Fighting against the spam invasion
You've got mail... sort of.
Unsolicited Commercial Email (UCE) or spam, as it is commonly called is becoming an expensive waste of our lives. My 7 year old does not need an inexpensive source for Viagra or a way to consolidate all his debt! But the ads keep coming, wasting countless thousands of hours for corporations, government workers, educators, and individual email users regardless of age, nationality, or gender.
Imagine… you are taking a group of children on an outing to a nearby park. Along the way, some older kids are goofing around and begin throwing rocks at you and your kids. How do you go after them?
If you could whip out your magic cell phone and identify each of the troublemakers, with name, address, and phone number for parents, school administrator, and supervisor at work, you’d be able to bring quite a bit of pressure on each of them to knock it off.
Rewind to the pile of spam you received in your mailbox last week. If you could figure out where it came from, and who is trying to profit by sending you all the unwanted ads, you might be able to bring enough pressure on them to remove your name from their database of chumps.
Let me stop here for a moment and say that there is “anti-spam” software that many Internet Service Providers (ISPs) install on their mail servers to block unsolicited commercial email before it gets to your box. The problem is that sometimes it removes good mail, and you never find out… until your Aunt calls you to ask why you never came to the reunion.
There are ways to combat spam without using spam filtering software. Here are a few strategies. You can get really carried away, as you’ll see after item 3:
1 - Install spam filtering anti-virus software on your PC
I run Trend Micro's PC Cillin product which comes with a spam filter for my inbox. This doesn't work for my mailbox if I use something like MSN or Comcast webmail. But it works great if I use a POP3 mail client like Outlook Express or Outlook.
The way it works is that every piece of mail passes through the antivirus software's spam filter before getting dropped in my local Inbox. If it matches the spam filter's criteria, then the word "SPAM:" is affixed to the front to let me know this is probably spam.
Next, I created a mail rule (use help in your mail client if you don't know how to create rules) that looks for "SPAM:" in the subject line. If it's there, the rule directs the message to a Junk Mail folder I created (use help in your mail client if you don't know how to make a new folder).
Once a day, I scan through the Junk Mail folder to make sure something I really care about didn't get filtered by the antivirus software. If it did, I go into the email section of the AV software and add that name, or the whole domain to the "Safe Senders" list. If it's all junk, then I hit CTRL-A to select all, and then Delete.
It's a lot easier than picking the junk mail one by one out of my Inbox.
2 - Protect your primary email address
Open a mailbox for public identification (registrations on websites). Consider it your spam mail box and go in to clean out the garbage every week or so. If you get mail there you care about, forward it to your private (real) mailbox. Hotmail and Yahoo both offer free email accounts. (When you register there, you will need to give them your real email address, as they will want to be able to contact you.
Never use your private (real) mailbox to register for services on the web, or on warranty registration cards. Unless you know the organization and trust that they will not sell, rent, or divulge your email address, only give out your public (spam) mail address.
If you have a website, and want people to be able to send to your email address, you are opening yourself up. The spammers have software that scours web pages looking for valid email addresses. It used to be that you could use a "mail-to" link, such as – Email to: Jon Richardson – and embed a link to your address behind the name, to made it more difficult to harvest valid addresses. But spamming tools have evolved. It will make things a little more difficult for this software to collect your mail address. To safeguard you and your co-workers, you should look into address hiding software, such as that listed on the spam.abuse.net website. If an employer posts an open web page with the email addresses for all staff in plain text (addresses all spelled out), it will be very easy for spammers to populate their databases and begin spamming everyone on staff.
If you've "really had it" and want to get serious about combating spam, read on.
3 - It’s too late baby… they’ve got me on their lists in China, Turkey, and Orlando!
Remember the teenagers, the rocks, and the magic cell phone? You can track these spammers down and make their efforts to spam you more expensive. They have to have an ISP of their own, and they have to agree to abide by that ISP's terms and conditions, which usually includes not using the ISP's network to send out spam.
Tracking and Complaining: When I get spam in my real mailbox, I hold two things in mind: “the ISPs are not at fault” and “all I want is my name removed from all mass mailing lists.”
Message header: depending on your mail client, you may or may not see the actual message header by default. It shows you the path the message took to get to your mailbox. This leads you to who sent out the spam in the first place. Check out the UXN site to learn more about interpreting the message header.
Websites advertised: these are the people who hope to profit by sending out the spam. This is the magic cell phone part where you put on your Sherlock Holmes hat and go after the teenagers with the rocks. The UXN site can help you here too!
Use “Traceroute”: Once you know what mail server the spam came from and what web server they are advertising, you can figure out who the ISPs are that provide service to the spammers. A simple tool to use on a Windows platform computer is a DOS command called “tracert” To run this command, you open a DOS window, and type
tracert computername (there is a space after tracert)
computername could be the IP address of the mail server or the webserver’s URL name
Traceroute shows you the path to get from your computer to the spammer’s mail server or webserver, whichever you entered. Usually, the last entry just before the end is the address that belongs to the spammer’s ISP. (You have an entry in the magic cell phone). Do this over for the other addresses you have.
Back on the UXN spam tracking page, when you entered the IP address for the mail server that sent the spam to your ISP, you got an “IP WHOIS” report. Copy this information in your spam complaint letter. Send email to the address identified as the administrator for that server. Repeat this step for the other contacts you dug up.
Compose your SPAM COMPLAINT and send it on its merry way. Following is an example of a spam complaint notice that I reuse every time I get spammed:
“You are receiving this spam complaint because the original UCE message either originated from, passed through, or is associated with an email/web account on your network. Remove me from all mass mailing lists. Enforce whatever acceptable use policies you have in place and stop this spammer from sending messages to my mailbox.
Thanks for your help.”
You may not have asked for the assignment, but you're now "Fighting against the spam invaders."
Limiting Spam (Tips) from the NY Attorney General's Office
Keep in mind: The ISP’s are not the problem.
Author's note: A lot has changed since I wrote the original version of this article in 2002. There are other methods used now (such as): enslaving home PCs and turning them into de facto spam servers (zombies) without the legitimate owner's knowledge. And you thought your computer was just getting old! You can still use method 3 if you feel so inclined, or enlisted.
Read More..
Minggu, 22 Juli 2007
Spyware Removal
Spyware Removal
Spyware is a common term these days in discussions about privacy and Internet use. When it gets a foothold in your computer, it's hard to get anything done. I think the term Foist-ware comes closer to describing what that software genre is that keeps unwanted content (ads) in front of us, directs our Internet Browser software to Porno, Casino, or other unwanted websites when we decide it’s time to go out cruising in Cyberspace.
You can live with the pestilence, hire someone to come out and clean things up, or educate yourself enough to know how to keep your system running the way it should. But beyond running right, some of this stuff can watch you while you are entering your password to do your online banking, as well as set up shop to use your computer remotely whether you are trying to work or not.
If you want to spend some time researching what all the different forms of malware are, here are some sites that usually have good information about the state of this "arms race": Read More..
Spyware is a common term these days in discussions about privacy and Internet use. When it gets a foothold in your computer, it's hard to get anything done. I think the term Foist-ware comes closer to describing what that software genre is that keeps unwanted content (ads) in front of us, directs our Internet Browser software to Porno, Casino, or other unwanted websites when we decide it’s time to go out cruising in Cyberspace.
You can live with the pestilence, hire someone to come out and clean things up, or educate yourself enough to know how to keep your system running the way it should. But beyond running right, some of this stuff can watch you while you are entering your password to do your online banking, as well as set up shop to use your computer remotely whether you are trying to work or not.
If you want to spend some time researching what all the different forms of malware are, here are some sites that usually have good information about the state of this "arms race": Read More..
Why bother keeping your workstation clean?
em just want to install a little program on your computer to log every keystroke you type in and find out more about you, your family, friends, enemies, etc. It’s their life to peep on others.
Trojans: Trojans are also refered to as backdoors programs. They allow the operator (whoever wrote or manages the software Trojan) to access your computer remotely and use it however they want. They might set up shop to spam people in France, Maine, and Hong Kong… or launch a web attack on a bank they are angry at. They typically don’t want you to find out about their software, so they try to keep a low profile and not pop up windows on your computer. But often, malware programs are not very stable, cause conflicts on your computer, and cause it too crash or behave strangely.
Viruses: Now-a-days, if a piece of malware is destructive to the data on your hard drive, it is referred to as a virus. If you don’t have up to date, high quality anti-virus software on your computer, you are most likely infected and have problems. I use and recommend Trend Micro products to all my clients because it works.
Worms: Worms really refer to how a piece of malware spreads itself… typically if a piece of mailware automatically delivers itself from one computer to another via email or file shares, it is refered to as a worm.
There are several things you can do to ensure you are not an easy target for malware.
1. Keep your operating system up to date by regularly running updates (Microsoft Windows Update is available as a drop down option under Tools in Internet Explorer).
2. If you must download free stuff from the Internet, you should download it to your home computer and read all 17 pages of fine print in the End User License Agreement (EULA) or realize that it is probably not as free (or fun, or cute, or happy) as it looks and avoid it altogether.
3. Scan your computer regularly using your antivirus software. Trend Micro has a free online scan tool which will clean up Viruses, Trojans, Adware, and Spyware. You can find it at http://housecall.trendmicro.com
4. Install good anti-malware software like Trend Micro’s (AntiSpyware) or Webroot’s (Spysweeper), especially if you are going to forage around in pirate territory on the Internet. Malicious websites will drop all sorts of junk on your computer if you go out there unprotected.
The best advice I can offer you, as much as I regret to say it, is to suspect everything you come across on the Internet – every webpage, every photograph, every pop up window, and especially every download - and ask yourself: “Is this coming from a source that I can really rely on that is not out to take advantage of me?”
When pop ups present themselves on my screen, I always use my mouse on the “X” in the upper right corner to close them. I’ve always heard this is the safer way than clicking on their “No Thanks” buttons. You can also use the “Alt F4” keys to close whatever window is open on top. This can be helpful if you get 75 advertisers opening windows in Internet Explorer.
Jon Richardson is the founder of Richardson Technology, a network consulting firm providing schools and businesses in the San Francisco Bay Area with computer technology leadership and consulting services. He can be reached at http://www.richardsontech.net
The Organizational Wizards - www.RescueMyOffice.com (Nancy Richardson) Read More..
Trojans: Trojans are also refered to as backdoors programs. They allow the operator (whoever wrote or manages the software Trojan) to access your computer remotely and use it however they want. They might set up shop to spam people in France, Maine, and Hong Kong… or launch a web attack on a bank they are angry at. They typically don’t want you to find out about their software, so they try to keep a low profile and not pop up windows on your computer. But often, malware programs are not very stable, cause conflicts on your computer, and cause it too crash or behave strangely.
Viruses: Now-a-days, if a piece of malware is destructive to the data on your hard drive, it is referred to as a virus. If you don’t have up to date, high quality anti-virus software on your computer, you are most likely infected and have problems. I use and recommend Trend Micro products to all my clients because it works.
Worms: Worms really refer to how a piece of malware spreads itself… typically if a piece of mailware automatically delivers itself from one computer to another via email or file shares, it is refered to as a worm.
There are several things you can do to ensure you are not an easy target for malware.
1. Keep your operating system up to date by regularly running updates (Microsoft Windows Update is available as a drop down option under Tools in Internet Explorer).
2. If you must download free stuff from the Internet, you should download it to your home computer and read all 17 pages of fine print in the End User License Agreement (EULA) or realize that it is probably not as free (or fun, or cute, or happy) as it looks and avoid it altogether.
3. Scan your computer regularly using your antivirus software. Trend Micro has a free online scan tool which will clean up Viruses, Trojans, Adware, and Spyware. You can find it at http://housecall.trendmicro.com
4. Install good anti-malware software like Trend Micro’s (AntiSpyware) or Webroot’s (Spysweeper), especially if you are going to forage around in pirate territory on the Internet. Malicious websites will drop all sorts of junk on your computer if you go out there unprotected.
The best advice I can offer you, as much as I regret to say it, is to suspect everything you come across on the Internet – every webpage, every photograph, every pop up window, and especially every download - and ask yourself: “Is this coming from a source that I can really rely on that is not out to take advantage of me?”
When pop ups present themselves on my screen, I always use my mouse on the “X” in the upper right corner to close them. I’ve always heard this is the safer way than clicking on their “No Thanks” buttons. You can also use the “Alt F4” keys to close whatever window is open on top. This can be helpful if you get 75 advertisers opening windows in Internet Explorer.
Jon Richardson is the founder of Richardson Technology, a network consulting firm providing schools and businesses in the San Francisco Bay Area with computer technology leadership and consulting services. He can be reached at http://www.richardsontech.net
The Organizational Wizards - www.RescueMyOffice.com (Nancy Richardson) Read More..
W32/Amor.A@mm
W32/Amor.A@mm 29 Juli 2006
Memalsukan Icon Folder dan menyebarkan diri via email
Penyebaran virus lokal kini mulai menyebarkan sayapnya, jika sebelumnya hanya menyebar melalui media Disket/UFD atatu file sharing kini mereka [virus] mulai menyebar menggunakan media lain yang dinilai lebih cepat diantaranya dengan menggunakan email dimana ia akan menyertakan sebuah attachment bervirus pada setiap email yang dikirimkannya, Rontokbro/mybro adalah salah satu contoh virus yang dapat menyebar memalui email selain rontokbro/mybro kini telah muncul virus lain yang juga akan menyebar melalui email, dengan update terbaru Norman mendetaksi sebagai W32/Amor.A@mm (lihat gambar 1).
Gambar 1, Norman Virus Control dapat mendeteksi Amor.A dengan baik
Sudah menjadi hobi dimana virus lokal akan menggunakan beberapa icon tertentu untuk mengecoh user menjalankan file tersebut guna menyebarkan virus tersebut, icon-icon favorit yang biasa digunakan oleh virus untuk mengelabui user diantaranya adalah icon MS Word, jpg, folder , winamp atau windows media player dan jika di teliti lebih jauh file tersebut akan mempunyai type file sebagai application hal ini bisa dilihat jika file/folder ditampilkan dalam mode “Detail”, begitupun dengan virus Amor.A dimana ia akan menggunakan icon Folder dengan ukuran sebesar 208 KB dan virus ini masih dibuat dengan menggunakan Visual Basic (lihat gambar 2).
Gambar 2, File yang sudah terinfeksi Amor.A
Dengan icon yang disamarkan sudah pasti akan mengecoh user sehingga dengan tidak sengaja menjalankan file tersebut (ketika mencoba mengakses folder yang dipalsukan tersebut) apalagi didukung dengan ekstensi dari file tersebut yang disembunyikan sehingga user menduga bahwa file tersebut merupakan “folder” bukan sebuah “file” , jika file tersebut dijalankan ia akan membuat file induk yang akan dijalankan pertama kali setiap kali komputer dijalankan, yakni:
- C:\Winnt\csrss.exe
Sebagai pendukung agar file tersebut dapat dijalankan, Amor.A akan membuat string pada registry editor, diantaranya adalah:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o Winlogon = C:\winnt\csrss.exe
Selain itu Amor.A juga akan membuat string lain pada registry editor:
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
o [Default] = File Folder
Media penyebaran
Untuk menyebarkan dirinya Amor.A akan menyebar melalui Disket/USB atau file sharing yakni dengan membuat file duplikat pada media tersebut, selain itu Amor.A juga akan menyebar melalui email dengan menyertakan lampiran berupa file yang sudah terinfeksi dengan terlebih dahulu akan mengambil semua alamat email yang ada di komputer yang terinfeksi, hal ini juga pernah dilakukan oleh rontokbro/mybro untuk menyebarkan dirinya. Tidak seperti team Olimpiade Fisika Indonesia yang mampu mengalahkan pesaingnya dari seluruh dunia, dibandingkan dengan virus mancanegara virus-virus lokal masih termasuk anak bawang dan belum mampu menandingi prestasi virus mancanegara yang merajai penyebaran melalui email seperti Mytob, Kamasutra dan Netsky.
Disable fungsi windows
Amor.A juga akan mencoba untuk mematikan beberapa fungsi windows diantaranya:
- Registry editor
- Run
- Control Panel
- System properties
- Search
- cmd [jika menjalankan perintah “taskkill” atau “tasklist”]
Tetapi Amor.A tidak akan mematikan fungsi Task Manager, msconfig maupun Folder Option.
Untuk mematikan beberapa fungsi Windows di atas, Amor.A akan membuat beberapa string pada registry editor:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
o NoRun
o NoFind
o NoControlPanel
o NoSetFolders
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
o Disabled = 1
Selain itu jika anda mencoba untuk membuka program Internet Explorer, maka komputer akan mengeluarkan “suara” setiap kali kursor digerakan pada layar Internet Explorer.
Duplikat File
Sebagai penutup Amor.A akan membuat file duplikat di setiap folder dan sub folder sesuai dengan nama folder dan sub folder tersebut dengan ciri-ciri:
- Menggunakan icoon “Folder”
- Ukuran 208 KB
- Type file “applicatioan” (lihat gambar 3)
Gambar 3, Amor.A akan membuat file duplikat disetiap Folder dan Subfolder
Cara membersihkan Amor.A
Putuskan hubungan komputer yang akan dibersihkan dari jaringan
Jika menggunakan Windows ME/XP, matikan [system restore] untuk sementara selama proses pembersihan
Matikan proses Amor.A yang sedang aktif di memori, untuk mematikan proses tersebut anda dapat mengggunakan tools pengganti task manager seperti “proceexp”, kemudian matikan proses “csrss”, jangan sampai terjadi kesalahan pada waktu mematikan proses virus tersebut, matikan proses yang menggunakan icon “Folder” (lihat gambar 4)
Gambar 4, Gunakan program bantu Process Explorer untuk mematikan proses Amor.
Hapus string yang dibuat pada registry editor, untuk mempermudah proses pengapusan copy script berikut pada program notepad kemudian simpan menjadi repair.inf setelah itu jalankan file tersebut dengan cara:
Klik kanan “repair.inf”
Klik “install”
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, winlogon
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoControlPanel
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoSetFolders
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
Hapus file induk virus Amor.A pada direktori
- C:\Winnt\Csrss.exe
Hapus file duplikat yang dibuat oleh Amor.A, dengan ciri-ciri:
- Menggunakan icon Folder
- Ukuran file 208 KB
- Type file “application”
Untuk proses pembersihan optimal dan mencegah infeksi ulang, gunakan antivirus yang dapat mengenali virus ini. Read More..
Memalsukan Icon Folder dan menyebarkan diri via email
Penyebaran virus lokal kini mulai menyebarkan sayapnya, jika sebelumnya hanya menyebar melalui media Disket/UFD atatu file sharing kini mereka [virus] mulai menyebar menggunakan media lain yang dinilai lebih cepat diantaranya dengan menggunakan email dimana ia akan menyertakan sebuah attachment bervirus pada setiap email yang dikirimkannya, Rontokbro/mybro adalah salah satu contoh virus yang dapat menyebar memalui email selain rontokbro/mybro kini telah muncul virus lain yang juga akan menyebar melalui email, dengan update terbaru Norman mendetaksi sebagai W32/Amor.A@mm (lihat gambar 1).
Gambar 1, Norman Virus Control dapat mendeteksi Amor.A dengan baik
Sudah menjadi hobi dimana virus lokal akan menggunakan beberapa icon tertentu untuk mengecoh user menjalankan file tersebut guna menyebarkan virus tersebut, icon-icon favorit yang biasa digunakan oleh virus untuk mengelabui user diantaranya adalah icon MS Word, jpg, folder , winamp atau windows media player dan jika di teliti lebih jauh file tersebut akan mempunyai type file sebagai application hal ini bisa dilihat jika file/folder ditampilkan dalam mode “Detail”, begitupun dengan virus Amor.A dimana ia akan menggunakan icon Folder dengan ukuran sebesar 208 KB dan virus ini masih dibuat dengan menggunakan Visual Basic (lihat gambar 2).
Gambar 2, File yang sudah terinfeksi Amor.A
Dengan icon yang disamarkan sudah pasti akan mengecoh user sehingga dengan tidak sengaja menjalankan file tersebut (ketika mencoba mengakses folder yang dipalsukan tersebut) apalagi didukung dengan ekstensi dari file tersebut yang disembunyikan sehingga user menduga bahwa file tersebut merupakan “folder” bukan sebuah “file” , jika file tersebut dijalankan ia akan membuat file induk yang akan dijalankan pertama kali setiap kali komputer dijalankan, yakni:
- C:\Winnt\csrss.exe
Sebagai pendukung agar file tersebut dapat dijalankan, Amor.A akan membuat string pada registry editor, diantaranya adalah:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o Winlogon = C:\winnt\csrss.exe
Selain itu Amor.A juga akan membuat string lain pada registry editor:
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
o [Default] = File Folder
Media penyebaran
Untuk menyebarkan dirinya Amor.A akan menyebar melalui Disket/USB atau file sharing yakni dengan membuat file duplikat pada media tersebut, selain itu Amor.A juga akan menyebar melalui email dengan menyertakan lampiran berupa file yang sudah terinfeksi dengan terlebih dahulu akan mengambil semua alamat email yang ada di komputer yang terinfeksi, hal ini juga pernah dilakukan oleh rontokbro/mybro untuk menyebarkan dirinya. Tidak seperti team Olimpiade Fisika Indonesia yang mampu mengalahkan pesaingnya dari seluruh dunia, dibandingkan dengan virus mancanegara virus-virus lokal masih termasuk anak bawang dan belum mampu menandingi prestasi virus mancanegara yang merajai penyebaran melalui email seperti Mytob, Kamasutra dan Netsky.
Disable fungsi windows
Amor.A juga akan mencoba untuk mematikan beberapa fungsi windows diantaranya:
- Registry editor
- Run
- Control Panel
- System properties
- Search
- cmd [jika menjalankan perintah “taskkill” atau “tasklist”]
Tetapi Amor.A tidak akan mematikan fungsi Task Manager, msconfig maupun Folder Option.
Untuk mematikan beberapa fungsi Windows di atas, Amor.A akan membuat beberapa string pada registry editor:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
o NoRun
o NoFind
o NoControlPanel
o NoSetFolders
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
o Disabled = 1
Selain itu jika anda mencoba untuk membuka program Internet Explorer, maka komputer akan mengeluarkan “suara” setiap kali kursor digerakan pada layar Internet Explorer.
Duplikat File
Sebagai penutup Amor.A akan membuat file duplikat di setiap folder dan sub folder sesuai dengan nama folder dan sub folder tersebut dengan ciri-ciri:
- Menggunakan icoon “Folder”
- Ukuran 208 KB
- Type file “applicatioan” (lihat gambar 3)
Gambar 3, Amor.A akan membuat file duplikat disetiap Folder dan Subfolder
Cara membersihkan Amor.A
Putuskan hubungan komputer yang akan dibersihkan dari jaringan
Jika menggunakan Windows ME/XP, matikan [system restore] untuk sementara selama proses pembersihan
Matikan proses Amor.A yang sedang aktif di memori, untuk mematikan proses tersebut anda dapat mengggunakan tools pengganti task manager seperti “proceexp”, kemudian matikan proses “csrss”, jangan sampai terjadi kesalahan pada waktu mematikan proses virus tersebut, matikan proses yang menggunakan icon “Folder” (lihat gambar 4)
Gambar 4, Gunakan program bantu Process Explorer untuk mematikan proses Amor.
Hapus string yang dibuat pada registry editor, untuk mempermudah proses pengapusan copy script berikut pada program notepad kemudian simpan menjadi repair.inf setelah itu jalankan file tersebut dengan cara:
Klik kanan “repair.inf”
Klik “install”
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, winlogon
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoControlPanel
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoSetFolders
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
Hapus file induk virus Amor.A pada direktori
- C:\Winnt\Csrss.exe
Hapus file duplikat yang dibuat oleh Amor.A, dengan ciri-ciri:
- Menggunakan icon Folder
- Ukuran file 208 KB
- Type file “application”
Untuk proses pembersihan optimal dan mencegah infeksi ulang, gunakan antivirus yang dapat mengenali virus ini. Read More..
Serangan Malware Indonesia Mei 2006
Serangan Malware Indonesia Mei 2006 14 Juni 2006
Umpan pendek VS Umpan lambung
Saat ini di seluruh dunia sedang menjalar demam aneh yang membuat korbannya tidak bisa kerja dengan baik, tidur larut malam sampai pada puncaknya nanti penderita penyakit jantung dikhawatirkan menjadi korban kalau terlalu terbawa perasaan menonton bola menjagokan team favoritnya. Dunia virus juga tidak mau kalah dan untuk Piala Dunia 2006 ini terdeteksi virus bola yang disebarkan adalah Troj/Haxdoor.IN dan virus Excel XF-97/Yagnuul.A. Menurut pengamatan Vaksincom ancaman virus Piala Dunia ini tidak terlalu signifikan, beda dengan Sober.N yang pada tahun 2005 sukses besar mengelabui penerima emailnya dengan iming-iming tiket menonton Piala Dunia gratis. Ancaman virus Indonesia pada bulan Mei - Juni 2006 masih di dominasi virus lokal yang mengalahkan virus impor (sayangnya hal ini tidak terjadi pada dunia persepakbolaan Indonesia sehingga masyarakat Indonesia terpaksa menjagokan negara lain) dengan kapten Rontokbro striker Decoy berhasil mengalahkan team virus luar negeri. Sayangnya virus lokal hanya merajai serangan pendek (penyebaran melalui UFD dan jaringan lokal) dan setiap kali bertempur menggunakan operan lambung (penyebaran melalui email) virus lokal masih belum mampu mengalahkan virus luar. Untuk penyebaran melalui email, virus impor seperti Kamasutra (Small.KL / Blackmal / Nyxem), MyTob dan beberapa varian Netsky masih tetap merajai jagad internet Indonesia dan disinyalir komputer-komputer yang menjadi korbannya adalah komputer yang tidak menggunakan antivirus yang terupdate dengan baik karena semua virus ini sudah terdeteksi oleh program antivirus.
