktif pada memori. Gunakan Windows Task Manager untuk mematikan proses virus, yaitu dengan nama “wscript.exe”. (wscript.exe merupakan file windows yang digunakan untuk menjalankan file vbscript)
-
Hapus file virus berikut :
-
autorun.inf (pada semua root drive)
-
huhuhaha.vbs (pada semua root drive)
-
C:\WINDOWS\system32\XpWin.vbs
Catatan
-
Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus. (virus memiliki atribut file Hidden, Archive, System, dan Read-Only)
-
Untuk mempermudah proses pencarian sebaiknya gunakan fasilitas "Search” Windows dengan filter file autorun.inf dan *.vbs yang mempunyai ukuran 6 KB.
-
Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini :
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[UnhookRegKey]
HKLM, SOFTWARE\Microsoft\Security Center, AntiVirusDisableNotify, 0x00000000,0
HKLM, SOFTWARE\Microsoft\Security Center, FirewallDisableNotify, 0x00000000,0
HKLM, SOFTWARE\Microsoft\Security Center, UpdatesDisableNotify, 0x00000000,0
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization, 0, "Organization"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner, 0, "Owner"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore, DisableSR, 0x00000000,0
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell, 0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell, 0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell, 0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell, 0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}, (default), "Universal Serial Bus controller"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}, (default), "CD-ROM Drive"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}, (default), "DiskDrive"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}, (default), "Standar floppy disk controller"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}, (default), "Hdc"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}, (default), "Keyboard"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}, (default), "Mouse"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}, (default), "PCMCIA Adapters"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}, (default), "SCSIAdapters"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}, (default), "System"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}, (default), "Floppy disk drive"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}, (default), "Volume"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}, (default), "Human Interfaces Devices"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys, (default), "FSFilter System Recovery"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}, (default), "Universal Serial Bus controller"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}, (default), "CD-ROM Drive"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}, (default), "DiskDrive"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}, (default), "Standar floppy disk controller"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}, (default), "Hdc"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}, (default), "Keyboard"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}, (default), "Mouse"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}, (default), "Net"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}, (default), "NetClient"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}, (default), "NetService"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}, (default), "NetTrans"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}, (default), "PCMCIA Adapters"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}, (default), "SCSIAdapters"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}, (default), "System"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}, (default), "Floppy disk drive"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}, (default), "Volume"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}, (default), "Human Interfaces Devices"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys, (default), "FSFilter System Recovery"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC, (default), "Service"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\RunMRU, a
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Ageia
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Systemdir
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system, EnableLUA
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
-
Untuk pembersihan virus huhuhaha secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang terupdate dan mengenali virus ini dengan baik.
Cara Membersihkan Virus W32/Conficker.DV 19 Feb 2009 2:10 AM (16 years ago)
Antara Cina dan Rusia, kita kena virus
Jika anda mengalami satu atau beberapa gejala dibawah ini :
- Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi.
- Komputer mendapatkan pesan error Generic Host Process.
- Komputer tidak bisa mengakses situs-situs tertentu seperti www.microsoft.com, www.symantec.com, www.norman.com, www.clamav.com, www.grisoft.com, www.avast.com dan www.eset.com dengan pesan “Address not Found” tetapi jika situs-situs tersebut di akses dari alamat IPnya akan bisa diakses. Dan situs-situs lain tidak ada gangguan berarti.
- Update definisi antivirus terganggu karena akses ke situs antivirus diblok.
- Banyak aplikasi tidak berfungsi dengan baik. Khususnya aplikasi yang memanfaatkan jaringan dan menggunakan port 1024 s/d port 10.000
Harap berhati-hati, karena anda sudah terinfeksi virus yang sedang mengganas di seluruh dunia. Anda tidak perlu malu karena bukan komputer anda saja yang terinfeksi, tetapi juga komputer departemen pertahanan Perancis dan Inggris sekalipun terinfeksi oleh virus ini. Kalau anda penasaran siapa sebenarnya yang membuat virus ini, Vaksincom tidak memiliki data yang akurat. Tetapi jika dilihat dari beberapa situs yang dan forum-forum antivirus yang pertama kali memuat informasi mengenai infeksi virus ini, maka dapat dikatakan bahwa pembuat virus ini mirip seperti lagu ciptaan Oddie Agam yang dinyanyikan oleh Sheila Madjid …… Antara Cina dan Rusia. :P.
