Tentang virus lokal dan cara penanganannya

Oleh gfgf

Sunday, September 7, 2008

mungkin agak terlambat dalam memposting tentang cara penanganan komputer yang terinfeksi oleh virus jembatan kahayan ini, tapi ini saya lakukan karena saat saya magang disalah satu kantor yang ada di Palangka raya, virus jenis ini berkembang biak dengan cara yang sangat yang cepat. mudah - mudahan saja artikel ini berguna bagi kita semua. OKE, sekarang kita masuk bahas saja.
Bagi anda yang sering ke Kalimantan Tengah (Kampung saya neh), kemungkinan besar tahu dengan Jembatan Kahayan, yaitu jembatan yang membelah Sungai Kahayan di Kota Palangkaraya, Kalimantan Tengah, Indonesia. Jembatan ini memiliki panjang 640 meter dan lebar 9 meter, terdiri dari 12 bentang dengan bentang khusus sepanjang 150 meter pada alur pelayaran sungai. Jembatan ini pertama kali dibangun pada tahun 1995 dan selesai dibangun pada tahun 2001, serta diresmikan oleh Presiden Megawati Soekarnoputri pada tanggal 13 Januari 2002. Jembatan Kahayan menghubungkan Palangkaraya dengan dengan Kabupaten Gunung Mas, kabupaten Barito Selatan dan tembus ke kabupaten Barito Utara. Lalu apa hubungannya? kaya nya ga deh. ada basa basi doank...

Setelah sebelumnya muncul virus VBWorm.NUJ (http://vaksin.com/2007/1107/moontox-bro.htm), baru-baru ini telah ditemukan salah satu virus hasil modifikasi VM Palangkaraya (kemungkinan) ini dapat dilihat dari script dan file induk yang akan di usung oleh virus ini.
Untuk saat ini sudah ada 3 varian dimana untuk masing-masing varian tersebut mempunyai ciri-ciri yang sama, virus ini lebih dikenal dengan nama W32/Amburadul.

Untuk varian pertama Norman mendeteksi sebagai W32/Agent.XQXM (54 KB)
Untuk varian ke dua mempunyai nama sebagai W32/Agent.ETOR (56 KB)
Untuk varian ke tiga mempunyai nama sebagai W32/Autorun.CQJ (52 KB)
Untuk varian ke empat mempunyai nama sebagai W32/Autorun.CIA (51 KB)

berikut juga beberapa ciri-ciri file yang yang akan di usung oleh Amburadul beserta variannya:
Icon : Image (JPG)
Ukuran file : Bervariasi sesuai dengan varian (51 KB, 52 KB, 54 KB dan 56 KB)
Ekstensi file : EXE
Type File : Application

Pada saat virus aktif, ia akan membuat beberapa file induk dibawah ini yang akan dijalankan setiap kali komputer dinyalakan (file ini juga akan dibuat di semua drive termasuk di media Flash Disk)

C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
csrcc.exe
smss.exe
lsass.exe
services.exe
winlogon.exe
Paraysutki_VM_Community.sys
msvbvm60.dll
C:\Autorun.inf
C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
C:\Friendster Community.exe
C:\J3MbataN K4HaYan.exe
C:\MyImages.exe (hidden file)
C:\PaLMa.exe
C:\Images
Ce_Pen9God4.exe
J34ñNy_Mö3tZ_CuTE.exe
M0D3L_P4ray_ 2008.exe
MalAm MinGGuan.exe
NonKroNG DJem8ataN K4H4yan.exe
Ph0to Ber5ama.exe
PiKnIk dT4ngKilin9.exe
RAja Nge5ex.exe
TrenD 9aya RAm8ut 2008.exe
C:\Images\_PAlbTN
(V.4.9)_D053n^908L0K.exe
~ G0YanG Ranjang ~.exe
GePaCar4an Neh!!!.exe
GuE... BgT!.exe
Ke.. TaUan N90C0k.exe
Ma5tURbas1 XL1M4xs.exe
PraPtih G4diEs PuJAAnku.exe
SirKuit BaLi SmunZa.exe