IP-IP lokal yang aktif mengirimkan virus
Menurut pantauan Vaksincom, sampai dengan awal Juni 2006 saja IP-IP lokal masih belerot yang aktif mengirimkan virus. Di dominasi oleh Kamasutra dan MyTob dan dilengkapi dengan baik oleh keluarga Netsky. Jika anda menggunakan program antivirus yang terupdate harusnya virus-virus ini sudah mampu dikenali dan dibasmi dengan mudah oleh program antivirus apa saja yang terupdate, baik yang gratisan maupun yang berbayar (beda dengan virus lokal yang malahan sangat sulit dibasmi karena melakukan berusaha restart setiap kali dicoba untuk dibasmi). Namun pengguna internet Indonesia memang beraneka ragam dan hukum piramida tetap berlaku untuk hal ini. Jadi di dasar piramida terdapat pengguna yang paling banyak dan notabene merupakan pengguna awam yang dengan tingkat pengetahuan komputer dasar, di atasnya agak sedikit adalah pengguna yang memiliki pengetahuan yang sedang dan pada puncak piramida dengan jumlah paling sedikit adalah pengguna yang cukup pakar dan berpengalaman yang terdiri dari komunitas administrator, IT Specialist dan security specialist. Kabar buruknya, pengguna yang memiliki pengetahuan dasar / awam dan berpotensial menyebarkan virus merupakan komunitas terbanyak. Kabar baiknya, untuk terhindar dari ancaman virus anda tidak perlu menjadi pakar, yang perlu adalah perduli. Asalkan pengetahuan berkomputer yang aman dan baik disebarkan secara terus menerus dan konsisten, jumlah pengguna yang sadar sekuriti akan tinggi sehingga secara otomatis pengguna yang berpotensial mengancam sekuriti karena ketidaktahuan (yang saat ini jumlah infeksi nyatanya paling banyak) akan menurun.
Anda dapat berperan aktif dalam menekan penyebaran virus via email. Caranya adalah dengan melaporkan pada pemilik IP yang bersangkutan (umumnya dimiliki ISP, kirim email berisi bukti header email bervirus kepada administrator ISP yang bersangkutan) bahwa IP yang dimilikinya mengirimkan virus kepada anda. Bagaimana caranya mengetahui IP yang mengirimkan virus kepada anda ? Jika anda tertarik untuk mengetahuinya silahkan lihat artikel "Pro Aktif Hadapi Virus E-mail" pada PC Plus terbitan terbaru (Halaman 33, PCPlus No. 260, 13 - 26 Juni 2006).
Satu hal yang perlu digarisbawahi dalam mengidentifikasi IP ini adalah Administrator ISP tidak bersalah dan jangan dimarahi (kecuali dia menjamin jaringan ISP nya bebas virus, seperti satu ISP yang berlokasi di Jend. Sudiman, Jakarta tetapi terbukti jaringan yang diklaimnya kebal virus kebobolan juga oleh virus kuno Netsky). IP yang umumnya terinfeksi virus adalah IP Dynamic, artinya IP tersebut digunakan oleh User / pelanggan ISP secara bergantian (rupanya IP bebas juga berbahaya seperti seks bebas). Namun jika kita berhasil mendapatkan informasi IP User (dan ISP pemilik IP) yang mengirimi kita virus dan timestamp (waktu pengiriman) nya, informasi yang kita dapatkan hanya terbatas disitu saja. Kita tidak tahu siapa tepatnya yang mengirimi virus "karena" data detail pengguna internet E.G nomor telepon yang melakukan dial up, Account yang melakukan dial up merupakan data ISP yang sifatnya confidential (karena dilindungi oleh Undang Undang perlindungan konsumen). Karena itu tentunya partisipasi aktif ISP justru merupakan salah satu faktor kunci dalam kegiatan pro aktif membasmi virus e-mail ini karena karena hanya ISP yang tahu user anda yang mana tepatnya yang mengirimkan virus e-mail.
Adapun IP-IP yang pada awal Juni 2006 terdeteksi mengirimkan virus adalah sebagai berikut (lihat tabel 1) :No
IP
ISP
Timestamp
Virus
1 202.147.196.** PT. Infokom Elektrindo www.infokom.net Sun, 04 Jun 2006 21:12:36 -0700 Netsky.P
2 219.83.18.** Indosat.net.id Sun, 04 Jun 2006 23:37:46 -0700 Kamasutra
3 202.73.115.1** CBN Kabel Vision Mon, 05 Jun 2006 07:50:21 -0700 My Tob@mm
4 202.159.61.1** Indonet VPN Mon, 05 Jun 2006 21:22:34 -0700 Netsky.C
5 202.169.36.1** PT. NewJass Baltrans biz.net.id Mon, 05 Jun 2006 02:16:37 -0700 Netsky.N
6 202.155.144.1** Indosat.net.id Mon, 05 Jun 2006 01:34:31 -0700 Kamasutra
7 202.147.225.1** www.bit.net.id Mon, 05 Jun 2006 18:20:09 -0700 Netsky.P
8 203.153.117.** Net2cyber Indonesia Mon, 05 Jun 2006 22:55:59 -0700 Kamasutra
9 202.53.232.** Indonet Client dial up Bandung Tue, 06 Jun 2006 00:27:26 -0700 Netsky.D
10 202.159.38.** Indonet Subnet Tegal Tue, 06 Jun 2006 01:58:53 -0700 Netsky.C
11 202.62.21.1** Internux.co.id Tue, 06 Jun 2006 17:39:15 -0700 MyTob
12 202.173.66.1** Elganet Cirebon Tue, 06 Jun 2006 20:45:07 -0700 Netsky.P
13 61.5.17.** Telkom Indonesia - Jatinegara Wed, 07 Jun 2006 01:23:11 -0700 Kamasutra
14 202.159.67.2** Wasantaranet Wed, 07 Jun 2006 00:24:03 -0700 MyTob.AG
15 61.5.36.1** Telkom Indonesia - Jatinegara Wed, 07 Jun 2006 00:17:30 -0700 Kamasutra
16 202.152.39.** Institut Teknologi Nasional - Lintasarta Wed, 07 Jun 2006 00:04:48 -0700 MyTob.AG
17 202.158.105.1** CBN Dialup Tue, 06 Jun 2006 22:38:00 -0700 Kamasutra
18 202.159.67.2** Wasantaranet Tue, 06 Jun 2006 19:19:28 -0700 My Tob.AG
19 202.149.90.** PT. OLAMI TINELO LIPU, www.sat.net.id Mon, 05 Jun 2006 23:41:23 -0700 Netsky.P
Tabel 1, IP-IP Indonesia yang aktif mengirimkan virus pada awal Juni 2006
Spyware dikalahkan virus 1 : 3
Ibarat pertandingan Jepang lawan Australia, Spyware di bulan Mei - Juni 2006 dikalahkan dengan cukup telak oleh virus dengan perbandingan 1 : 3. Motor virus tetap virus lokal dan Spyware dimotori oleh Agent, Gator dan Dloader. Untuk perbandingan detialnya silahkan lihat gambar 1.
Gambar 1, Spyware dikalahkan virus 25 % : 75 %
Virus lokal merajai infeksi virus, Decoy menjadi rising star
Sama seperti bulan April - Mei 2006, Rontokbro tetap memimpin penyebaran virus dengan kontribusi 44,03 % atas total infeksi virus. Catatan penting perlu diberikan pada Decoy yang pada bulan lalu hanya menduduki peringkat 4, tetapi bulan ini naik signifikan menjadi peringkat dua dengan kontribusi 20,69 %. Mengalahkan Suspicious_M.gen dan Small.KL (Kamasutra) yang tergusur ke peringkat 3. Virus lama WYX / Polyboot yang menghapus boot sector harddisk perlu diwaspadai karena berada pada peringkat ke 4, disusul pada peringkat 5, Suspicious_M.gen yang merupakan virus-virus lokal baru (generik) yang terdeteksi oleh Sandbox Technology dari Norman (Sanbox adalah teknologi pendeteksian varian virus baru tanpa terlalu tergantung pada update definisi virus dan hanya dimiliki oleh Norman Virus Control). Untuk detailnya silahkan simak gambar 2 dan tabel 2 dibawah ini :
Gambar 2, Virus Top Indonesia Mei - Juni 2006
No Virus Jumlah %
1 Rontokbro 2,835 44.03%
2 Decoy 1,332 20.69%
3 Small 969 15.05%
4 Wyx 334 5.19%
5 Susp.M.gen 164 2.55%
6 Korgo 120 1.86%
7 Pesin 117 1.82%
8 Renos 108 1.68%
9 Sober 80 1.24%
10 Malware 69 1.07%
Lainnya 311 4.83%
Total 6,439 100%
Tabel 2, Detail infeksi dan persentase virus Indonesia Mei - Juni 2006
Infeksi Spyware menurun 50 %
Dibandingkan bulan lalu, total infeksi spyware menurun 50 %. Meskipun demikian, tidak seperti virus yang menonjolkan aksi individu dimana infeksi Rontokbro dan Decoy saja sudah mengambil 60 % dari total infeksi virus. Spyware mengutamakan teamwork, hal ini terlihat dari jumlah Spyware yang banyak sekali dan persentase penyebarannya relatif lebih merata dibandingkan virus. Tetapi sama seperti permainan bola, meskipun dimotori aksi individual pada beberapa bulan terakhir ini virus selalu berhasil mempecundangi Spyware. Beda dengan tahun lalu dimana Spyware berjaya mengalahkan virus. Detail penyebaran Spyware bulan Mei - Juni 2006 tertuang dalam gambar 3 dan tabel 3 dibawah ini.
Gambar 3, Spyware Top Indonesia Mei - Juni 2006
No Adware Jumlah %
1 Agent 654 30.03%
2 Gator 326 14.97%
3 Dloader 310 14.23%
4 Look2me 143 6.57%
5 Dialer 136 6.24%
6 Funweb 89 4.09%
7 Lowzones 67 3.08%
8 Webhancer 56 2.57%
9 Hotbar 53 2.43%
10 Mywebsearch 38 1.74%
11 Lop 31 1.42%
12 Comet 30 1.38%
13 Savenow 29 1.33%
14 Dyfuca 27 1.24%
15 Winfixer 23 1.06%
16 Locksky 21 0.96%
17 Startpage 21 0.96%
18 Smalldoor 17 0.78%
19 Swizzor 14 0.64%
20 Downloader 13 0.60%
21 Newdotnet 13 0.60%
22 180solution 11 0.51%
23 Bonzo 10 0.46%
24 Virtumonde 9 0.41%
25 Istbar 7 0.32%
Lainnya 30 1.38%
Total 2,178 100%
Tabel 3, Detail penyebaran dan persentase infeksi Spyware Mei - Juni 2006 (AAT)
salam,
Alfons Tanujaya
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Email : info@vaksin.com
Telp : 021-345 6850
Fax : 021-345 6851 Read More..
Umpan pendek VS Umpan lambung
Saat ini di seluruh dunia sedang menjalar demam aneh yang membuat korbannya tidak bisa kerja dengan baik, tidur larut malam sampai pada puncaknya nanti penderita penyakit jantung dikhawatirkan menjadi korban kalau terlalu terbawa perasaan menonton bola menjagokan team favoritnya. Dunia virus juga tidak mau kalah dan untuk Piala Dunia 2006 ini terdeteksi virus bola yang disebarkan adalah Troj/Haxdoor.IN dan virus Excel XF-97/Yagnuul.A. Menurut pengamatan Vaksincom ancaman virus Piala Dunia ini tidak terlalu signifikan, beda dengan Sober.N yang pada tahun 2005 sukses besar mengelabui penerima emailnya dengan iming-iming tiket menonton Piala Dunia gratis. Ancaman virus Indonesia pada bulan Mei - Juni 2006 masih di dominasi virus lokal yang mengalahkan virus impor (sayangnya hal ini tidak terjadi pada dunia persepakbolaan Indonesia sehingga masyarakat Indonesia terpaksa menjagokan negara lain) dengan kapten Rontokbro striker Decoy berhasil mengalahkan team virus luar negeri. Sayangnya virus lokal hanya merajai serangan pendek (penyebaran melalui UFD dan jaringan lokal) dan setiap kali bertempur menggunakan operan lambung (penyebaran melalui email) virus lokal masih belum mampu mengalahkan virus luar. Untuk penyebaran melalui email, virus impor seperti Kamasutra (Small.KL / Blackmal / Nyxem), MyTob dan beberapa varian Netsky masih tetap merajai jagad internet Indonesia dan disinyalir komputer-komputer yang menjadi korbannya adalah komputer yang tidak menggunakan antivirus yang terupdate dengan baik karena semua virus ini sudah terdeteksi oleh program antivirus.
IP-IP lokal yang aktif mengirimkan virus
Menurut pantauan Vaksincom, sampai dengan awal Juni 2006 saja IP-IP lokal masih belerot yang aktif mengirimkan virus. Di dominasi oleh Kamasutra dan MyTob dan dilengkapi dengan baik oleh keluarga Netsky. Jika anda menggunakan program antivirus yang terupdate harusnya virus-virus ini sudah mampu dikenali dan dibasmi dengan mudah oleh program antivirus apa saja yang terupdate, baik yang gratisan maupun yang berbayar (beda dengan virus lokal yang malahan sangat sulit dibasmi karena melakukan berusaha restart setiap kali dicoba untuk dibasmi). Namun pengguna internet Indonesia memang beraneka ragam dan hukum piramida tetap berlaku untuk hal ini. Jadi di dasar piramida terdapat pengguna yang paling banyak dan notabene merupakan pengguna awam yang dengan tingkat pengetahuan komputer dasar, di atasnya agak sedikit adalah pengguna yang memiliki pengetahuan yang sedang dan pada puncak piramida dengan jumlah paling sedikit adalah pengguna yang cukup pakar dan berpengalaman yang terdiri dari komunitas administrator, IT Specialist dan security specialist. Kabar buruknya, pengguna yang memiliki pengetahuan dasar / awam dan berpotensial menyebarkan virus merupakan komunitas terbanyak. Kabar baiknya, untuk terhindar dari ancaman virus anda tidak perlu menjadi pakar, yang perlu adalah perduli. Asalkan pengetahuan berkomputer yang aman dan baik disebarkan secara terus menerus dan konsisten, jumlah pengguna yang sadar sekuriti akan tinggi sehingga secara otomatis pengguna yang berpotensial mengancam sekuriti karena ketidaktahuan (yang saat ini jumlah infeksi nyatanya paling banyak) akan menurun.
Anda dapat berperan aktif dalam menekan penyebaran virus via email. Caranya adalah dengan melaporkan pada pemilik IP yang bersangkutan (umumnya dimiliki ISP, kirim email berisi bukti header email bervirus kepada administrator ISP yang bersangkutan) bahwa IP yang dimilikinya mengirimkan virus kepada anda. Bagaimana caranya mengetahui IP yang mengirimkan virus kepada anda ? Jika anda tertarik untuk mengetahuinya silahkan lihat artikel "Pro Aktif Hadapi Virus E-mail" pada PC Plus terbitan terbaru (Halaman 33, PCPlus No. 260, 13 - 26 Juni 2006).
Satu hal yang perlu digarisbawahi dalam mengidentifikasi IP ini adalah Administrator ISP tidak bersalah dan jangan dimarahi (kecuali dia menjamin jaringan ISP nya bebas virus, seperti satu ISP yang berlokasi di Jend. Sudiman, Jakarta tetapi terbukti jaringan yang diklaimnya kebal virus kebobolan juga oleh virus kuno Netsky). IP yang umumnya terinfeksi virus adalah IP Dynamic, artinya IP tersebut digunakan oleh User / pelanggan ISP secara bergantian (rupanya IP bebas juga berbahaya seperti seks bebas). Namun jika kita berhasil mendapatkan informasi IP User (dan ISP pemilik IP) yang mengirimi kita virus dan timestamp (waktu pengiriman) nya, informasi yang kita dapatkan hanya terbatas disitu saja. Kita tidak tahu siapa tepatnya yang mengirimi virus "karena" data detail pengguna internet E.G nomor telepon yang melakukan dial up, Account yang melakukan dial up merupakan data ISP yang sifatnya confidential (karena dilindungi oleh Undang Undang perlindungan konsumen). Karena itu tentunya partisipasi aktif ISP justru merupakan salah satu faktor kunci dalam kegiatan pro aktif membasmi virus e-mail ini karena karena hanya ISP yang tahu user anda yang mana tepatnya yang mengirimkan virus e-mail.
Adapun IP-IP yang pada awal Juni 2006 terdeteksi mengirimkan virus adalah sebagai berikut (lihat tabel 1) :No
IP
ISP
Timestamp
Virus
1 202.147.196.** PT. Infokom Elektrindo www.infokom.net Sun, 04 Jun 2006 21:12:36 -0700 Netsky.P
2 219.83.18.** Indosat.net.id Sun, 04 Jun 2006 23:37:46 -0700 Kamasutra
3 202.73.115.1** CBN Kabel Vision Mon, 05 Jun 2006 07:50:21 -0700 My Tob@mm
4 202.159.61.1** Indonet VPN Mon, 05 Jun 2006 21:22:34 -0700 Netsky.C
5 202.169.36.1** PT. NewJass Baltrans biz.net.id Mon, 05 Jun 2006 02:16:37 -0700 Netsky.N
6 202.155.144.1** Indosat.net.id Mon, 05 Jun 2006 01:34:31 -0700 Kamasutra
7 202.147.225.1** www.bit.net.id Mon, 05 Jun 2006 18:20:09 -0700 Netsky.P
8 203.153.117.** Net2cyber Indonesia Mon, 05 Jun 2006 22:55:59 -0700 Kamasutra
9 202.53.232.** Indonet Client dial up Bandung Tue, 06 Jun 2006 00:27:26 -0700 Netsky.D
10 202.159.38.** Indonet Subnet Tegal Tue, 06 Jun 2006 01:58:53 -0700 Netsky.C
11 202.62.21.1** Internux.co.id Tue, 06 Jun 2006 17:39:15 -0700 MyTob
12 202.173.66.1** Elganet Cirebon Tue, 06 Jun 2006 20:45:07 -0700 Netsky.P
13 61.5.17.** Telkom Indonesia - Jatinegara Wed, 07 Jun 2006 01:23:11 -0700 Kamasutra
14 202.159.67.2** Wasantaranet Wed, 07 Jun 2006 00:24:03 -0700 MyTob.AG
15 61.5.36.1** Telkom Indonesia - Jatinegara Wed, 07 Jun 2006 00:17:30 -0700 Kamasutra
16 202.152.39.** Institut Teknologi Nasional - Lintasarta Wed, 07 Jun 2006 00:04:48 -0700 MyTob.AG
17 202.158.105.1** CBN Dialup Tue, 06 Jun 2006 22:38:00 -0700 Kamasutra
18 202.159.67.2** Wasantaranet Tue, 06 Jun 2006 19:19:28 -0700 My Tob.AG
19 202.149.90.** PT. OLAMI TINELO LIPU, www.sat.net.id Mon, 05 Jun 2006 23:41:23 -0700 Netsky.P
Tabel 1, IP-IP Indonesia yang aktif mengirimkan virus pada awal Juni 2006
Spyware dikalahkan virus 1 : 3
Ibarat pertandingan Jepang lawan Australia, Spyware di bulan Mei - Juni 2006 dikalahkan dengan cukup telak oleh virus dengan perbandingan 1 : 3. Motor virus tetap virus lokal dan Spyware dimotori oleh Agent, Gator dan Dloader. Untuk perbandingan detialnya silahkan lihat gambar 1.
Gambar 1, Spyware dikalahkan virus 25 % : 75 %
Virus lokal merajai infeksi virus, Decoy menjadi rising star
Sama seperti bulan April - Mei 2006, Rontokbro tetap memimpin penyebaran virus dengan kontribusi 44,03 % atas total infeksi virus. Catatan penting perlu diberikan pada Decoy yang pada bulan lalu hanya menduduki peringkat 4, tetapi bulan ini naik signifikan menjadi peringkat dua dengan kontribusi 20,69 %. Mengalahkan Suspicious_M.gen dan Small.KL (Kamasutra) yang tergusur ke peringkat 3. Virus lama WYX / Polyboot yang menghapus boot sector harddisk perlu diwaspadai karena berada pada peringkat ke 4, disusul pada peringkat 5, Suspicious_M.gen yang merupakan virus-virus lokal baru (generik) yang terdeteksi oleh Sandbox Technology dari Norman (Sanbox adalah teknologi pendeteksian varian virus baru tanpa terlalu tergantung pada update definisi virus dan hanya dimiliki oleh Norman Virus Control). Untuk detailnya silahkan simak gambar 2 dan tabel 2 dibawah ini :
Gambar 2, Virus Top Indonesia Mei - Juni 2006
No Virus Jumlah %
1 Rontokbro 2,835 44.03%
2 Decoy 1,332 20.69%
3 Small 969 15.05%
4 Wyx 334 5.19%
5 Susp.M.gen 164 2.55%
6 Korgo 120 1.86%
7 Pesin 117 1.82%
8 Renos 108 1.68%
9 Sober 80 1.24%
10 Malware 69 1.07%
Lainnya 311 4.83%
Total 6,439 100%
Tabel 2, Detail infeksi dan persentase virus Indonesia Mei - Juni 2006
Infeksi Spyware menurun 50 %
Dibandingkan bulan lalu, total infeksi spyware menurun 50 %. Meskipun demikian, tidak seperti virus yang menonjolkan aksi individu dimana infeksi Rontokbro dan Decoy saja sudah mengambil 60 % dari total infeksi virus. Spyware mengutamakan teamwork, hal ini terlihat dari jumlah Spyware yang banyak sekali dan persentase penyebarannya relatif lebih merata dibandingkan virus. Tetapi sama seperti permainan bola, meskipun dimotori aksi individual pada beberapa bulan terakhir ini virus selalu berhasil mempecundangi Spyware. Beda dengan tahun lalu dimana Spyware berjaya mengalahkan virus. Detail penyebaran Spyware bulan Mei - Juni 2006 tertuang dalam gambar 3 dan tabel 3 dibawah ini.
Gambar 3, Spyware Top Indonesia Mei - Juni 2006
No Adware Jumlah %
1 Agent 654 30.03%
2 Gator 326 14.97%
3 Dloader 310 14.23%
4 Look2me 143 6.57%
5 Dialer 136 6.24%
6 Funweb 89 4.09%
7 Lowzones 67 3.08%
8 Webhancer 56 2.57%
9 Hotbar 53 2.43%
10 Mywebsearch 38 1.74%
11 Lop 31 1.42%
12 Comet 30 1.38%
13 Savenow 29 1.33%
14 Dyfuca 27 1.24%
15 Winfixer 23 1.06%
16 Locksky 21 0.96%
17 Startpage 21 0.96%
18 Smalldoor 17 0.78%
19 Swizzor 14 0.64%
20 Downloader 13 0.60%
21 Newdotnet 13 0.60%
22 180solution 11 0.51%
23 Bonzo 10 0.46%
24 Virtumonde 9 0.41%
25 Istbar 7 0.32%
Lainnya 30 1.38%
Total 2,178 100%
Tabel 3, Detail penyebaran dan persentase infeksi Spyware Mei - Juni 2006 (AAT)
salam,
Alfons Tanujaya
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Email : info@vaksin.com
Telp : 021-345 6850
Fax : 021-345 6851 Read More..
W32/Rontokbro.LD
W32/Rontokbro.LD 24 November 2006
Return of the “KERE”, hati-hati dengan SexyIndoGirls
Masih ingat dengan VBWorm.ZL dimana virus ini akan mencoba memanipulasi file dengan ekst. EXE, COM, BAT dan PIF sehingga jika anda menjalankan file dengan ekstesi tersebut, satu hal yang menjadi ciri utama adalah munculnya gambar mr.halloween yang disertai beberapa baris pesan dari sang pembuat virus.
Walaupun masih menggunakan bahasa VB tetapi aksi yang dilakukan patut mendapat acungan “jempol”. Dengan mencoba blok berbagai fungsi windows apalagi di dukung dengan kemampuan untuk memanipulasi ekst yang sudah disebutkan di atas pembersihan melalui DOS adalah langkah yang tepat untuk dilakukan.
Jika kita melihat ke belakang [Sejarah], Anda tentu masih ingat dengan sejarah perkembangan komputer, jika dulu komputer itu mempunyai ukuran yang “sangat” besar kini pada perkembangan selanjutnya komputer mempunyai ukuran yang sangat kecil dan jangan salah walaupun kecil ukurannya semakin canggih fiture dan teknologi yang ada didalamnya, begitupun dengan virus Rontokbro.LD, setelah kemunculan varian pertama yang mempunyai ukuran 88 KB [Norman mendeteksi sebagai W32/VBWorm.ZL], kini sang virus sudah mengeluarkan generasi kedua dengan ukuran lebih kecil yakni 80 KB dengan sedikit modifikasi virus ini berhasil berada setingkat lebih tinggi dari varian sebalumnya dan seperti pendahulunya untuk varian ini masih menggunakan bahasa VB. Walaupun varian kedua ini mempunyai ukuran lebih kecil tetapi aksi yang dilakukan nya jauh lebih cangggih dibandingkan varian awalnya hal ini sesuai dengan tuntutan jaman dimana semakin kecil ukuran dari sebuah virus maka semakin cepat pula virus tersebut akan menyebar dan semakin ganas payload yang dimilikinya.
Perbedaan yang menonjol dari kedua virus ini adalah dimana untuk varian kedua [Rontokbro.LD] mempunyai kemampuan untuk “Disable Klik kanan” dan blok semua file executable [EXE], jadi walaupun komputer anda sudah bersih dari Rontokbro.LD maka setiap kali anda menjalankan file executable [EXE] dari sebuah program akan muncul pesan error sehingga program tersebut tidak dapat dijalankan, selain itu Rontokbro.LD juga akan mencoba blok “shut Down/Restart/Log Off” dengan cara mematikannya ditambah dengan kemampuannya untuk melakukan restart jika user menjalankan fungsi REGEDIT.
