Netskyvista, W32/Suspicious_Gen2.CAHWJ

Harimau dan Singa memiliki kesamaan, galak (kalau ngga percaya coba ajah ajak kenalan :p), kuat, cepat dan karnivora (alias pemakan daging). Jadi makhluk2 lain yang merasa dirinya berdaging berusaha menjauh dari dua binatang ini (di alam bebas). Kalau Lion (singa) dan Tiger (harimau) sendirian saja sudah galak, bagaimana kalau dua makhluk ini digabungkan ? Jawabannya adalah Liger, alias Lion Tiger. Persilangan antara dua spesies galak yang berhasil dilakukan oleh manusia. Kalau hal tersebut terjadi di dunia nyata, sekarang di dunia komputer juga kita jumpai satu virus yang mengusung dua nama ngetop, Netsky dan Vista. Kalau Netsky jelas kita tahu pernah merajalela di belantara internet sebagai virus yang paling perkasa dan sebaliknya Vista adalah OS besutan Microsoft kakaknya Windows XP. Sayangnya netskyvista ini murni virus dan tidak ada sedikitpun mewarisi sifat-sifat ke”vista”an :p.
 
Anda tentu masih ingat dengan virus Stuxnet aka Winsta yang akan menyebabkan ruang HDD menjadi penuh berapapun sisa HDD Anda sehingga user tidak dapat menyimpan file. Berkurangnya sisa HDD yang ada diakibatkan karena membengkaknya file winsta.exe yang berada di direktori [C:\Windows\system32] sesuai dengan sisa HDD tersebut dan “untungnya” virus ini hanya akan menghabiskan sisa HDD yang ada di Drive master [C:\] saja.
 
Untuk lebih mengenal virus Stuknet ini, silahkan kunjungi website di bawah ini
 
http://vaksin.com/2010/0710/Stuxnet%20winsta%20virus/Stuxnet%20winsta%20virus.htm
 
Selain virus Stuxnet tersebut, ada jenis virus Stuxnet made in lokal yang akan mengakibatkan HDD menjadi penuh, tetapi dengan metode yang berbeda. Untuk menghabiskan sisa HDD ia akan membuat file virus dalam jumlah mencapai ratusan di setiap folder yang sudah ditentukan dan “untungnya” virus ini  hanya akan menyerang drive master [C:\] saja.
 
Untuk mempermudah penyebarannya, ia akan memanfaatkan fitur “autorun” windows serta menyebar dengan memanfaatkan media UFD dan jaringan (full access] .
 
Dengan update terbaru, Norman Security Suite mendeteksi virus ini sebagai W32/Suspicious-Gen2.CAHWJ sedangkan Dr.Web anti-virus mendeteksi virus ini sebagai Backdoor.Trojan (lihat gambar 1 dan 2)
 
Gambar 1, Hasil deteksi Norman Security Suite
 
Gambar 2, Hasil deteksi Dr.Web Anti-virus
 
Dalam upaya penyebarannya virus ini akan menggunakan rekayasa sosial dengan memanfaatkan program kompresi file (WINRAR) dengan ciri-ciri:
  • Menggunakan icon Winrar
  • Ukuran file 60 KB
  • Ekstensi file EXE (lihat gambar 3)
 
Gambar 3, Contoh file virus
 
Teknik yang digunakan bukan sekedar mendompleng icon program Winrar tetapi lebih dari itu, ia akan mengaktifkan dirinya secara otomatis pada saat user menjalankan program Winrar atau file yang sudah di kompresi dengan menggunakan Winrar. Jika pada komputer target tidak terinstall program Winrar, ia sudah mempersiapkan metode lain agar dirinya dapat aktif secara otomatis yakni dengan melakukan “pengalihan” pada saat user menjalankan file dengan ekstensi yang sudah ditentukan.
 