Untuk menyebarkan dirinya, ia akan menggunakan media “Flash Disk” ataupun “Disket” dengan membuat beberapa file induk dan beberapa file pendukung agar dirinya dapat aktif secara otomatis setiap kali user akses ke Flash Disk tersebut.
n/b: semua jenis virus ini pernah berkembang dikantor tempat saya magang, sayang nya saya tidak sempat untuk melakukan screenshoot untuk autorun dan gambar2 lainnya

Cara membersihkan W32/Agent.EQXM (dan Varian)

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan
2. Matikan proses virus yang aktif di memory resident. Untuk mematikan proses tersebut gunakan tools “currprocess” klik disini. Kemudian matikan proses virus yang mempunyai icon JPG dengan ekstensi EXE.
3. Repair registry yang sudah di ubah oleh W32/Agent.EQXM (dan varian). Untuk mempercepat proses perbaikan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf.
Jalankan file tersebut dengan cara:
-Klik kanan repair.inf
-Klik Install

[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0x00010001,0
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, "checkbox"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, "checkbox"
HKCU, Control Panel\International, s1159,0, "AM"
HKCU, Control Panel\International, s2359,0, "PM"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
[del]

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe, debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, PaRaY_VM
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ConfigVir
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NviDiaGT
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NarmonVirusAnti
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AVManager
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, EnableLUA
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

4. Disable “System Restore” selama proses pembersihan

5. Hapus file induk virus W32/Agent. EQXM (dan varian). Sebelum menghapus file tersebut sebaiknya tampilkan file yang tersembunyi caranya :
-Buka Windows Explorer
-Klik menu “Tools”
-Klik “Folder Options”
-Klik Tabulasi View
-Pada kolom “Advanced settings”
Pilih opsi “Show hidden files and folders”, Unchek “Hide extensions for known file types”, Uncheck “Hide protected operating system files.
Kemudian hapus file berikut (di semua Drive termasuk Flash Disk kecuali untuk file yang ada di direktori C:\Windows\system32\~A~m~B~u~R~a~D~u~L~)
C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
csrcc.exe
smss.exe
lsass.exe
services.exe
winlogon.exe
Paraysutki_VM_Community.sys
msvbvm60.dll
C:\Autorun.inf
C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
C:\Friendster Community.exe
C:\J3MbataN K4HaYan.exe
C:\MyImages.exe
C:\PaLMa.exe
C:\Images
6. Tampilkan file gambar yang telah disembbunyikan di Flash Disk dengan cara:
Klik “Start” menu
Klik “Run”
Ketik “CMD”
Pada Dos Prompt, pindahkan posisi kursor ke lokasi Flash Disk kemudian ketik perintah ATTRIB –s –h /s /d
7. Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan antivirus yang up-to-date dan sudah dapat mengenali virus ini dengan baik.

Tag : Artikel Virus, Tips dan Trik

1 Komentar untuk "Tentang virus lokal dan cara penanganannya"

Balas

DuDuGi

September 24, 2008 at 7:34 PM

Wadooh ouyeng bacanya,mas..soalnya ngga ngerti blass.. hehehe
Tp ntar coba aku telaah lagi. Tapi emang virus lokal kayaknya ganas-ganas. Cracker Indonesia ditakuti ya..
Nice info,bro

Cara Isi komentar
jika punya ID/blog berikan komentar anda melalui:
Id Blogger, Open ID (LiveJournal, WordPress, TypePad, AIM), Nama/URL.

BAGI yang tidak punya website/Datang dari search engine seperti Google, yahoo!!!, blog-indonesia dll.
Silahkan gunakan pilihan Anonymous tapi ini tidak disarankan bagi yang punya blog!!!!!

Komentar yang mengandung unsru SARA akan dihapus oleh ADMIN. Terima Kasih atas kunjungan anda!!!!

Tentang virus lokal dan cara penanganannya

Previous

Next

1 Komentar untuk "Tentang virus lokal dan cara penanganannya"