Virus Solution

Warning dari Pandalabs, sebaiknya patch Windows MS08-067 sebelum terserang Gimmiv.A

2009-01-13T16:58:00.000-08:00

Masih sekitar trojan Gimmiv.A. Virus ini dapat menyerang computer dan berdampak pada OS Microsoft Windows 2000, Windows XP dan Windows Server 2003.

Gimmiv.A mampu membuka kelemahan dari sistem OS Windows. Dan Trojan dapat bekerja denagn sendirinya, tanpa diperlukan campur tangan pemilik computer seperti meng-click sesuatu pada layar desktop.

Apa saja yang dapat dilakukan trojan Gimmiv.A

Trojan dapat mengambil nama user dan password ketika pemilik computer memasuki sebuah web.
Mengambil password MSN
Mengambil password Outlook Express
Mengambil password nama user dari System computer
Mengetahui nama computer
Melakukan patches
Mengetahui browser apa yang dijalankan.

Data yang dicuri disimpan oleh trojan Gimmiv.A . Mengunakan penguncian atau sandi tertentu seperti password pengacak Advanced Encryption Standard (AES). Selanjutnya Trojan dapat mengirim ke server tertentu yang dituju

Mau aman , sebaiknya patch Windows anda dengan MS08-067
Update OS Windows

Microsoft Malware Protection Center, peringatkan Worm Win32/Conficker.A

2009-01-13T16:57:00.000-08:00

Microsoft memperingatkan worm Win32/Conficker.A yang dapat menyerang dengan kelemahan file sharing
Worm menyerang Windows Server service (SVCHOST.EXE), penguna OS Windows diminta mengupdate Security Bulletin MS08-067

Virus mencari file 'services.exe' , lalu menginjeksi dirinya kedalam file tersebut. Virus akan membuat file ke folder System serta secara random dan memberi nama acak seperti xxxx.dll atau seperti nyxme.dll.

Virus akan menganti tanggal waktu seperti tanggal sebuah file Kernel32.dll. Dengan cara merubah tanggal, virus mencoba melindungi diri dari penyelidikan seperti kapan virus mulai masuk kedalam computer. File DLL juga merubah file registry dengan menambah nilai :

Adds value: "DisplayName"

With data: "0"

To subkey: HKLM\SYSTEM\CurrentControlSet\Services\vcdrlxeu

Adds value: "ServiceDll"

With data: "<system folder>\nxyme.dll"

To subkey: HKLM\SYSTEM\ControlSet001\Services\vcdrlxeu\Parameters

Bila virus sudah masuk dan merapihkan semua jalan, virus akan membuka port antara 1024 - 10.000, dan mem-baypass sistem Firewall Windows. Virus juga mematikan sistem internet connection sharing service.

Penyebaran melalui :
Jaringan computer LAN, Worm Win32/Conficker.A akan mengcopy dan mulai secara acak menari IP address yang ada di jaringan LAN. Dan mencoba mencari Windows yang tidak di patch dengan kelemahan pada SVCHOST.exe.
Jika Worm menemukan, maka Worm akan mengintruksikan computer lain untuk mendownload file via HTTP atau Host Computer yang portnya telah dibuka.
Worm akan mengarahkan nama situs lain seperti

getmyip.org

getmyip.co.uk

checkip.dyndns.org

Pencegahan

Microsoft Security Bulletin MS08-067 – Critical

Varian Conficker atau w32.downadup diperkirakan menginfeksi ribuan computer

2009-01-13T16:45:00.000-08:00

Worm Conficker muncul di akhir November 2008, tetapi mulai muncul versi varian yang telah menginfeksi ribuan computer.
Worm Conficker menyerang OS Microsoft Windows Server dan khusus menyerang bagian RPC.

Setelah masuk, Worm juga menyebar melalui jaringan LAN, dan USB seperti player MP3 dan Flashdrive.
Informasi terbaru, tugas Worm Conficker mulai digunakan untuk mendownload malware lain dari si pembuatnya.

Untuk para admin agar segera melakukan patch terhadap server dan komputer dalam jaringannya dengan mendownload patch yang telah disediakan oleh Microsoft untuk mengatasi masalah ini.
Link downloadnya bisa langsung ke alamat ini

Tahun Baru 2009 Virus Baru Serang Ponsel Nokia & OS Symbian!

2009-01-08T16:50:00.000-08:00

Kabar buruk buat pengguna Nokia dan ponsel lain dengan OS symbian. Telah beredar virus baru bernama " Curse of Silence". Virus ini sangat mengganggu karena akan melakukan bloking terhadap semua SMS yang masuk ke ponsel kamu. Artinya kamu tidak akan bisa menerima SMS lagi dari siapapun!

Lantas bagaimana cara virus ini hidup, bekerja dan menular pada ponsel kamu? Ketika kamu menggunakan lebih dari 32 karakter sms dan terdapat beberapa identitas kecil yang membuat pesan tersebut dikenali sebagai email maka virus tersebut akan hidup dengan sendirinya. Dan pada tahap ini ponselmu otomatis langsung tidak dapat menerima SMS.

Hingga saat ini masih belum ada patch untuk memperbaiki problem yang ditimbulkan "Curse of Silence" Meskipun virus ini sudah diketahui keberadaanya beberapa minggu lalu. Dan sialnya lagi makin banyak jenis ponsel yang bakal menjadi korban keganasan virus ini. Berikut adalah ponsel-ponsel calon korban virus "Curse of Silence":

S60 3rd Edition, Feature Pack 1 (S60 3.1):
Nokia E90 Communicator
Nokia E71
Nokia E66
Nokia E51
Nokia N95 8GB
Nokia N95
Nokia N82
Nokia N81 8GB
Nokia N81
Nokia N76
Nokia 6290
Nokia 6124 classic
Nokia 6121 classic
Nokia 6120 classic
Nokia 6110 Navigator
Nokia 5700 XpressMusic

S60 3rd Edition, initial release (S60 3.0):
Nokia E70
Nokia E65
Nokia E62
Nokia E61i
Nokia E61
Nokia E60
Nokia E50
Nokia N93i
Nokia N93
Nokia N92
Nokia N91 8GB
Nokia N91
Nokia N80
Nokia N77
Nokia N73
Nokia N71
Nokia 5500
Nokia 3250

S60 2nd Edition, Feature Pack 3 (S60 2.8):
Nokia N90
Nokia N72
Nokia N70

S60 2nd Edition, Feature Pack 2 (S60 2.6):
Nokia 6682
Nokia 6681
Nokia 6680
Nokia 6630.

Untuk mengatasinya download anti virus berikut :

http://www.fortiguardcenter.com/mobile/cleanup/FortiCleanUp_CurseSMS_103.sis
http://www.fortiguardcenter.com/mobile/cleanup/FortiCleanup_CurseSMS_v_1_0_3_signed.sis

Membasmi Virus W32/Emmareg.A

2008-12-26T21:55:00.000-08:00

Virus ini mempunyai ukuran 42 KB, untuk mempermudah menyebarannya virus ini akan menggunakan icon Folder.

Jika virus ini aktif maka ia akan membuat beberapa file induk untuk dijalankan pertama kali setiap kali komputer di nyalakan, diantaranya:

• C:\Windows\Mstry.exe
• C:\Windows\system32
o regedit.exe
o nova.exe
o msconfig.exe
o Emma.exe
o Alisa.exe
• C:\Windows\system\msconfig.exe
• C:\Program Files\Common Files\renova.exe

Sebagai penunjang Emmareg.A akan membuat beberapa string pada registry, diantaranya:
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
o shell = C:\Program files\common files\renova.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o renova = nova.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
o shell = explorer.exe "C:\Program Files\Common Files\Renova.exe"
o Userinit = explorer.exe "C:\Program Files\Common Files\Renova.exe"

Blok Fungsi Windows
Emmareg.A berusaha untuk melakukan bloking terhadap beberapa fungsi Windows Diantaranya :
• Msconfig
• Registry editor
• Taks manager
• Run
• CMD

• Dengan membuat string pada registry editor:
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
o DisableRegistryTools=1
o DisabletaskMgr = 1

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
o NoFind =1

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
o NoFind=1

Merename dirinya sebagai regedit dan msconfig
Emmareg.A juga mempunyai trik lain untuk blok fungsi registry editor atau msconfig yakni dengan membuat file dengan nama regedit.exe dan msconfig.exe pada direktori [C:\Windows\system32] sehingga jika anda menjalankan fungi registry editor dan msconfig maka secara tidak langsung akan menjalankan virus tersebut.