Ciri utama dari virus ini sama dengan varian sebelumnya yakni akan memunculkan pesan setiap kali komputer dinyalakan dengan pesan judul “KERE”. (lihat gambar 1)
Gambar 1, Pesan yang ditampilkan setiap kali komputer booting
Dengan update terakhir Norman sudah dapat mengenali virus ini dengan baik sebagai Rontokbro.LD (lihat gambar 2)
Gambar 2, Hasil scanning antivirus Norman
Sama seperti pendahulunya Rontokbro.LD juga akan mencoba untuk blok dari berbagai arah agar dirinya tetap aktif hal ini diperparah dengan kemampuannya untuk manipulasi semua file yang mempunyai ekst. EXE dengan merubah string di registry agar jika setiap kali user menjalankan file dengan ekst. EXE maka secara otomatis akan menjalankan dirinya.
Selain itu Rontokbro.LD juga akan menyembunyikan file EXE dari sebuah program aplikasi yang dijalankan serta akan membuat file duplikat sesuai dengan nama file yang disembunyikan. selain manipulasi file dengan ekst. EXE, Rontokbro.LD juga akan manipulasi file dengan ext. COM, PIF, BAT dan LNK. Pembersihan melalui mode Normal, safe mode atau safe mode with command prompt akan sangat sulit dilakukan oleh karena itu pembersihan melalui DOS merupakan pilihan yang tepat yang dapat dilakukan.
Untuk mengelabui user, Rontokbro.LD akan menggunakan icon “Folder” dengan exstension EXE serta mempunyai type file sebagai “Application”, tetapi jika virus tersebut sudah menginfeksi komputer maka type file “Application” akan berubah menjadi “File Folder” dengan melakukan perubahan pada string registry, dengan demikian semakin sempurnalah penyamaran yang dilakukan oleh Rontokbro.LD (lihat gambar 3)
Gambar 3, File yang terinfeksi Rontokbro.LD
Jika file tersebut dijalankan maka akan muncul sebuah pesan dari si pembuat virus, jika pada varian awalnya akan mempunyai judul “Jeritan Suara Hati” tetapi untuk varian kedua akan mempunyai judul “KERE”, lihat gambar 1 :
Jika virus sudah menginfeksi komputer Rontokbro.LD akan membuat beberapa file induk yang akan dijalankan pertama kali setiap kali komputer dinyalakan, diantaranya:
- Data %user logon%.exe di setiap partisi Hard Disk
- C:\kere.exe
- Membuat folder KERE pada setiap Drive, dimana folder ini berisi 2 buah file dengan nama "folder.htt" dan "sexyIndoGirls.pif".
- C:\Documents and Settings\All Users\Start Menu\Programs\Startup
§ Empty.pif
§ Empty.exe dan Startup.exe
- C:\Documents and Settings\Default User\Start Menu\Programs\Startup
§ Startup.exe
- C:\Documents and Settings\%user%\Application Data\Microsoft\Word\STARTUP
§ Startup.exe
- C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup
§ Startup.exe
- C:\Documents and Settings\%user%\Local Settings\Application Data
§ IExplorer.exe
§ shell.exe
§ csrss.exe
§ kere.exe
§ lsass.exe
§ services.exe
§ winlogon.exe
- C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS
§ Csrss.exe
§ lsass.exe
§ services.exe
§ smss.exe
§ winlogon
- C:\Documents and Settings\%user%\Start Menu\Programs\Startup
§ Startup.exe
- C:\Program Files\Microsoft Office\OFFICE11\STARTUP
§ Startup.exe
- C:\Windows
§ kERe.exe
- C:\WINDOWS\system32
§ MrBugs.scr
§ IExplorer.exe
§ Shell.exe
- C:\Windows\Downloaded Program Files\SexyIndoGirls.pif
- C:\Windows\Downloaded Program Files\CONFLICT.X\SexyIndoGirls.pif, dimana X menunjukan angka acak
-------------------------------------------------------------------------------------------------------
Catatan:
%user logon% menunjukan user yang digunakan untuk login ke windows
-------------------------------------------------------------------------------------------------------
Sebagai penunjang agar file tersebut dapat dijalankan, ia akan membut beberapa string pada registry dibawah ini:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Logon%user logon% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
System Monitoring = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\LSASS.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe "C:\WINDOWS\System32\IExplorer.exe"
userinit = C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\IExplorer.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
kERe = C:\WINDOWS\kERe.exe
MSMSGS = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
Service%user logon% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
-------------------------------------------------------------------------------------------------------
Catatan:
%user logon% menunjukan user yang digunakan untuk login ke windows
-------------------------------------------------------------------------------------------------------
Manipulasi Screen Saver Windows
Selain itu Kere juga akan memanipulasi “Screen Saver Windows” [menyamar seolah-olah sebagai screen saver] dengan mengganti file yang akan di jalankan menjadi Mr.Bugs.scr file ini akan disimpan didirektori [C:\Windows\system32]. File ini akan dijalankan pada waktu-waktu yang telah ditentukan sehingga secara otomatis akan mengaktifkan dirinya. Untuk melakukan hal tersebut ia akan merubah string pada registry berikut:
HKEY_CURRENT_USER\Control Panel\Desktop
C:\WINDOWS\System32\MRBugs.scr
Untuk mempertahankan dirinya Rontokbro.LD akan mencoba untuk melakukan Disable beberapa software security termasuk antivirus maupun fungsi windows seperti regedit, msconfig, task manager, folder option dan cmd selain itu Rontokbro.LD juga akan disable klik kanan [sedangkan pada VBWorm.ZL tidak disable klik kanan] dengan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoFolderOptions
NoViewContextMenu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
DisableRegistryTools
DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerision\Policies\Explorer
NoTrayContextMenu
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerison\Policies\Explorer
NoTrayCOntextMenu
NoClose
NoFind
NoSetFolders
NoSetTaskbar
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
DisableRegistryTools
DisableTaskMgr
DisableCMD
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
Disabled =1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions
NoViewContextMenu
Rontokbro.LD juga akan mematikan “system restore” dan blok file installer yang mempunyai ekst. MSI dengan membuat string pada registry berikut : (lihat gambar 4)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
DisableConfig
DisableSR
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
DisableMSI = 1
LimitSystemRestoreCheckpointing = 1
Gambar 4, Rontokbro.LD menyembunyikan tabulasi “System restore”
Manipulasi file .EXE, .COM, .BAT, .PIF dan .LNK
Harap hati-hati... jika anda terinfeksi Rontokbro.LD [juga VBWorm.ZL] jangan sesering mungkin menjalankan file yang mempunyai ekst. .exe, .com, .bat, .pif dan .lnk karena jika anda menjalankan file dengan extension tersebut maka secara tidak langsung akan mengaktifkan virus tersebut. Untuk melakukan hal ini ia akan merubah string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
Rontokbro.LD juga akan mebut merubah string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
§ Auto = 1
§ Debugger = "C:\WINDOWS\System32\Shell.exe"
Selain itu jika komputer anda sudah bersih dari pengaruh Rontokbro.LD tetapi selama anda tidak membersihkan string registry yang telah disebutkan di atas maka setiap kali anda menjalankan program yang mempunyai ekstensi .exe, .com, .pif, .lnk dan .bat maka akan muncul pesan error seperti terlihat pada gambar dibawah 5 dan 6 ini :
Gambar 5, Pesan error pada saat menjalankan program [gambar1]
Gambar 6
Menyembunyikan file eksekusi dari sebuah program
Sama seperti pada varian sebalumnya [VBWorm.ZL] Rontokbro.LD juga akan menyembunyikan setiap file executable [.exe] dari sebuah program jika program tersebut dijalankan kemudian untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan dengan ciri-ciri:
Menggunakan icon “Folder”
Ukuran 80 KB
Ext. .EXE
Type file “File Folder” walaupun sebenarnya merupakan “Application” hal ini disebebkan karena virus ini akan merubah type file dari “Application” menjadi “File Folder” teknik ini juga digunakan untuk mengelabui user.
Merubah type file dari “Application” menjadi “File Folder”
Jika komputer anda terinfeksi virus ini coba perhatikan semua file yang mempunyai ext. EXE dimana sebelumnya akan mempunyai type sebagai file “Apllication” kini akan berubah menjadi “File Folder”. Rontokbro.DL sebenarnya mempunyai tujuan lain dalam merubah type file tersebut yakni agar user terkecoh dengan file yang sudah terinfeksi sehingga dengan “tenang” user akan menjalankan file tersebut, tapi kenapa hal ini bisa terjadi ??? hal ini disebabkan Rontokbro.LD akan menggunakan icon “Folder” sehingga dengan type file sebagai “File Folder” maka semakin sempurnalah penyamaran virus tersebut, karena user beranggapan file tersebut adalah “Folder” bukan “applikasi”. Untuk melakukan hal tersebut Rontokbro.LD akan merubah string pada registry berikut : (lihat gambar 7)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
Default = File Folder
Gambar 7, Manipulasi registri oleh Kere yang mengakibatkan file virus terlihat “seolah-olah” folder
Manipulasi file MSVBVM60.dll
Program bahasa yang digunakan untuk membuat Virus ini adalah bahasa VB. Anda pasti sudah tahu bahwa agar semua file yang dibuat dengan menggunakan bahasa VB tidak aktif [termasuk virus] anda hanya perlu merubah file msvbvm60.dll yang berada didirektori [C:\windows\system32] menjadi nama file lain [contoh: msvbvm60old]. Tetapi rupanya virus ini belajar dari pengalaman, dengan tujuan agar Rontokbro.LD dapat tetap aktif dan user kesulitan dalam merubah file tersebut maka Rontokbro.LD akan copy file yang sama [msvbvm60.dll] ke direktori [C:\windows] dengan attribut “hidden” begitupun file msvbvm60.dll yang ada di direktori [C:\windows\system32] juga akan disembunyikan.
Aktif pada mode safe mode dan safe mode with command prompt
Sebagai upaya untuk mempertahankan dirinya, Rontokbro.LD akan tetap aktif walaupun komputer di booting pada mode “safe mode” dan “safe mode with command prompt” sehingga mempersulit proses pembersihan dengan melakukan perubahan pada registry berikut:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
AlternateShell = C:\WINDOWS\kERe.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
AlternateShell = C:\WINDOWS\kERe.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
AlternateShell = C:\WINDOWS\kERe.exe
Membuat file duplikat
Sebagai penutup Rontokbro.LD akan membuat file duplikat disetiap folder dan sub folder sesuai dengan nama folder/file yang ada di foldersubfolder tersebut dengan ciri-ciri
Menggunakan icon “Folder”
Ukuran 80 KB
Ext. .EXE
Type file “File Folder” walaupun sebenarnya merupakan “Application” hal ini disebebkan karena virus ini akan merubah type file dari “Application” menjadi “File Folder” teknik ini juga digunakan untuk mengelabui user.
Media penyebaran
Sama seperti varian awalnya [VBWorm.ZL], Untuk menyebarkan dirinya Rontokbro.LD masih menggunakan media Disket/UFD dengan copy beberapa file serta membuat file duplikat disetiap folder dan sub folder dengan nama file sesuai dengan nama folder yang disembunyikan, berikut beberapa file yang di copy ke media Disket/UFD:
Data %user logon%.exe
Membuat folder KERE [hidden file] dimana folder ini berisi 2 file yakni “folder.htt” dan “SexyIndoGirls.pif”
Catatan:
%user logon% menunjukan user yang digunakan untuk login ke windows
Cara membersihkan Rontokbro.LD secara manual
Putuskan hubungan komputer yang akan dibersihkan dari Jaringan [LAN/WAN]
Matikan proses virus yang aktif di memori. Sebagaimana yang telah dijelaskan di awal bahwa virus ini sulit untuk dibersihkan baik melalui mode “Normal”, “safe mode” atau “safe mode with command prompt” karena ia akan mencoba untuk blok dari berbagai arah agar dirinya tetap aktif termasuk untuk memanipulasi file dengan ext. exe, com, bat, lnk dan pif dengan merubah ke lokasi file induk virus tersebut sehingga jika anda menjalankan file dengan ext tersebut maka secara tidak langsung akan menjalankan virus tersebut, oleh karena itu pembersihan sebaiknya dilakukan melalui mode DOS PROMPT.
Jika komputer anda terinstall Windows dengan OS NT/2000/XP/2003 dengan format NTFS anda dapat menggunakan software NTFS for DOS. Tools ini digunakan untuk membuat Disket Stratup yang nantinya digunakan untuk menghapus file induk virus tersebut, software ini dapat di download di alamat http://www.free-av.com/antivirclassic/avira_ntfs4dos.html. Setelah berhasil download dan menginstall software tersebut buat Disket Startup, untuk membuat disket stratup anda hanya membutuhkan 1 [satu] disket saja. Setelah sisket starup tersebut berhasil dibuat booting komputer melalui disket.
Sebagai informasi Rontokbro.LD dibuat dengan menggunakan program bahasa VB dengan demikian untuk mematikan proses virus tersebut untuk sementara waktu anda hanya perlu merubah file MSVBVM60.dll, Ingat !! virus ini juga akan membuat file MSVBVM60.dll pada direktori [C:\Windows] oleh karena itu selain anda merubah file MSVBVM60.dll di direktori [C:\Windows\System32] anda juga harus merubah file yang sama pada direktori [C:\Windows]
Jika anda menggunakan Software NTFS for DOS biasanya Drive System [C:\] akan menjadi Drive terakhir [contohnya: jika Hard Disk anda mempunyai 2 partisi maka partisi C:\ (system) menjadi D:\.
Setelah anda berhasil masuk ke dalam lingkungan DOS dengan menggunakan NTFS for DOS pastikan kursor berada di Drive system anda [contoh D:\] kemudian rename file MSVBVM60.dll yang ada didirektori [C:\Windows dan C:\Windows\system32] dengan terlebih dahulu masuk ke direktori yang telah disebutkan diatas terlebih dahulu. Setelah itu ketik perintah DIR /AH [untuk melihat file yang di sembunyikan] kemudian ketik kambali perintah ren msvbvm60.dll msvbvm60old kemudian tekan tombol [enter], untuk lebih jelasnya perhatikan gambar 8 dibawah ini :
Gambar 8, Merubah file msvbvm60.dll pad DOS Prompt
Setelah berhasil merubah file MSVBVM60.dll, restart komputer dan booting ke mode “normal”.
Pesan error setelah merubah file msvbvm60.dll
Setelah anda merubah file msvbvm60.dll dan jika anda mencoba untuk menjalankan suatu program [bukan cuma program yang dibuat dengan Visual Basic saja] maka akan muncul pesan error “seolah-olah program tersebut tidak dapat menemukan file msvbvm60.dll” hal ini karena Rontokbro.LD akan mengalihkan ke lokasi file virus itu sendiri [C:\Windows\system32\shell.exe].Perhatikan gambar dibawah 9 ini
Gambar 9, Pesan error ketika menjalankan program
Hapus string registry yang dibuat oleh virus. Untuk mempercepat proses penghapusan salin script dibawah ini pada program “notepad” kemudian simpan dengan nama repair.inf setelah itu jalakan file tersebut dengan cara:
Klik kanan repair.inf
Klik Install
Tetapi Rontokbro.LD akan mencoba untuk blok fungsi klik kanan pada desktop atau file sehingga user akan kesulitan untuk menjalankan file tersebut [repair.inf], oleh karena itu anda harus mengaktifkan kembali fungsi klik kanan tersebut. Untuk mengaktifkan fungsi klik kanan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.bat dan jalankan file tersebut dengan cara klik 2 x file tersebut.
Dim oWSH: Set oWSH = CreateObject("WScript.Shell")
on error resume Next
oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools")
oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu")
oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerision\Policies\explorer\NoTrayCOntextMenu")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu")
Setelah itu restart komputer dan booting pada mode “Normal”. Setelah fungsi klik kanan dapat kembali digunakan, hapus sisa string yang masih ada, untuk mempercepat salin script dibawah ini pada program notepad dan simpan dengan nama repair.inf kemudian jalankan file tersebut [klik repair.inf à klik install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
hklm, SOFTWARE\Classes\lnkfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug,Auto,0x00000020,0
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug,Debugger,0,
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Classes\exefile,,,"Application"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Control Panel\Desktop, SCRNSAVE.EXE,0,
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0, "C:\Windows\system32\userinit.exe,"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,kERe
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,MSMSGS
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System, DisableTaskMgr
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,System Monitoring
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System, DisableTaskMgr
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System, DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoFolderOptions
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
------------------------------------------------------------------------------------------
Catatan:
Sebelum menjalankan repair.inf lakukan pengecekan ulang pada script berikut:
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0, "C:\Windows\system32\userinit.exe,"
Kemudian ganti pada baris C:\Windows\system32\userinit.exe, menjadi C:\Winnt\system32\userinit.exe, jika menggunakan Windows NT/2000, karena baris script diatas [C:\Windows\system32\userinit.exe] berlaku jika komputer terinstall Windows XP/2003.
Setelah menjalankan repair.inf sebaiknya Anda cek kembali registry berikut, karena untuk string yang dibuat akan berbeda-beda sesuai dengan login user yang digunakan pada komputer yang terinfeksi.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Logon%user% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Service%user login% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
Kemudian hapus string Logon %user% dan Service %user%
------------------------------------------------------------------------------------------
Hapus file induk yang telah dibuat oleh virus. Sebelum anda menghapus file induk tersebut pastikan anda sudah menampilkan semua file yang disembunyikan dengan memilih option “ show hidden file anda folder” dan mematikan option “hide file extension for known type” dan “hide protected operating system files (recommended) pada “FOLDER OPTION” kemudian hapus file berikut:
· Data %user%.exe pada setiap partisi Hard Disk, dimana %user% menunjukan user yang digunaakn untuk login ke windows
· C:\kere.exe
· Membuat folder KERE pada setiap drive, dimana folder ini berisi 2 buah file dengan nama "folder.htt" dan "sexyIndoGirls.exe", kedua file ini akan disembunyikan
· C:\Documents and Settings\All Users\Start Menu\Programs\Startup
§ Empty.pif
§ Empty.exe dan Startup.exe
· C:\Documents and Settings\Default User\Start Menu\Programs\Startup
§ Startup.exe
· C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup
§ Startup.exe
· C:\Documents and Settings\%user%\Application Data\Microsoft\Word\STARTUP
§ Startup.exe
· C:\Documents and Settings\%user%\Local Settings\Application Data
§ IExplorer.exe
§ shell.exe
§ csrss.exe
§ kere.exe
§ lsass.exe
§ services.exe
§ winlogon.exe
· C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS
§ Csrss.exe
§ lsass.exe
§ services.exe
§ smss.exe
§ winlogon
· C:\Documents and Settings\%user%\Start Menu\Programs\Startup
§ Startup.exe
· C:\Program Files\Microsoft Office\OFFICE11\STARTUP
§ Startup.exe
· C:\Windows
§ kERe.exe
· C:\WINDOWS\system32
§ MrHelloween.scr
§ shell.exe
§ IExplorer.exe
§ C:\Windows\Downloaded Program Files\SexyIndoGirls.pif
§ C:\Windows\Downloaded Program Files\CONFLICT.X\SexyIndoGirls.pif, dimana X menunjukan angka acak
§ Jika anda mempunyai Flash Disk sebaiknya cek dan hapus file yang mempunyai nama Data %user logon%.exe [contoh: Data Administrator] dan folder “KERE” [folder ini akan disembunyikan]
Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri:
Menggunakan icon “Folder”
Ukuran file 80 KB
Mempunyai extension .EXE
Type file “Application”
Tampilkan kembali semua file executable [.EXE] yang telah disembunyikan oleh virus, untuk mempercepat anda dapat menggunakan perintah ATTRIB pada DOS PROMPT, contoh:
ATTRIB –h –r *.exe /s kemudian tekan tombol [enter] (lihat gambar 10)
Gambar 10, Mengembalikan file .exe yang disembunyikan oleh virus
Jika komputer sudah benar-benar bersih dari virus, rename [ubah] kembali file msvbvm60.dll yang sudah diubah sebelumnya pada didirektori [C:\Windows\system32].
Untuk pembersihan optimal dan mencegah infeksi ulang install antivirus yang sudah dapat mengenali virus ini dengan baik Read More..
Return of the “KERE”, hati-hati dengan SexyIndoGirls
Masih ingat dengan VBWorm.ZL dimana virus ini akan mencoba memanipulasi file dengan ekst. EXE, COM, BAT dan PIF sehingga jika anda menjalankan file dengan ekstesi tersebut, satu hal yang menjadi ciri utama adalah munculnya gambar mr.halloween yang disertai beberapa baris pesan dari sang pembuat virus.
Walaupun masih menggunakan bahasa VB tetapi aksi yang dilakukan patut mendapat acungan “jempol”. Dengan mencoba blok berbagai fungsi windows apalagi di dukung dengan kemampuan untuk memanipulasi ekst yang sudah disebutkan di atas pembersihan melalui DOS adalah langkah yang tepat untuk dilakukan.
Jika kita melihat ke belakang [Sejarah], Anda tentu masih ingat dengan sejarah perkembangan komputer, jika dulu komputer itu mempunyai ukuran yang “sangat” besar kini pada perkembangan selanjutnya komputer mempunyai ukuran yang sangat kecil dan jangan salah walaupun kecil ukurannya semakin canggih fiture dan teknologi yang ada didalamnya, begitupun dengan virus Rontokbro.LD, setelah kemunculan varian pertama yang mempunyai ukuran 88 KB [Norman mendeteksi sebagai W32/VBWorm.ZL], kini sang virus sudah mengeluarkan generasi kedua dengan ukuran lebih kecil yakni 80 KB dengan sedikit modifikasi virus ini berhasil berada setingkat lebih tinggi dari varian sebalumnya dan seperti pendahulunya untuk varian ini masih menggunakan bahasa VB. Walaupun varian kedua ini mempunyai ukuran lebih kecil tetapi aksi yang dilakukan nya jauh lebih cangggih dibandingkan varian awalnya hal ini sesuai dengan tuntutan jaman dimana semakin kecil ukuran dari sebuah virus maka semakin cepat pula virus tersebut akan menyebar dan semakin ganas payload yang dimilikinya.
Perbedaan yang menonjol dari kedua virus ini adalah dimana untuk varian kedua [Rontokbro.LD] mempunyai kemampuan untuk “Disable Klik kanan” dan blok semua file executable [EXE], jadi walaupun komputer anda sudah bersih dari Rontokbro.LD maka setiap kali anda menjalankan file executable [EXE] dari sebuah program akan muncul pesan error sehingga program tersebut tidak dapat dijalankan, selain itu Rontokbro.LD juga akan mencoba blok “shut Down/Restart/Log Off” dengan cara mematikannya ditambah dengan kemampuannya untuk melakukan restart jika user menjalankan fungsi REGEDIT.
Ciri utama dari virus ini sama dengan varian sebelumnya yakni akan memunculkan pesan setiap kali komputer dinyalakan dengan pesan judul “KERE”. (lihat gambar 1)
Gambar 1, Pesan yang ditampilkan setiap kali komputer booting
Dengan update terakhir Norman sudah dapat mengenali virus ini dengan baik sebagai Rontokbro.LD (lihat gambar 2)
Gambar 2, Hasil scanning antivirus Norman
Sama seperti pendahulunya Rontokbro.LD juga akan mencoba untuk blok dari berbagai arah agar dirinya tetap aktif hal ini diperparah dengan kemampuannya untuk manipulasi semua file yang mempunyai ekst. EXE dengan merubah string di registry agar jika setiap kali user menjalankan file dengan ekst. EXE maka secara otomatis akan menjalankan dirinya.
Selain itu Rontokbro.LD juga akan menyembunyikan file EXE dari sebuah program aplikasi yang dijalankan serta akan membuat file duplikat sesuai dengan nama file yang disembunyikan. selain manipulasi file dengan ekst. EXE, Rontokbro.LD juga akan manipulasi file dengan ext. COM, PIF, BAT dan LNK. Pembersihan melalui mode Normal, safe mode atau safe mode with command prompt akan sangat sulit dilakukan oleh karena itu pembersihan melalui DOS merupakan pilihan yang tepat yang dapat dilakukan.
Untuk mengelabui user, Rontokbro.LD akan menggunakan icon “Folder” dengan exstension EXE serta mempunyai type file sebagai “Application”, tetapi jika virus tersebut sudah menginfeksi komputer maka type file “Application” akan berubah menjadi “File Folder” dengan melakukan perubahan pada string registry, dengan demikian semakin sempurnalah penyamaran yang dilakukan oleh Rontokbro.LD (lihat gambar 3)
Gambar 3, File yang terinfeksi Rontokbro.LD
Jika file tersebut dijalankan maka akan muncul sebuah pesan dari si pembuat virus, jika pada varian awalnya akan mempunyai judul “Jeritan Suara Hati” tetapi untuk varian kedua akan mempunyai judul “KERE”, lihat gambar 1 :
Jika virus sudah menginfeksi komputer Rontokbro.LD akan membuat beberapa file induk yang akan dijalankan pertama kali setiap kali komputer dinyalakan, diantaranya:
- Data %user logon%.exe di setiap partisi Hard Disk
- C:\kere.exe
- Membuat folder KERE pada setiap Drive, dimana folder ini berisi 2 buah file dengan nama "folder.htt" dan "sexyIndoGirls.pif".