File induk
Pada saat virus menginfeksi komputer, ia akan membuat file induk yang akan di aktifkan secara otomatis pada saat komputer booting.
  • C:\Windows\Config\WinRAR.exe
  • C:\Windows\System32\WInRAR.exe
 
Registri Windows
Agar file induk tersebut dapat diaktifkan secara otomatis pada saat komputer booting, ia akan membuat perubahan pada registri berikut:
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
-          WinRAR.exe = WinRAR.exe
 
Virus ini juga akan aktif secara otomatis setiap user manjalankan program WinRAR, saat menjalankan file aplikasi yang mempunyai ekstensi [exe, bat, pif] serta pada saat user memutar lagu [mp3] ataupun pada saat user membuka file gambar [jpeg].
 
Untuk melakukan hal tersebut, ia akan membuat perubahan registri berikut
 
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WinRAR.exe
    •  Default = C:\Windows\Config\WinRAR.exe
 
  • HKEY_CLASSES_ROOT\batfile\shell\open\command
    • [Default] = WinRAR.exe
 
  • HKEY_CLASSES_ROOT\piffile\shell\open\command
    • [Default] = WinRAR.exe
 
  • HKEY_CLASSES_ROOT\jpegfile\shell\open\command
    • [Default] = WinRAR.exe
 
  • HKEY_CLASSES_ROOT\mp3file\shell\open\command
    • [Default] = WinRAR.exe
 
  • HKEY_CLASSES_ROOT\exefile\shell\open\command
    • [Default] = WinRAR.exe
 
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
    • Default = WinRAR.exe %1
 
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
    •  [Default] = WinRAR.exe
 
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
    •  [Default] = WinRAR.exe
 
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\jpegfile\shell\open\command
    •  [Default] = WinRAR.exe
 
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp3file\shell\open\command
    •  [Default] = WinRAR.exe
 
Blok Fungsi Windows
Untuk mempersulit proses penghapusan, ia akan blok beberapa fitur windows seperti Search, Folder Options dan Run, ia juga akan melakukan blok terhadap tools security atau pada saat user mengakses folder dengan nama yang telah ditentukan dengan membaca caption text atau nama dari aplikasi tersebut dengan cara menutup kembali setiap kali user menjalankan tools security atau saat mengakses folder tersebut. Selain itu ia juga akan blok pada saat user menginstal program/aplikasi dengan membuka aplikasi NOTEPAD.
 
Berikut beberapa nama yang akan di blok oleh virus pada saat user mengakses file / folder tersebut:
 
Vir, av, safe, start, process, spy, autoruns, hijack, patrol, alarm, task, config, folder option, system, properties, watson, remov, scan, kill, zlh, dr, doctor, spider, dr, vm, vb, reg, combo, proce, norman, security, image, dark, attribut, PIC, fix, clean, tweaker, sniff, trace, logon, scan, wireshark, nmap, win, net, ice, hack, unlocker, list, nbam, folder, search, find.
 
Untuk blok fungsi Windows, ia akan membuat string pada registri berikut
 
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • NoFind
    • NoFolderOptions
    • NoRun
 
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • HideFileExt = 1
    • ShowSuperHidden = 0
    • ClassicViewState = 0
    • FullPath = 1
 
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe
    • debugger= notepad.exe (lihat gambar 4)
 
Gambar 4, Program yang muncul pada saat menginstall aplikasi
 
Jejak Petualangan Virus
Sebagai identitas dirinya, ia akan meninggalkan beberapa jejak dengan merubah nama organisasi dan owner pada komputer yang terinfeksi  serta menampilkan pesan pada waktu yang telah ditentukan (19 Februari,  5 Maret dan 14 Desember)
 
Untuk merubah nama organisasi dan owner pada komputer target, ia akan merubah string pada registry berikut
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
  • RegisteredOrganization = Hacked by WV9
  • RegisteredOwner = NETSKY-VISTA (lihat gambar 5)
 
Gambar 5, Jejak Petualangan Virus
 
Sedangkan untuk menampilkan pesan dari sang pembuat virus, ia akan memanfaatkan waktu penanggalan yang tertera pada system komputer dengan menampilkan pesan “sesaat bersamamu terasa begitu indah, takan kulupa selamanya,Djogja 5/03/2007” (lihat gambar 6)
 