Pada artikel dibawah ini Ad Sap dari Vaksincom memberikan uraian tentang aksi virus ini dan bagaimana cara membasminya. Tetapi memang virus Conficker ini cukup cerdas dan memiliki kemampuan mengupdate dirinya dan memiliki satu payload spesial yang sangat menyulitkan pembuat antivirus untuk membuat tools membasmi dirinya. Karena itu, jika jaringan komputer di kantor anda terinfeksi virus ini dan meskipun anda sudah banting tulang membersihkan tetapi virus tersebut tetap membandel. Dan anda ingin mendapatkan informasi terkini dari ahlinya untuk membasmi virus ini, silahkan hadiri Seminar Membasmi Conficker yang akan diadakan pada tanggal 28 Januari 2009 di Club Chouse Apartemen Paviliun. Biaya seminar Rp. 125.000,- termasuk makan siang dan coffee break.
Di setiap pergantian tahun, kebanyakan orang berkomitmen dengan harapan, semangat, motivasi dan energi baru, agar memiliki perubahan kehidupan yang lebih baik lagi di tahun yang baru. Bagi sebagian kalangan pengguna komputer, tahun baru terkadang dijadikan sebagai ajang untuk implementasi sistem baru (baik itu upgrade hardware komputer maupun program/software baru).
Tak terkecuali bagi para pembuat virus, tahun baru dijadikan sebagai ajang “unjuk gigi” dan percobaan ide-ide serta metode-metode baru dalam melakukan penyebaran virus. Jika sebelumnya virus lokal “hopeless” mengawali rekan-rekan pembuat virus lokal di tahun baru ini, maka tidak ketinggalan dengan virus mancanegara yang juga ikut mengawali tahun baru dengan varian virus yang lebih canggih. Masih ingat kah anda pada kasus “Generic Host Process” error yang merupakan pertanda dari virus W32/Conficker atau W32/Downadup, http://vaksin.com/2008/1208/conficker/conficker.htm , maka kali ini muncul dengan varian baru virus yang memiliki target serangan Windows XP, Vista, Windows Server (semau versi) dan bahkan Windows 7 versi Beta pun masih rentan atas serangan virus ini.
Ciri File Virus
Virus Conficker.DV memiliki file yang di kompress melalui UPX. File virus berukuran 162 kb. File virus yang masuk bertipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype "dll" (dynamic link library).
File virus yang berusaha masuk akan berada pada lokasi temporary internet :
- %Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\[%nama acak%].[%gif,jpeg,bmp,png%]
- %Documents and Settings\[%user%]\Local Settings\Temporary Internet Files\[%gif,jpeg,bmp,png%]
Jika file virus yang masuk berhasil dijalankan, virus akan mengcopy dirinya pada salah satu lokasi folder berikut :
- %Documents and Settings%\[%user%]\Application Data\[%nama acak%].dll
- %Program Files%\Internet Explorer\[%nama acak%].dll
- %Program Files%\Movie Maker\[%nama acak%].dll
- %WINDOWS%\system32\[%nama acak%].dll
- %WINDOWS%\Temp\[%nama acak%].dll
File "dll" inilah yang aktif dan "mendompleng" file svchost.exe (Windows Server Service) untuk melakukan penyebaran virus kembali.
Virus juga akan mengcopy file “[%nama acak%].tmp” pada folder %WINDOWS%\system32 (contohnya : 01.tmp atau 06.tmp). Setelah menggunakan file tsb, kemudian virus mendelete file tsb.
Gejala / Efek Virus
Jika sudah terinfeksi W32/Conficker.DV, virus akan menimbulkan gejala / efek berikut :
- Jika varian sebelumnya mematikan service “Workstation, Server dan Windows Firewall / Internet Connection Sharing (ICS)”. Maka kali ini virus berusaha untuk mematikan dan men-Disable beberapa service, yaitu : (lihat gambar 2)
· wscsvc : Security Center
· wuauserv : Automatic Updates
· BITS : Background Intellegent Transfer Service
· ERSvc : Error Reporting Service
· WerSvc : Windows Error Reporting Service (Vista, Server 2008)
· WinDefend : Windows Defender (Vista, Server 2008)
- Virus mampu melakukan blok terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string berikut :
Ccert.
sans.
bit9.
windowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
nod32
f'prot
jotti
kaspersky
f'secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus
Hal ini dilakukan tanpa melakukan perubahan pada host file yang ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke website keamanan.