Sebenarnya Emmareg.A juga berusaha untuk melakukan bloking menu Search/Control Panel atau Folder Option tetapi hal ini tidak berhasil dilakukan karena value pada string tersebut adalah 0 yang berarti = tidak

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
o NoControlPanel = 0
o NoFind = 1
o NoFolderOptions = 0
o NoRun = 0
o NoSaveSettings=0
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
o NoControlPanel = 0
o NoFind = 1
o NoFolderOptions = 0
o NoRun = 0
o NoSaveSettings=0

Walaupun Emmareg.A tidak sampai menyembunyikan Folder Option, tetapi ia akan tetap bermain-main dengan option ini yakni dengan cara menghilangkan option [Hide extension for known type files] serta menambahkan option [RENOVA] pada menu Folder option.

Untuk melakukan hal tersebut ia akan membuat string pada regsitry editor:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
o type =
• HKCU, Software\Microsoft\Windows\ShellNoRoam\MUICache,@shell32.dll,-30503
o RENOVA

Selain itu Emmareg.A juga akan membuat string berikut:
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msrun.exe
o Debugger = Debugger

Lalu, Emmareg.A juga akan mencoba untuk blok program/file [dengan cara minimize program tersebut] yang dijalankan dengan membaca salah satu caption berikut :
o System
o Tools
o Virus
o Anti
o Control
o Virus
o My music
o Norman Virus Control
o Internet Explorer
o Internet Connection

Aktif pada mode safe mode dan safe mode with command prompt
Untuk mempertahankan eksistensinya, Emmareg.A akan mencoba untuk membuat beberapa string pada registry editor dengan harapan agar ia dapat tetap aktif walau dalam mode “safe mode” maupun “safe mode with command prompt”, yakni dengan membuat string berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- shell = explorer.exe "C:\Program Files\Common Files\Renova.exe"
- Userinit = explorer.exe "C:\Program Files\Common Files\Renova.exe

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
- AlternateShell = C:\Program Files\Common Files\Renova.exe

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
- AlternateShell = C:\Program Files\Common Files\Renova.exe

Merubah Product ID pemilik Windows
Emmerag.A juga akan mencoba untuk merubah nama pemilik windows dengan membuat string pada registry editor:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion
- ProductId = Renova
- ProductName = RENOVA
- RegisteredOrganization = Xenova
- RegisteredOwner = Renova

Media penyebaran
Dalam rangka menyebarkan dirinya, Emmerag.A akan menggunakan media Disket, UFD dan File Sharing, disamping itu ia juga akan mecoba menyebar melalui email dengan mengirimkan [reply] semua email yang ada di INBOX dengan menyertakan attachment NOVA.SCR

Email yang akan dikirimkan akan mempunyai ciri-ciri (lihat gambar 4) :

To : alamat email pemilik komputer yang telah terinfeksi Emmareg.A
From : random [alamat email yang terdapat pada INBOX]
Subject : RE:subject asli [random]
Attachment : nova.scr, dengan ukuran file 43,1 KB
Body : Sorry, Saya lupa nih :)

Untuk menyebarkan dirinya melalui email, Emmareg.A akan menggunakan metode yang berbeda dengan apa yang dilakukan oleh Rontokbro/Mybro, dimana untuk mengirimkan dirinya melalui email Emmareg.A tidak akan menggunakn SMTP sendiri, tetapi dengan menggunakan SMTP dari komputer yang telah di infeksinya serta untuk alamat pengirim akan menggunakan alamat email dari komputer yang telah di infeksinya.

Cara membersihkan W32/Emmareg.A

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan.
2. Jika menggunakan Windows ME/XP, matikan [system restore] untuk sementara selama proses pembersihan
3. Matikan proses virus yang sedang aktif di memori, anda dapat menggunakan tool "currprocess" kemudian matikan proses dengan nama:
• Alisa
• Emma

Tools ini dapat di download di alamat:
http://www.freedownloadmanager.org/downloads/CurrProcess_37457_p/

4. Hapus file induk yang dibuat oleh virus di lokasi berikut, sebelumnya pastikan anda sudah menampilkan file/folder yang disembunyikan.
Kemudian hapus file berikut:

• C:\Windows\Mstry.exe
• C:\Windows\system32
o regedit.exe
o nova.exe
o msconfig.exe
o Emma.exe
o Alisa.exe
• C:\Windows\system\msconfig.exe
• C:\Program Files\Common Files\renova.exe
5. Hapus registry key yang dibuat oleh virus dengan cara membuat file repair.inf. Copy teks dibawah ini pada Notepad, lalu safe sebagai file repair.inf (jangan .txt).

[Version]
Signature="$Chicago$"
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, "checkbox"
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, Text,0, "Hide Extensions for known file types"
HKCU, Software\Microsoft\Windows\ShellNoRoam\MUICache,@shell32.dll,-30503,0, "Hide Extensions for known file types"
HKLM, Software\Microsoft\Windows NT\CurrentVersion, ProductId,0, "Your ProductID"
HKLM, Software\Microsoft\Windows NT\CurrentVersion, ProductName,0,"Your Product Name"
HKLM, Software\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0,"Your Organization"
HKLM, Software\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner

[del]
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSaveSettings
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoControlPanel
HKLM, Software\Microsoft\Windows\CurrentVersion\Run,renova
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Shell
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoFolderOptions
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoRun
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoFind
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoControlPanel

Catatan:
setelah menjalankan repair.inf, sebaiknya cek kembali registry key berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
o Userinit = explorer.exe "C:\Program Files\Common Files\Renova.exe"

Kemudian hapus value Explorer.exe “C:\Program Files\Common Files\Renova.exe" pada string Userinit, kemudian isi dengan value:
o Jika menggunakan Windows XP/2003
C:\Windows\system32\userinit.exe,

o Jika menggunakan Windows 2000
C:\Winnt\system32\userinit.exe,
6. Untuk mencegah infeksi ulang dan mempermudah deteksi virus baru di kemudian hari, pertimbangkan untuk menggunakan Norman Virus Control dengan update terakhir yang telah dapat mendeteksi virus Emmareg dengan baik.

Pembasmian Virus Naga Banten-Cilegon

2008-12-26T21:38:00.000-08:00

Mari membangun Banten dengan memberikan pendidikan gratis. Itulah
sepenggal pesan yang ingin disampaikan oleh sang pembuat virus,
dengan tanpa lelah pesan ini akan terus muncul setiap kali anda
menyalakan komputer.
Sampai saat ini penyebaran virus lokal masih dominan dibandingkan virus
racikan luar dan tidak dipungkiri kreasi anak bangsa ini cukup
merepotkan apalagi jika sudah menyebar di jaringan intranet. Aksi
yang dilakukanpun sangat beragam dengan tetap mempertahankan Flash
Disk sebagai media penyebaran utama, disamping file sharing dan
email.
Salah satunya adalah virus Cilegon-Banten yang menggunakan Visual Basic.
Virus ini mempunyai payload yang cukup merepotkan dengan ukuran file
induk sebesar 62 KB dengan tidak bermasud menghilangkan tradisi,
virus ini akan mempunyai icon Folder dengan ekstensi EXE yang
tentunya akan mempunyai type file sebagai Application.

Agar VBTroj.FJA ini dapat dengan tenang aktif setiap waktu ia akan
membuat beberapa file induk di beberapa folder dengan atribut HRS
[Hidden, Read Only dan System], berikut beberapa tempat
persembunyian dari beberapa file induk yang akan dibuat oleh
VBTroj.FJA

C:\GambarAneh.exe
C:\Selebritis Cilegon.exe
C:\Data %user%.exe [contoh: Data Administrator.exe
C:\windows\system32
shell.exe
IExplorer.exe
18TapakNaga.exe
C:\WIndows\Cilegon.exe
C:\Cilegon, folder ini terdiri dari file Brojo.exe dan
Folder.htt [folder ini akan dibuat di setiap Drive termasuk
Disket dan Flash Disk]
C:\Documents and Settings\Adang\Local Settings\Application
Data\WINDOWS
Service.exe
CSRS.exe
LSAS.exe
C:\Documents and Settings\Adang
Data Adang.exe
GambarAneh.exe
Selebritis Cilegon
C:\Documents and Settings\Adang\Local Settings\Application Data
Service.exe
CSRS.exe
LSAS.exe
cilegon.exe
IExplorer.exe
Winlogin.exe
Desktop.ini. File ini berisi script untuk menjalankan script
lain [folder.htt] kemudain folder.htt berisi script
untuk menjalankan file brojo.exe [file ini akan dibuat
disetiap drive termasuk dikset dan flash disk]
Agar file tersebut dapat dijalankan setiap kali komputer dinyalakan maka
VBTRoj.FJA akan membuat string pada registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
§ 18TapakNaga = C:\WINDOWS\system32\18TapakNaga.exe
§ cilegon = C:\WINDOWS\cilegon.exe
§ MSMSGS = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\WINLOGIN.EXE
§ ServiceAdang = C:\Documents and Settings\Adang\Local
Settings\Application Data\WINDOWS\SERVICE.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
§ LogonAdang = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\CSRS.EXE
§ System Monitoring = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\LSAS.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
§ Shell = Explorer.exe "C:\WINDOWS\system32\IExplorer.exe"
§ Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\IExplorer.exe

