Pages

Subscribe:

Ads 468x60px

Minggu, 27 Februari 2011

Varian W32/Virut

File Virus

Varian W32/Virut.DG memiliki beberapa file virus yang diantaranya sebagai berikut :

* C:\Documents and Settings\%user%\reader_s.exe
* C:\Documents and Settings\%user%\%user%.exe
* C:\WINDOWS\fonts\services.exe
* C:\WINDOWS\SoftwareDistribution\Download\[random_folder]\[nama_random].tmp
* C:\WINDOWS\system32\reader_s.exe
* C:\WINDOWS\system32\servises.exe
* C:\WINDOWS\system32\regedit.exe
* C:\WINDOWS\system32\[angka_random].tmp (beberapa file)
* C:\WINDOWS\Temp\VRT[angka_random].tmp (beberapa file)
* C:\WINDOWS\Temp\~TM[angka_random].tmp (beberapa file)
* C:\WINDOWS\Temp\[angka_random].exe (beberapa file)
* C:\WINDOWS\Temp\[nama_acak].dll (beberapa file)


Salah satu file virus menyamarkan dirinya sebagai “PE Explorer”, PE Explorer merupakan salah satu tools yang dibuat oleh perusahaan Heaven Tools.

Registry Windows

Agar dapat aktif pada saat menjalankan Windows, virus membuat string registry pada :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
22951 = C:\WINDOWS\system32\[nama_random].tmp.exe
reader_s = C:\WINDOWS\system32\reader_s.exe
Regedit32 = C:\WINDOWS\system32\regedit.exe
servises = C:\WINDOWS\system32\servises.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run
servises = C:\WINDOWS\system32\servises.exe
exec = C:\WINDOWS\fonts\services.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
reader_s = C:\Documents and Settings\klasnich\reader_s.exe
servises = C:\WINDOWS\system32\servises.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run
servises = C:\WINDOWS\system32\servises.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\ Windows
load = C:\WINDOWS\system32\servises.exe
run = C:\WINDOWS\system32\servises.exe

Agar tidak mudah diidentifikasi oleh user, virus membuat string registry pada :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\NOHIDORSYS
CheckedValue = 0

Selain itu, virus menambahkan dan mengubah string registry pada firewall:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandarProfile\AuthorizedApplications\List
\\??\C:\WINDOWS\system32\winlogon.exe = \\??\C:\WINDOWS\system32\winlogon.exe:*:enabled:@shell32.dll,-1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\ StandardProfile
EnableFirewall = 0

Cara Pembersihan Virus

Matikan System Restore (XP/ME) (pada saat digunakan)

Hapus dan matikan proses virus yang aktif. Gunakan Norman Malware Cleaner untuk mematikan sekaligus menghapus virus. Anda dapat mendownload pada link berikut: http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

Sebaiknya anda men-download pada komputer yang masih bersih atau simpan file tersebut dengan extension file executable lain seperti com atau cmd.

Sebelum anda menjalankan file Norman Malware Cleaner, sebaiknya ubah terlebih dahulu extension file tersebut menjadi com atau cmd, atau anda kompress file tersebut menjadi zip. Jalankan file yang berada dalam zip atau yang sudah berubah menjadi com atau cmd.

Norman Malware Cleaner mampu menghapus virus, membersihkan file yang terinfeksi virus, serta memperbaiki driver yang terinfeksi. Setelah selesai proses pembersihan, disarankan segera restart komputer.

Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]
Signature="$Chicago$"
Provider=Vaksincom Gendong Virut Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001, 1
HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile, EnableFirewall, 0x00010001, 1

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, servises
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, load
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, servises
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 22951
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Regedit32
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS
HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandarProfile\AuthorizedApplications\List, \\??\C:\WINDOWS\system32\winlogon.exe
HKLM, SOFTWARE\Policies\Microsoft\WindowsFirewall

Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Sebagai antisipasi jika masih belum bisa terkoneksi dalam jaringan atau network drive masih error, sebaiknya replace driver network yaitu file “ndis.sys” (berukuran 179 kb) dan “TCPIP.SYS” (berukuran 351 kb) dari komputer yang belum terinfeksi. Biasanya file tersebut berada pada C:\WINDOWS\system32\driver dan C:\WINDOWS\system32\dllcache

Kembalikan hosts file yang sudah terinfeksi. Replace file “hosts” (berukuran 1 kb) dari komputer yang belum terinfeksi. Biasanya berada pada C:\WINDOWS\system32\driver\etc. Anda bisa juga menggunakan tools perubah hosts file yaitu “HostsXpert”. Anda dapat mendownload pada link berikut: http://www.funkytoad.com/download/HostsXpert.zip

Pada hostsxpert anda dapat me-restore kembali hosts file seperti semula. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan dapat mendeteksi dan membasmi virus ini dengan baik.


Penulis, Adi Saputra, adalah analis antivirus di Vaksincom.

1 komentar:

rahmawan mengatakan...

pak niki rahmawan
pak bagi saya bapak sudah baik dlm menhgajar mungkin mlh membawa kemajuan bagi siswa dlm mengetaui segala sesuatu tentang pc pak....tapi pak yoko juga hrs hti2 dlm mengajar jangan sapai ada kata yang di anggap siswa itu menyinggungnya pak agr bapak sukses dlm mengajar.

www.rahmawan-yulianto.blogspot.com

Posting Komentar