Gambar 6,  Pesan netskyvista
 
Rakus memakan Space HDD Master
Komputer yang sudah terinfeksi virus ini akan menyebabkan ruang HDD master [Drive C:\] menjadi berkurang secara drastis dalam hitungan menit dan menyebabkan HDD akan penuh dengan membuat ratusan file virus yang akan di simpan dalam direktori yang sudah ditentukan sebelumnya sehingga user tidak dapat menyimpan file atau menginstall program. Karena sisa ruang harddisk yang kosong, tentunya akan menimbulkan notifikasi dari system windows yang menginformasikan bahwa sisa ruang harddisk komputer sudah tidak ada. (lihat gambar 7 dan 8)
 
Gambar 7, Peringatan low space yang disebabkan oleh ulah netskyvista, yang menghabiskan sisa ruang HDD
 
Gambar 8,  Error saat instalasi program akibat tidak adanya ruang HDD
 
Berikut beberapa ciri –ciri file yang akan di drop oleh W32/Suspicious_Gen2.CAHWJ
 
  • Menggunakan icon Winrar
  • Nama file Acak
  • Mempunyai ukuran 60 KB
  • Ekstensi EXE
 
Berikut beberapa direktori target yang akan di jadikan sebagai persinggahan virus
  • C:\Documents and Settings\
  • C:\Documents and Settings\Administrator\
  • C:\Documents and Settings\Administrator\Application Data\
  • C:\Documents and Settings\Administrator\Local Settings\
  • C:\Documents and Settings\Administrator\Local Settings\Application Data\
  • C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\
  • C:\Documents and Settings\Administrator\Templates\
  • C:\Documents and Settings\All Users\
  • C:\Documents and Settings\All Users\Application Data\
  • C:\Documents and Settings\All Users\Application Data\Applications\
  • C:\Documents and Settings\All Users\Application Data\Applications\Cache\
  • C:\Documents and Settings\All Users\Application Data\Microsoft\
  • C:\Documents and Settings\All Users\Application Data\Microsoft Help\
  • C:\Documents and Settings\All Users\Favorites\
  • C:\Documents and Settings\All Users\Documents\
  • C:\Documents and Settings\All Users\Documents\My Music\
  • C:\Documents and Settings\All Users\Documents\My Pictures\
  • C:\Documents and Settings\All Users\Documents\My Videos\
  • C:\Documents and Settings\All Users\Start Menu\
  • C:\Program Files\
  • C:\Program Files\MSN\
  • C:\Program Files\Messenger\
  • C:\Program Files\Movie Maker\
  • C:\Program Files\Common Files\