- C:\Documents and Settings\All Users\Start Menu\Programs\Startup
§ Empty.pif
§ Empty.exe dan Startup.exe
- C:\Documents and Settings\Default User\Start Menu\Programs\Startup
§ Startup.exe
- C:\Documents and Settings\%user%\Application Data\Microsoft\Word\STARTUP
§ Startup.exe
- C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup
§ Startup.exe
- C:\Documents and Settings\%user%\Local Settings\Application Data
§ IExplorer.exe
§ shell.exe
§ csrss.exe
§ kere.exe
§ lsass.exe
§ services.exe
§ winlogon.exe
- C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS
§ Csrss.exe
§ lsass.exe
§ services.exe
§ smss.exe
§ winlogon
- C:\Documents and Settings\%user%\Start Menu\Programs\Startup
§ Startup.exe
- C:\Program Files\Microsoft Office\OFFICE11\STARTUP
§ Startup.exe
- C:\Windows
§ kERe.exe
- C:\WINDOWS\system32
§ MrBugs.scr
§ IExplorer.exe
§ Shell.exe
- C:\Windows\Downloaded Program Files\SexyIndoGirls.pif
- C:\Windows\Downloaded Program Files\CONFLICT.X\SexyIndoGirls.pif, dimana X menunjukan angka acak
-------------------------------------------------------------------------------------------------------
Catatan:
%user logon% menunjukan user yang digunakan untuk login ke windows
-------------------------------------------------------------------------------------------------------
Sebagai penunjang agar file tersebut dapat dijalankan, ia akan membut beberapa string pada registry dibawah ini:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Logon%user logon% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
System Monitoring = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\LSASS.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe "C:\WINDOWS\System32\IExplorer.exe"
userinit = C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\IExplorer.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
kERe = C:\WINDOWS\kERe.exe
MSMSGS = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
Service%user logon% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
-------------------------------------------------------------------------------------------------------
Catatan:
%user logon% menunjukan user yang digunakan untuk login ke windows
-------------------------------------------------------------------------------------------------------
Manipulasi Screen Saver Windows
Selain itu Kere juga akan memanipulasi “Screen Saver Windows” [menyamar seolah-olah sebagai screen saver] dengan mengganti file yang akan di jalankan menjadi Mr.Bugs.scr file ini akan disimpan didirektori [C:\Windows\system32]. File ini akan dijalankan pada waktu-waktu yang telah ditentukan sehingga secara otomatis akan mengaktifkan dirinya. Untuk melakukan hal tersebut ia akan merubah string pada registry berikut:
HKEY_CURRENT_USER\Control Panel\Desktop
C:\WINDOWS\System32\MRBugs.scr
Untuk mempertahankan dirinya Rontokbro.LD akan mencoba untuk melakukan Disable beberapa software security termasuk antivirus maupun fungsi windows seperti regedit, msconfig, task manager, folder option dan cmd selain itu Rontokbro.LD juga akan disable klik kanan [sedangkan pada VBWorm.ZL tidak disable klik kanan] dengan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoFolderOptions
NoViewContextMenu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
DisableRegistryTools
DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerision\Policies\Explorer
NoTrayContextMenu
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerison\Policies\Explorer
NoTrayCOntextMenu
NoClose
NoFind
NoSetFolders
NoSetTaskbar
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
DisableRegistryTools
DisableTaskMgr
DisableCMD
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
Disabled =1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions
NoViewContextMenu
Rontokbro.LD juga akan mematikan “system restore” dan blok file installer yang mempunyai ekst. MSI dengan membuat string pada registry berikut : (lihat gambar 4)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
DisableConfig
DisableSR
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
DisableMSI = 1
LimitSystemRestoreCheckpointing = 1
Gambar 4, Rontokbro.LD menyembunyikan tabulasi “System restore”
Manipulasi file .EXE, .COM, .BAT, .PIF dan .LNK
Harap hati-hati... jika anda terinfeksi Rontokbro.LD [juga VBWorm.ZL] jangan sesering mungkin menjalankan file yang mempunyai ekst. .exe, .com, .bat, .pif dan .lnk karena jika anda menjalankan file dengan extension tersebut maka secara tidak langsung akan mengaktifkan virus tersebut. Untuk melakukan hal ini ia akan merubah string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
Rontokbro.LD juga akan mebut merubah string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
§ Auto = 1
§ Debugger = "C:\WINDOWS\System32\Shell.exe"
Selain itu jika komputer anda sudah bersih dari pengaruh Rontokbro.LD tetapi selama anda tidak membersihkan string registry yang telah disebutkan di atas maka setiap kali anda menjalankan program yang mempunyai ekstensi .exe, .com, .pif, .lnk dan .bat maka akan muncul pesan error seperti terlihat pada gambar dibawah 5 dan 6 ini :
Gambar 5, Pesan error pada saat menjalankan program [gambar1]
Gambar 6
Menyembunyikan file eksekusi dari sebuah program
Sama seperti pada varian sebalumnya [VBWorm.ZL] Rontokbro.LD juga akan menyembunyikan setiap file executable [.exe] dari sebuah program jika program tersebut dijalankan kemudian untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan dengan ciri-ciri:
Menggunakan icon “Folder”
Ukuran 80 KB
Ext. .EXE
Type file “File Folder” walaupun sebenarnya merupakan “Application” hal ini disebebkan karena virus ini akan merubah type file dari “Application” menjadi “File Folder” teknik ini juga digunakan untuk mengelabui user.
Merubah type file dari “Application” menjadi “File Folder”
Jika komputer anda terinfeksi virus ini coba perhatikan semua file yang mempunyai ext. EXE dimana sebelumnya akan mempunyai type sebagai file “Apllication” kini akan berubah menjadi “File Folder”. Rontokbro.DL sebenarnya mempunyai tujuan lain dalam merubah type file tersebut yakni agar user terkecoh dengan file yang sudah terinfeksi sehingga dengan “tenang” user akan menjalankan file tersebut, tapi kenapa hal ini bisa terjadi ??? hal ini disebabkan Rontokbro.LD akan menggunakan icon “Folder” sehingga dengan type file sebagai “File Folder” maka semakin sempurnalah penyamaran virus tersebut, karena user beranggapan file tersebut adalah “Folder” bukan “applikasi”. Untuk melakukan hal tersebut Rontokbro.LD akan merubah string pada registry berikut : (lihat gambar 7)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
Default = File Folder
Gambar 7, Manipulasi registri oleh Kere yang mengakibatkan file virus terlihat “seolah-olah” folder
Manipulasi file MSVBVM60.dll
Program bahasa yang digunakan untuk membuat Virus ini adalah bahasa VB. Anda pasti sudah tahu bahwa agar semua file yang dibuat dengan menggunakan bahasa VB tidak aktif [termasuk virus] anda hanya perlu merubah file msvbvm60.dll yang berada didirektori [C:\windows\system32] menjadi nama file lain [contoh: msvbvm60old]. Tetapi rupanya virus ini belajar dari pengalaman, dengan tujuan agar Rontokbro.LD dapat tetap aktif dan user kesulitan dalam merubah file tersebut maka Rontokbro.LD akan copy file yang sama [msvbvm60.dll] ke direktori [C:\windows] dengan attribut “hidden” begitupun file msvbvm60.dll yang ada di direktori [C:\windows\system32] juga akan disembunyikan.
Aktif pada mode safe mode dan safe mode with command prompt
Sebagai upaya untuk mempertahankan dirinya, Rontokbro.LD akan tetap aktif walaupun komputer di booting pada mode “safe mode” dan “safe mode with command prompt” sehingga mempersulit proses pembersihan dengan melakukan perubahan pada registry berikut:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
AlternateShell = C:\WINDOWS\kERe.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
AlternateShell = C:\WINDOWS\kERe.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
AlternateShell = C:\WINDOWS\kERe.exe
Membuat file duplikat
Sebagai penutup Rontokbro.LD akan membuat file duplikat disetiap folder dan sub folder sesuai dengan nama folder/file yang ada di foldersubfolder tersebut dengan ciri-ciri
Menggunakan icon “Folder”
Ukuran 80 KB
Ext. .EXE
Type file “File Folder” walaupun sebenarnya merupakan “Application” hal ini disebebkan karena virus ini akan merubah type file dari “Application” menjadi “File Folder” teknik ini juga digunakan untuk mengelabui user.
Media penyebaran
Sama seperti varian awalnya [VBWorm.ZL], Untuk menyebarkan dirinya Rontokbro.LD masih menggunakan media Disket/UFD dengan copy beberapa file serta membuat file duplikat disetiap folder dan sub folder dengan nama file sesuai dengan nama folder yang disembunyikan, berikut beberapa file yang di copy ke media Disket/UFD:
Data %user logon%.exe
Membuat folder KERE [hidden file] dimana folder ini berisi 2 file yakni “folder.htt” dan “SexyIndoGirls.pif”
Catatan:
%user logon% menunjukan user yang digunakan untuk login ke windows
Cara membersihkan Rontokbro.LD secara manual
Putuskan hubungan komputer yang akan dibersihkan dari Jaringan [LAN/WAN]
Matikan proses virus yang aktif di memori. Sebagaimana yang telah dijelaskan di awal bahwa virus ini sulit untuk dibersihkan baik melalui mode “Normal”, “safe mode” atau “safe mode with command prompt” karena ia akan mencoba untuk blok dari berbagai arah agar dirinya tetap aktif termasuk untuk memanipulasi file dengan ext. exe, com, bat, lnk dan pif dengan merubah ke lokasi file induk virus tersebut sehingga jika anda menjalankan file dengan ext tersebut maka secara tidak langsung akan menjalankan virus tersebut, oleh karena itu pembersihan sebaiknya dilakukan melalui mode DOS PROMPT.
Jika komputer anda terinstall Windows dengan OS NT/2000/XP/2003 dengan format NTFS anda dapat menggunakan software NTFS for DOS. Tools ini digunakan untuk membuat Disket Stratup yang nantinya digunakan untuk menghapus file induk virus tersebut, software ini dapat di download di alamat http://www.free-av.com/antivirclassic/avira_ntfs4dos.html. Setelah berhasil download dan menginstall software tersebut buat Disket Startup, untuk membuat disket stratup anda hanya membutuhkan 1 [satu] disket saja. Setelah sisket starup tersebut berhasil dibuat booting komputer melalui disket.
Sebagai informasi Rontokbro.LD dibuat dengan menggunakan program bahasa VB dengan demikian untuk mematikan proses virus tersebut untuk sementara waktu anda hanya perlu merubah file MSVBVM60.dll, Ingat !! virus ini juga akan membuat file MSVBVM60.dll pada direktori [C:\Windows] oleh karena itu selain anda merubah file MSVBVM60.dll di direktori [C:\Windows\System32] anda juga harus merubah file yang sama pada direktori [C:\Windows]
Jika anda menggunakan Software NTFS for DOS biasanya Drive System [C:\] akan menjadi Drive terakhir [contohnya: jika Hard Disk anda mempunyai 2 partisi maka partisi C:\ (system) menjadi D:\.
Setelah anda berhasil masuk ke dalam lingkungan DOS dengan menggunakan NTFS for DOS pastikan kursor berada di Drive system anda [contoh D:\] kemudian rename file MSVBVM60.dll yang ada didirektori [C:\Windows dan C:\Windows\system32] dengan terlebih dahulu masuk ke direktori yang telah disebutkan diatas terlebih dahulu. Setelah itu ketik perintah DIR /AH [untuk melihat file yang di sembunyikan] kemudian ketik kambali perintah ren msvbvm60.dll msvbvm60old kemudian tekan tombol [enter], untuk lebih jelasnya perhatikan gambar 8 dibawah ini :
Gambar 8, Merubah file msvbvm60.dll pad DOS Prompt
Setelah berhasil merubah file MSVBVM60.dll, restart komputer dan booting ke mode “normal”.
Pesan error setelah merubah file msvbvm60.dll
Setelah anda merubah file msvbvm60.dll dan jika anda mencoba untuk menjalankan suatu program [bukan cuma program yang dibuat dengan Visual Basic saja] maka akan muncul pesan error “seolah-olah program tersebut tidak dapat menemukan file msvbvm60.dll” hal ini karena Rontokbro.LD akan mengalihkan ke lokasi file virus itu sendiri [C:\Windows\system32\shell.exe].Perhatikan gambar dibawah 9 ini
Gambar 9, Pesan error ketika menjalankan program
Hapus string registry yang dibuat oleh virus. Untuk mempercepat proses penghapusan salin script dibawah ini pada program “notepad” kemudian simpan dengan nama repair.inf setelah itu jalakan file tersebut dengan cara:
Klik kanan repair.inf
Klik Install
Tetapi Rontokbro.LD akan mencoba untuk blok fungsi klik kanan pada desktop atau file sehingga user akan kesulitan untuk menjalankan file tersebut [repair.inf], oleh karena itu anda harus mengaktifkan kembali fungsi klik kanan tersebut. Untuk mengaktifkan fungsi klik kanan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.bat dan jalankan file tersebut dengan cara klik 2 x file tersebut.
Dim oWSH: Set oWSH = CreateObject("WScript.Shell")
on error resume Next
oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools")
oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu")
oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerision\Policies\explorer\NoTrayCOntextMenu")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu")
Setelah itu restart komputer dan booting pada mode “Normal”. Setelah fungsi klik kanan dapat kembali digunakan, hapus sisa string yang masih ada, untuk mempercepat salin script dibawah ini pada program notepad dan simpan dengan nama repair.inf kemudian jalankan file tersebut [klik repair.inf à klik install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
hklm, SOFTWARE\Classes\lnkfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug,Auto,0x00000020,0
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug,Debugger,0,
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Classes\exefile,,,"Application"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Control Panel\Desktop, SCRNSAVE.EXE,0,
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0, "C:\Windows\system32\userinit.exe,"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,kERe
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,MSMSGS
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System, DisableTaskMgr
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,System Monitoring
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System, DisableTaskMgr
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System, DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoFolderOptions
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
------------------------------------------------------------------------------------------
Catatan:
Sebelum menjalankan repair.inf lakukan pengecekan ulang pada script berikut:
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0, "C:\Windows\system32\userinit.exe,"
Kemudian ganti pada baris C:\Windows\system32\userinit.exe, menjadi C:\Winnt\system32\userinit.exe, jika menggunakan Windows NT/2000, karena baris script diatas [C:\Windows\system32\userinit.exe] berlaku jika komputer terinstall Windows XP/2003.
Setelah menjalankan repair.inf sebaiknya Anda cek kembali registry berikut, karena untuk string yang dibuat akan berbeda-beda sesuai dengan login user yang digunakan pada komputer yang terinfeksi.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Logon%user% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Service%user login% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
Kemudian hapus string Logon %user% dan Service %user%
------------------------------------------------------------------------------------------
Hapus file induk yang telah dibuat oleh virus. Sebelum anda menghapus file induk tersebut pastikan anda sudah menampilkan semua file yang disembunyikan dengan memilih option “ show hidden file anda folder” dan mematikan option “hide file extension for known type” dan “hide protected operating system files (recommended) pada “FOLDER OPTION” kemudian hapus file berikut:
· Data %user%.exe pada setiap partisi Hard Disk, dimana %user% menunjukan user yang digunaakn untuk login ke windows
· C:\kere.exe
· Membuat folder KERE pada setiap drive, dimana folder ini berisi 2 buah file dengan nama "folder.htt" dan "sexyIndoGirls.exe", kedua file ini akan disembunyikan
· C:\Documents and Settings\All Users\Start Menu\Programs\Startup
§ Empty.pif
§ Empty.exe dan Startup.exe
· C:\Documents and Settings\Default User\Start Menu\Programs\Startup
§ Startup.exe
· C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup
§ Startup.exe
· C:\Documents and Settings\%user%\Application Data\Microsoft\Word\STARTUP
§ Startup.exe
· C:\Documents and Settings\%user%\Local Settings\Application Data
§ IExplorer.exe
§ shell.exe
§ csrss.exe
§ kere.exe
§ lsass.exe
§ services.exe
§ winlogon.exe
· C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS
§ Csrss.exe
§ lsass.exe
§ services.exe
§ smss.exe
§ winlogon
· C:\Documents and Settings\%user%\Start Menu\Programs\Startup
§ Startup.exe
· C:\Program Files\Microsoft Office\OFFICE11\STARTUP
§ Startup.exe
· C:\Windows
§ kERe.exe
· C:\WINDOWS\system32
§ MrHelloween.scr
§ shell.exe
§ IExplorer.exe
§ C:\Windows\Downloaded Program Files\SexyIndoGirls.pif
§ C:\Windows\Downloaded Program Files\CONFLICT.X\SexyIndoGirls.pif, dimana X menunjukan angka acak
§ Jika anda mempunyai Flash Disk sebaiknya cek dan hapus file yang mempunyai nama Data %user logon%.exe [contoh: Data Administrator] dan folder “KERE” [folder ini akan disembunyikan]
Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri:
Menggunakan icon “Folder”
Ukuran file 80 KB
Mempunyai extension .EXE
Type file “Application”
Tampilkan kembali semua file executable [.EXE] yang telah disembunyikan oleh virus, untuk mempercepat anda dapat menggunakan perintah ATTRIB pada DOS PROMPT, contoh:
ATTRIB –h –r *.exe /s kemudian tekan tombol [enter] (lihat gambar 10)
Gambar 10, Mengembalikan file .exe yang disembunyikan oleh virus
Jika komputer sudah benar-benar bersih dari virus, rename [ubah] kembali file msvbvm60.dll yang sudah diubah sebelumnya pada didirektori [C:\Windows\system32].
Untuk pembersihan optimal dan mencegah infeksi ulang install antivirus yang sudah dapat mengenali virus ini dengan baik Read More..
W32/Rontokbro.LA
W32/Rontokbro.LA [4k51k4] 9 JAnuari 2007
Menginfeksi komputer dari Flash Disk tanpa perlu di klik
Pengantar :
Apa yang diajarkan Son Goku kepada kita ? Jika anda penggemar Dragon Ball, menghayati dan mengamalkannya tentunya anda tidak akan sombong karena pesannya jelas sekali, di atas langit masih ada langit. Rupanya hal ini terjadi di kancah pervirusan Indonesia.
Jika SOP (Standard Operation Procedur) virus lokal selama ini adalah menyebarkan dirinya melalui Flash Disk atau Disket dan dengan rekayasa sosial yang canggih (memalsukan Icon virus sebagai folder atau aplikasi lain seperti MS Word, JPG). Dengan teknik sederhana ini biasanya pengguna komputer banyak yang secara tidak sadar menjalankan virus tersebut dan terinfeksi.
Tentunya pengguna komputer yang tidak pernah sembarangan mengklik file akan lebih aman dari penularan virus lokal. 100 % aman ?.... Tunggu Dulu !!! Sebelum memberikan Piala Citra pada pengguna yang tidak pernah sembarangan mengklik file sebaiknya anda lihat ancaman yang datang dari varian Ekskul...eh.. Rontokbro yang terakhir ini. W32/Rontokbro.LA, yang satu ini bisa mengaktifkan dirinya setiap kali anda mengakses Flash Disk yang dicolokkan pada komputer. Dan kabar buruknya, sudah ada beberapa varian virus lokal yang memiliki kemampuan menjalankan dirinya secara otomatis setiap kali Flash Disk di colokkan ke komputer.
4K51K4
Apa yang aku lakukan tak dapat kau rasakan
Apa yang kau lakukan tak dapat aku rasakan
Benar-benar jauh, tak kan dapat kugapai
Aku paksa, tetap akan lukai diri..
Senyummu gerakan senyumku
Sedihmu mengiris hatiku
Tangisku bukan milikmu
Tangismu adalah milikku
Tak ada lagi yang ku kejar saat ini
Nanti, ya nanti aku akan mulai mengejar
Lepaskan sebagian letihku saat ini
Nanti, nanti aku mulai berkobar
Seperti yang sudah kita ketahui bahwa virus lokal biasanya akan menyebar menggunakan Disket / Flash Disk dan kita juga tahu bahwa virus tersebut baru akan aktif jika user menjalankan file yang sudah terinfeksi virus. Contohnya jika Flash Disk anda sudah terinfeksi virus dan Flash Disk tersebut di colokkan ke PC yang bersih maka anda perlu menjalankan file yang sudah terinfeksi terlebih dahulu dengan klik ganda pada file untuk mengaktifkan virus tersebut. Kini metode tersebut sudah kuno (anak kecil juga bisa). Lagi-lagi Rontokbro menjadi pionir dalam mencari cara baru menginfeksi komputer dimana variannya dengan nama W32/Rontokbro.LA mampu mengaktifkan dirinya secara otomatis setiap kali UFD (USB Flash Disk) di colokkan pada komputer. Dan ternyata sudah banyak virus lokal yang memiliki kemampuan yang sama. Rahasianya adalah script untuk menjalankan file yang sudah terinfeksi didalam Disket / Flash Disk tersebut sehingga jika user mengakses Disket / Flash Disk maka secara otomatis akan menjalankan script yang sudah dibuat tadi.
Rontokbro.LA dibuat dengan menggunakan bahasa Visual Basic serta mengusung sebuah puisi cinta yang berjudul “4K51K4”, seperti terlihat pada gambar 1 dan 2 dibawah ini:
Gambar 1, File induk W32/Rontokbro.LA
Gambar 2, Penggalan puisi W32/Rontokbro.LA
Dengan update terbaru Norman Virus Control sudah dapat mengenali virus ini sebagai Rontokbro.LA (Gambar 3)
Gambar 3, Hasil Scan Norman Virus Control terhadap virus W32/Rontokbro.LA
Agar Rontokbro.LA dapat berkembang biak ia akan membuat beberapa file induk yang akan disimpan di direktori berikut:
C:\Data%user%.exe [contoh: Data Administrator.exe], file ini akan disimpan di setiap drive termasuk disket dan flash disk
C:\4k51k4.exe, file ini akan disimpan di setiap drive termasuk disket dan flash disk
C:\puisi.txt
C:\desktop.ini, file ini akan disimpan di setiap drive termasuk disket dan flash disk
C:\4K51K4, file ini akan disimpan di setiap drive termasuk disket dan flash disk. Folder ini berisi 2 buah file dengan nama:
- Folder.htt
- New Folder.exe
C:\Documents and Settings\Adang\Start Menu\Programs\Startup\startup.exe
C:\Documents and Settings\Adang\Local Settings\Application Data
- 4k51k4.exe
- csrss.exe
- Empty.Pif
- IExplorer.exe
- lsass.exe
- services.exe
- shell.exe
- winlogon.exe
C:\Documents and Settings\%usr%\Local Settings\Application Data\WINDOWS
- csrss.exe
- lsass.exe
- services.exe
- smss.exe
- winlogon.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
- Empty.pif
- Empty.exe
- Startup.exe
C:\Documents and Settings\Default User\Start Menu\Programs\Startup
- Startup.exe
C:\WINDOWS
- 4k51k4.exe
C:\WINDOWS\system32
- shell.exe
- MrHelloween.scr
- IExplorer.exe
Membuat msvbvm60.dll cadangan
Seperti yang sudah dijelaskan diatas bahwa Rontokbro.LA dibuat dengan menggunakan bahasa Visual Basic sehingga lebih mudah untuk pembersihannya dengan syarat anda merubah file msvbvm60.dll yang ada di direktori C:\Windows\system32, tetapi virus ini juga cerdik ia akan membuat pasukan cadangan dengan nama yang sama sehingga walaupun file msvbvm60.dll yang ada di folder C:\Windows\system32 sudah direname, tetapi virus ini akan tetap aktif, file ini akan disimpan di direktori C:\Windows
Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat beberapa string pada registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
§ 4k51k4 = C:\WINDOWS\4k51k4.exe
§ MSMSGS = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
§ Service%user% = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\SERVICES.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
§ Logon%user% = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\CSRSS.EXE
§ System Monitoring = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\LSASS.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
§ Shell = Explorer.exe "C:\WINDOWS\system32\IExplorer.exe"
§ userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\IExplorer.exe
Rontokbro.LA juga akan merubah setting pada Screen Saver dengan tujuan untuk menjalankan file MrHelloween.scr [C:\Windows\system32] pada waktu-waktu yang sudah ditentukan, dengan merubah string pada registry berikut:
HKEY_CURRENT_USER\Control Panel\Desktop
§ SCRNSAVE.EXE = C:\WINDOWS\system32\MRHELL~1.SCR
Untuk menjaga eksistensinya, Rontokbro.LA akan mencoba untuk blok beberapa fungsi Windows seperti Task Manager/Regedit/Folder Option/Disable MSI Installer atau Disable System Restore tools security seperti proceexp, security task manager, atau killbox pun dibuat tak berdaya. Untuk blok fungsi Windows tersebut ia akan membuat beberapa string pada regsitry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
§ NoFolderOptions
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
§ DisableRegistryTools
§ DisableTaskMgr
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
§ DisableMSI = 1
§ LimitSystemRestoreCheckpointing = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
§ DisableConfig = 1
§ DisableSR
Selain itu Rontokbro.LA juga akan mencoba untuk menyembunyikan semua file yang mempunyai ekst. EXE/BAT/PIF/COM atau LNK jika file tersebut dijalankan dan untuk mengelabui user ia akan membuat file duplikat dengan nama file yang sama. Rontokbro.LA juga mempunyai metode lain agar dirinya tetap aktif setiap waktu yakni dengan memanipulasi setiap file yang mempunyai ekst. EXE/COM/BAT/PIF atau LNK dengan demikian setiap kali user menjalankan file yang mempunyai ekst tersebut maka secara otomatis akan mengaktifkan virus tersebut. Untuk melakukan hal tersebut ia akan mebuat beberapa string pada registy berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
Rontokbrol.LA juga akan mencoba untuk merubah type file dari “Application” menjadi “File Folder” sehingga akan semakin sempurna pula penyamaran yang dilakukan oleh Rontokbro karena icon yang akan digunakan oleh Rontokbro.LA adalah icon “Folder” sehingga dengan type file “File Folder” akan mempermudah untuk menjebak user untuk menjalankan file yang sudah terinfeksi virus tersebut. Sebenarnya ada satu cara yang dapat anda gunakan agar tidak terjebak untuk menjalankan file yang sudah terinfeksi yakni dengan menampilkan file secara detail [View -- > Detail] dan biasanya sebuah folder tidak akan mempunyai ukuran, jadi jika anda menjumpai file dengan icon “folder” dan mempunyai ukuran sebaiknya jangan dijalankan karena kemungkinan besar merupakan virus, perhatikan gambar 4 dibawah ini:
Gambar 4, Perbandingan antara folder asli dan file yang terinfeksi virus
Menyebar otomatis melalui Disket / Flash Disk
Rontokbro.LA masih menggunakan Disket/Flash Disk sebagai media penyebarannya dengan membuat beberapa file berikut:
4K51K4, folder ini berisi 2 buah file dengan nama Folder.htt dan New Folder.exe
Data %user%.exe, contoh: Data Admin.exe
Desktop.ini
Agar file yang sudah dibuat di Disket/Flash Disk tersebut aktif secara otomatis tanpa harus dijalankan secara manual oleh user, ia akan membuat script pada Disket/Flash Disk tersebut dengan nama Desktop.ini dimana script ini berisi perintah untuk menjalankan file Folder.htt. File Folder.htt ini berisi perintah lain untuk menjalankan file New Folder.exe. Perhatikan penggalan script yang ada pada file Desktop.ini dan Folder.htt (gambar 5 dan 6)
Gambar 5, Penggalan script Desktop.ini yang menjalankan file folder.htt
Gambar 6, Penggalan script Folder.htt yang secara otomatis akan menjalankan file virus
Jadi, setiap kali user mengakses Disket/Flash Disk yang sudah terinfeksi maka secara otomatis akan mengaktifkan virus tersebut. Rontokbro.LA juga akan membuat file Desktop.ini di setiap Drive [contoh: Drive C:\ atau D:\] sehingga jika user mengakses kedua Drive tersebut maka secara otomatis akan mengaktifkan virus tersebut tanpa harus menjalankan file yang sudah terinfeksi terlebih dahulu, suatu perkembangan yang luar biasa dan saat ini sudah banyak virus lokal yang akan menggunakan metode ini sebut saja virus W32/Askis, W32/VBWorm.ZL, VBWorm.MOS atau W32/Aksika.