Disable Fungsi Windows
Sebagai upaya untuk mempertahankan dirinya, VBTRoj.FJA juga akan
melakukan blok terhdap beberapa fungsi Windows yang dapat
dipergunakan untuk menghentikan dirinya diantaranya:

Disable Registry Editor
Disable CMD
Disable Task Manager
Disable System Restore [jika mengunakan Windows ME/XP]
Disable File Installer dengan format MSI
Disable Folder Option
Disable Tools Security seperti Pocket killbox, HijackThis, Security tak manager dll
Blok file yang memunyai caption text: Virus, options, kill,
setup, install, symantec, avg
Untuk melakukan blok fungsi Windows tersebut, ia akan membuat beberapa string berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ekplorer
§ NoSaveSettings

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
§ NoFolderOptions

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
§ DisableCMD
§ DisableRegistryTools
§ DisableTaskMgr

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
§
NoFolderOptions

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
§ DisableRegistryTools

§ DisableTaskmgr

KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
§
DisableMSI
§
LimitSystemRestoreCheckpointing

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
NT\SystemRestore
§
DisableConfig
§
DisableSR
Sebagai upaya tambahan, VBTRoj.FJA juga akan memanipulasi file yang
mempunyai ekstensi exe, pif, com, lnk, bat dan pif sehingga
jika user menjalankan file yang mempunyai ekstensi tersebut maka
secara otomatis akan mengaktifkan VBTroj.FJA dan kemudian akan
menyembunyikan file tersebut, sebagai bentuk upaya untuk mengelabui
user ia akan membuat file samaran [duplikat] sesuai dengan nama
file yang disembunyikan.
Untuk melakukan hal tersebut diatas, VBTroj.FJA akan merubah string pada
registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
Default = File Folder

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
Default = "C:\WINDOWS\system32\shell.exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
§
Default = "C:\WINDOWS\system32\shell.exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
§
Default = "C:\WINDOWS\system32\shell.exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
§
Default = "C:\WINDOWS\system32\shell.exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command
§
Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
Selain
itu VBTRoj.FJA juga akan membuat string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\AeDebug
§
Debugger = "C:\WINDOWS\system32\Shell.exe"
Sebagai upaya agar dapat tetap aktif p[ada mode safe mode with
command prompt, VBTroj.JFA akan merubah string pada registry
berikut:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
§
AlternateShell = C:\WINDOWS\cilegon.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
§
AlternateShell = C:\WINDOWS\cilegon.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
§
AlternateShell = C:\WINDOWS\cilegon.exe
Sebagai misi sosial, VBTroj.FJA akan menampilkan pesan setiap kali
komputer dinyalakan dengan pesan berikut:

MARI BANGUN BANTEN DENGAN MEMBERIKAN PENDIDIKAN GRATIS, DENGAN
MEMBANGUN WARNET-WARNET YANG MURAH, SEKARANG GAGAL BESOK GAGAL LAGI
JUGA NGGAK APA-APA YANG PENTING TETAP SEMANGAT, HIDUP PENJAGA WARNET
MAGRIBI, HIDUP PENJAGA WARNET TRIDENTE, HIDUP MAHASISWA, HIDUP
RAKYAT INDONESIA
Untuk
melakukan hal tersebut, ia akan membuat string pada registry
berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
LegalNoticeCaption = FROM NAGA EMAS CILEGON
LegalNoticeText = MARI BANGUN BANTEN DENGAN MEMBERIKAN
PENDIDIKAN GRATIS, DENGAN MEMBANGUN WARNET-WARNET YANG
MURAH, SEKARANG GAGAL BESOK GAGAL LAGI JUGA NGGAK APA-APA
YANG PENTING TETAP SEMANGAT, HIDUP PENJAGA WARNET MAGRIBI,
HIDUP PENJAGA WARNET TRIDENTE, HIDUP MAHASISWA, HIDUP RAKYAT
INDONESIA

Menyebar melalui Flash Disk
Untuk
menyebarkan dirinya, VBTroj.FJA akan menggunakan media Disket/Flash
Disk dengan membuat file induk dengan nama

Data %User%.exe [contoh: Data Adminsitrator.exe]
GambarAneh.exe
Selebritis Cilegon.exe
Membuat folder Cilegon, dimana folder ini terdiri dari 2
fiel yakni brojo.exe dan Folder.htt
Sebagai infromasi VBTroj.FJA akan aktif secara otomatis tanpa perlu
menjalankan file yang telah terinfeksi VBTroj.FJA. Virus ini akan
menginfeksi jika user mengakses drive yang sudah terinfeksi
VBTroj.FJA, termasuk jika user akses ke Disket/Flash Disk. Untuk
melakukan hal tersebut, ia akan membuat folder CILEGON dan
Desktop.ini disetiap Drive termasuk Disket/Flash Disk dimana
folder CILEGON ini akan berisi 2 file yakni folder.htt dan
Brojo.exe. File Desktop.ini akan berisi script untuk
menjalankan fiel Folder.htt yang ada di folder CILEGON, sedangkan
file Folder.htt berisi script untuk menjalankan file Brojo.exe, jadi
sebaiknya lakukan pembersihan secara menyeluruh tidak hanya pada
Drive System saja [C:\]
Sebagai penutup VBTroj.FJA akan menyembunyikan semua file yang
mempunyai ekstensi exe, pif, com, lnk, bat dan pif jika file
dengan ekstensi tersebut dijalankan dan pada kodiisi tertentu
VBTroj.FJA akan blok aplikasi/program yang di jalankan. Untuk
mengelabui user ia akan membuat file samaran [duplikat] sesuai
dengan nama file yang disembunyikan dengan ciri-ciri:

Icon Folder
Ukuran 62 KB
Ekstensi EXE
Type File File Folder.
Type file dari file tersebut sebenarnya adalah Application tetapi jika VBTroj.FJA sudah menginfeksi maka akan merubah type file dari Application menjadi file Folder

Cara mengatasi VBTroj.FJA :

Putuskan hubungan komputer yang akan dibersihkan dari jaringan.
Matikan proses virus yang aktif dimemori. Sebagaimana yang telah
dijelaskan di awal bahwa virus ini sulit untuk dibersihkan baik
melalui mode Normal, safe mode atau safe mode with command
promt karena ia akan mencoba untuk blok dari berbagai arah agar
dirinya tetap aktif termasuk untuk memanipulasi file dengan
ekstensi exe, com, bat, lnk dan pif sehingga jika
user menjalankan file dengan ekstensi tersebut maka secara tidak
langsung akan menjalankan virus tersebut, oleh karena itu
pembersihan sebaiknya dilakukan melalui mode DOS PROMPT.
Jika
komputer anda terinstall Windows dengan Operating System
NT/2000/XP/2003 dengan format NTFS anda dapat menggunakan software
NTFS for DOS. Tools ini digunakan untuk membuat Disket
Startup, software ini dapat di downoad di alamat

http://www.free-av.com/down/windows/ntfs_h.exe

Setelah anda berhasil download dan menginstall software tersebut
anda dapat langsung membuat Disket Startup dengan hanya membutuhkan
1 [satu] disket saja. Setelah Disket starup tersebut berhasil dibuat
booting komputer melalui Disket.
Virus
ini dibuat dengan menggunakan program bahasa VB dengan demikian anda
hanya perlu merubah file MSVBVM60.dll, Ingat !! virus ini akan
membuat file MSVBVM60.dll pada direktori [C:\Windows] oleh karena
itu hapus file MSVBVM60.DLL yang ada di direktori [C:\Windows] dan
[C:\Windows\system32].
Jika
anda menggunakan Software NTFS for DOS biasanya Drive master
[contoh: C:\] akan menjadi Drive terakhir, contohnya jika komputer
anda mempunyai 2 partisi [C:\ sebagai System dan D:\ sebagai
Data] maka drive C:\ ini akan menjadi D:\ dan drive D:\ akan
menjadi C:\
Setelah berhasil masuk ke dalam DOS PROMPT dengan menggunakan NTFS
for DOS pastikan kursor berada di Drive system anda [contoh D:\]
kemudian hapus file MSVBVM60.dll yang ada didirektori [C:\Windows
dan C:\Windows\system32].
Sebelum menghapus file MSVBVM60.dll yang ada di direktori
[C:\Windows\System32] copy terlebih dahulu file tersebut ke
direktori lain, hal ini dikhawatirkan terjadi kegagalan jika anda
merubah file MSVBVM60.dll yang ada di direktori
[C:\Windows\System32] sehingga berpotensi aktifnya kembali virus
tersebut.
Untuk menghapus file MSVBVM60.dll lakukan perintah DEL MSVBVM60.dll
Untuk copy file MSVBVM60.dll lakukan perintah :

COPY MSVBVM60.DLL %Lokasi Drive tujuan%:\

[contoh: COPY MSVBVM60.DLL D:\]
Setelah itu ketik perintah DIR /AH untuk melihat apakah file
tersebut sudah berhasil di hapus, untuk lebih jelasnya lihat gambar
4 dibawah ini:

Gambar 4, Menghapus fiel MSVBVM60.dll
Setelah berhasil merubah file MSVBVM60.dll kemudain restart
komputer dan booting ke Windows.