  • C:\Program Files\ComPlus Applications\
  • C:\Program Files\Internet Explorer\
  • C:\Program Files\MSN Gaming Zone\
  • C:\Program Files\NetMeeting\
  • C:\Program Files\Online Services\
  • C:\Program Files\Outlook Express\
  • C:\Program Files\Windows Media Player\
  • C:\Program Files\Windows NT\
  • C:\Program Files\BearShare\Shared
  • C:\Program Files\Edonkey200\Incoming
  • C:\Program Files\Grokster\My Grokster
  • C:\Program Files\KMD\My Shared Folder
  • C:\Program Files\Kazaa\My Shared Folder
  • C:\Program Files\Kazaa Lite\My Shared Folder
  • C:\Program Files\Morpheus\My Shared Folder
  • C:\WINDOWS\system32\
  • C:\WINDOWS\system32\dllcache\
  • C:\WINDOWS\system32\spool\
  • C:\WINDOWS\system32\Microsoft\
  • C:\WINDOWS\system32\DirectX\
  • C:\WINDOWS\system32\Setup\
  • C:\WINDOWS\system32\Restore\
  • C:\WINDOWS\system32\dhcp\
  • C:\WINDOWS\system32\config\
  • C:\WINDOWS\system32\spool\drivers\
  • C:\WINDOWS\system32\ShellExt\
  • C:\WINDOWS\system32\drivers\etc\
  • C:\WINDOWS\system32\msmq\
  • C:\WINDOWS\Connection Wizard\
  • C:\Windows
  • C:\WINDOWS\Driver Cache\
  • C:\WINDOWS\WinSxS\
  • C:\WINDOWS\Web\
  • C:\WINDOWS\twain_32\
  • C:\WINDOWS\system\
  • C:\WINDOWS\srchasst\
  • C:\WINDOWS\SoftwareDistribution\SelfUpdate\
  • C:\WINDOWS\SoftwareDistribution\EventCache\
  • C:\WINDOWS\SoftwareDistribution\Download\
  • C:\WINDOWS\SoftwareDistribution\DataStore\
  • C:\WINDOWS\SoftwareDistribution\AuthCabs\
  • C:\WINDOWS\SoftwareDistribution\
  • C:\WINDOWS\security\
  • C:\WINDOWS\Resources\
  • C:\WINDOWS\repair\
  • C:\WINDOWS\Registration\
  • C:\WINDOWS\Provisioning\
  • C:\WINDOWS\Prefetch\
  • C:\WINDOWS\PeerNet\
  • C:\WINDOWS\pchealth\
  • C:\WINDOWS\mui\
  • C:\WINDOWS\msapps\msinfo\
  • C:\WINDOWS\msapps\
  • C:\WINDOWS\msagent\
  • C:\WINDOWS\Media\
  • C:\WINDOWS\java\classes\
  • C:\WINDOWS\java\trustlib\
  • C:\WINDOWS\java\
  • C:\WINDOWS\ime\CHTIME\
  • C:\WINDOWS\ime\
  • C:\WINDOWS\Help\Tours\
  • C:\WINDOWS\Help\
  • C:\WINDOWS\ehome\
  • C:\WINDOWS\Debug\UserMode\
  • C:\WINDOWS\Debug\
  • C:\WINDOWS\Cursors\
  • C:\WINDOWS\Temp\
  • C:\WINDOWS\Config\
  • C:\WINDOWS\AppPatch\
  • C:\WINDOWS\addins\
  • C:\Autorun.inf\
  • D:\Autorun.inf\
  • E:\Autorun.inf\
  • F:\Autorun.inf\
 