Sebagai penutup Rontokbro.LA akan membuat file duplikat disetiap Folder dan sub folder yang diakses sesuai dengan nama folder tersebut dengan ciri-ciri : (lihat gambar 7)
Icon Folder
Ukuran 45 KB
Ext. EXE
Type file “Application”
Gambar 7, File duplikat yang dibuat oleh Rontokbro
Cara membersihkan Rontokbro.LA
1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan
2. Matikan proses virus yang aktif dimemori. Sebagai informasi Rontokbro.AL akan aktif di mode “normal”, “safe mode” maupun “safe mode with command prompt”, file induk yang aktif di memori juga sangat sulit untuk dimatikan hal ini diperparah dengan kondisi dimana virus ini akan aktif setiap kali user menjalankan file Executable [EXE] dari suatu program, tools security seperti security task manager/proceeXP atau killbox pun dibuat tak berdaya. Kabar baiknya Rontokbro.AL dibuat dengan menggunakan bahasa Visual Basic sehingga anda hanya perlu merubah file MSVBVM60.dll yang ada didirektori C:\Windows dan C:\Windowws\system32
Untuk merubah file MSVBVM60.dll tersebut, terlebih dahulu anda harus membuat Disket Startup karena file tersebut akan diubah pada mode DOS. Untuk membuat disket startup tersebut anda dapat menggunakan software NTFS For DOS, tools ini dapat di download di alamat http://www.wsdownload.de/download/ntfs4dos/ntfsinst.exe.
Setelah anda berhasil membuat disket Startup boting komputer melalui Disket. Sebagai informasi jika anda menggunakan tools NTFS for Dos ini maka Drive System [C:\] akan menjadi Drive terakhir, jadi jika anda mempunyai 2 partisi maka partisi C:\ akan menjadi D:\ begitupun sebaliknya [partisi D:\ menjadi C:\] oleh karena itu setelah berhasil masuk ke mode DOS kemudian masuk ke Drive System dengan mengetik perintah %drive system%: kemudian tekan tombol “enter” pada keyboard [contoh: D: kemudian tekan tombol “enter”] setelah itu masuk ke direktori ..\Windows dengan mengetik CD WINDOWS kemudian tekan tombol “enter”, setelah itu ketik perintah dibawah ini:
· DIR/AH kemudian tekan tombol “enter” pada keyboard [untuk melihat file yang disembunyikan], jika di direktori ini ditemukan file MSVBVM60.DLL, ubah nama file tersebut dengan mengetik perintah dibawah ini
· REN MSVBVM60.DLL MSVBVM60 kemudian tekan tombol “enter“ pada keyboard
Ubah juga file MSVBVM60.DLL yang ada di direktori ..\Windows\system32, dengan mengunakan perintah yang sama seperti di atas. (lihat gambar 8)
Gambar 8, Merubah file MSVBVM60.dll menjadi msvbvm60
Setelah file tersebut berhasil di ubah, restart komputer dan booting ke mode "Normal". Setelah komputer booting maka akan muncul beberapa pesan error, ini menandakan bahwa virus tersebut gagal untuk dijalankan [aktif] kerena tidak menemukan file MSVBVM60.DLL, jika muncul pesan tersebut klik tombol [OK], perhatikan gambar 9 dibawah ini.
Gambar 9, Pesan error setelah merubah file MSVBVM60.DLL
3. Hapus string registry yang dibuat oleh virus. Salin script dibawah ini pada program Notepad dan simpan dengan nama repair.inf kemudian jalankan dengan cara
klik kanan repair.inf
klik install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Control Panel\International, s1159,0, "AM"
HKCU, Control Panel\International, s2359,0, "PM"
HKLM, SOFTWARE\Classes\exefile,,,"Application"
HKCU, Control Panel\Desktop,SCRNSAVE.EXE ,0,
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, 4k51k4
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, MSMSGS
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, System Monitoring
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableSR
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, System Monitoring
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, DisableCMD
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableSR
4. Hapus file induk yang dibuat oleh virus, sebelum menghapus file tersebut pastikan anda sudah menampilkan file/folder yang disembunyikan dengan memilih option "Show hidden files and folders" dan menghilangkan pilihan "Hide extension for known file types" dan "Hide protected operating system files (recommended)" pada Folder Option, perhatikan gambar 10 dibawah ini:
Gambar 10, Menampilkan file yang disembunyikan
Setelah itu hapus file induk berikut:
C:\Data%user%.exe [contoh: Data Admin.exe]
C:\4k51k4.exe
C:\Puisi.txt
C:\Desktop.ini
C:\4K51K4, folder ini berisi 2 buah file berikut:
- Folder.htt
- New Folder.exe
C:\Documents and Settings\%user%\Start Menu\Programs\Startup\startup.exe
C:\Documents and Settings\%user%\Local Settings\Application Data
- 4k51k4.exe
- csrss.exe
- Empty.Pif
- IExplorer.exe
- lsass.exe
- services.exe
- shell.exe
- winlogon.exe
C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS
- csrss.exe
- lsass.exe
- services.exe
- smss.exe
- winlogon.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
- Empty.pif
- Empty.exe
- Startup.exe
C:\WINDOWS\4k51k4.exe
C:\WINDOWS\system32
- Shell.exe
- MrHelloween.scr
- IExplorer.exe
Hapus juga file yang ada di Disket/Flash Disk:
4K51K4, folder ini berisi 2 buah file dengan nama Folder.htt dan New Folder.exe
Data %user%.exe, contoh: Data Admin.exe
Desktop.ini
5. Hapus file duplikat yang sudah dibuat oleh virus baik di Hard Disk maupun di Disket/Flash Disk dengan ciri-ciri :
Menggunakan icon folder
Ukuran 45 KB
Ext. exe
Type file "application"
6. Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan Norman Virus Control yang sudah dapat mengenali virus ini dengan baik.
7. Jika komputer sudah bersih dari virus, tampilkan kembali file .EXE yang sudah disembunyikan. Gunakan perintah ATTRIB -s -h *.exe /s /d pada Dos Prompt. Sebagai informasi Rontokbro.LA juga akan mencoba untuk menyembunyikan file dengan ekst. Bat/Com/lnk dan Pif jika file tersebut dijalankan oleh karena itu untuk menampilkan kembali file dengan ext tersebut gunakan perintah seperti diatas dengan mengganti ekstensi yang akan ditampilkan, contoh ATTRIB -s -h *.com /s /d (lihat gambar 11)
Gambar 11, Menampilkan ekstensi yang disembunyikan
8. Ubah kembali file msvbvm60 yang ada di direktori C:\Windows\system32 menjadi msvbvm60.dll Read More..
Menginfeksi komputer dari Flash Disk tanpa perlu di klik
Pengantar :
Apa yang diajarkan Son Goku kepada kita ? Jika anda penggemar Dragon Ball, menghayati dan mengamalkannya tentunya anda tidak akan sombong karena pesannya jelas sekali, di atas langit masih ada langit. Rupanya hal ini terjadi di kancah pervirusan Indonesia.
Jika SOP (Standard Operation Procedur) virus lokal selama ini adalah menyebarkan dirinya melalui Flash Disk atau Disket dan dengan rekayasa sosial yang canggih (memalsukan Icon virus sebagai folder atau aplikasi lain seperti MS Word, JPG). Dengan teknik sederhana ini biasanya pengguna komputer banyak yang secara tidak sadar menjalankan virus tersebut dan terinfeksi.
Tentunya pengguna komputer yang tidak pernah sembarangan mengklik file akan lebih aman dari penularan virus lokal. 100 % aman ?.... Tunggu Dulu !!! Sebelum memberikan Piala Citra pada pengguna yang tidak pernah sembarangan mengklik file sebaiknya anda lihat ancaman yang datang dari varian Ekskul...eh.. Rontokbro yang terakhir ini. W32/Rontokbro.LA, yang satu ini bisa mengaktifkan dirinya setiap kali anda mengakses Flash Disk yang dicolokkan pada komputer. Dan kabar buruknya, sudah ada beberapa varian virus lokal yang memiliki kemampuan menjalankan dirinya secara otomatis setiap kali Flash Disk di colokkan ke komputer.
4K51K4
Apa yang aku lakukan tak dapat kau rasakan
Apa yang kau lakukan tak dapat aku rasakan
Benar-benar jauh, tak kan dapat kugapai
Aku paksa, tetap akan lukai diri..
Senyummu gerakan senyumku
Sedihmu mengiris hatiku
Tangisku bukan milikmu
Tangismu adalah milikku
Tak ada lagi yang ku kejar saat ini
Nanti, ya nanti aku akan mulai mengejar
Lepaskan sebagian letihku saat ini
Nanti, nanti aku mulai berkobar
Seperti yang sudah kita ketahui bahwa virus lokal biasanya akan menyebar menggunakan Disket / Flash Disk dan kita juga tahu bahwa virus tersebut baru akan aktif jika user menjalankan file yang sudah terinfeksi virus. Contohnya jika Flash Disk anda sudah terinfeksi virus dan Flash Disk tersebut di colokkan ke PC yang bersih maka anda perlu menjalankan file yang sudah terinfeksi terlebih dahulu dengan klik ganda pada file untuk mengaktifkan virus tersebut. Kini metode tersebut sudah kuno (anak kecil juga bisa). Lagi-lagi Rontokbro menjadi pionir dalam mencari cara baru menginfeksi komputer dimana variannya dengan nama W32/Rontokbro.LA mampu mengaktifkan dirinya secara otomatis setiap kali UFD (USB Flash Disk) di colokkan pada komputer. Dan ternyata sudah banyak virus lokal yang memiliki kemampuan yang sama. Rahasianya adalah script untuk menjalankan file yang sudah terinfeksi didalam Disket / Flash Disk tersebut sehingga jika user mengakses Disket / Flash Disk maka secara otomatis akan menjalankan script yang sudah dibuat tadi.
Rontokbro.LA dibuat dengan menggunakan bahasa Visual Basic serta mengusung sebuah puisi cinta yang berjudul “4K51K4”, seperti terlihat pada gambar 1 dan 2 dibawah ini:
Gambar 1, File induk W32/Rontokbro.LA
Gambar 2, Penggalan puisi W32/Rontokbro.LA
Dengan update terbaru Norman Virus Control sudah dapat mengenali virus ini sebagai Rontokbro.LA (Gambar 3)
Gambar 3, Hasil Scan Norman Virus Control terhadap virus W32/Rontokbro.LA
Agar Rontokbro.LA dapat berkembang biak ia akan membuat beberapa file induk yang akan disimpan di direktori berikut:
C:\Data%user%.exe [contoh: Data Administrator.exe], file ini akan disimpan di setiap drive termasuk disket dan flash disk
C:\4k51k4.exe, file ini akan disimpan di setiap drive termasuk disket dan flash disk
C:\puisi.txt
C:\desktop.ini, file ini akan disimpan di setiap drive termasuk disket dan flash disk
C:\4K51K4, file ini akan disimpan di setiap drive termasuk disket dan flash disk. Folder ini berisi 2 buah file dengan nama:
- Folder.htt
- New Folder.exe
C:\Documents and Settings\Adang\Start Menu\Programs\Startup\startup.exe
C:\Documents and Settings\Adang\Local Settings\Application Data
- 4k51k4.exe
- csrss.exe
- Empty.Pif
- IExplorer.exe
- lsass.exe
- services.exe
- shell.exe
- winlogon.exe
C:\Documents and Settings\%usr%\Local Settings\Application Data\WINDOWS
- csrss.exe
- lsass.exe
- services.exe
- smss.exe
- winlogon.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
- Empty.pif
- Empty.exe
- Startup.exe
C:\Documents and Settings\Default User\Start Menu\Programs\Startup
- Startup.exe
C:\WINDOWS
- 4k51k4.exe
C:\WINDOWS\system32
- shell.exe
- MrHelloween.scr
- IExplorer.exe
Membuat msvbvm60.dll cadangan
Seperti yang sudah dijelaskan diatas bahwa Rontokbro.LA dibuat dengan menggunakan bahasa Visual Basic sehingga lebih mudah untuk pembersihannya dengan syarat anda merubah file msvbvm60.dll yang ada di direktori C:\Windows\system32, tetapi virus ini juga cerdik ia akan membuat pasukan cadangan dengan nama yang sama sehingga walaupun file msvbvm60.dll yang ada di folder C:\Windows\system32 sudah direname, tetapi virus ini akan tetap aktif, file ini akan disimpan di direktori C:\Windows
Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat beberapa string pada registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
§ 4k51k4 = C:\WINDOWS\4k51k4.exe
§ MSMSGS = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
§ Service%user% = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\SERVICES.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
§ Logon%user% = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\CSRSS.EXE
§ System Monitoring = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\LSASS.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
§ Shell = Explorer.exe "C:\WINDOWS\system32\IExplorer.exe"
§ userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\IExplorer.exe
Rontokbro.LA juga akan merubah setting pada Screen Saver dengan tujuan untuk menjalankan file MrHelloween.scr [C:\Windows\system32] pada waktu-waktu yang sudah ditentukan, dengan merubah string pada registry berikut:
HKEY_CURRENT_USER\Control Panel\Desktop
§ SCRNSAVE.EXE = C:\WINDOWS\system32\MRHELL~1.SCR
Untuk menjaga eksistensinya, Rontokbro.LA akan mencoba untuk blok beberapa fungsi Windows seperti Task Manager/Regedit/Folder Option/Disable MSI Installer atau Disable System Restore tools security seperti proceexp, security task manager, atau killbox pun dibuat tak berdaya. Untuk blok fungsi Windows tersebut ia akan membuat beberapa string pada regsitry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
§ NoFolderOptions
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
§ DisableRegistryTools
§ DisableTaskMgr
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
§ DisableMSI = 1
§ LimitSystemRestoreCheckpointing = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
§ DisableConfig = 1
§ DisableSR
Selain itu Rontokbro.LA juga akan mencoba untuk menyembunyikan semua file yang mempunyai ekst. EXE/BAT/PIF/COM atau LNK jika file tersebut dijalankan dan untuk mengelabui user ia akan membuat file duplikat dengan nama file yang sama. Rontokbro.LA juga mempunyai metode lain agar dirinya tetap aktif setiap waktu yakni dengan memanipulasi setiap file yang mempunyai ekst. EXE/COM/BAT/PIF atau LNK dengan demikian setiap kali user menjalankan file yang mempunyai ekst tersebut maka secara otomatis akan mengaktifkan virus tersebut. Untuk melakukan hal tersebut ia akan mebuat beberapa string pada registy berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
Rontokbrol.LA juga akan mencoba untuk merubah type file dari “Application” menjadi “File Folder” sehingga akan semakin sempurna pula penyamaran yang dilakukan oleh Rontokbro karena icon yang akan digunakan oleh Rontokbro.LA adalah icon “Folder” sehingga dengan type file “File Folder” akan mempermudah untuk menjebak user untuk menjalankan file yang sudah terinfeksi virus tersebut. Sebenarnya ada satu cara yang dapat anda gunakan agar tidak terjebak untuk menjalankan file yang sudah terinfeksi yakni dengan menampilkan file secara detail [View -- > Detail] dan biasanya sebuah folder tidak akan mempunyai ukuran, jadi jika anda menjumpai file dengan icon “folder” dan mempunyai ukuran sebaiknya jangan dijalankan karena kemungkinan besar merupakan virus, perhatikan gambar 4 dibawah ini:
Gambar 4, Perbandingan antara folder asli dan file yang terinfeksi virus
Menyebar otomatis melalui Disket / Flash Disk
Rontokbro.LA masih menggunakan Disket/Flash Disk sebagai media penyebarannya dengan membuat beberapa file berikut:
4K51K4, folder ini berisi 2 buah file dengan nama Folder.htt dan New Folder.exe
Data %user%.exe, contoh: Data Admin.exe
Desktop.ini
Agar file yang sudah dibuat di Disket/Flash Disk tersebut aktif secara otomatis tanpa harus dijalankan secara manual oleh user, ia akan membuat script pada Disket/Flash Disk tersebut dengan nama Desktop.ini dimana script ini berisi perintah untuk menjalankan file Folder.htt. File Folder.htt ini berisi perintah lain untuk menjalankan file New Folder.exe. Perhatikan penggalan script yang ada pada file Desktop.ini dan Folder.htt (gambar 5 dan 6)
Gambar 5, Penggalan script Desktop.ini yang menjalankan file folder.htt
Gambar 6, Penggalan script Folder.htt yang secara otomatis akan menjalankan file virus
Jadi, setiap kali user mengakses Disket/Flash Disk yang sudah terinfeksi maka secara otomatis akan mengaktifkan virus tersebut. Rontokbro.LA juga akan membuat file Desktop.ini di setiap Drive [contoh: Drive C:\ atau D:\] sehingga jika user mengakses kedua Drive tersebut maka secara otomatis akan mengaktifkan virus tersebut tanpa harus menjalankan file yang sudah terinfeksi terlebih dahulu, suatu perkembangan yang luar biasa dan saat ini sudah banyak virus lokal yang akan menggunakan metode ini sebut saja virus W32/Askis, W32/VBWorm.ZL, VBWorm.MOS atau W32/Aksika.
Sebagai penutup Rontokbro.LA akan membuat file duplikat disetiap Folder dan sub folder yang diakses sesuai dengan nama folder tersebut dengan ciri-ciri : (lihat gambar 7)
Icon Folder
Ukuran 45 KB
Ext. EXE
Type file “Application”
Gambar 7, File duplikat yang dibuat oleh Rontokbro
Cara membersihkan Rontokbro.LA
1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan
2. Matikan proses virus yang aktif dimemori. Sebagai informasi Rontokbro.AL akan aktif di mode “normal”, “safe mode” maupun “safe mode with command prompt”, file induk yang aktif di memori juga sangat sulit untuk dimatikan hal ini diperparah dengan kondisi dimana virus ini akan aktif setiap kali user menjalankan file Executable [EXE] dari suatu program, tools security seperti security task manager/proceeXP atau killbox pun dibuat tak berdaya. Kabar baiknya Rontokbro.AL dibuat dengan menggunakan bahasa Visual Basic sehingga anda hanya perlu merubah file MSVBVM60.dll yang ada didirektori C:\Windows dan C:\Windowws\system32
Untuk merubah file MSVBVM60.dll tersebut, terlebih dahulu anda harus membuat Disket Startup karena file tersebut akan diubah pada mode DOS. Untuk membuat disket startup tersebut anda dapat menggunakan software NTFS For DOS, tools ini dapat di download di alamat http://www.wsdownload.de/download/ntfs4dos/ntfsinst.exe.
Setelah anda berhasil membuat disket Startup boting komputer melalui Disket. Sebagai informasi jika anda menggunakan tools NTFS for Dos ini maka Drive System [C:\] akan menjadi Drive terakhir, jadi jika anda mempunyai 2 partisi maka partisi C:\ akan menjadi D:\ begitupun sebaliknya [partisi D:\ menjadi C:\] oleh karena itu setelah berhasil masuk ke mode DOS kemudian masuk ke Drive System dengan mengetik perintah %drive system%: kemudian tekan tombol “enter” pada keyboard [contoh: D: kemudian tekan tombol “enter”] setelah itu masuk ke direktori ..\Windows dengan mengetik CD WINDOWS kemudian tekan tombol “enter”, setelah itu ketik perintah dibawah ini:
· DIR/AH kemudian tekan tombol “enter” pada keyboard [untuk melihat file yang disembunyikan], jika di direktori ini ditemukan file MSVBVM60.DLL, ubah nama file tersebut dengan mengetik perintah dibawah ini
· REN MSVBVM60.DLL MSVBVM60 kemudian tekan tombol “enter“ pada keyboard
Ubah juga file MSVBVM60.DLL yang ada di direktori ..\Windows\system32, dengan mengunakan perintah yang sama seperti di atas. (lihat gambar 8)
Gambar 8, Merubah file MSVBVM60.dll menjadi msvbvm60
Setelah file tersebut berhasil di ubah, restart komputer dan booting ke mode "Normal". Setelah komputer booting maka akan muncul beberapa pesan error, ini menandakan bahwa virus tersebut gagal untuk dijalankan [aktif] kerena tidak menemukan file MSVBVM60.DLL, jika muncul pesan tersebut klik tombol [OK], perhatikan gambar 9 dibawah ini.
Gambar 9, Pesan error setelah merubah file MSVBVM60.DLL
3. Hapus string registry yang dibuat oleh virus. Salin script dibawah ini pada program Notepad dan simpan dengan nama repair.inf kemudian jalankan dengan cara
klik kanan repair.inf
klik install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Control Panel\International, s1159,0, "AM"
HKCU, Control Panel\International, s2359,0, "PM"
HKLM, SOFTWARE\Classes\exefile,,,"Application"
HKCU, Control Panel\Desktop,SCRNSAVE.EXE ,0,
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, 4k51k4
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, MSMSGS
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, System Monitoring
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableSR
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, System Monitoring
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, DisableCMD
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableSR
4. Hapus file induk yang dibuat oleh virus, sebelum menghapus file tersebut pastikan anda sudah menampilkan file/folder yang disembunyikan dengan memilih option "Show hidden files and folders" dan menghilangkan pilihan "Hide extension for known file types" dan "Hide protected operating system files (recommended)" pada Folder Option, perhatikan gambar 10 dibawah ini:
Gambar 10, Menampilkan file yang disembunyikan
Setelah itu hapus file induk berikut:
C:\Data%user%.exe [contoh: Data Admin.exe]
C:\4k51k4.exe
C:\Puisi.txt
C:\Desktop.ini
C:\4K51K4, folder ini berisi 2 buah file berikut:
- Folder.htt
- New Folder.exe
C:\Documents and Settings\%user%\Start Menu\Programs\Startup\startup.exe
C:\Documents and Settings\%user%\Local Settings\Application Data
- 4k51k4.exe
- csrss.exe
- Empty.Pif
- IExplorer.exe
- lsass.exe
- services.exe
- shell.exe
- winlogon.exe
C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS
- csrss.exe
- lsass.exe
- services.exe
- smss.exe
- winlogon.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
- Empty.pif
- Empty.exe
- Startup.exe
C:\WINDOWS\4k51k4.exe
C:\WINDOWS\system32
- Shell.exe
- MrHelloween.scr
- IExplorer.exe
Hapus juga file yang ada di Disket/Flash Disk:
4K51K4, folder ini berisi 2 buah file dengan nama Folder.htt dan New Folder.exe
Data %user%.exe, contoh: Data Admin.exe
Desktop.ini
5. Hapus file duplikat yang sudah dibuat oleh virus baik di Hard Disk maupun di Disket/Flash Disk dengan ciri-ciri :
Menggunakan icon folder
Ukuran 45 KB
Ext. exe
Type file "application"
6. Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan Norman Virus Control yang sudah dapat mengenali virus ini dengan baik.
7. Jika komputer sudah bersih dari virus, tampilkan kembali file .EXE yang sudah disembunyikan. Gunakan perintah ATTRIB -s -h *.exe /s /d pada Dos Prompt. Sebagai informasi Rontokbro.LA juga akan mencoba untuk menyembunyikan file dengan ekst. Bat/Com/lnk dan Pif jika file tersebut dijalankan oleh karena itu untuk menampilkan kembali file dengan ext tersebut gunakan perintah seperti diatas dengan mengganti ekstensi yang akan ditampilkan, contoh ATTRIB -s -h *.com /s /d (lihat gambar 11)
Gambar 11, Menampilkan ekstensi yang disembunyikan
8. Ubah kembali file msvbvm60 yang ada di direktori C:\Windows\system32 menjadi msvbvm60.dll Read More..
Rontokbro
Rontokbro 10 Februari 2007
Artikel Majalah Chip Desember 2006
Rontokbro dapat dikatakan sebagai raja virus lokal dan menguasai tangga pervirusan Indonesia selama tahun 2005 – 2006 mengalahkan virus mancanegara. Aksi spektakuler dan pionir berkali-kali diperlihatkan oleh Rontokbro seperti memblok pembersihan dari Safe Mode / Safe Mode with Command Prompt. Pada bulan Oktober 2006 Rontokbro.EQ membuat kejutan tidak menyenangkan bagi netter Indonesia karena menghapus semua folder komputer yang menjadi korbannya.
Sampai saat ini pembuat Rontokbro telah menyebarkan sekitar 420 varian. Hal ini merupakan salah satu penyebab sulitnya antivirus mendeteksi varian-varian baru Rontokbro. Selain itu, hal lain yang menyebabkan Rontokbro sulit dibasmi dan menyebar dengan sangat meluas adalah :
- Menggunakan rekayasa sosial yang simple dan cerdik seperti memalsukan icon MS Word dan icon folder sehingga pengguna komputer mengira membuka folder / file MS Word, tetapi sebenarnya menjalankan virus Rontokbro.