Catatan
Setelah virus berhasil dibersihkan copy kembali file MSVBVM60.dll
ini ke direktori [C:\Windows\system32]

Hapus registry yang sudah dibuat oleh virus, untuk mempercepat
proses pembersihan salin script dibawah ini pada program
notepad kemudain simpan dengan nama repair.inf dan jalankan
file tersebut dengan cara:
Klik kanan repair.inf
Klik Instrall

[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM,Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM,Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM,Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM,Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM,Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM,SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM,SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM,SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM,SOFTWARE\Classes\exefile,,,application
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug, debugger,0, "
[del]
HKCU,Software\Microsoft\Windows\CurrentVersion\Run, 18TapakNaga
HKCU,Software\Microsoft\Windows\CurrentVersion\Run, cilegon
HKCU,Software\Microsoft\Windows\CurrentVersion\Run, MSMSGS
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Ekplorer
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, System Monitoring
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableRegistryTools
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableTaskMgr
HKLM,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,LegalNoticeCaption
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,LegalNoticeText
HKLM,SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM,SOFTWARE\Policies\Microsoft\Windows\Installer,
LimitSystemRestoreCheckpointing

HKLM,SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig

HKLM,SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableSR
Setelah menjalankan file tersebut restart komputer.

Hapus file induk dan file duplikat yang sudah dibuat oleh virus
dengan ciri-ciri:
Icon Folder
Ukuran 62 KB
Ekstensi EXE
Type file Application
Sebelum menghapus file tersebut pastikan anda sudah menampilkan
semua file yang disembunyikan dengan memilih "Show hidden files and
folders" dan menghilangkan pilihan "Hide extension for known file
types" dan "Hide protected operating system files (recommended)"
pada Folder Option.
Untuk mempercepat proses penghapusan, gunakan menu Search Windows
dengan setting sebagai berikut :

All or part of the file name, isi dengan *.EXE
Look in, isi Lokasi Drive yang ada di komputer anda [contoh:
C:\ atau D:\]
What size is it, pilih option Specify size (in KB)
At Most 63 KB

More Advanced options, pilih option berikut :
Search system folders
Search hidden files and folders
Serach subfolders

Gambar 6, Mencari file induk dan file duplikat yang dibuat
VBTroj.FJA
Cari
dan hapus juga file duplikat dan file induk yang ada di Flash Disk
atau Disket

Tampilkan kembali file dengan ekstensi exe, com, bat, pif dan
lnk dengan menulis perintah berikut pada Dos Prompt [command
prompt].

ATTRIB -s -h *.exe /s /d , Menampilkan kembali file yang disembunyikan

Copy kembali file MSVBVM60.dll ke dalam direktori
[C:\Windows\System32]
Untuk pembersihan optimal dan mencegah infeksi ulang, gunakan
Antivirus yang sudah dapat mendeteksi virus ini
dengan baik.

Membasmi Virus Matrox

2008-12-26T20:52:00.000-08:00

Sebaiknya lakukan pembersihan pada mode safe mode.
Matikan proses virus yang aktif di memory. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager (dapat anda download pada alamat berikut)

http://majorgeeks.com/Itty_Bitty_Process_Manager_d4690.html

Lakukan kill process, pada file virus yang aktif yaitu : (lihat gambar 8)

C:\Documents and Settings\%user%\Application Data\Microsoft\%dsh%.exe

(nama virus random / acak, semisal aizw.exe, scnp.exe, dll)

Gambar 8, Gunakan Itty Bitty Process Manager untuk Kill Process virus yang aktif

Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, SOFTWARE\Classes\batfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Classes\comfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Classes\exefile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Classes\piffile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Classes\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, SOFTWARE\Classes\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden, 0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue, 0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue, 0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPath, DefaultValue, 0x00010001,0

[del]

HKCR, exefile, NeverShowExt

HKLM, SOFTWARE\Classes\exefile, NeverShowExt

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, VisualStyle

HKCU, Control Panel\Desktop, SCRNSAVE.EXE

Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

Hapus file induk virus yang mempunyai ciri-ciri sebagai berikut :

Icon “WinRAR”
ekstensi *.exe, *.scr, *.msd, *.sysm
Ukuran 77 kb

Catatan

Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.
Untuk mempermudah proses pencarian sebaiknya gunakan "Search Windows" dengan filter file *.exe, *.scr, *.msd, *.sysm yang mempunyai ukuran 77 KB.
Hapus file virus yang biasanya mempunyai date modified yang sama. (lihat gambar 9)

Gambar 9, Hapus file induk virus melalui fitur search windows

Hapus file duplikasi virus pada folder C:\Program Files (biasanya file virus diikuti file executable asli yang telah di-rename menjadi EXE File oleh virus). Untuk pembersihan yang optimal, sebaiknya gunakan Norman Security Suite atau antivirus yang ter-update dan dapat mengenali virus tsb untuk mempermudah penghapusan virus. Anda bisa menggunakan Norman Malware Cleaner untuk melakukan penghapusan tsb dengan men-download pada : (lihat gambar 10)

http://download.norman.no/public/Norman_Malware_Cleaner.exe

Rubah kembali ekstensi file executable yang telah di-rename oleh virus pada folder C:\Program Files. Gunakan software/tool untuk mempermudah rename ekstensi secara cepat. (lihat gambar 11)

Gambar 11, Extention Renamer, salah satu tools merubah ekstensi secara cepat pada semua folder/drive

Untuk mencegah infeksi ulang lindungi komputer anda dengan antivirus yang telah dapat mendeteksi dan membasmi virus ini.

Membasmi Virus w32/sality.??

2008-12-26T20:46:00.000-08:00

Silahkan download tools nya di alamat
http://www.norman.com/Virus/Virus_removal_tools/24789/

http://download.norman.no/public/Norman_Malware_Cleaner_9x.exe
ato
http://download.norman.no/public/Norman_Malware_Cleaner.exe
Ganti ekstensi file menjadi .COM agar tidak di injeksi virus kemudian scan full Hard Disk.

Jika Virus sality mendeteksi caption dari program norman, sehingga walaupun udah diganti extensi filenya menjadi *.com, tu virus akan memblok program Norman_Malware_Cleaner_9x.com ato Norman_Malware_Cleaner.com, program norman tersebut akan akan menjadi tidak dapat digunakan alias tombol start scan akan hilang(menjadi abu-abu), maka silakan download progam combofix. buat membersihkan file salitry sangat ampuh dan membalikan semua registry ke posisi semula.
untuk link download bisa tanya ke paman google atau langsung unduh saja langsung disini

Membasmi Virus 'K0pL4xZ'

2008-12-26T06:49:00.000-08:00

1. Putuskan komputer yang akan dibersihkan dari jaringan (LAN).
2. Matikan "System Restore" selama proses pembersihan.
3. Matikan proses virus yang aktif di memory. Gunakan tools KillVB untuk mematikan proses di memory. Silahkan downlod tools tersebut di: http://www.compactbyte.com/brontok/killvb.zip

4. Fix registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program notepad, kemudian simpan dengan nama "Repair.inf". Jalankan file tersebut dengan cara:

- Klik kanan repair.inf
- Klik Install

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"reg edit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""% 1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Classes\exefile,,,application
HKCU, Software\Microsoft\Internet Explorer\Main, start page,0, "about:blank"
HKCU, Software\Microsoft\Internet Explorer\Main, Search Page,0, "about:blank"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner"
HKLM, SOFTWARE\Classes\txtfile, FriendlyTypeName,0, "@C:\Windows\system32\notepad.exe,-469"
HKLM, SOFTWARE\Classes\Word.Document.8,,,"Microsoft Word Document"
HKLM, SOFTWARE\Classes\Word.Document.8\DefaultIcon,,,"C: \WINDOWS\Installer\{90110409-6000-11D3-8CFE-01500 48383C9}\wordicon.exe,1"
HKLM, SOFTWARE\Classes\PowerPoint.Show.8,,, "Microsoft PowerPoint Presentation"
HKLM, SOFTWARE\Classes\PowerPoint.Show.8\DefaultIcon,,," C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-015 0048383C9}\pptico.exe,1"
HKLM, SOFTWARE\Classes\Excel.Sheet.8,,,"Microsoft Excel Worksheet"
HKLM, SOFTWARE\Classes\Excel.Sheet.8\DefaultIcon,,,"C:\W INDOWS\Installer\{90110409-6000-11D3-8CFE-01500483 83C9}\xlicons.exe,1"
HKLM, SOFTWARE\Classes\Access.Application.11,,,"Microsof t Office Access Application"
HKLM, SOFTWARE\Classes\Access.Application.11\DefaultIcon ,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-01 50048383C9}\accicons.exe,1"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer \Advanced, Hidden, 0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer \Advanced, HideFileExt, 0x00010001,0
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer \Advanced, ShowSuperHidden, 0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\SuperHidden,WarningIfNotDefault,0 ,"@ shell32.dll,-28964"

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,DIsablecmd
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies \Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies \System,DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies \System,DisableTaskMgr
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, System
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \ActiveDesktop
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
HKCU, Software\Policies\Microsoft\Windows\System, DisableCMD
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\HideFileExt, WarningIfNotDefault
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run, cintaku
HKLM, SOFTWARE\Classes\exefile, FriendlyTypeName

5. Hapus file "C:\Windows\desktop.ini" (file yang berfungsi untuk mengubah icon Windows menjadi icon Control Panel). Gunakan dos prompt untuk menghapus file tersebut.