Berikut beberapa nama file yang akan di buat oleh virus (dengan menggabungkan string pertama dan kedua)
 
String pertama
Plug-In, Serial, full-crack, tutorial, software, e-book, keygen, adobe, update, trik, tips-trik, crack, tips, key,  free-tiral, full-version, free, lisensi, crack-lisensi, trik-, tips-trik-, crack-, tips-, free-tiral-, free, lisensi-, crack-lisensi-, Plug-In-, serial-, serial-, full-crack-, tutor, tutorial-, software-, e-bok-, keygen, adobe-, update-.
 
String kedua
 
  • Phothoshop CS2.exe
  • Acrobat Reader 5.0.exe
  • Reader 8.1.2.exe
  • After Effects Pro 6.5.exe
  • Phothoshop CS3.exe
  • Phothoshop CS4.exe
  • Phothoshop extended CS5.exe
  • Flash Player 9.0.exe
  • Illustrator 10
  • Solutions Network.exe
  • AfterEffects 5.0.exe
  • Dimnsions 3.0.exe
  • InDesign 1.5.2.exe
  • Streamline 4.0.exe
  • Image Ready CS2.exe
  • PostScript Drivers.exe
  • Phothoshop Lightroom v2.5.exe
  • Premiere Pro.exe
  • Phothoshop 3D Efect.exe
  • AfterEffects 6.5.exe
  • AfterEffects 7.0.exe
  • Phothoshop CS.exe
  • Acobat Reader 6.0.exe
  • Reader 8.1.2.exe
  • After Effects Pro 8.0
  • Phothoshop 7.0
  • Phothoshop 5.0
  • Phothoshop extended CS4.exe
  • Flash Player 9.5.exe
  • Illustrator 12.exe
  • Solutions Network 6.0.exe
  • AfterEffects 9.0.exe
  • Dimnsions 4.9.exe
  • InDesign 1.5.3.exe
  • Streamlise 5.0.exe
  • Image Ready CS.exe
  • PhostScript Drivers 2.0.exe
  • Phothoshop Lightroom v3.0.exe
  • Premiere Pro 3.0.exe
  • Phothoshop 3D Efect 2.0.exe
  • Solution Network 7.0.exe
  • AfterEffects 5.0.exe
  • Dimnsions 7.0.exe
  • InDesign 2.0.exe
  • Streamline 7.0.exe
  • Image Ready CS3.exe
  • PostScript Drivers 3.0.exe
  • Phothoshop Lightroom v4.0.exe
  • Premiere Pro 4.0.exe
  • Phothoshop 3D Efects 5.0.exe
  • Solutions Network 7.0.exe
  • AfterEffects CS.exe
  • Dimnisions 5.0.exe
  • InDesign 3.0.exe
  • Streamline 6.0.exe
  • Image Ready CS2.exe
  • PostScrip Drivers 4.0.exe
  • Phothoshop Lightroom v4.5.0.exe
  • Premiere Pro 5.0.exe
  • Phothoshop 3D Efect 6.0.exe (lihat gambar 9)
 
Gambar 9, Contoh file yang di drop oleh virus
 
Menyembunyikan file MS Office (MS.Word)
Tidak Cuma itu saja yang akan dilakukan oleh virus ini, ia juga akan menyembunyikan file MS office (MS Word) yang berada di direktori [C:\Documents and Settings\%user%\My Documents] dan membuat file pengganti [berupa file virus] sesuai dengan nama file  MS Word yang di sembunyikan dengan membaca string pada registry berikut
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
  • Personal = C:\Documents and Settings\%user%\My Documents
 
Catatan:
%user% menunjukan user name yang digunakan pada saat Login Windows
 
File pengganti ini mempunyai ciri-ciri
  • Menggunakan icon Winrar
  • Ukuran file 60 KB
  • Ekstensi .Rar   .exe
  • Type File : Application (lihat gambar 10)
 
Gambar 10, File  virus yang menggantikan file MS.Word yang disembunyikan
 
Media Penyebaran
Sebagai media penyebaran, ia akan menggunakan UFD dengan membuat file [autorun.inf] dan file [WinRAR-v3.71.exe] sebagai upaya agar virus dapat aktif secara otomatis pada saat user mengakses UFD.  Isi file [autorun.inf] ini berisi script untuk mengaktifkan file [WinRAR-v3.71.exe].  Kedua file tersebut juga akan dibuat di setiap Drive.
 
Selain menyebar dengan menggunakan UFD, virus ini juga akan menyebaran melalui jaringan dengan memanfaatkan folder yang di share dengan membuat beberapa file virus dengan nama [readit.exe, playit.exe, launchit.exe, startit.exe, buncit.exe). Jika virus tersebut berhasil menembus Drive [C:\] yang di share, ia akan mencoba untuk membuat file tersebut di direktori berikut
  • ..\Windows\Desktop
  • ..\Windows\Start Menu\Progams\Startup\
  • ..\Document and Settings\Administrator\Start Menu\Programs\Startup\
  • ..\Document and Settings\All Users\Start Menu\Programs\Startup\
  • ..\Document and Settings\Default Users\Start Menu\Programs\Startup\
  • ..\Document and Settings\Admistrator\Desktop\
  • ..\Document and Settings\All Users\Desktop\
  • ..\Document and Settings\Default Users\Desktop\
  • ..\Winnt\Profiles\All Users\Start Menu\Programs\Startup\
  • ..\Winnt\Profiles\All Users\Desktop\
  • ..\Winnt\Profiles\Administrator\Start Menu\Programs\Startup\
  • ..\Winnt\Profiles\Administrator\Desktop\
  • ..\Winnt\Profiles\Default Users\Start Menu\Programs\Startup\
  • ..\Winnt\Profiles\Default Users\Desktop\
 