- Tidak memfokuskan penyebaran secara online (Email, Messenger dan Website) tetapi memanfaatkan UFD (USB Flash Disk) via Warnet sebagai sarana utama untuk menyebarkan dirinya. Hal ini sangat cocok dengan kondisi Indonesia dimana pemilik komputer (internet / email) masih rendah, tetapi pemilik dan pengguna UFD sangat banyak.
- Salah satu kunci keberhasilan Rontokbro adalah kejelian pembuatnya mengakali tips pembasmian yang diberikan vendor antivirus. Dimana varian terbaru selalu memblok langkah pembasmian yang dianjurkan sebelumnya. Varian terakhir Rontokbro sudah tidak dapat dibasmi melalui Safe Mode / Safe Mode with Command Prompt sekalipun.
Untuk mengatahui lebih detail tentang beberapa varian Rontokbro dan cara membasminya, silahkan lihat artikel di
http://history.vaksin.com/rontokbro.htm
http://history.vaksin.com/remove_rontokbro_n.htm
http://www.vaksin.com/rontokbro_eq.htm
http://www.vaksin.com/ntldr2.htm
http://www.vaksin.com/kere2.htm
Varian awal Rontokbro ditulis menggunakan VB Script, setelah ditemukan trik rename file MSVBVM60.DLL (Microsoft Visual Basic Virtual Machine) yang dapat melumpuhkan semua virus yang ditulis dengan menggunakan VB Script (termasuk semua aplikasi yang ditulis menggunakan VB Script) secara mengejutkan pembuat Rontokbro mengganti Bahasa Pemrogramannya dengan Bahasa C. Gilanya, varian Rontokbro baru ikut-ikutan merename MSVBVM60.DLL dengan tujuan membasmi tools removal Rontokbro dan virus lokal lain yang berlomba membasmi Rontokbro yang mayoritas ditulis menggunakan VB Script.
Aksi Rontokbro di internet yang cukup memusingkan adalah menyebabkan komputer korbannya melakukan Ddos ke beberapa website lokal seperti www.kaskus.com, www.17tahun.com dan www.fajarweb.com.
Rontokbro
Rontokbro dapat dikatakan sebagai raja virus lokal dan menguasai tangga pervirusan Indonesia selama tahun 2005 – 2006 mengalahkan virus mancanegara. Aksi spektakuler dan pionir berkali-kali diperlihatkan oleh Rontokbro seperti memblok pembersihan dari Safe Mode / Safe Mode with Command Prompt. Pada bulan Oktober 2006 Rontokbro.EQ membuat kejutan tidak menyenangkan bagi netter Indonesia karena menghapus semua folder komputer yang menjadi korbannya.
Sampai saat ini pembuat Rontokbro telah menyebarkan sekitar 420 varian. Hal ini merupakan salah satu penyebab sulitnya antivirus mendeteksi varian-varian baru Rontokbro. Selain itu, hal lain yang menyebabkan Rontokbro sulit dibasmi dan menyebar dengan sangat meluas adalah :
- Menggunakan rekayasa sosial yang simple dan cerdik seperti memalsukan icon MS Word dan icon folder sehingga pengguna komputer mengira membuka folder / file MS Word, tetapi sebenarnya menjalankan virus Rontokbro.
- Tidak memfokuskan penyebaran secara online (Email, Messenger dan Website) tetapi memanfaatkan UFD (USB Flash Disk) via Warnet sebagai sarana utama untuk menyebarkan dirinya. Hal ini sangat cocok dengan kondisi Indonesia dimana pemilik komputer (internet / email) masih rendah, tetapi pemilik dan pengguna UFD sangat banyak.
- Salah satu kunci keberhasilan Rontokbro adalah kejelian pembuatnya mengakali tips pembasmian yang diberikan vendor antivirus. Dimana varian terbaru selalu memblok langkah pembasmian yang dianjurkan sebelumnya. Varian terakhir Rontokbro sudah tidak dapat dibasmi melalui Safe Mode / Safe Mode with Command Prompt sekalipun.
Untuk mengatahui lebih detail tentang beberapa varian Rontokbro dan cara membasminya, silahkan lihat artikel di
http://history.vaksin.com/rontokbro.htm
http://history.vaksin.com/remove_rontokbro_n.htm
http://www.vaksin.com/rontokbro_eq.htm
http://www.vaksin.com/ntldr2.htm
http://www.vaksin.com/kere2.htm
Varian awal Rontokbro ditulis menggunakan VB Script, setelah ditemukan trik rename file MSVBVM60.DLL (Microsoft Visual Basic Virtual Machine) yang dapat melumpuhkan semua virus yang ditulis dengan menggunakan VB Script (termasuk semua aplikasi yang ditulis menggunakan VB Script) secara mengejutkan pembuat Rontokbro mengganti Bahasa Pemrogramannya dengan Bahasa C. Gilanya, varian Rontokbro baru ikut-ikutan merename MSVBVM60.DLL dengan tujuan membasmi tools removal Rontokbro dan virus lokal lain yang berlomba membasmi Rontokbro yang mayoritas ditulis menggunakan VB Script.
Aksi Rontokbro di internet yang cukup memusingkan adalah menyebabkan komputer korbannya melakukan Ddos ke beberapa website lokal seperti www.kaskus.com, www.17tahun.com dan www.fajarweb.com. Read More..
Artikel Majalah Chip Desember 2006
Rontokbro dapat dikatakan sebagai raja virus lokal dan menguasai tangga pervirusan Indonesia selama tahun 2005 – 2006 mengalahkan virus mancanegara. Aksi spektakuler dan pionir berkali-kali diperlihatkan oleh Rontokbro seperti memblok pembersihan dari Safe Mode / Safe Mode with Command Prompt. Pada bulan Oktober 2006 Rontokbro.EQ membuat kejutan tidak menyenangkan bagi netter Indonesia karena menghapus semua folder komputer yang menjadi korbannya.
Sampai saat ini pembuat Rontokbro telah menyebarkan sekitar 420 varian. Hal ini merupakan salah satu penyebab sulitnya antivirus mendeteksi varian-varian baru Rontokbro. Selain itu, hal lain yang menyebabkan Rontokbro sulit dibasmi dan menyebar dengan sangat meluas adalah :
- Menggunakan rekayasa sosial yang simple dan cerdik seperti memalsukan icon MS Word dan icon folder sehingga pengguna komputer mengira membuka folder / file MS Word, tetapi sebenarnya menjalankan virus Rontokbro.
- Tidak memfokuskan penyebaran secara online (Email, Messenger dan Website) tetapi memanfaatkan UFD (USB Flash Disk) via Warnet sebagai sarana utama untuk menyebarkan dirinya. Hal ini sangat cocok dengan kondisi Indonesia dimana pemilik komputer (internet / email) masih rendah, tetapi pemilik dan pengguna UFD sangat banyak.
- Salah satu kunci keberhasilan Rontokbro adalah kejelian pembuatnya mengakali tips pembasmian yang diberikan vendor antivirus. Dimana varian terbaru selalu memblok langkah pembasmian yang dianjurkan sebelumnya. Varian terakhir Rontokbro sudah tidak dapat dibasmi melalui Safe Mode / Safe Mode with Command Prompt sekalipun.
Untuk mengatahui lebih detail tentang beberapa varian Rontokbro dan cara membasminya, silahkan lihat artikel di
http://history.vaksin.com/rontokbro.htm
http://history.vaksin.com/remove_rontokbro_n.htm
http://www.vaksin.com/rontokbro_eq.htm
http://www.vaksin.com/ntldr2.htm
http://www.vaksin.com/kere2.htm
Varian awal Rontokbro ditulis menggunakan VB Script, setelah ditemukan trik rename file MSVBVM60.DLL (Microsoft Visual Basic Virtual Machine) yang dapat melumpuhkan semua virus yang ditulis dengan menggunakan VB Script (termasuk semua aplikasi yang ditulis menggunakan VB Script) secara mengejutkan pembuat Rontokbro mengganti Bahasa Pemrogramannya dengan Bahasa C. Gilanya, varian Rontokbro baru ikut-ikutan merename MSVBVM60.DLL dengan tujuan membasmi tools removal Rontokbro dan virus lokal lain yang berlomba membasmi Rontokbro yang mayoritas ditulis menggunakan VB Script.
Aksi Rontokbro di internet yang cukup memusingkan adalah menyebabkan komputer korbannya melakukan Ddos ke beberapa website lokal seperti www.kaskus.com, www.17tahun.com dan www.fajarweb.com.
Rontokbro
Rontokbro dapat dikatakan sebagai raja virus lokal dan menguasai tangga pervirusan Indonesia selama tahun 2005 – 2006 mengalahkan virus mancanegara. Aksi spektakuler dan pionir berkali-kali diperlihatkan oleh Rontokbro seperti memblok pembersihan dari Safe Mode / Safe Mode with Command Prompt. Pada bulan Oktober 2006 Rontokbro.EQ membuat kejutan tidak menyenangkan bagi netter Indonesia karena menghapus semua folder komputer yang menjadi korbannya.
Sampai saat ini pembuat Rontokbro telah menyebarkan sekitar 420 varian. Hal ini merupakan salah satu penyebab sulitnya antivirus mendeteksi varian-varian baru Rontokbro. Selain itu, hal lain yang menyebabkan Rontokbro sulit dibasmi dan menyebar dengan sangat meluas adalah :
- Menggunakan rekayasa sosial yang simple dan cerdik seperti memalsukan icon MS Word dan icon folder sehingga pengguna komputer mengira membuka folder / file MS Word, tetapi sebenarnya menjalankan virus Rontokbro.
- Tidak memfokuskan penyebaran secara online (Email, Messenger dan Website) tetapi memanfaatkan UFD (USB Flash Disk) via Warnet sebagai sarana utama untuk menyebarkan dirinya. Hal ini sangat cocok dengan kondisi Indonesia dimana pemilik komputer (internet / email) masih rendah, tetapi pemilik dan pengguna UFD sangat banyak.
- Salah satu kunci keberhasilan Rontokbro adalah kejelian pembuatnya mengakali tips pembasmian yang diberikan vendor antivirus. Dimana varian terbaru selalu memblok langkah pembasmian yang dianjurkan sebelumnya. Varian terakhir Rontokbro sudah tidak dapat dibasmi melalui Safe Mode / Safe Mode with Command Prompt sekalipun.
Untuk mengatahui lebih detail tentang beberapa varian Rontokbro dan cara membasminya, silahkan lihat artikel di
http://history.vaksin.com/rontokbro.htm
http://history.vaksin.com/remove_rontokbro_n.htm
http://www.vaksin.com/rontokbro_eq.htm
http://www.vaksin.com/ntldr2.htm
http://www.vaksin.com/kere2.htm
Varian awal Rontokbro ditulis menggunakan VB Script, setelah ditemukan trik rename file MSVBVM60.DLL (Microsoft Visual Basic Virtual Machine) yang dapat melumpuhkan semua virus yang ditulis dengan menggunakan VB Script (termasuk semua aplikasi yang ditulis menggunakan VB Script) secara mengejutkan pembuat Rontokbro mengganti Bahasa Pemrogramannya dengan Bahasa C. Gilanya, varian Rontokbro baru ikut-ikutan merename MSVBVM60.DLL dengan tujuan membasmi tools removal Rontokbro dan virus lokal lain yang berlomba membasmi Rontokbro yang mayoritas ditulis menggunakan VB Script.
Aksi Rontokbro di internet yang cukup memusingkan adalah menyebabkan komputer korbannya melakukan Ddos ke beberapa website lokal seperti www.kaskus.com, www.17tahun.com dan www.fajarweb.com. Read More..
W32/VBWorm.MQE
W32/VBWorm.MQE 10 Februari 2007
Virus Pacaran yang paling kejam
Fitnah Lebih Kejam dari Pembunuhan, demikianlah ungkapan sering diberikan pada orang-orang yang senang memfitnah. Rupanya tidak hanya manusia yang suka memfitnah, tetapi ada juga virus melakukan fitnah. Yang ini tentunya tidak memfitnah manusia, tetapi memfitnah file baik-baik agar dikira virus dan dihapus oleh pengguna komputer.
Ibarat banjir yang melanda Jakarta, virus lokal yang menyebar saat ini semakin banyak serta membawa dampak sosial yang cukup besar sudah banyak user yang menjadi korban dan mengalami kerugian besar baik dari sisi materiil maupun non materil. Ibarat pintu air yang tak kuasa menahan datangnya limpahan air dalam jumlah besar, program antivirus yang terinstal terkadang tak mampu menahan serangan virus. Terkadang FORMAT menjadi senjata andalan yang digunakan, tapi masalahnya virus tersebut terkadang datang kembali dan menginfeksi kembali komputer dan ibarat banjir bandang, beberapa varian virus bahkan menghancurkan data komputer korbannya. Data, baik MS.Office maupun data-data penting lainnya sering kali menjadi terget utama dari virus lokal mulai dari sekedar disembunyikan sampai dengan di hapus. Masalah menjadi besar jika data tersebut adalah data penting, alhasil software recovery yang diharapkan sebagai malaikat penolong, tetapi pada kasus tertentu pepatah tua menunjukkan kebenarannya Nasi Sudah Menjadi Bubur atau sesal Dahulu Pendapatan, Sesal Kudian Tak Berguna. Supaya tidak menyesal selalu bask up data anda dan gunakan antivirus yang memberikan deteksi virus lokal dan dukungan support lokal di Indonesia.
Jika suatu saat Drive di komputer anda tiba-tiba hilang atau muncul beberapa dialog box dengan pesan “khas” met PacaraN yach ... :), sebaiknya anda waspada karena kemungkinan besar anda sudah menjadi korban salah satu virus lokal yang saat ini sedang menyebar dan “celakanya” jika user klik tombol “OK” maka dialog box lain akan muncul dengan isi “hitungan mundur 60 detik” setelah itu virus ini akan mematikan komputer dan jangan senang dulu karena pesan ini akan muncul jika user menjalankan komputer dibawah jam 8.00 pagi. Mungkin virus ini bermaksud mendisiplinkan karyawan agar tidak bekerja sebelum jam 8 pagi :P. (perhatikan gambar 1 dan 2 dibawah ini)
Gambar 1 Pesan yang disampaikan VBWOrm.MQE
Gambar 2 VBWorm.MQE berusaha untuk mematikan komputer korban
Maraknya penyebaran virus lokal selama ini rasanya sudah cukup bagi user untuk dapat membedakan dan mengatasi virus lokal itu sendiri karena terkadang program antivirus yang “selalu” dibanggakan pun dibuat tak berdaya melawan virus lokal alhasil terkadang cara manual merupakan cara yang harus ditempuh dan DOS merupakan salah satu alternatif yang dapat digunakan untuk melumatkan serangan virus lokal tersebut, tetapi virus juga tak kalah cerdik ia akan mencoba untuk memanfaatkan setiap inci kelemahan dari user yang dimungkinkan akan dijadikan peluang oleh virus untuk menyebarkan dirinya sehingga tidak salah jika ada yang pendapat bahwa virus selalu berada 1 langkah di depan antivirus.
Dilihat dari karakteristik, “biasanya” virus lokal mempunyai ciri-ciri yang sama walaupun terdapat beberapa perbedaan. Salah satu yang menjadi ciri yang digunakan adalah sering mengggunakan icon “Folder” yang mempunyai ukuran tertentu disetiap file yang terinfeksi. Seperti yang anda ketahui bahwa setiap “Folder” ASLI yang tidak terinfeksi tidak akan mempunyai ukuran sedangkan file yang menggunakan icon Folder dan sudah terinfeksi virus akan mempunyai ukuran tertentu dengan type file “Application” atau ”Screen Saver”, sehingga jika anda menjumpai sebuah Folder yang mempunyai ukuran sebaiknya dihapus dan jangan di jalankan karena akan mengaktifkan virus ini.
Hati-Hati File Anda di Fitnah, Semua .exe atau .txt dirubah menjadi icon folder ang memiliki ukuran
Tetapi untuk saat ini sebaiknya anda lebih waspada karena telah muncul virus lokal baru yang menggunakan rekayasa sosial baru dengan memanfaatkan icon folder dan type file tersebut, sehingga akan terlihat seolah-olah file tersebut adalah file virus atau file yang sudah terinfeksi virus tujuannya sudah jelas agar user menghapus file tersebut sehingga tanpa disadari mereka telah menghapus file yang sebenarnya bukan virus, contohnya jika virus menjumpai file executable [exe], atau text documents [txt] maka ia akan merubah icon dari file tersebut dengan icon “Folder” dan merubah type file tersebut menjadi “Application”, karena file tersebut mempunyai ukuran maka akan terlihat file tersebut seolah-olah file duplikat atau file yang sudah terinfeksi virus sehingga dengan “pede” user yang mengira berhasil mendeteksi virus akan menghapus file tersebut tetapi sebenarnya user tersebut sedang “harakiri” terhadap sistem komputernya karena yang di hapus bukanlah file yang bervirus melainkan file asli yang sebenarnya tidak terinfeksi virus. (lihat gambar 3)
Gambar 3 VBWorm.MQE merubah icon dari file exe dan txt dengan icon “Folder”
Dengan update terbaru Norman Virus Control mendeteksi virus tersebut sebagai VBWorm.MQE (lihat gambar 4)
Gambar 4 Norman berhasil mendetesi VBWorm.MQE
Ciri utama yang dapat dikenali dari virus ini adalah setiap kali komputer login maka akan muncul sebuah pesan dari sang “mpunya” virus dengan caption text “W32.PACARAN – jigsaw” dengan isi “AKu kembali untuk menuntuk balas ha..ha...ha.. :D”, ciri lainnya adalah akan menampillkan sebuah dialog box “met PacaraN yach ... :)” pada waktu-waktu yang telah ditentukan (lihat gambar 1).
Visual Basic menjadi bahasa pilihan yang akan digunakan oleh VBWorm.MQE, dengan ukuran 59 KB dengan icon “Folder” yang tentunya akan mempunyai type file sebagai “Application”. Sebagai upaya untuk mempertahankan dirinya ia akan membuat beberapa file induk dan beberapa script untuk menjalankan dirinya secara otomatis, VBWorm.MQE juga akan membuat file msvbvm60.dll di direktori C:\, C:\Windows dan C:\Winodws\backup sebagai file backup jika user merubah atau menghapus file MSVBVM60.dll yang berada didirektori C:\Windows\system32 sehingga ia akan tetap aktif.
Berikut beberapa file induk yang akan dibuat oleh VBWorm.MQE:
Autorun.inf
Berisi script untuk menjalankan file Folder.exe secara otomatis setiap kali user akses ke sebuah Drive [file ini akan dibuat disetiap Drive termasuk ke dalam Disket/Flash Disk]
C:\MVSBVM60.dll
Sebagai file backup jika file MSVBVM60.dll di system32 dirubah/dihapus oleh user, sehinga ia akan tetap aktif melakukan aksinya.
C:\W32.Pacaran II.html
Berisi sebuah pesan dari “sang mpunya” virus, file ini juga akan diset sebagai Wallpaper.
Desktop.ini
Berisi script untuk menjalankan file folder.htt yang berada di direktori ....\\Documents\folder.htt, file folder.htt ini berisi script lain untuk menjalankan file folder.exe [file Desktop.ini akan dibuat disetiap Drive]
C:\Folder.exe [file ini akan dibuat disetiap drive]
C:\Documents [folder ini akan dibuat disetiap drive], berisi 2 buah file diantaranya:
§ Folder.htt
§ Folder.exe
C:\Windows\MSVBVM60.dll, sebagai file backup
C:\Windows\system32\explorer.exe
C:\Windows\system32\eyore.exe
C:\Program Files\Windows Media Player\explorer.exe
C:\Windows\system32\readme.txt
C:\Windows\system32\New Folder.exe
C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp\msvbvm60.dll
C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp\system.exe
C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp\Documents\folder.exe
C:\WINDOWS\BackUp\MSVBVM60.dll
C:\Documents and Settings\%user%\My Documents
§ Untuk Titta.txt, berisi pesan kepada “sang kekasih” [hal yang paling membahagiakan bagi gw adalah... mencinataimu]
Agar file tersebut dapat aktif secara otomatis, ia akan membuat beberapa string pada registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- eyore = C:\WINDOWS\System32\explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Eyore = C:\WINDOWS\System32\explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Default = C:\WINDOWS\System32\explorer.exe %1 %*
HKEY_USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
- Eyore = C:\WINDOWS\System32\explorer.exe
Sebagai upaya agar aktif pada mode “safe mode with command prompt” ia akan membuat string pada registri berikut, tetapi sebenarnya VBWorm.MQE tidak akan aktif pada mode ini karena terdapat “bug” atau “karena kesengajaan” pada string yang dibuat dan sebagai informasi VBWorm.MQE ini hanya aktif pada mode “Normal” saja sehingga pembersihan dapat anda lakukan baik pada mode “safe mode” atau “safe mode with command prompt”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Control\SafeBoot
- AlternateShell = C:\WINDOWS\System32\explorer.exe %1 %*
Blok Segambreng Fungsi Windows
VBWorm.MQE ini cukup merepotkan karena banyak fungsi windows yang akan di blok seperti:
Disable Shutdown
Disable Run
Disable Find
Disable Folder options
Disable Klik kanan
Disable Cmd
Disable Registri tools
Disable Control panel
Disable System Restore
Disable Icon Desktop
Disable klik kanan Desktop
Dengan membuat beberapa string pada registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoClose
- NoDrives
- NoFind
- NoFolderOptions
- NoRun
- NoSetFolders
- NoSetTaskbar
- NoTrayContextMenu
- NoViewContextMenu
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD
- DisableRegistriTools
- NoAdminPage
- NoPwdPage
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
- Disabled =1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- NoFolderOptions
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- Hidden =2
- HideFileExt = 1
- ShowSuperHidden = 1
- SuperHidden = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\SystemRestore
- Default = 1
VBWorm.MQE juga akan berusaha memblok program security termasuk firewall dan program antivirus dengan membuat string berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
- EnableFirewall =0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- AntiVirusDisableNotify = 1
- FirewallDisableNotify = 1
- UpdatesDisableNotify =1
HKEY_CURRENT_USER\Software\Microsoft\Security Center
- AntiVirusDisableNotify = 1
- FirewallDisableNotify = 1
- UpdatesDisableNotify =1
Menghapus program Antivirus
Seperti biasa virus akan mencoba untuk blok antivirus begitupun yang dilakukan oleh VBWorm.MQE yang akan menghapus semua file dari program antivirus dengan sasaran semua program antivirus yang di install di direktori C:\Program files\.., dengan terlebih dahulu merubah file C:\Autoexec.bat dengan menambahkan sederetan perintah untuk menghapus file dari program antivirus tersebut, hal ini juga pernah dilakukan oleh virus lokal lainnya sebut saja VBWorm.NA atau Trojan.KillAV.TY, perhatikan gambar 5 dibawah ini:
Gambar 5 VBWorm.MQE mencoba untuk menghapus program antivirus
Berikut beberapa program antivirus dan firewall yang akan menjadi target oleh VBWorm.MQE:
- Norman Virus Control
- MCAfee
- Symantec [Norton]
- AVG
- Trend Micro
- F-Prot
- AVP
- BitDefender
- F-Secure
- Inoculate-IT
- RAV serta ZONE Alarm
Seperti yang dilakukan oleh Rontokbro, VBWorm.MQE juga akan mencoba blok akses ke beberapa website antivirus dan website yang sudah ditentukan dengan merubah file yang berada di didirektori C:\Windows\System32\drivers\Etc\HOST , dengan mencantuman beberapa alamat website yang akan di blok.
www.kaspersky.com
www.sec
www.jasakom.com
www.dell.com
www.ibm.com
www.pandasoftware.com
avgnt.exe
www.sophos.com
www.geocities.com
www.securityfocus.com
login.yahoo.com
www.zeropaid.com
www.agsatellite.com
www.bearshare.com
www.edonkey200.com
www.imesh.com
morpheus.com
update.microsoft.com
www.lavasoft.com
www.zonelabs.com
www.grisoft.com
www.mp3.com
www.msn.com
www.ebay.com
www.vet.com
www.winguides.com
www.limewire.com
www.winmx.com
www.emule.com
www.kazaa.com
www.google.co.id
VBWorm.MQE juga akan mencoba untuk memanipulasi file yang mempunyai ekstensi tertentu sehingga jika user menjalankan file dengan ekstensi tersebut maka secara otomatis akan menjalankan file induk yang sudah dibuat oleh VB.Worm.MQE di direktori [C:\WINDOWS\System32\explorer.exe] atau [C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe], berikut beberapa ekstensi yang menjadi target serangan VBWorm.MQE:
Phpfile
Flash.move
Movfile
Mp3file
Mpegfile
Datfile
Cdafile
Htmlfile
Txtfile
Untuk melakukan hal tersebut VBWorm.MQE juga akan merubah sting pada registri berikut:
HKEY_CLASSES_ROOT\Unknown\shell\openas\command
- Default = C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe %1 %*
HKEY_CLASSES_ROOT\Flash.Movie\shell\open\command
- Default = C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe %1 %*
HKEY_CLASSES_ROOT\phpfile\shell\open\command
- Default = C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe %1 %*
HKEY_CLASSES_ROOT\movfile\shell\open\command
- Default = C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe %1 %*
HKEY_CLASSES_ROOT\mp3file\shell\open\command
- Default = C:\WINDOWS\System32\explorer.exe %1 %*
HKEY_CLASSES_ROOT\mpegfile\shell\open\command
- Default = C:\WINDOWS\System32\explorer.exe %1 %*
HKEY_CLASSES_ROOT\datfile\shell\open\command
- Default = C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe %1 %*
HKEY_CLASSES_ROOT\cdafile\shell\open\command
- Default = C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe %1 %*
HKEY_CLASSES_ROOT\htmlfile\shell\open\command
- Default = C:\WINDOWS\System32\explorer.exe %1 %*
HKEY_CLASSES_ROOT\txtfile\shell\open\command
- Default = C:\WINDOWS\System32\explorer.exe %1 %*
HKEY_CLASSES_ROOT\Folder\shell\open\command
- Default = C:\WINDOWS\System32\explorer.exe %1 %*
Menyembunyikan Drive dan Folder
Satu hal yang membedakan VBWorm.MQE dengan virus lokal lainnya adalah kemampuannya untuk menyembunyikan semua Drive yang ditemui di komputer yang terinfeksi dan menyembunyikan Folder / Subfolder. Untuk mengelabui user ia juga akan membuat duplikat disetiap Drive sesuai dengan nama folder yang disembunyikan, VBWorm.MQE juga akan merubah Drive C:\ menjadi PACARAN (lihat gambar 6) dengan terlebih dahulu membuat string pada registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoDrives
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{80f340fd-9cf6-11db-aca7-806d6172696f}
- _LabelFromReg = PACARAN
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{80f340fb-9cf6-11db-aca7-806d6172696f}\Shell\Auto\command
- Default = Folder.exe e
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{80f340fb-9cf6-11db-aca7-806d6172696f}\Shell\AutoRun\command
- Default = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Folder.exe e
Gambar 6, VBWorm.MQE merubah Drive C:\ menjadi PACARAN dan membuat file duplikat
Merubah type file
VBWorm.MQE juga akan merubah type file dari sebuah Folder dari “File Folder” menjadi “W32.PACARAN” dengan membuat string pada registri berikut : (lihat gambar 7)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory
- Default = W32.PACARAN
HKEY_CLASSES_ROOT\Directory
- Default = W32.PACARAN
Gambar 7-VBWorm.MQE merubah type file Folder dari “file folder” manjadi “W32.PACARAN”
VBWorm juga akan melakukan hal seperti diatas terhadap beberapa file lain seperti file MP3 dan file JPEG dengan terlebih dahulu membuat string pada registri berikut:
HKEY_CLASSES_ROOT\mp3file
- Default = W32.PACARAN
HKEY_CLASSES_ROOT\jpegfile
- Default = W23.PACARAN
Shutdown Komputer
VBWorm.MQE juga akan mencoba untuk mematikan komputer pada waktu-waktu yang telah ditentukan dengan terlebih dahulu akan menampilkan beberapa dialog box dengan pesan “met PacaraN yach ... :)” (lihat gambar 1)
Jika user menekan tombol “OK” maka VBWorm.MQE akan mengusai komputer dan komputer tidak akan dapat anda gunakan dengan mengunci mouse atau keyboard. Dengan kemunculan pesan tersebut sebagai pertanda dari VBWorm.MQE agar anda segera mematikan komputer atau ia akan mematikan secara paksa dengan menampilkan sebuah dialog box dengan itungan mundur 60 detik sebelum komputer mati, hal ini juga pernah dilakukan oleh virus Blaster/Sasser bedanya jika virus Sasser/Blaster akan restart komputer karena proses penggantian file LSASS dengan paksa sedangkan VBWorm.MQE akan mematikan komputer dengan tidak menggunakan celah keamanan Microsoft [LSASS / RPC DCOM] sehingga walaupun komputer anda telah dilakukan patch [penutupan celah keamanan tersebut] VBWorm.MQE akan tetap mematikan komputer anda, agar komputer tidak shutdown [mati] ketik perintah SHUTDOWN –A pada dos prompt.