6. Cari dan hapus file induk virus di Hard Disk dan Flash Disk dengan terlebih dahulu menampilkan file yang tersembunyi. Untuk mempercepat pencarian gunakan fungsi "Search Windows".

Berikut beberapa file induk yang akan dibuat oleh Koplaxz:

C:\Documents and Settings\%user%\Start Menu\Programs\Startup

Winhelp.exe
C:\Documents and Settings\%user%\Start Menu\Programs

Hellloo_Gheea.exe
C:\Documents and Settings\%user%\My Documents

Jangan_Dihapus_Apalagi_Dibuka.exe
C:\Documents and Settings\%user%\Start Menu

Koplaxz Kudo Shop.exe
C:\Documents and Settings\%user%\Start Menu\Programs

Hellloo_Gheea..exe
C:\Windows

TourWindowsXP.exe

svchost.exe

Kudo.com

command32.pif

C:\F4HM1_KudO_M4n4j3r.exe
C:\G0d3G.exe
C:\Ghe@_i_miss_u.3gp.exe (All Drive)
C:\K0pL4xZ.exe
C:\K 0 P L 4 X Z.exe
C:\KopLaXz@KudoShoP.exe (All Drive)
C:\R0n13G4N_G3Ndut_S3xY.exe
C:\R3eve5.exe
C:\K0pL4xZ@KudoShop (All Drive)

folder.htt

msvbvm60.dll

K0pL4xZ.exe
C:\K0pl4xZ@KudoShop\K0pL4xZ.exe
C:\[spasi] WINDOWS\System_FriendZ_KopLaXz32

F4HM1_KudO_M4n4j3r.exe

G0d3G.exe

K 0 P L 4 X Z.exe

R0n13G4N_G3Ndut_S3xY

R3eve5.exe
C:\ [spasi] Windows\Zx4Lp0K.html
C:\WIndows\system32\smkn2majalengka.scr
C:\Windows\system32\PCMAV.exe
C:\Windows\system32\Asholest.exe
C:\Documents and Settings\%user%\SendTo\KoPLaXzKudo(e-mail).exe
C:\Autorun.inf (semua Drive)
C:\Desktop.ini (semua Drive)
C:\A Letter 4 Ghe@.txt (semua Drive)
C:\K0pL4xZ@kUdO_5h0P.txt
C:\Documents and Settings\All Users\Desktop\A Letter 4 Ghe@.inf
C:\WIndows\desktop.ini

Kemudian hapus file induk virus yang mempunyai ciri-ciri:

Icon "Windows Media Player" clasic / 3GP Video Format
Ukuran 31 KB
Ekstensi EXE, PIF, COM dan SCR
Type file "Application"

Hapus juga file berikut:

C:\Autorun.inf (setiap root drive: c:\ atau D:\)
C:\Desktop.ini (setiap root drive: c:\ atau D:\)
C:\A Letter 4 Ghe@.txt (setiap root drive: c:\ atau D:\)
C:\K0pL4xZ@kUdO_5h0P.txt (setiap root drive: c:\ atau D:\)
C:\K0pL4xZ@KudoShop (disetiap root drive dan Flash Disk)
C:\Documents and Settings\All Users\Desktop\A Letter 4 Ghe@.inf
C:\[spasi] WINDOWS
C:\[spasi] WIndows\Zx4Lp0K.html

7. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan menggunakan anti virus yang up-to-date

Membasmi virus HOKAGE

2008-12-26T06:37:00.000-08:00

Salah satu ciri virus Hokage,diduga berasal dari Sampit adalah mengubah icon Flash Disk menjadi icon Winamp. Virus ini sebenarnya masih mudah untuk dibasmi.

Berikut cara membasmi virus Sampit yang juga dikenal dengan VBWorm.Gen16, yang dikutip detikINET dari keterangan resmi Vaksincom, Kamis (10/4/2008):

1. Matikan “System Restore” selama proses pembersihan (jika menggunakan Windows XP)
2. Matikan proses virus (gunakan currprocess).
Setelah menjalankan tools “Currprocess”, pilih file semua file yang mempuyai icon winamp (Rin.exe, Obito.exe, KakashiHatake.exe dan Hokage4.exe).

3. Hapus registri yang dibuat oleh VBWorm.gen16. Untuk mempermudah proses penghapusan, salin script dibawah ini pada program Notepad lalu simpan dengan nama repair.inf. Jalankan file repair..inf dengan cara:

* Klik kanan repair.inf
* Klik Install

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Naruto
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1?” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1?” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1?” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1?” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1?”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1?” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Hokage 4
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Kakashi Hatake
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Obito Uchiha
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Rin

4. Cari dan hapus file yang sudah dibuat oleh virus. Untuk mempercepat proses pencarian penghapusan, gunakan fitur “Search Windows”. Sebelum melakukan pencarian dan penghapusan file virus, tampilkan terlebih dahulu file yang tersembunyi agar pencarian lebih maksimal. Untuk menampilkan file yang tersembunyi lakukan langkah berkut:

- Buka Windows Explorer
- Klik menu “Tools”, kemudian klik “Folder Options”
- Pada layar “Folder Options”, klik tabulasi “View”
- Pada folder “Hidden files and folders”, hilangkan tanda centang pada opsi “Hide extensions for known file types” dan “Hide protected operating system files (recomended)”
- Klik tombol “Ok”

Untuk mencari dan menghapus file virus, lakukan langkah berikut:

- Klik “Start” menu
- Klik “Search”, kemudian klik “For Files or Folders”
- Setelah muncul layar “Search Result”, klik menu “All files and folders”
- Kemudian pada kolom “All or part of the file name” isi dengan ekstensi *.EXE
- Pada kolom “Look in”, pastikan sudah menuju ke lokasi Drive yang akan diperiksa termasuk ke lokasi Flash Disk.
- Klik menu “What size is it”, kemudian pilih opsi “Specify size (in KB)

* Pilih “at most”
* Isi dengan ukuran “42?

- Klik menu “More Advanced option”, kemudian pilih opsi

* Searh system folders
* Search hidden files and folders
* Search subfolders

- Kemudian klik tombol “Search” untuk memulai proses pencarian
- Hapus file virus disemua drive termasuk flash disk yang mempunyai ciri-ciri: icon winamp, ukuran 42 KB, type file “Application”, ekstensi .EXE

5. Hapus juga file desktop.ini, folder.htt, Autorun.inf dan anbu.txt di flash disk.

6. Untuk pembersihan maksimal dan mencegah infeksi ulang, scan dengan anti virus yang up-to-date dan sudah dapat mengenali virus ini dengan baik.

7. Untuk mencegah agar virus tidak otomatis aktif pada saat akses ke suatu drive sebaiknya Anda matikan fungsi autoplay.

8. Untuk antisipasi agar virus ini tidak kembali menginfeksi komputer anda selain dengan menginstall antivirus yang up-to-date, juga dapat membuat script sederhana untuk mematikan proses virus ini jika berusaha aktif di memori caranya, salin script dibawah ini pada program notepad kemudian simpan dengan nama RemoveHokage.reg. Kemudian jalankan file tersebut (klik 2x), klik “Yes” jika terdapat konfirmasi untuk menambahkan registri tersebut.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe]
“Debugger”=”cmd.exe /c del”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe]
“Debugger”=”cmd.exe /c del”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe]
“Debugger”=”cmd.exe /c del”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe]
“Debugger”=”cmd.exe /c del”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe]
“Debugger”=”cmd.exe /c del”

Membasmi Virus Doraemon

2008-12-26T06:17:00.001-08:00

Virus lokal buatan Indonesia diketahui menyamar sebagai film kartun Doraemon, Sinchan dan Tom & Jerry. Virus ini menyamar dengan icon Real Media Player.