Selain itu ia juga akan menyebar melalui program P2P file sharing seperti Kazaa atau Morpheus atau program P2P lain nya dengan membuat file beberapa file berikut di direktori yang sudah ditentukan
  • C:\Program Files\BearShare\Shared\
  • C:\Program Files\EdonKey2000 \Incoming\
  • C:\Program Files\Grokster\My Grokster\
  • C:\Program Files\KMD\My Shared Folder\
  • C:\Program Files\Kazaa\My Shared Folder\
  • C:\Program Files\Kazaa Lite\My Shared Folder\
  • C:\Program Files\Morpheus\My Shared Folder\
 
Berikut beberapa file yang akan didrop di direktori tersebut dengan menggabungkan ketiga string berikut
 
String pertama
  • New Song Of
  • The Best Of
  • New Album Of
  • Greates Song Of
 
String kedua
  • Mariah Carey
  • M Jackson
  • Whitney
  • Metalicca
  • Elvis Presley
  • Kenny G
  • Aliyah
  • Bon Jovy
 
String ketiga (ekstensi)
  • .avi  .exe
  • .mpg.  exe
  • .mpeg  .exe
  • .wma  .exe
  • .mp3  .exe
  • .wav  .exe
  • .mid  .exe
 
Cara Pembersihan Virus netskyvista
 
1.    Kill proses, menggunakan procexp (kill proses dengan nama file WINRAR.exe) atau menggunakan tools Killvb. Ubah ekstensi file “Killvb” menjadi COM agar tidak diblok oleh virus, silahkan download tools tersebut di alamat berikut (lihat gambar 11)
 
http://www.4shared.com/file/Yfx-0CAh/Repair_Suspicious_Gen2_CAHWJ.html
 
Gambar 11, mematikan proses virus dengan menggunakan tools killvb
 
2.    Repair registry yang sudah di ubah oleh virus. Untuk mempercepat proses penghapusan registri, salin script di bawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.INF. Install file tersebut dengan cara
 
a.    Klik kanan REPAIR.INF
b.    Klik Install
 
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
 
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
 
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\mp3file\shell\open\command,,,"""C:\Program Files\Windows Media Player\wmplayer.exe"" /prefetch:6 /Open ""%L"""
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "YourOrganization"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "YourOwner"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, Software\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,SuperHidden,0x00010001,1
HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0
 
 
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, WinRAR.exe
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, WinRAR.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistrytools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe, debugger
 
Anda juga dapat download file tersebut di alamat berikut
http://www.4shared.com/file/Yfx-0CAh/Repair_Suspicious_Gen2_CAHWJ.html
 
3.    Ubah file [C:\Windows\System32\msvbvm60.dll] menjadi nama file lain [contohnya: msvbvm60_old.dll] atau jika menggunakan Windows XP/Vista/7/2003/2008, restrict file virus dengan menggunakan “Local Security Policy” [lihat langkah nomor 7] selama proses pembersihan berlangsung agar virus tidak dapat aktif kembali, kemudian LogOff atau restart komputer
 
4.    Hapus file induk yang berada di direktori [C:\Windows\Config\WINRAR.exe]. Sebelum melakukan penghapusan, tampilkan file yang disembunyikan dengan melakukan perubahan konfigurasi pada Folder Options seperti terlihat pada gambar 12 di bawah ini:
Gambar 12, menampilkan file yang disembunyikan
5.    Hapus file yang di buat oleh virus. Untuk mempercepat proses penghapusan, Anda dapat menggunakan fungsi Find Windows (Search). dengan format pencarian seperti terlihat pada gambar di bawah ini. Jangan sampai terjadi kesalahan pada saat menghapus file tersebut, hapus file yang mempunyai ciri-ciri berikut (lihat gambar 13)
 
a.    Icon WINRAR
b.    Ukuran 60 KB
c.    Ekstensi EXE
 
Gambar 13, Mencari dan menghapus file virus
 
6.    Untuk pembersihan optimal scan dengan antivirus yang up-to-date. Anda juga dapat menggunakan tools Norman Malware Cleaner [NMC] atau menggunakan Dr.Web CureIT! (lihat gambar 14)
 