VBWorm.MQE juga akan berusaha mematikan komputer pada jam-jam yang telah ditentukan [biasanya pesan ini muncul jika user menjalankan komputer dibawah jam 8.00 AM] dan jika user klik tombol “OK” maka akan muncul dialog box konfirmasi shutdown dengan tetap nanampilkan hitungan mundur 60 detik sebelum komputer mati [shutdown]
Aksi lain yang akan dilakukan oleh VBWorm.MQE adalah kemampuannya untuk merubah fungsi mouse dari klik kiri menjadi klik kanan atau sebaliknya dengan merubah string pada registri berikut:
HKEY_CURRENT_USER\Control Panel\Mouse
- SwapMouseButtons = 1
“AKU kembali untuk menuntut balas ...ha...ha... ;D itulah pesan lain yang akan di sampaikan oleh sang “mpunya” virus, pesan ini akan muncul setiap kali user menyalakan komputer [login] hal ini juga pernah dilakukan oleh virus lokal lainnya seperti VBWorm.NA dengan terlebih dahulu membuat string pada registri berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- LegalNoticeCaption = W32.PACARAN -jigsaw-
- LegalNoticeText = Aku kembali untuk menuntut balas...ha...ha.. :D
Jangan Langsung Menghapus File yang dicurigai bervirus
Sebaiknya anda berhati-hati jika komputer anda terinfeksi VBWorm.MQE, jangan sembarangan menghapus file yang mempunyai icon “Folder” dan mempunyai ukuran tertentu karena VBWorm.MQE akan mencoba untuk mengelabui user dengan merubah sejumlah file dengan ekstensi tertentu dengan mengganti icon dari file tersebut dengan icon “Folder” dan “celakanya” ia juga akan merubah type file tersebut menjadi “Application” sehingga file tersebut akan terlihat seperti file duplikat yang dibuat oleh virus atau file yang telah terinfeksi virus dan inilah yang akan membuat user mudah terjebak dan dengan “senang hati” akan menghapus file tersebut yang sebenarnya bukan merupakan file yang terinfeksi virus sehingga dapat dipastikan semua data penting anda akan terhapus, kenapa hal ini bisa terjadi? karena saat ini user hanya mengetahui jika terdapat file yang mempunyai icon “folder” dengan ukuran tertentu apalagi mempunyai type file sebagai “Application” atau “Screen saver” adalah VIRUS dan sang mpunya virus memanfaatkan celah ini untuk mengelabui user, suatu rekayasa sosial yang pantas mendapat acungan jempol, sederhana tapi sangat merepotkan, oleh karena itu sebaiknya hapus file icon “folder” yang mempunyai ukuran 59 KB saja atau untuk amannya, gunakan Norman Virus Control dengan update terakhir untuk mendeteksi dan membasmi file yang terdeteksi sebagai W32/VBWorm.MQE
Beberapa file yang akan dijadikan target adalah file music [MP3], txt, reg file, jpeg, inf dan exe, untuk memanipulasi file tersebut VBWorm.MQE akan melakukan sedikit perubahan pada registri berikut : (lihat gambar 8)
HKEY_CLASSES_ROOT\mp3file\DefaultIcon
- Default = shell32.dll,3
HKEY_CLASSES_ROOT\txtfile\DefaultIcon
- Default = shell32.dll,3
HKEY_CLASSES_ROOT\txtfile
- Default = Application
HKEY_CLASSES_ROOT\regfile
- Default = Application
HKEY_CLASSES_ROOT\regfile\DefaultIcon
- Default = shell32.dll,3
HKEY_CLASSES_ROOT\jpegfile\DefaultIcon
- Default = shell32.dll,3
HKEY_CLASSES_ROOT\Drive\DefaultIcon
- Default = shell32.dll,10
HKEY_CLASSES_ROOT\exefile\DefaultIcon
- Default = shell32.dll,3
HKEY_CLASSES_ROOT\inffile\DefaultIcon
- Default = shell32.dll,-152
HKEY_CLASSES_ROOT\exefile
- Default = File Folder
HKEY_CLASSES_ROOT\inifile\DefaultIcon\
- Default = shell32.dll,152
Gambar 8 VBWorm.MQE memanipulasi file yg tidak terinfeksi dengan merubah icon file
Merubah Wallpaper Windows
Masih banyak aksi lain yang dilakukan oleh VBWorm.MQE salah satunya adalah mencoba untuk merubah settings wallpaper komputer (lihat gambar 9) dengan file yang telah dibuat sebelumnya dengan merubah string pada registy berikut
HKEY_CURRENT_USER\Control Panel\Desktop
- Wallpaper = C:\W32.PACARAN II.html
- Tilewalpaper = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Themes\LastTheme
- Wallpaper = %SystemDrive%\W32.PACARAN II.html
Gambar 9, Wallpaper yang ditampilkan oleh VBWorm.MQE
Selain pada Desktop Windows, ia juga akan mencoba untuk merubah wallpaper pada Internet Explorer dengan merubah string berikut:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General
- BackupWallpaper = %SystemDrive%\W32.PACARAN II.html
- Wallpaper = %SystemDrive%\W32.PACARAN II.html
Sama seperti yang dilakukan oleh kebanyakan virus lokal, VBWorm.MQE juga akan merubah nama organisasi dan nama pemilik Windows tersebut dengan merubah string registri berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- RegisteredOrganization = Microsoft Windows Bajakan
- RegisteredOwner = EYORE COMPUTER
Menyebar secara otomatis melalui Flash Disk
Sebagai media penyebaran VBWorm.MQE masih menggunakan Disket / Flash Disk dengan membuat beberapa file diataranya:
Autorun.inf.
Desktop.ini
C:\Folder.exe
C:\Documents [folder ini akan dibuat disetiap drive], berisi 2 buah file diantaranya:
§ Folder.htt
§ Folder.exe
Agar VBWorm.MQE dapat aktif secara otomatis tanpa harus menjalankan file yang sudah terinfeksi, ia akan membuat 2 buah script yaitu Dekstop.ini dan Autorun.inf. File Autorun.inf ini berisi script untuk menjalankan file Folder.exe yang berada di Dikset / Flash Disk begitupun dengan file Desktop.ini yang berisi script untuk menjalankan file Folder.htt untuk kemudian file folder.htt ini berisi script lain untuk menjalankan file Folder.exe.
Script ini juga akan dibuat di setiap Drive sehingga setiap kali user akses ke Drive tersebut maka secara tidak langsung akan mengaktifkan VBWorm.MQE (lihat gambar 10)
Gambar 10 Script yang di tulis untuk mengaktifkan VBWorm.MQE secara otomatis
Cara pembersihan VBWorm.MQE
Putuskan hubungan komputer yang akan dibersihkan dari jaringan
Lakukan pembersihan pada mode” Safe Mode with Command Prompt”
Matikan proses virus yang aktif dimemori. VBWorm.MQE ini dibuat dengan mengggunakan bahasa Visual Basic jadi anda cukup merubah file msvbvm60.dll. Oleh karena itu agar VBWorm.MQE tidak aktif dimemori hapus file msvbvm60.dll yang ada di direktori :
- C:\
- C:\Windows
- C:\Windows\backup
- C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp
dan ubah file msvbvm60.dll yang ada di direktori “C:\Windows\System32” :
Untuk menghapus file msvbvm60.dll pastikan kursor berada di masing-masing direktori yang telah ditentukan diatas kemudian rubah terlebih dahulu attribut dari file tersebut dengan mengetik perintah ATTRIB –s –h MSVBVM60.dll kemudian tekan tombol “enter” pada keyboard.
Setelah atribut file tersebut berhasil di ubah, kemudian hapus file tersebut dengan mengetik perintah DEL MSVBVM60.DLL kemudian tekan tombol “enter” pada keyboard.
Setelah berhasil menghapus file msvbvm60.dll sesuai lokasi yang sudah ditentukan diatas, kemudian ubah nama file msvbvm60.dll yang berada didirektori C:\Windows\system32 dengan terlebih dahulu merubah attribut dari file tersebut dengan mengetik perintah ATTRIB –s –h MSVBVM60.dll setelah berhasil merubah atribut dari file tersebut kemudian ubah file tersebut dengan mengetik perintah REN MSVBVM60.DLL MSVBVM60OLD.DLL [sebelum merubah file tersebut pastikan kursor berada didirektori C:\Windows\system32]. Setelah file tesrebut berhasil di ubah kemudian restart komputer. Jika setelah komputer restart muncul pesan error sebaiknya abaikan saja dan ikuti langkah pembersihan selanjutnya. (lihat gambar 11)
Gambar11 Menghapus dan merename nama file msvbvm60.dll
Hapus string registri yang dibuat oleh virus. Untuk mempercepat proses penghapusan string tersebut salin script berikut pada notepad dan simpan dengan nama repair.vbs, kemudian jalankan file tersebut dengan menekan tombol enter pada file tersebut atau klik 2 x pada file tersebut.
Dim oWSH: Set oWSH = CreateObject("WScript.Shell")
on error resume Next
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_CLASSES_ROOT\exefile\DefaultIcon\","%1"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization","Your Organization"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","YourOwner"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\","Application"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\Debugger",""
oWSH.Regwrite "HKEY_CLASSES_ROOT\Directory\","File Folder"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\","File Folder"
oWSH.Regwrite "HKEY_CLASSES_ROOT\Unknown\shell\openas\command\","C:\Windows\system32\rundll32.exe C:\Windows%\system32\shell32.dll,OpenAs_RunDLL %1"
oWSH.Regwrite "HKEY_CLASSES_ROOT\Folder\shell\open\command\","%SystemRoot%\Explorer.exe /e,/idlist,%I,%L"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\","C:\Windows\notepad.exe %1"
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\eyore")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\eyore")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\SystemRestore\")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetTaskbar")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCLose")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Nofind")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoAdminPage")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoPwdPage")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText")
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\",""
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\")
oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Mouse\SwapMouseButtons",""
oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper ",""
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\TaskbarSizeMove")
oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\BackupWallpaper",""
oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\Wallpaper",""
oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Themes\LastTheme\Wallpaper",""
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Security Center\AntiVirusDisableNotify")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Security Center\FirewallDisableNotify")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Security Center\UpdatesDisableNotify")
oWSH.Regwrite "HKEY_CLASSES_ROOT\Flash.Movie\shell\open\command\",""
oWSH.Regwrite "HKEY_CLASSES_ROOT\phpfile\shell\open\command\",""
oWSH.Regwrite "HKEY_CLASSES_ROOT\txtfile\shell\open\command\","C:\WINDOWS\notepad.exe %1"
oWSH.Regwrite "HKEY_CLASSES_ROOT\txtfile\","Text Documents"
oWSH.Regwrite "HKEY_CLASSES_ROOT\txtfile\DefaultIcon\","shell32.dll,-152"
oWSH.Regwrite "HKEY_CLASSES_ROOT\regfile\","Registration Entries"
oWSH.Regwrite "HKEY_CLASSES_ROOT\regfile\DefaultIcon\","%SystemRoot%\regedit.exe,1"
oWSH.Regwrite "HKEY_CLASSES_ROOT\jpegfile\","JPEG Image"
oWSH.Regwrite "HKEY_CLASSES_ROOT\jpegfile\DefaultIcon\","shimgvw.dll,3"
oWSH.Regwrite "HKEY_CLASSES_ROOT\htmlfile\shell\open\command\","C:\Program Files\Internet Explorer\IEXPLORE.EXE -nohome"
oWSH.Regwrite "HKEY_CLASSES_ROOT\mp3file\shell\open\command\","C:\Program Files\Windows Media Player\wmplayer.exe"
oWSH.Regwrite "HKEY_CLASSES_ROOT\mp3file\","MP3 Format Sound"
oWSH.Regwrite "HKEY_CLASSES_ROOT\mp3file\DefaultIcon\","C:\Program Files\Windows Media Player\wmplayer.exe,-120"
oWSH.Regwrite "HKEY_CLASSES_ROOT\inffile\DefaultIcon\","shell32.dll,-151"
oWSH.Regwrite "HKEY_CLASSES_ROOT\inifile\DefaultIcon\","shell32.dll,-151"
oWSH.Regwrite "HKEY_CLASSES_ROOT\mpegfile\shell\open\command\","C:\Program Files\Windows Media Player\wmplayer.exe"
oWSH.Regwrite "HKEY_CLASSES_ROOT\cdafile\shell\open\command\","C:\Program Files\Windows Media Player\wmplayer.exe"
oWSH.Regwrite "HKEY_CLASSES_ROOT\movfile\shell\open\command\","C:\Program Files\Windows Media Player\wmplayer.exe"
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{80f340fb-9cf6-11db-aca7-806d6172696f}\shell\")
Setelah menjalankan repair.vbs, cek ulang untuk registri berikut dengan terlebih dahulu menjalankan file regedit.exe dengan cara:
· Klik [Start]
· Klik [Run]
· Pada dialog box ketik regedit.exe dan tekan tombol “OK”
· Setelah “registri Editor” terbuka telusuri key berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{80f340fd-9cf6-11db-aca7-806d6172696f}
Kemudian hapus secara manual key {80f340fd-9cf6-11db-aca7-806d6172696f}, jika ditemukan setelah itu restart komputer.
Matikan “system restore” selama proses pembersihan [jika menggunakan Windows XP / ME]
Hapus file induk yang dibuat oleh virus, sebelum menghapus file tersebut pastikan anda sudah menampilkan semua file yang disembunyikan oleh virus, untuk lebih jelasnya lihat gambar dibawah ini kemudian hapus file di direktori berikut : (lihat gambar 12)
Gambar 12 Menampilkan file yang disembunyikan
§ Autorun.inf
§ C:\MVSBVM60.dll
§ C:\W32.Pacaran II.html
§ Desktop.ini
§ C:\Folder.exe [file ini akan dibuat disetiap drive]
§ C:\Documents [folder ini akan dibuat disetiap drive], berisi 2 buah file diantaranya:
Folder.htt
Folder.exe
§ C:\Windows\MSVBVM60.dll
§ C:\Windows\system32\explorer.exe
§ C:\Windows\system32\eyore.exe
§ C:\Program Files\Windows Media Player\explorer.exe
§ C:\Windows\system32\readme.txt
§ C:\Windows\system32\New Folder.exe
§ C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp\msvbvm60.dll
§ C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp\system.exe
§ C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp\Documents\folder.exe
§ C:\WINDOWS\BackUp\MSVBVM60.dll
§ C:\Documents and Settings\%user%\My Documents\Untuk Titta.txt
Hapus file duplikat yang sudah dibuat oleh virus dengan ciri-ciri
- Menggunakan icon "Folder"
- Mempunyai ekstensi EXE
- Ukuran 59 KB
- Type file "Application"
Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan menggunakan antivirus yang sudah mengenali virus ini dengan baik
Ubah kembali file msvbvm60old.dll di direktori C:\Windows\System32 menjadi msvbvm60.dll
Untuk memunculkan kembali icon desktop yang disembunyikan lakukan secara manual dengan cara:
- Klik kanan area Desktop
- Klik “Show Desktop Icon”
Ubah kembali nama drive C:\ yang sudah diubah oleh virus dengan cara:
- Klik kanan Drive C:\
- Klik “rename”
- Isi Volume Drive sesuai dengan yang anda inginkan [contoh: System]
Tampilkan kembali folder/subfolder yang disembunyikan dengan mengetik perintah ATTRIB -h /s /d pada masing-masing Drive. (lihat gambar 13)
Gambar 13 – Menampilkan folder / subfolder yang disembunyikan
Aktifkan kembali “system restore” setelah virus benar-benar bersih dari system komputer.
Read More..
Virus Pacaran yang paling kejam
Fitnah Lebih Kejam dari Pembunuhan, demikianlah ungkapan sering diberikan pada orang-orang yang senang memfitnah. Rupanya tidak hanya manusia yang suka memfitnah, tetapi ada juga virus melakukan fitnah. Yang ini tentunya tidak memfitnah manusia, tetapi memfitnah file baik-baik agar dikira virus dan dihapus oleh pengguna komputer.
Ibarat banjir yang melanda Jakarta, virus lokal yang menyebar saat ini semakin banyak serta membawa dampak sosial yang cukup besar sudah banyak user yang menjadi korban dan mengalami kerugian besar baik dari sisi materiil maupun non materil. Ibarat pintu air yang tak kuasa menahan datangnya limpahan air dalam jumlah besar, program antivirus yang terinstal terkadang tak mampu menahan serangan virus. Terkadang FORMAT menjadi senjata andalan yang digunakan, tapi masalahnya virus tersebut terkadang datang kembali dan menginfeksi kembali komputer dan ibarat banjir bandang, beberapa varian virus bahkan menghancurkan data komputer korbannya. Data, baik MS.Office maupun data-data penting lainnya sering kali menjadi terget utama dari virus lokal mulai dari sekedar disembunyikan sampai dengan di hapus. Masalah menjadi besar jika data tersebut adalah data penting, alhasil software recovery yang diharapkan sebagai malaikat penolong, tetapi pada kasus tertentu pepatah tua menunjukkan kebenarannya Nasi Sudah Menjadi Bubur atau sesal Dahulu Pendapatan, Sesal Kudian Tak Berguna. Supaya tidak menyesal selalu bask up data anda dan gunakan antivirus yang memberikan deteksi virus lokal dan dukungan support lokal di Indonesia.
Jika suatu saat Drive di komputer anda tiba-tiba hilang atau muncul beberapa dialog box dengan pesan “khas” met PacaraN yach ... :), sebaiknya anda waspada karena kemungkinan besar anda sudah menjadi korban salah satu virus lokal yang saat ini sedang menyebar dan “celakanya” jika user klik tombol “OK” maka dialog box lain akan muncul dengan isi “hitungan mundur 60 detik” setelah itu virus ini akan mematikan komputer dan jangan senang dulu karena pesan ini akan muncul jika user menjalankan komputer dibawah jam 8.00 pagi. Mungkin virus ini bermaksud mendisiplinkan karyawan agar tidak bekerja sebelum jam 8 pagi :P. (perhatikan gambar 1 dan 2 dibawah ini)
Gambar 1 Pesan yang disampaikan VBWOrm.MQE
Gambar 2 VBWorm.MQE berusaha untuk mematikan komputer korban
Maraknya penyebaran virus lokal selama ini rasanya sudah cukup bagi user untuk dapat membedakan dan mengatasi virus lokal itu sendiri karena terkadang program antivirus yang “selalu” dibanggakan pun dibuat tak berdaya melawan virus lokal alhasil terkadang cara manual merupakan cara yang harus ditempuh dan DOS merupakan salah satu alternatif yang dapat digunakan untuk melumatkan serangan virus lokal tersebut, tetapi virus juga tak kalah cerdik ia akan mencoba untuk memanfaatkan setiap inci kelemahan dari user yang dimungkinkan akan dijadikan peluang oleh virus untuk menyebarkan dirinya sehingga tidak salah jika ada yang pendapat bahwa virus selalu berada 1 langkah di depan antivirus.
Dilihat dari karakteristik, “biasanya” virus lokal mempunyai ciri-ciri yang sama walaupun terdapat beberapa perbedaan. Salah satu yang menjadi ciri yang digunakan adalah sering mengggunakan icon “Folder” yang mempunyai ukuran tertentu disetiap file yang terinfeksi. Seperti yang anda ketahui bahwa setiap “Folder” ASLI yang tidak terinfeksi tidak akan mempunyai ukuran sedangkan file yang menggunakan icon Folder dan sudah terinfeksi virus akan mempunyai ukuran tertentu dengan type file “Application” atau ”Screen Saver”, sehingga jika anda menjumpai sebuah Folder yang mempunyai ukuran sebaiknya dihapus dan jangan di jalankan karena akan mengaktifkan virus ini.
Hati-Hati File Anda di Fitnah, Semua .exe atau .txt dirubah menjadi icon folder ang memiliki ukuran
Tetapi untuk saat ini sebaiknya anda lebih waspada karena telah muncul virus lokal baru yang menggunakan rekayasa sosial baru dengan memanfaatkan icon folder dan type file tersebut, sehingga akan terlihat seolah-olah file tersebut adalah file virus atau file yang sudah terinfeksi virus tujuannya sudah jelas agar user menghapus file tersebut sehingga tanpa disadari mereka telah menghapus file yang sebenarnya bukan virus, contohnya jika virus menjumpai file executable [exe], atau text documents [txt] maka ia akan merubah icon dari file tersebut dengan icon “Folder” dan merubah type file tersebut menjadi “Application”, karena file tersebut mempunyai ukuran maka akan terlihat file tersebut seolah-olah file duplikat atau file yang sudah terinfeksi virus sehingga dengan “pede” user yang mengira berhasil mendeteksi virus akan menghapus file tersebut tetapi sebenarnya user tersebut sedang “harakiri” terhadap sistem komputernya karena yang di hapus bukanlah file yang bervirus melainkan file asli yang sebenarnya tidak terinfeksi virus. (lihat gambar 3)
Gambar 3 VBWorm.MQE merubah icon dari file exe dan txt dengan icon “Folder”
Dengan update terbaru Norman Virus Control mendeteksi virus tersebut sebagai VBWorm.MQE (lihat gambar 4)
Gambar 4 Norman berhasil mendetesi VBWorm.MQE
Ciri utama yang dapat dikenali dari virus ini adalah setiap kali komputer login maka akan muncul sebuah pesan dari sang “mpunya” virus dengan caption text “W32.PACARAN – jigsaw” dengan isi “AKu kembali untuk menuntuk balas ha..ha...ha.. :D”, ciri lainnya adalah akan menampillkan sebuah dialog box “met PacaraN yach ... :)” pada waktu-waktu yang telah ditentukan (lihat gambar 1).
Visual Basic menjadi bahasa pilihan yang akan digunakan oleh VBWorm.MQE, dengan ukuran 59 KB dengan icon “Folder” yang tentunya akan mempunyai type file sebagai “Application”. Sebagai upaya untuk mempertahankan dirinya ia akan membuat beberapa file induk dan beberapa script untuk menjalankan dirinya secara otomatis, VBWorm.MQE juga akan membuat file msvbvm60.dll di direktori C:\, C:\Windows dan C:\Winodws\backup sebagai file backup jika user merubah atau menghapus file MSVBVM60.dll yang berada didirektori C:\Windows\system32 sehingga ia akan tetap aktif.
Berikut beberapa file induk yang akan dibuat oleh VBWorm.MQE:
Autorun.inf
Berisi script untuk menjalankan file Folder.exe secara otomatis setiap kali user akses ke sebuah Drive [file ini akan dibuat disetiap Drive termasuk ke dalam Disket/Flash Disk]
C:\MVSBVM60.dll
Sebagai file backup jika file MSVBVM60.dll di system32 dirubah/dihapus oleh user, sehinga ia akan tetap aktif melakukan aksinya.
C:\W32.Pacaran II.html
Berisi sebuah pesan dari “sang mpunya” virus, file ini juga akan diset sebagai Wallpaper.