Berikut cara membersihkan virus tersebut:

1. Sebaiknya lakukan pembersihan pada mode safe mode.
2. Matikan proses virus yang aktif di memori. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager (bisa di-download di http://majorgeeks.com/Itty_Bitty_Process_Manager_d4690.html)

Lakukan kill process pada beberapa file virus yang aktif yaitu:
* C:\WINDOWS\Help\explorer.exe
* C:\WINDOWS\system32\300403.exe
* C:\WINDOWS\system32\aparaparsaparyangparipircapar.exe
* C:\WINDOWS\system32\HacKid's.exe

3. Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Classes\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,

UncheckedValue,0x00010001,1
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue,0x00010001,0

[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, noboe
HKCU, Control Panel\Desktop, SCRNSAVE.EXE
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, SOFTWARE\Classes\.reg\shell
HKLM, SOFTWARE\Classes\.txt\shell
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MSCONFIG.EXE
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, NoDispScrSavPage
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableSR
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig

Gunakan notepad, kemudian simpan dengan nama "repair.inf" (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

4. Hapus file virus yang mempunyai ciri-ciri sebagai berikut:
* Icon "Real Player"
* Extension *.exe
* Ukuran 129 kb

Catatan:
* Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.
* Untuk mempermudah proses pencarian sebaiknya gunakan "Search Windows" dengan filter file *.exe yang mempunyai ukuran 45 KB.
* Hapus file virus yang biasanya mempunyai date modified yang sama.

5. Untuk pembersihan yang optimal dan mencegah infeksi ulang, gunakan antivirus yang ter-update dan mampu mendeteksi dan membasmi virus ini dengan baik.

Membasmi virus blue fantasy (Virus surabaya)

2008-12-26T06:12:00.000-08:00

Setiap startup dia selalu mengeluarkan pesan

Click this bar to view the full image.

Selain itu virus ini juga membuat file autorun.inf yang berisi code untuk menjalankan dirinya saat user membuka drive
C:\ D:\ dan drive yang lain. Parahnya lagi, virus ini menyembunyikan semua folder yang ada pada drive drive tersebut, khususnya folder yang ada pada c:\ , c:\windows\ , dan d:\ serta drive lain nya... Selain disembunyikan, dia membuat copy diri ke lokasi dimana dia menyembunyikan folder tersebut dengan nama sesuai dengan folder folder yang disembunyikan.

Click this bar to view the full image.

Pembersihan :
Gunakan OgAV 0.1 beta 4

Virus ini membuat file induk pada
start-program-startup dengan nama

Sudah dapat dikenali dengan baik oleh ogav 1.0 beta 4

Click this bar to view the full image.

Setelah semua file virus dihapus oleh ogav saatnya memperbaiki setting yang diubah oleh virus
Dengan mengcopy code dibawah ini, kemudian save as sebagai repair.inf, lalu klik kanan- install
File ini mengembalikan setting2an yang biasanya diubah oleh virus menjadi normal kembali

[Version]
Signature="$Chicago$"
Provider=UchuViruslabs

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Classes\exefile,,,Application
HKCU, Software\Microsoft\Internet Explorer\Main,start Page,0, "about:blank"
HKCU, Software\Microsoft\Internet Explorer\Main,Window Title,0,"Windows Explorer"
HKLM, software\microsoft\windows nt\currentversion\winlogon,Shell,0,"Explorer.exe"
HKCU, software\microsoft\windows nt\currentversion\windows,Userinit,0,"C:\WINDOWS\system32\userinit.exe"
HKCU, Software\Microsoft\Windows\ShellNoRoam\MUICache,"@C:\WINDOWS\system32\SHELL32.dll,-9216",0,"My Computer"
HKCU, Software\Microsoft\Windows\ShellNoRoam\MUICache,"@C:\WINDOWS\system32\SHELL32.dll,-9217",0,"My Network Places"
HKCU, Software\Microsoft\Windows\ShellNoRoam\MUICache,"@C:\WINDOWS\system32\SHELL32.dll,-9227",0,"My Documents"
HKCU, Software\Microsoft\Windows\ShellNoRoam\MUICache,"@shell32.dll,-21785",0,"Shared Folder"
HKLM, Software\Microsoft\Windows NT\Winlogon,LegalNoticeCaption,0,""
HKLM, Software\Microsoft\Windows NT\Winlogon,LegalNoticeText,0,""

[del]
HKLM, software\microsoft\windows\currentversion\run,SRVState_SIMULATOR
HKCU, software\microsoft\windows\currentversion\run,RPCall_SIMULATOR
HKCU, software\microsoft\command processor,AutoRun
HKCU, Software\Microsoft\Internet Explorer\Main,Local Page
HKCU, Software\Microsoft\Internet Explorer\Main,Search Page
HKCU, software\microsoft\windows nt\currentversion\windows,load
HKCU, software\microsoft\windows nt\currentversion\windows,System
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Shockwave Support
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,System
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,LegalNoticeCaption
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,LegalNoticeText
HKLM, Software\Microsoft\Windows\CurrentVersion\Run,RsWin
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispBackgroundPage
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispAppearancePage
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispScrSavPage
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispSettingsPage
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispCpl
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoFind
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoRun
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoDrives
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoTrayContextMenu
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoViewContextMenu
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoDispCpl
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoDesktop
HKLM, SOFTWARE\Classes\exefile,NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Winup
HKLM, softwARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntvdm.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
HKLM, Software\Microsoft\Command Processor,Autorun
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Game House
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Service
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,System Check
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Apel
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispBackgroundPage
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispAppearancePage
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispScrSavPage
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispSettingsPage
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispCpl
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoDrives
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoTrayContextMenu
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoViewContextMenu
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoDispCpl
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoDesktop
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableCurrentUserRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoControlPanel
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop,NoChangingWallPaper
HKCU, Control Panel\International,s1159


HKCU, Control Panel\International,s2359

Membasmi Virus ‘Gadis Desa’

2008-12-26T05:34:00.000-08:00

Virus W32/Wayrip.A menyebar dengan menyamar sebagai file multimedia. Komputer yang terinfeksi virus ini salah satunya ditandai dengan munculnya pesan dari sang pembuat virus yang akan ditampilkan secara acak dalam bentuk pesan pop up.

Salah satu aksi yang dilakukan virus ini adalah mengubah nama penunjuk jam pada pojok kanan bawah komputer, dari AM dan PM menjadi rieysha. Bagaimana cara membersihkannya? Simak tips di bawah ini.

1. Matikan “System Restore” selama proses pembersihan (Windows ME/XP).

2. Matikan proses virus. Untuk mematikan proses virus anda dapat menggunakan tools KillVB. Silahkan download tools tersebut di alamat ini: http://www.compactbyte.com.

3. Hapus registri yang sudah dibuat/diubah oleh virus. Untuk menghapus registri silahkan download tools FixRegistry berikut: http://www.4shared.com/file/58560496/cad010c5/FixRegistry.html?dirPwdVerified=feea1d94

4. Hapus file induk virus dengan ciri-ciri:

Ukuran 148 KB
Icon multimedia
Ekstensi EXE
Type file Application

Untuk mempermudah proses penghapusan, sebaiknya gunakan “search” dengan terlebih dahulu menampilkan file yang tersembunyi.

Setelah file berhasil ditemukan, hapus file dengan ciri-ciri seperti di atas. Hapus juga file berikut pada root drive (c:\ atau d:\):

pesene_seng_gawe.htm (ukuran 22 KB)
xx pesene_seng_gawe.htm (ukuran 1 KB), xx menunjukan karakter acak
Autorun.inf
C:\Puisi.txt
C:\Windows\Taskman.com

5. Untuk pembesihan optimal dan mencegah infeksi ulang, silahkan scan dengan antivirus yang sudah dapat mendeteksi dan membasmi virus ini.

Top 10 Virus, Desember 2008

2008-12-26T05:30:00.001-08:00

Virus Malingsi yang termasuk dalam jajaran virus baru, masuk ke dalam peringkat pertama virus yang paling banyak dilaporkan di periode ini. Diikuti oleh virus Autoit yang merupakan pemain lama, dan virus Doremi yang termasuk virus baru. Dan memang sebagian besar virus yang masuk dalam daftar sepuluh besar kali ini merupakan virus baru. Berikut daftar selengkapnya:

1. Malingsi

Virus bertubuh gemuk dengan ukuran 705.312 bytes ini dibuat menggunakan Visual Basic yang di-pack menggunakan PECompact. Sepertinya virus ini ditujukan untuk menyerang virus lain, ini terlihat dari pesan yang ada di tubuhnya. Virus ini berkembang biak dan menyebar menggunakan perantara mIRC, yang bertindak sebagai Bot.