- Virus berusaha melakukan perubahan pada system Windows Vista / Server 2008 dengan menggunakan perintah :
“netsh interface tcp set global autotuning=disabled”
Dengan perintah ini, maka windows auto tuning akan di-disable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba akses jaringan. Info selengkapnya pada http://support.microsoft.com/kb/947239
- Virus berusaha mendownload dan mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary internet. Virus melakukan download pada beberapa website berikut :
aaidhe.net
aamkn.cn
abivbwbea.info
aiiflkgcw.cc
alfglesj.info
amcfussyags.net
amzohx.ws
apaix.ws
argvss.info
arolseqnu.ws
asoidakm.cn
atnsoiuf.cc
avweqdcr.cn
axaxmhzndcq.cc
barhkuuu.com
bbuftxpskw.cc
bdykhlnhak.cc
bdzpfiu.biz
bijkyilaugs.cn
bjpmhuk.ws
bmmjbsjidmt.com
bzagbiwes.cc
carse.cn
cauksxf.biz
cfhlglxofyz.biz
cinsns.cc
ciynbjwm.com
cljivsb.biz
cpeadyepcis.biz
cqnxku.ws
ctmchiae.ws
cxjsy.net
czkdu.net
dbffky.cn
dgbdjsb.com
drpifjfxlyl.ws
dtosuhc.org
duahpzq.org
dwrtwgsm.cn
dyjomzyz.com
earuldx.cn
egqoab.net
egxbsppn.cn
ehkvku.cn
elivvks.net
emxmg.info
eobvidij.org
erwojl.org
evqvmwgw.cn
ewioygq.biz
exxkvcz.cc
ffaqk.info
fhlwov.net
fitjg.net
fkhbumne.info
fknacmvowib.cn
fmdsqasqm.net
fmgcjv.cn
fpljpuqp.info
fsrljjeemkr.info
fthil.cc
ftphtsfuv.net
gbgklrka.cc
gbmkghqcqy.net
gbxyu.ws
gezjwr.biz
gjbwolesl.info
glkzckadwu.biz
gmvhjp.ws
gsvrglz.cc
gutvjbektzq.com
gwtqx.cn
hbyzvpeadkb.net
hewdw.ws
hjcxnhtroh.cn
hltowx.com
hqjazhyd.com
hrmirvid.com
hudphigb.org
hvagbqmtxp.info
idvgqlr.ws
ihnvoeprql.biz
iidqkzselpr.com
ijthszjlb.com
iklzskqoz.cn
iqgnqt.org
iqrzamxo.ws
isjjlnv.org
iudqzypn.cn
iyfcmcaj.cn
jayrocykoj.ws
jffhkvhweds.cn
jfxcvnnawk.org
jgrftgunh.org
jguxjs.net
jhanljqti.cc
jhvlfdoiyn.biz
jjhajbfcdmk.net
jkisptknsov.biz
jknxcxyg.net
jlouqrgb.org
jpppffeywn.cc
jradvwa.biz
juqsiucfrmi.net
jvnzbsyhv.org
jxnyyjyo.net
kaonwzkc.info
kdcqtamjhdx.ws
kgeoaxznfms.biz
kihbccvqrz.net
kimonrvh.org
kjsxwpq.ws
kkrxwcjusgu.cn
knqwdcgow.ws
koaqe.cc
kodzhq.org
kqjvmbst.net
kufvkkdtpf.net
kxujboszjnz.ws
lagcrxz.cc
lawwb.com
lbdfwrbz.net
ljizrzxu.cc
lmswntmc.biz
lotvecu.com
lplsebah.cn
lxhmwparzc.ws
lyamwnhh.info
mciuomjrsmn.cn
mdntwxhj.cn
meqyeyggu.cc
mfigu.cn
mimdezm.biz
mkdsine.cn
mmtdsgwfa.net
mouvmlhz.cc
mozsj.biz
mpqzwlsx.ws
msvhmlcmkmh.biz
mtruba.ws
myrmifyuqo.biz
naucgxjtu.ws
ncwjlti.cn
nertthl.net
nnxqqmdl.info
nuxtzd.cn
nxvmztmryie.ws
nybxvgb.net
nzsrgzmhay.net
oadscrk.org
oezepyh.info
ojrswlg.net
olgjkxih.org
omqxqptc.ws
ooudifyw.cn
opkawiqb.cn
oqsfz.ws
orvfkx.cc
otoajxfn.net
oxeeuikd.net
oyezli.com
pfath.info
plsexbnytn.com
poplie.cc
psbdfflh.cn
qfmbqxom.ws
qjvtczqu.com
qpcizvlvio.biz
qslhoks.cn
qtcnfvf.biz
qtsnk.cn
qzktamrsgu.cn
rbhixtifxk.cc
rccoq.net
rgievita.ws
rlrbqpxv.org
rozhtnmoudg.cc
rpsctacalyd.cn
rrmkv.com
rtpuqxp.net
rtztoupc.net
satmxnz.ws
sbtalilx.com
sdjnaeoh.cc
sirkqq.org
sjkkfjcx.biz
sjkxyjqsx.net
stmsoxiguz.net
tdeghkjm.biz
tkhnvhmh.biz
tmdoxfcc.org
torhobdfzit.cc
trdfcxclp.org
tscmbj.net
tuwcuuuj.com
txeixqeh.biz
uazwqaxlpq.info
ubxxtnzdbij.com
ucnfehj.org
uekmqqedtfm.com
uhtmou.ws
uhveiguagm.biz
uoieg.ws
uttcx.net
uyhgoiwswn.cc
uyvtuutxm.cn
vfxifizf.info
vupnwmw.biz
vzqpqlpk.ws
waeqoxlrprp.org
wdrvyudhg.cc
wediscbpi.org
whgtdhqg.net
wkstxvzr.org
wmrgzac.info
wnwqphzao.info
wsajx.com
wskzbakqfvk.org
wtngipaynh.info
wumvjpbbmse.cc
wuzunxevor.info
wwftlwlvm.org
xcncp.info
xeeuat.com
xhazhbir.biz
xjnyfwt.org
xlrqvoqmsxz.info
xqgbn.cn
xwrrxwmo.cc
xxabrkhb.cc
xxmgkcw.cc
xxxxgvtaa.com
xzoycphicpk.com
ybbfrznr.info
ycceqdmm.cc
ydxnochqn.org
ygmwharv.info
ylnytttckyc.com
yuvudlsdop.cc
ywhaunsyez.cc
ywxdggnaaad.org
zindtsqq.ws
zkywmqx.com
zoosmv.info
zqekqyq.cn
zqked.org
zsatn.ws
ztgsd.info
ztioydng.com