Desktop.ini
Berisi script untuk menjalankan file folder.htt yang berada di direktori ....\\Documents\folder.htt, file folder.htt ini berisi script lain untuk menjalankan file folder.exe [file Desktop.ini akan dibuat disetiap Drive]
C:\Folder.exe [file ini akan dibuat disetiap drive]
C:\Documents [folder ini akan dibuat disetiap drive], berisi 2 buah file diantaranya:
§ Folder.htt
§ Folder.exe
C:\Windows\MSVBVM60.dll, sebagai file backup
C:\Windows\system32\explorer.exe
C:\Windows\system32\eyore.exe
C:\Program Files\Windows Media Player\explorer.exe
C:\Windows\system32\readme.txt
C:\Windows\system32\New Folder.exe
C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp\msvbvm60.dll
C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp\system.exe
C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp\Documents\folder.exe
C:\WINDOWS\BackUp\MSVBVM60.dll
C:\Documents and Settings\%user%\My Documents
§ Untuk Titta.txt, berisi pesan kepada “sang kekasih” [hal yang paling membahagiakan bagi gw adalah... mencinataimu]
Agar file tersebut dapat aktif secara otomatis, ia akan membuat beberapa string pada registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- eyore = C:\WINDOWS\System32\explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Eyore = C:\WINDOWS\System32\explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Default = C:\WINDOWS\System32\explorer.exe %1 %*
HKEY_USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
- Eyore = C:\WINDOWS\System32\explorer.exe
Sebagai upaya agar aktif pada mode “safe mode with command prompt” ia akan membuat string pada registri berikut, tetapi sebenarnya VBWorm.MQE tidak akan aktif pada mode ini karena terdapat “bug” atau “karena kesengajaan” pada string yang dibuat dan sebagai informasi VBWorm.MQE ini hanya aktif pada mode “Normal” saja sehingga pembersihan dapat anda lakukan baik pada mode “safe mode” atau “safe mode with command prompt”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Control\SafeBoot
- AlternateShell = C:\WINDOWS\System32\explorer.exe %1 %*
Blok Segambreng Fungsi Windows
VBWorm.MQE ini cukup merepotkan karena banyak fungsi windows yang akan di blok seperti:
Disable Shutdown
Disable Run
Disable Find
Disable Folder options
Disable Klik kanan
Disable Cmd
Disable Registri tools
Disable Control panel
Disable System Restore
Disable Icon Desktop
Disable klik kanan Desktop
Dengan membuat beberapa string pada registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoClose
- NoDrives
- NoFind
- NoFolderOptions
- NoRun
- NoSetFolders
- NoSetTaskbar
- NoTrayContextMenu
- NoViewContextMenu
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD
- DisableRegistriTools
- NoAdminPage
- NoPwdPage
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
- Disabled =1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- NoFolderOptions
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- Hidden =2
- HideFileExt = 1
- ShowSuperHidden = 1
- SuperHidden = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\SystemRestore
- Default = 1
VBWorm.MQE juga akan berusaha memblok program security termasuk firewall dan program antivirus dengan membuat string berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
- EnableFirewall =0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- AntiVirusDisableNotify = 1
- FirewallDisableNotify = 1
- UpdatesDisableNotify =1
HKEY_CURRENT_USER\Software\Microsoft\Security Center
- AntiVirusDisableNotify = 1
- FirewallDisableNotify = 1
- UpdatesDisableNotify =1
Menghapus program Antivirus
Seperti biasa virus akan mencoba untuk blok antivirus begitupun yang dilakukan oleh VBWorm.MQE yang akan menghapus semua file dari program antivirus dengan sasaran semua program antivirus yang di install di direktori C:\Program files\.., dengan terlebih dahulu merubah file C:\Autoexec.bat dengan menambahkan sederetan perintah untuk menghapus file dari program antivirus tersebut, hal ini juga pernah dilakukan oleh virus lokal lainnya sebut saja VBWorm.NA atau Trojan.KillAV.TY, perhatikan gambar 5 dibawah ini:
Gambar 5 VBWorm.MQE mencoba untuk menghapus program antivirus
Berikut beberapa program antivirus dan firewall yang akan menjadi target oleh VBWorm.MQE:
- Norman Virus Control
- MCAfee
- Symantec [Norton]
- AVG
- Trend Micro
- F-Prot
- AVP
- BitDefender
- F-Secure
- Inoculate-IT
- RAV serta ZONE Alarm
Seperti yang dilakukan oleh Rontokbro, VBWorm.MQE juga akan mencoba blok akses ke beberapa website antivirus dan website yang sudah ditentukan dengan merubah file yang berada di didirektori C:\Windows\System32\drivers\Etc\HOST , dengan mencantuman beberapa alamat website yang akan di blok.
www.kaspersky.com
www.sec
www.jasakom.com
www.dell.com
www.ibm.com
www.pandasoftware.com
avgnt.exe
www.sophos.com
www.geocities.com
www.securityfocus.com
login.yahoo.com
www.zeropaid.com
www.agsatellite.com
www.bearshare.com
www.edonkey200.com
www.imesh.com
morpheus.com
update.microsoft.com
www.lavasoft.com
www.zonelabs.com
www.grisoft.com
www.mp3.com
www.msn.com
www.ebay.com
www.vet.com
www.winguides.com
www.limewire.com
www.winmx.com
www.emule.com
www.kazaa.com
www.google.co.id
VBWorm.MQE juga akan mencoba untuk memanipulasi file yang mempunyai ekstensi tertentu sehingga jika user menjalankan file dengan ekstensi tersebut maka secara otomatis akan menjalankan file induk yang sudah dibuat oleh VB.Worm.MQE di direktori [C:\WINDOWS\System32\explorer.exe] atau [C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe], berikut beberapa ekstensi yang menjadi target serangan VBWorm.MQE:
Phpfile
Flash.move
Movfile
Mp3file
Mpegfile
Datfile
Cdafile
Htmlfile
Txtfile
Untuk melakukan hal tersebut VBWorm.MQE juga akan merubah sting pada registri berikut:
HKEY_CLASSES_ROOT\Unknown\shell\openas\command
- Default = C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe %1 %*
HKEY_CLASSES_ROOT\Flash.Movie\shell\open\command
- Default = C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe %1 %*
HKEY_CLASSES_ROOT\phpfile\shell\open\command
- Default = C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe %1 %*
HKEY_CLASSES_ROOT\movfile\shell\open\command
- Default = C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe %1 %*
HKEY_CLASSES_ROOT\mp3file\shell\open\command
- Default = C:\WINDOWS\System32\explorer.exe %1 %*
HKEY_CLASSES_ROOT\mpegfile\shell\open\command
- Default = C:\WINDOWS\System32\explorer.exe %1 %*
HKEY_CLASSES_ROOT\datfile\shell\open\command
- Default = C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe %1 %*
HKEY_CLASSES_ROOT\cdafile\shell\open\command
- Default = C:\WINDOWS\\Resources\Themes\Luna\Shell\NormalColor\BackUp\System.exe %1 %*
HKEY_CLASSES_ROOT\htmlfile\shell\open\command
- Default = C:\WINDOWS\System32\explorer.exe %1 %*
HKEY_CLASSES_ROOT\txtfile\shell\open\command
- Default = C:\WINDOWS\System32\explorer.exe %1 %*
HKEY_CLASSES_ROOT\Folder\shell\open\command
- Default = C:\WINDOWS\System32\explorer.exe %1 %*
Menyembunyikan Drive dan Folder
Satu hal yang membedakan VBWorm.MQE dengan virus lokal lainnya adalah kemampuannya untuk menyembunyikan semua Drive yang ditemui di komputer yang terinfeksi dan menyembunyikan Folder / Subfolder. Untuk mengelabui user ia juga akan membuat duplikat disetiap Drive sesuai dengan nama folder yang disembunyikan, VBWorm.MQE juga akan merubah Drive C:\ menjadi PACARAN (lihat gambar 6) dengan terlebih dahulu membuat string pada registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoDrives
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{80f340fd-9cf6-11db-aca7-806d6172696f}
- _LabelFromReg = PACARAN
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{80f340fb-9cf6-11db-aca7-806d6172696f}\Shell\Auto\command
- Default = Folder.exe e
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{80f340fb-9cf6-11db-aca7-806d6172696f}\Shell\AutoRun\command
- Default = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Folder.exe e
Gambar 6, VBWorm.MQE merubah Drive C:\ menjadi PACARAN dan membuat file duplikat
Merubah type file
VBWorm.MQE juga akan merubah type file dari sebuah Folder dari “File Folder” menjadi “W32.PACARAN” dengan membuat string pada registri berikut : (lihat gambar 7)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory
- Default = W32.PACARAN
HKEY_CLASSES_ROOT\Directory
- Default = W32.PACARAN
Gambar 7-VBWorm.MQE merubah type file Folder dari “file folder” manjadi “W32.PACARAN”
VBWorm juga akan melakukan hal seperti diatas terhadap beberapa file lain seperti file MP3 dan file JPEG dengan terlebih dahulu membuat string pada registri berikut:
HKEY_CLASSES_ROOT\mp3file
- Default = W32.PACARAN
HKEY_CLASSES_ROOT\jpegfile
- Default = W23.PACARAN
Shutdown Komputer
VBWorm.MQE juga akan mencoba untuk mematikan komputer pada waktu-waktu yang telah ditentukan dengan terlebih dahulu akan menampilkan beberapa dialog box dengan pesan “met PacaraN yach ... :)” (lihat gambar 1)
Jika user menekan tombol “OK” maka VBWorm.MQE akan mengusai komputer dan komputer tidak akan dapat anda gunakan dengan mengunci mouse atau keyboard. Dengan kemunculan pesan tersebut sebagai pertanda dari VBWorm.MQE agar anda segera mematikan komputer atau ia akan mematikan secara paksa dengan menampilkan sebuah dialog box dengan itungan mundur 60 detik sebelum komputer mati, hal ini juga pernah dilakukan oleh virus Blaster/Sasser bedanya jika virus Sasser/Blaster akan restart komputer karena proses penggantian file LSASS dengan paksa sedangkan VBWorm.MQE akan mematikan komputer dengan tidak menggunakan celah keamanan Microsoft [LSASS / RPC DCOM] sehingga walaupun komputer anda telah dilakukan patch [penutupan celah keamanan tersebut] VBWorm.MQE akan tetap mematikan komputer anda, agar komputer tidak shutdown [mati] ketik perintah SHUTDOWN –A pada dos prompt.
VBWorm.MQE juga akan berusaha mematikan komputer pada jam-jam yang telah ditentukan [biasanya pesan ini muncul jika user menjalankan komputer dibawah jam 8.00 AM] dan jika user klik tombol “OK” maka akan muncul dialog box konfirmasi shutdown dengan tetap nanampilkan hitungan mundur 60 detik sebelum komputer mati [shutdown]
Aksi lain yang akan dilakukan oleh VBWorm.MQE adalah kemampuannya untuk merubah fungsi mouse dari klik kiri menjadi klik kanan atau sebaliknya dengan merubah string pada registri berikut:
HKEY_CURRENT_USER\Control Panel\Mouse
- SwapMouseButtons = 1
“AKU kembali untuk menuntut balas ...ha...ha... ;D itulah pesan lain yang akan di sampaikan oleh sang “mpunya” virus, pesan ini akan muncul setiap kali user menyalakan komputer [login] hal ini juga pernah dilakukan oleh virus lokal lainnya seperti VBWorm.NA dengan terlebih dahulu membuat string pada registri berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- LegalNoticeCaption = W32.PACARAN -jigsaw-
- LegalNoticeText = Aku kembali untuk menuntut balas...ha...ha.. :D
Jangan Langsung Menghapus File yang dicurigai bervirus
Sebaiknya anda berhati-hati jika komputer anda terinfeksi VBWorm.MQE, jangan sembarangan menghapus file yang mempunyai icon “Folder” dan mempunyai ukuran tertentu karena VBWorm.MQE akan mencoba untuk mengelabui user dengan merubah sejumlah file dengan ekstensi tertentu dengan mengganti icon dari file tersebut dengan icon “Folder” dan “celakanya” ia juga akan merubah type file tersebut menjadi “Application” sehingga file tersebut akan terlihat seperti file duplikat yang dibuat oleh virus atau file yang telah terinfeksi virus dan inilah yang akan membuat user mudah terjebak dan dengan “senang hati” akan menghapus file tersebut yang sebenarnya bukan merupakan file yang terinfeksi virus sehingga dapat dipastikan semua data penting anda akan terhapus, kenapa hal ini bisa terjadi? karena saat ini user hanya mengetahui jika terdapat file yang mempunyai icon “folder” dengan ukuran tertentu apalagi mempunyai type file sebagai “Application” atau “Screen saver” adalah VIRUS dan sang mpunya virus memanfaatkan celah ini untuk mengelabui user, suatu rekayasa sosial yang pantas mendapat acungan jempol, sederhana tapi sangat merepotkan, oleh karena itu sebaiknya hapus file icon “folder” yang mempunyai ukuran 59 KB saja atau untuk amannya, gunakan Norman Virus Control dengan update terakhir untuk mendeteksi dan membasmi file yang terdeteksi sebagai W32/VBWorm.MQE
Beberapa file yang akan dijadikan target adalah file music [MP3], txt, reg file, jpeg, inf dan exe, untuk memanipulasi file tersebut VBWorm.MQE akan melakukan sedikit perubahan pada registri berikut : (lihat gambar 8)
HKEY_CLASSES_ROOT\mp3file\DefaultIcon
- Default = shell32.dll,3
HKEY_CLASSES_ROOT\txtfile\DefaultIcon
- Default = shell32.dll,3
HKEY_CLASSES_ROOT\txtfile
- Default = Application
HKEY_CLASSES_ROOT\regfile
- Default = Application
HKEY_CLASSES_ROOT\regfile\DefaultIcon
- Default = shell32.dll,3
HKEY_CLASSES_ROOT\jpegfile\DefaultIcon
- Default = shell32.dll,3
HKEY_CLASSES_ROOT\Drive\DefaultIcon
- Default = shell32.dll,10
HKEY_CLASSES_ROOT\exefile\DefaultIcon
- Default = shell32.dll,3
HKEY_CLASSES_ROOT\inffile\DefaultIcon
- Default = shell32.dll,-152
HKEY_CLASSES_ROOT\exefile
- Default = File Folder
HKEY_CLASSES_ROOT\inifile\DefaultIcon\
- Default = shell32.dll,152
Gambar 8 VBWorm.MQE memanipulasi file yg tidak terinfeksi dengan merubah icon file
Merubah Wallpaper Windows
Masih banyak aksi lain yang dilakukan oleh VBWorm.MQE salah satunya adalah mencoba untuk merubah settings wallpaper komputer (lihat gambar 9) dengan file yang telah dibuat sebelumnya dengan merubah string pada registy berikut
HKEY_CURRENT_USER\Control Panel\Desktop
- Wallpaper = C:\W32.PACARAN II.html
- Tilewalpaper = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Themes\LastTheme
- Wallpaper = %SystemDrive%\W32.PACARAN II.html
Gambar 9, Wallpaper yang ditampilkan oleh VBWorm.MQE
Selain pada Desktop Windows, ia juga akan mencoba untuk merubah wallpaper pada Internet Explorer dengan merubah string berikut:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General
- BackupWallpaper = %SystemDrive%\W32.PACARAN II.html
- Wallpaper = %SystemDrive%\W32.PACARAN II.html
Sama seperti yang dilakukan oleh kebanyakan virus lokal, VBWorm.MQE juga akan merubah nama organisasi dan nama pemilik Windows tersebut dengan merubah string registri berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- RegisteredOrganization = Microsoft Windows Bajakan
- RegisteredOwner = EYORE COMPUTER
Menyebar secara otomatis melalui Flash Disk
Sebagai media penyebaran VBWorm.MQE masih menggunakan Disket / Flash Disk dengan membuat beberapa file diataranya:
Autorun.inf.
Desktop.ini
C:\Folder.exe
C:\Documents [folder ini akan dibuat disetiap drive], berisi 2 buah file diantaranya:
§ Folder.htt
§ Folder.exe
Agar VBWorm.MQE dapat aktif secara otomatis tanpa harus menjalankan file yang sudah terinfeksi, ia akan membuat 2 buah script yaitu Dekstop.ini dan Autorun.inf. File Autorun.inf ini berisi script untuk menjalankan file Folder.exe yang berada di Dikset / Flash Disk begitupun dengan file Desktop.ini yang berisi script untuk menjalankan file Folder.htt untuk kemudian file folder.htt ini berisi script lain untuk menjalankan file Folder.exe.
Script ini juga akan dibuat di setiap Drive sehingga setiap kali user akses ke Drive tersebut maka secara tidak langsung akan mengaktifkan VBWorm.MQE (lihat gambar 10)
Gambar 10 Script yang di tulis untuk mengaktifkan VBWorm.MQE secara otomatis
Cara pembersihan VBWorm.MQE
Putuskan hubungan komputer yang akan dibersihkan dari jaringan
Lakukan pembersihan pada mode” Safe Mode with Command Prompt”
Matikan proses virus yang aktif dimemori. VBWorm.MQE ini dibuat dengan mengggunakan bahasa Visual Basic jadi anda cukup merubah file msvbvm60.dll. Oleh karena itu agar VBWorm.MQE tidak aktif dimemori hapus file msvbvm60.dll yang ada di direktori :
- C:\
- C:\Windows
- C:\Windows\backup
- C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp
dan ubah file msvbvm60.dll yang ada di direktori “C:\Windows\System32” :
Untuk menghapus file msvbvm60.dll pastikan kursor berada di masing-masing direktori yang telah ditentukan diatas kemudian rubah terlebih dahulu attribut dari file tersebut dengan mengetik perintah ATTRIB –s –h MSVBVM60.dll kemudian tekan tombol “enter” pada keyboard.
Setelah atribut file tersebut berhasil di ubah, kemudian hapus file tersebut dengan mengetik perintah DEL MSVBVM60.DLL kemudian tekan tombol “enter” pada keyboard.
Setelah berhasil menghapus file msvbvm60.dll sesuai lokasi yang sudah ditentukan diatas, kemudian ubah nama file msvbvm60.dll yang berada didirektori C:\Windows\system32 dengan terlebih dahulu merubah attribut dari file tersebut dengan mengetik perintah ATTRIB –s –h MSVBVM60.dll setelah berhasil merubah atribut dari file tersebut kemudian ubah file tersebut dengan mengetik perintah REN MSVBVM60.DLL MSVBVM60OLD.DLL [sebelum merubah file tersebut pastikan kursor berada didirektori C:\Windows\system32]. Setelah file tesrebut berhasil di ubah kemudian restart komputer. Jika setelah komputer restart muncul pesan error sebaiknya abaikan saja dan ikuti langkah pembersihan selanjutnya. (lihat gambar 11)
Gambar11 Menghapus dan merename nama file msvbvm60.dll
Hapus string registri yang dibuat oleh virus. Untuk mempercepat proses penghapusan string tersebut salin script berikut pada notepad dan simpan dengan nama repair.vbs, kemudian jalankan file tersebut dengan menekan tombol enter pada file tersebut atau klik 2 x pada file tersebut.
Dim oWSH: Set oWSH = CreateObject("WScript.Shell")
on error resume Next
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_CLASSES_ROOT\exefile\DefaultIcon\","%1"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization","Your Organization"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","YourOwner"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\","Application"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\Debugger",""
oWSH.Regwrite "HKEY_CLASSES_ROOT\Directory\","File Folder"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\","File Folder"
oWSH.Regwrite "HKEY_CLASSES_ROOT\Unknown\shell\openas\command\","C:\Windows\system32\rundll32.exe C:\Windows%\system32\shell32.dll,OpenAs_RunDLL %1"
oWSH.Regwrite "HKEY_CLASSES_ROOT\Folder\shell\open\command\","%SystemRoot%\Explorer.exe /e,/idlist,%I,%L"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\","C:\Windows\notepad.exe %1"
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\eyore")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\eyore")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\SystemRestore\")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetTaskbar")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCLose")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Nofind")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoAdminPage")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoPwdPage")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText")
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\",""
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\")
oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Mouse\SwapMouseButtons",""
oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper ",""
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\TaskbarSizeMove")
oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\BackupWallpaper",""
oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\Wallpaper",""
oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Themes\LastTheme\Wallpaper",""
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Security Center\AntiVirusDisableNotify")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Security Center\FirewallDisableNotify")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Security Center\UpdatesDisableNotify")
oWSH.Regwrite "HKEY_CLASSES_ROOT\Flash.Movie\shell\open\command\",""
oWSH.Regwrite "HKEY_CLASSES_ROOT\phpfile\shell\open\command\",""
oWSH.Regwrite "HKEY_CLASSES_ROOT\txtfile\shell\open\command\","C:\WINDOWS\notepad.exe %1"
oWSH.Regwrite "HKEY_CLASSES_ROOT\txtfile\","Text Documents"
oWSH.Regwrite "HKEY_CLASSES_ROOT\txtfile\DefaultIcon\","shell32.dll,-152"
oWSH.Regwrite "HKEY_CLASSES_ROOT\regfile\","Registration Entries"
oWSH.Regwrite "HKEY_CLASSES_ROOT\regfile\DefaultIcon\","%SystemRoot%\regedit.exe,1"
oWSH.Regwrite "HKEY_CLASSES_ROOT\jpegfile\","JPEG Image"
oWSH.Regwrite "HKEY_CLASSES_ROOT\jpegfile\DefaultIcon\","shimgvw.dll,3"
oWSH.Regwrite "HKEY_CLASSES_ROOT\htmlfile\shell\open\command\","C:\Program Files\Internet Explorer\IEXPLORE.EXE -nohome"
oWSH.Regwrite "HKEY_CLASSES_ROOT\mp3file\shell\open\command\","C:\Program Files\Windows Media Player\wmplayer.exe"
oWSH.Regwrite "HKEY_CLASSES_ROOT\mp3file\","MP3 Format Sound"
oWSH.Regwrite "HKEY_CLASSES_ROOT\mp3file\DefaultIcon\","C:\Program Files\Windows Media Player\wmplayer.exe,-120"
oWSH.Regwrite "HKEY_CLASSES_ROOT\inffile\DefaultIcon\","shell32.dll,-151"
oWSH.Regwrite "HKEY_CLASSES_ROOT\inifile\DefaultIcon\","shell32.dll,-151"
oWSH.Regwrite "HKEY_CLASSES_ROOT\mpegfile\shell\open\command\","C:\Program Files\Windows Media Player\wmplayer.exe"
oWSH.Regwrite "HKEY_CLASSES_ROOT\cdafile\shell\open\command\","C:\Program Files\Windows Media Player\wmplayer.exe"
oWSH.Regwrite "HKEY_CLASSES_ROOT\movfile\shell\open\command\","C:\Program Files\Windows Media Player\wmplayer.exe"
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{80f340fb-9cf6-11db-aca7-806d6172696f}\shell\")
Setelah menjalankan repair.vbs, cek ulang untuk registri berikut dengan terlebih dahulu menjalankan file regedit.exe dengan cara:
· Klik [Start]
· Klik [Run]
· Pada dialog box ketik regedit.exe dan tekan tombol “OK”
· Setelah “registri Editor” terbuka telusuri key berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{80f340fd-9cf6-11db-aca7-806d6172696f}
Kemudian hapus secara manual key {80f340fd-9cf6-11db-aca7-806d6172696f}, jika ditemukan setelah itu restart komputer.
Matikan “system restore” selama proses pembersihan [jika menggunakan Windows XP / ME]
Hapus file induk yang dibuat oleh virus, sebelum menghapus file tersebut pastikan anda sudah menampilkan semua file yang disembunyikan oleh virus, untuk lebih jelasnya lihat gambar dibawah ini kemudian hapus file di direktori berikut : (lihat gambar 12)
Gambar 12 Menampilkan file yang disembunyikan
§ Autorun.inf
§ C:\MVSBVM60.dll
§ C:\W32.Pacaran II.html
§ Desktop.ini
§ C:\Folder.exe [file ini akan dibuat disetiap drive]
§ C:\Documents [folder ini akan dibuat disetiap drive], berisi 2 buah file diantaranya:
Folder.htt
Folder.exe
§ C:\Windows\MSVBVM60.dll
§ C:\Windows\system32\explorer.exe
§ C:\Windows\system32\eyore.exe
§ C:\Program Files\Windows Media Player\explorer.exe
§ C:\Windows\system32\readme.txt
§ C:\Windows\system32\New Folder.exe
§ C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp\msvbvm60.dll
§ C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp\system.exe
§ C:\WINDOWS\Resources\Themes\Luna\Shell\NormalColor\BackUp\Documents\folder.exe
§ C:\WINDOWS\BackUp\MSVBVM60.dll
§ C:\Documents and Settings\%user%\My Documents\Untuk Titta.txt
Hapus file duplikat yang sudah dibuat oleh virus dengan ciri-ciri
- Menggunakan icon "Folder"
- Mempunyai ekstensi EXE
- Ukuran 59 KB
- Type file "Application"
Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan menggunakan antivirus yang sudah mengenali virus ini dengan baik
Ubah kembali file msvbvm60old.dll di direktori C:\Windows\System32 menjadi msvbvm60.dll
Untuk memunculkan kembali icon desktop yang disembunyikan lakukan secara manual dengan cara:
- Klik kanan area Desktop
- Klik “Show Desktop Icon”
Ubah kembali nama drive C:\ yang sudah diubah oleh virus dengan cara:
- Klik kanan Drive C:\
- Klik “rename”
- Isi Volume Drive sesuai dengan yang anda inginkan [contoh: System]
Tampilkan kembali folder/subfolder yang disembunyikan dengan mengetik perintah ATTRIB -h /s /d pada masing-masing Drive. (lihat gambar 13)
Gambar 13 – Menampilkan folder / subfolder yang disembunyikan
Aktifkan kembali “system restore” setelah virus benar-benar bersih dari system komputer.
Read More..
Langganan:
Postingan (Atom)