2. Autoit varian

Ciri khas virus yang satu ini adalah dibuat menggunakan program automation scripting. Yang jika di compile menjadi sebuah file executable, yang juga di-pack menggunakan UPX. Dan hampir 90% virus autoit beserta semua varian yang kami miliki, menggunakan icon mirip folder dalam penyamarannya. Virus ini juga biasanya akan membuat sebuah file autorun.inf pada saat menyerang disk drive ataupun flash drive.

3. Doremi

Dalam database virus yang kami miliki, kami telah menemukan 4 varian dari virus ini yakni Doremi.A, B, C dan D. Ketiganya hampir tidak memiliki perbedaan dari segi coding. Varian A menggunakan icon mirip PCMAV, B dan C menggunakan icon yang mirip sebuah gambar kunci, dan varian D menggunakan icon bergambar kaca pembesar. Kesemuanya menggunakan teknik social engineering, agar seolah-olah seperti layaknya sebuah file program biasa. File virus yang dibuat menggunakan Visual Basic ini sepertinya memang sengaja ditaruh di internet untuk mengelabui user yang men-download-nya. Tidak ada teknik briliant yang ia terapkan, tapi pembuatnya telah menyediakan rutin jahat yang bertindak di tanggal tertentu, seperti tanggal 14 atau 8. Apa yang terjadi? Ia akan mencoba menghapus semua data yang ada di harddisk tanpa sepengetahuan user. Disaat komputer restart, yang tampil hanyalah “NTLDR is missing”. Bersamaan dengan file virus, biasanya Anda juga akan dapat menemukan sebuah file teks dengan nama Do-Re-Mi.txt yang isinya: “by Midnight Joker”.

4.Formalin

Pada update kali ini sudah dikenal 2 varian dari virus Formalin. Icon yang digunakan oleh virus ini menyerupai layaknya folder, dan ia dibuat menggunakan Visual Basic. Pada Formalin.D, ukuran filenya sebesar 18.432 bytes, dengan kondisi di-pack menggunakan UPX. Virus ini menciptakan folder “samaran” dengan nama seperti Bocoran soal UAN dan UAS, My Completed Downloads, Wallpaper Picture, Crack Program, Jgn dibuka !!!, Nitip Data (jgn dihapus), dan lain sebagainya. Pada komputer terinfeksi, caption di Internet Explorer akan berubah menjadi “Your computer has been infected virus Formalin”. Ia juga mencoba untuk melumpuhkan “safe-mode” dengan cara menghapus beberapa registry terkait. Dan pada file properties sang virus, di bagian description milik version information akan ada tulisan seperti “Kasian dch loe”.

5. Purwo.B

Dibuat menggunakan Visual Basic, dengan badan berukuran sekitar 36KB, murni tanpa di-pack.Saat menginfeksi ia menciptakan sebuah folder dengan nama “Purwokerto Under Cover” yang diberi attribut hidden, dan sebuah file bernama “PurwokertoKotaSatria.exe” pada setiap drive yang ia temukan. Di dalam folder C:\Windows\System32\system juga ada file windows.exe, dan di C:\Windows\Shell\services.exe.

6. Plolonk

Virus produksi lokal yang satu ini dibuat menggunakan Visual Basic, dengan ukuran sebesar 67.072 byte dengan kondisi di-packscramble. Di registry, ia menciptakan item run baru di HKLM, dengan nama service yang menunjuk pada salah satu file induknya yang ada di direktori Windows dengan nama dllhost.exe. Selain itu, pada direktori tersebut dapat ditemukan pula sebuah file gambar yang akan dijadikan wallpaper olehnya dengan nama Pl0Lonx.jpg. Jadi pada komputer terinfeksi, wallpaper desktop dari komputer tersebut akan ia ubah menjadi gambar bertemakan “Linux SuSE”. Selain itu, untuk dapat aktif otomatis, ia juga menempatkan dirinya pada folder StartUp dengan nama Empty.pif. yang kemungkinan besar menggunakan UPX yang di-

7. Recycler varian

Yang menjadi ciri khas dari virus ini adalah teknik bagaimana ia menyebar. Dari semua varian yang kami miliki, cara yang dilakukannya adalah sama, yakni menyamar seperti layaknya Recycle Bin. Contohnya disaat virus ini menyerang flash disk. Di flash disk korban akan terdapat folder dengan nama Recycler yang di dalamnya terdapat folder yang menggunakan nama alpha numeric contohnya “S-1-5-21-1482476501-1644491937-682003330-1013″ dengan icon mirip dengan icon Recycle Bin. Jika folder ini di-klik atau diakses dari Explorer, file virus tidak akan nampak. Untuk melihatnya, Anda bisa masuk ke command prompt dengan perintah “dir /a”.

8. Buxto varian

Virus ini dibuat menggunakan Visual basic. Pada salah satu variannya, seperti contohnya Buxto.C, ia memiliki ukuran tubuh sebesar 266.240 bytes, tanpa di-pack. Icon virus ini menyerupai icon aplikasi browser Mozilla Firefox. Virus ini dikenal dapat membuat autorun di setiap drive yang ia temui untuk dapat menyebar. Dan satu hal, pesan yang disampaikan oleh virus ini cukup nyeleneh, seperti layaknya sebuah pesan iklan.

9. Minerva

Virus berukuran sekitar 340.981 bytes untuk Minerva.A dan 347.965 bytes untuk Minerva.B ini menggunakan tipuan sebagai flash games, dengan menggunakan icon yang mirip standar file flash. Jika user tergoda, dan tanpa sengaja mengaktifkan virus ini, yang muncul memang sebuah games. Dan games nya acak, bisa Mario Bros, Single Puzzle Hangman, atau yang lainnya. Ia memang menyimpan beberapa games pada tubuhnya. Yang tentunya ia lakukan untuk mengalihkan perhatian, padahal disatu sisi virus itu telah merasuki komputer sang korban, disaat user sedang asik memainkan games-nya. Virus ini mencoba masuk, dan me-registerrunning sebagai services. Anda pun bisa menemukan file induknya dengan mudah pada folder StartUp dengan nama minerva.com. So, hati-hati jika mendapatkan file games berbentuk flash games, periksa terlebih dahulu. dirinya pada HKLM\System\CurrentControlSet\Services dengan nama Minerva, berharap bisa

10. Windx-Maxtrox

Virus yang dibuat dengan Visual Basic ini memiliki ukuran tubuh asli sekitar 77Kb, tanpa di-pack. Virus yang diduga kuat berasal dari daerah Sulawesi Utara ini memiliki kemampuan infeksi file executable. Tepatnya, ia akan menginfeksi program yang ada di direktori Program Files. Teknik infeksi yang cukup cerdik ia terapkan untuk menghindari pendeteksian engine heuristic dari antivirus. Ciri khas yang dapat dikenali pada komputer terinfeksi adalah berubahnya gambar wallpaper dari desktop menjadi gambar animasi.

sumber : virusindonesia.com

Solusi Virus W32.Virut

2008-12-26T03:35:00.000-08:00

Situs-situs crack keygen dan serials akhir-akhir ini menambahkan file penginfeksi yang bernama “Virut”. Virus ini biasanya ada di crack mini game atau file nfo. Virus ini akan menginfeksi semua file .exe dan .scr di dalam sistem. Antivirus AVG, Kapersky, NOD, Norman bisa detect virus ini tapi file yang terkontaminasi ikut terhapus, nah kalo sistem windows yang di delete, otomatis windowsnya kolap dan ga bisa di run, sama aja bunuh diri kan?(sori ya Nhy kompimu jadi percobaan hehe). Lebih parahnya lagi mesin anti virusnya bahkan akan ikut terinfeksi dan anti virus malah jadi eror.

Cara kerja dan penyebaran virus ini masuk kedalam file exe dan file yg extensionnya dll jadi kalo kita jalankan file itu, maka virus ada di memory, trus menyerang lagi file laen yang kita run. Virus ini biasanya juga akan menginjeksi ke dalam winlogon.exe sehingga kita gak bisa login ke kompi dan cuman berputar-putar aja di menu windows login (meski sebenernya bisa sih masuk lewat safe mode). Meskipun di-scan virus ini akan muncul lagi (regenerate) dan menginfeksi lagi file-file exe yang tadi.

Cara yang paling aman adalah format dan install ulang komputer hehe (wuihh…). Terutama klo sistemnya banyak yang kena. Dan klo udah diinstall ulang, sebelom diinstall program macem2 install dulu av yang terupdate tentunya.

Buat yang males install ulang bisa juga coba pake removal ini:

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe (9M)

Ato yang ini dari grisoft:

http://free.grisoft.com/filedir/util/avg_rem_sup.dir/rmvirut/rmvirut.exe(457KB)

http://free.grisoft.com/filedir/util/avg_rem_sup.dir/rmvirut/rmvirut.nt(1,5KB)

Simpan file rmvirut.nt dan file rmvirut.exe kedalam satu folder. Kemudian run file rmvirut.exe. Setelah proses healing selesai coba test scan menggunakan AVG untuk memastikan virus sudah hilang.