Link download NMC: [http://www.norman.com/support/support_tools/58732/en]
Link download Dr.Web CureIT! : [http://www.freedrweb.com/cureit/?lng=en]
 
Gambar 14, Scan dengan menggunakan Norman Malware Cleaner
 
7.    Jika Anda mempuyai dokumen (MS Word) di direktori [C:\Documents and Settings\%user%\MY Documents], tampilkan kembali file MS Word yang sudah disembunyikan oleh virus, caranya : (lihat gambar 15)
a.    Klik menu [Start]
b.    Klik [Run]
c.    Pada dialog box RUN, ketik CMD.EXE kemudian klik tombol [OK]
d.    Setelah muncul layar “DOS Prompt”, klik perintah CD My Documents kemudian tekan tombol [Enter]
e.    Kemudian ketik perintah attrib –s –h –r *.doc /s /d kemudian tekan tombol [enter]
 
Gambar 15, Menampilkan file MS.Word yang telah disembunyikan oleh virus
 
8.    Untuk mencegah infeksi ulang lakukan langkah  berikut
 
a.    Install komputer dengan menggunakan antivirus yang dapat di up-to-date secara otomatis
 
b.    Ubah file [C:\Windows\System32\msvbvm60.dll] menjadi nama file lain [contoh: msvbvm60_old.dll]. Harap di perhatikan, merubah nama file tersebut akan mengakibatkan semua program (termasuk virus) yang dibuat dengan program Visual Basic tidak dapat di jalankan. (lihat gambar 16)
 
Gambar 16,  Pesan error saat menjalankan file virus setelah file msvbvm60.dll di ubah
 
c.    Restrict file virus dengan menggunakan [Software restriction policies]. Fitur ini hanya dapat ditemukan pada System Operasi Windows XP Pro/Vista/7/Server 2003/Server 2008 agar file virus tidak dapat di aktifkan.
 
Berikut cara untuk restrict file virus : (lihat gambar 17)
 
·         Klik menu [Start]
·         Klik [Run]
·         Pada dialog box RUN, ketik [secpol.msc] kemudian klik tombol [OK]
·         Kemudian akan muncul layar “Local Security Settings”
·         Klik kanan pada menu “Software restriction policies” dan pilih “Create New Policies”. Kemudian akan muncul 2 sub menu yakni [Security Levels dan Additional Rules]
 
Gambar 17, Software Restriction Policies
 
·         Klik kanan “Additional Rule”, dan pilih “New Hash Rule.” (lihat gambar 18)
 
Gambar 18,  “New Hash Rule....”
 
·         Kemudian akan muncul layar “New Hash Rule”. Pada kolom “File hash”, klik tombol [Browse] kemudian tentukan salah satu file yang telah dibuat oleh virus kemudian klik tombol [Open]. (lihat gambar 19)
 
Gambar 19, memilih file virus
 
·         Pada kolom “Security level”, pilih “Disallowed”
·         Pada kolom “description” isi deskripsi dari nama file tersebut (bebas), (lihat gambar 20)
 
Gambar 20,  File virus yang sudah di resrict
 
·         Pilih OK dan restart komputer. (lihat gambar 21)
 
Gambar 21,  File virus yang sudah di resrict
 
Catatan:
 
Pada saat user menjalankan file yang sudah di add tersebut maka akan muncul pessan peringatan seperti gambar 22 :
 
Gambar 22, Pesan error saat menjalankan file virus yang sudah di restrict dengan menggunakan “Software Restriction Policies”
Label:

Artikel Terkait

0 komentar:

Posting Komentar