zzczpujz.biz
- Virus akan mengecek koneksi internet dan men-download file dengan menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus mengecek pada beberapa wesite berikut :
baidu.com
google.com
yahoo.com
msn.com
ask.com
w3.org
aol.com
cnn.com
ebay.com
msn.com
myspace.com
- Virus akan membuat services dengan karakteristik berikut, agar dapat berjalan otomatis saat start-up windows : (lihat gambar 5)
Service name: "[%nama acak%].dll"
Path to executable: %System32%\svchost.exe -k netsvcs
Serta dengan menggunakan kombinasi dari beberapa string berikut yang muncul pada deskripsi service (biasanya gabungan 2 string semisal “Security Windows”) :
Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows- Virus membuat HTTP Server pada port yang acak :
Http://%ExternalIPAddress%:%PortAcak(1024-10000)%
Virus melakukan koneksi ke beberapa website untuk mendapatkan alamat IP Address external yang sudah diinfeksi :
- http://www.whatsmyipaddress.com
- Virus membuat scheduled task untuk menjalankan file virus yang sudah di copy dengan perintah :
“rundll32.exe .[%ekstensi acak%], [%acak]”
Metode Penyebaran
Virus Conficker.DV juga menggunakan metode penyebaran yang berbeda dari pendahulunya, diantaranya sebagai berikut :
1) Network Shares (Brute Force Attack)
Virus berusaha mengakses jaringan menggunakan celah windows “Default Share” (ADMIN$\system32) dengan menebak password administrator. Virus menggunakan “Dictionary” password dengan string berikut :
000
0000
00000
0000000
00000000
0987654321
111
1111
11111
111111
1111111
11111111
123
123123
12321
123321
1234
12345
123456
1234567
12345678
123456789
1234567890
1234abcd
1234qwer
123abc
123asd
123qwe
1q2w3e
222
2222
22222
222222
2222222
22222222
321
333
3333
33333
333333
3333333
33333333
4321
444
4444
44444
444444
4444444
44444444
54321
555
5555
55555
555555
5555555
55555555
654321
666
6666
66666
666666
6666666
66666666
7654321
777
7777
77777
777777
7777777
77777777
87654321
888
8888
88888
888888
8888888
88888888
987654321
999
9999
99999
999999
9999999
99999999
a1b2c3
aaa
aaaa
aaaaa
abc123
academia
access
account
Admin
admin
admin1
admin12
admin123
adminadmin
administrator
anything
asddsa
asdfgh
asdsa
asdzxc
backup
boss123
business
campus
changeme
cluster
codename
codeword
coffee
computer
controller
cookie
customer
database
default
desktop
domain
example
exchange
explorer
file
files
foo
foobar
foofoo
forever
freedom
fuck
games
home
home123
ihavenopass
Internet
internet
intranet
job
killer
letitbe
letmein
login
Login
lotus
love123
manager
market
money
monitor
mypass
mypassword
mypc123
nimda
nobody
nopass
nopassword
nothing
office
oracle
owner
pass
pass1
pass12
pass123
passwd
password
Password
password1
password12
password123
private
public
pw123
q1w2e3
qazwsx
qazwsxedc
qqq
qqqq
qqqqq
qwe123
qweasd
qweasdzxc
qweewq
qwerty
qwewq
root
root123
rootroot
sample
secret
secure
security
server
shadow
share
sql
student
super
superuser
supervisor
system
temp
temp123
temporary
temptemp
test
test123
testtest
unknown
web
windows
work
work123
xxx
xxxx
xxxxx
zxccxz
zxcvb
zxcvbn
zxcxz
zzz
zzzz
zzzzz
Catatan : Jika dalam domain dilakukan pengaturan untuk account lock, maka dalam upaya virus yang berusaha login beberapa kali akan menyebabkan account user terputus dalam domain dan account menjadi lock/terkunci.
Jika sukses, virus akan mengcopy dirinya dengan menggunakan nama acak sebagai berikut :
\\[%IP atau hostname%]\ADMIN$\system32\[%nama acak%].[%extensi acak%]
Kemudian membuat scheduled task untuk menjalankan file virus yang sudah di copy tsb dengan perintah :
rundll32.exe .[%extensi acak%], [%acak]
2) Removable Drives
Virus Conficker.DV juga membuat file pada media removable seperti USB (flashdisk, Harddisk, Card Reader, dll). Virus menyimpan file hidden pada root drive, yaitu :
- Autorun.inf
- RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
3) Eksploitasi celah keamanan windows
Sama seperti pendahulunya, virus berusaha mengexploitasi MS08-067 (celah keamanan windows, Windows Server Service atau SVCHOST.exe). Banyak user yang terinfeksi dikarenakan tidak mengaktifkan fitur Automatic Updates dan tidak melakukan patch windows MS08-067. http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Modifikasi Registry
Agar dapat aktif saat computer dijalankan, virus membuat string berikut :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
%nama acak% = rundll32.exe [%lokasi file virus%], %nama acak%
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
%nama acak% = rundll32.exe [%lokasi file virus%], %nama acak%
Selain itu virus membuat string berikut :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets
dl = 0
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets
ds = 0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets
dl = 0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets
ds = 0
Virus men-disable beberapa service dengan membuat string berikut :
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
Start = 4
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
Start = 4
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WerSvc
Start = 4
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend
Start = 4
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
Start = 4
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
Start = 4
Selain itu, virus membuat service baru dengan membuat string berikut :
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[%Nama Acak%]
DisplayName = [%Gabungan 2 String%]
Type = 32
Start = 2
ErrorControl = 0
ImagePath = %SystemRoot%system32\svchost.exe -k netsvcs
ObjectName = LocalSystem
Description = [%Deskripsi Acak%]
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[%Nama Acak%]\Parameters
ServiceDll = [%Lokasi Virus%]
Agar dapat menyebar cepat dalam jaringan, virus membuat string berikut :
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
TcpNumConnections = 0x00FFFFFE
Terakhir, virus berusaha menyembunyikan file virus dengan membuat string berikut :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 0
SuperHidden = 0
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 0
Pembersihan Virus
ü Putuskan komputer yang akan dibersihkan dari jaringan/internet.
ü Matikan system restore (Windows XP / Vista).
ü Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif.
ü Delete service svchost.exe gadungan yang ditanamkan virus pada regisrty. Anda dapat mencari secara manual pada registry
ü Hapus Schedule Task yang dibuat oleh virus. (C:\WINDOWS\Tasks)
ü Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini :
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0x00000001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden, 0x00000001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00000001,1
HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0x00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0x00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0x00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0x00000002,2
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections
Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Catatan : Untuk file yang aktif pada startup, anda dapat men-disable melalui “msconfig” atau dapat men-delete secara manual pada string :
“HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run”
ü Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang terupdate dan mampu mendeteksi