Membersihkan virus Amburadul

2008-12-26T03:32:00.000-08:00

- Disconnect komputer yang akan dibersihkan dari jaringan
- Disable “system restore” selama proses pembersihan (Windows ME/XP)
- Matikan proses virus yang aktif di memory resdent. Untuk mematikan proses tersebut gunakan tools “currprocess”. Kemudian matikan proses virus yang mempunyai icon JPG.
- Repair registry yang sudah di ubah oleh virus. Untuk mempercepat proses perbaikan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf.

- Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install

[Version]
Signature="$Chicago$"
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0x00010001,0
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, "checkbox"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, "checkbox"
HKCU, Control Panel\International, s1159,0, "AM"
HKCU, Control Panel\International, s2359,0, "PM"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0

[del]
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title,
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableSR
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Britney Spears-CLN.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Britney Spears-RTP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Britney Spears
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Britney Spears
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe, debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, PaRaY_VM
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ConfigVir
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NviDiaGT
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NarmonVirusAnti
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AVManager
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, EnableLUA

- Hapus file induk virus . Sebelum menghapus file tersebut sebaiknya tampilkan file yang tersembunyi caranya :
- Buka Windows Explorer
- Klik menu “Tools”
- Klik “Folder Options”
- Klik Tabulasi View
- Pada kolom “Advanced settings”
- Pilih opsi “Show hidden files and folders”
- Unchek “Hide extensions for known file types”
- Uncheck “Hide protected operating system files (Recommended)

Kemudian hapus file berikut:

• C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
• csrcc.exe
• smss.exe
• lsass.exe
• services.exe
• winlogon.exe
• Paraysutki_VM_Community.sys
• msvbvm60.dll
• C:\Autorun.inf
• C:\FoToKu xx-x-*.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
• C:\Friendster Community.exe
• C:\J3MbataN K4HaYan.exe
• C:\MyImages.exe
• C:\PaLMa.exe
• C:\Images

- Hapus juga file induk virus di flash disk /disket

- C:\Autorun.inf
- C:\FoToKu xx-x-*.exe, dimana x menunjukan tanggal virus
tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
- C:\Friendster Community.exe
- C:\J3MbataN K4HaYan.exe
- C:\MyImages.exe
- C:\PaLMa.exe
- C:\Images

- Tampilkan file gambar yang telah disembbunyikan di Flash Disk dengan cara:
- Klik “Start” menu
- Klik “Run”
- Ketik “CMD”
- Pada Dos Prompt, pindahkan posisi kursor ke lokasi Flash Disk
kemudian ketik perintah berikut ATTRIB –s –h /s /d

- Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan
antivirus yang up-to-date dan sudah dapat mengenali virus ini dengan
baik.

Membersihkan Virus Bulu Bebek

2008-12-26T03:19:00.000-08:00

Belakangan ini tokoh-tokoh kartun televisi semakin laris, tidak hanya di dunia anak-anak tapi kini merambah ke dunia cyber. Pasalnya nama-nama tokoh kartun seperti Doraemon, Naruto dan Kenshin telah dicatut oleh pembuat virus. Seperti tidak ada nama lain, kini muncul virus baru yang dinamakan Bulu Bebek diadaptasi dari tokoh kartun lucu Donald Bebek.

Diperkirakan dalam sebulan terakhir ini virus Bulu Bebek telah menyebar melalui flash disk dan mengacaubalaukan ribuan komputer di Indonesia.

Bulubebek dibuat menggunakan Visual Basic dengan ukuran file sebesar 53 KB (lihat gambar 1) yang terdiri dari 2 jenis file yakni .EXE dan .INI.

File Induk

Pada saat virus ini aktif ia akan membuat sejumlah file yang akan dijalankan pertama kali pada saat komputer dinyalakan serta membuat file autorun.inf agar virus tersebut dapat aktif secara otomatis setiap kali user akses folder. Berikut beberapa file induk yang akan dibuat oleh VBWorm.QXE

C:\Windows\Script.exe
C:\Windows\LSASS.exe
C:\Documents and Settings\%user%\autorun.inf
C:\Documents and Settings\%user%\bulubebek.ini
C:\bulubebek.ini
c:\autorun.inf

Auto start registry

Untuk memastikan agar file tersebut dapat dijalankan, ia akan membuat string pada registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = explorer.exe script.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = explorer.exe script.exe

Blok Fungsi Windows

Sebagai bentuk pertahanan ia akan mencoba untuk blok beberapa fungsi Windows seperti Task Manager, Folder Option atau CMD. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\HideFileExt

- CheckedValue=2

- DefaultValue = 2

- UncheckedValue = 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN

- CheckedValue= 0

- DefaultValue = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

- CheckedValue= 2

- DefaultValue = 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPath

- CheckedValue= 0

- DefaultValue = 0

- UncheckedValue = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPathAddress

- CheckedValue= 0

- DefaultValue = 0

- UncheckedValue = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden

- CheckedValue= 2

- DefaultValue = 2

- UncheckedValue = 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt

- CheckedValue= 1

- DefaultValue = 1

KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden

- CheckedValue= 0

- DefaultValue = 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- NoFolderOptions

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableRegistryTools

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

- Hidden = 2

- HideFileExt = 1

- ShowSuperHidden = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor

AutoRun = exit

HKEY_CURRENT_USER\Software\Microsoft\Command Processor

AutoRun = exit

Ia juga akan mencoba blok eksekusi file “Microsoft Visual Studio Spy Debugging Tools” yang mempunyai nama file SPYXX.exe dengan menampilkan pesan berikut saat file tersebut di eksekusi dengan terlebih dahulu membuat string pada registry berikut : (lihat gambar 3)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPYXX.EXE

Penyebaran otomatis

Flash Disk adalah salah satu media yang akan digunakan untuk menyebarkan dirinya dengan memanfaatkan celah autorun Windows yakni dengan membuat file autorun.inf dan bulubebek.ini (lihat gambar 4)

Hidden folder dan membuat duplikat folder

Tidak seperti virus lain yang jahat menginjeksi atau menghancurkan file komputer korbannya, pembuat Bulu Bebek ini kelihatannya tidak memiliki niat jahat menghancurkan data komputer korbannya. Bulubebek akan mencoba untuk menyembunyikan folder/subfolder pada flash disk, untuk mengelabui user ia akan membuat file duplikat disetiap folder/subfolder sesuai dengan nama older/subfolder tersebut. File duplikat ini mempunyai ciri-ciri : (lihat gambar 5)

Menggunakan icon Folder
Ukuran file 53 KB
Ekstensi EXE
Type File “Application

Membersihkan virus Bulubebek

Sebaiknya putuskan komputer yang akan dibersihkan dari jaringan (jika terhubung ke LAN)
Disable “System Restore” untuk sementara selama proses pembersihan berlangsung (jika menggunakan Windows ME/XP)
Matikan proses virus yang sedang aktif di memori, untuk mematikan proses virus ini gunakan tools penggganti taks manager seperti procexp, kemudian matikan proses virus yang mempunayi icon “Folder”. (lihat gambar 6)

Repair registry Windows yang sudah di ubah oleh virus. Untuk mempercepat proses tersebut salin script dibawah ini pada program notepad kemdian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:

Klik kanan repair.inf
Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Command Processor, AutoRun,0,

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue, 0x00010001,2

HKCU, Software\Microsoft\Command Processor, AutoRun,0,

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAYXX.exe

HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\HideFileExt

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPath

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPathAddress

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

Cari dan hapus file duplikat yang dibuat oleh virus. Untuk mempercepat proses pencarian sebaiknya gunakan fungsi “Search Windows” dengan terlebih dahulu menampilkan file yang disembunyikan. (lihat gambar 7)

Jika Folder Option belum muncul sebaiknya LogOff komputer terlebih dahulu kemudian tampilkan file yang tersebunyi.

Setelah file duplikat ditemukan, hapus file yang mempunyai ciri-ciri : (lihat gambar 8)

Menggunakan icon Folder
Ukuran file 53 KB
Ekstensi EXE
Type File “Application

Tampilkan kembali file/folder pada Flash Disk yang sudah disembunyikan. Untuk menampilkan file yang disembunyikan anda dapat menggunakan bebarapa tools alternatif seperti Batch File Utility atau dengan menggunakan perintah ATTRIB

Berikut cara menampilkan file/folder yang disembunyikan dengan menggunakan ATTRIB (lihat gambar 9)

Klik “Start”
Klik “Run”
Ketik “CMD”, kemudian tekan tombol “Enter”
Pindahkan posisi kursor ke drive Flash Disk
Kemudian ketik perintah ATTRIB –s –h –r /s /d kemudian tekan tombol “enter”

Untuk pembersihan optimal dan mencegah infeksi ulang scan, dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini.