Be A Good Moslem

Be A Good Moslem

Virus Pendekar Blank dan ANSAV

Mengaku akan menumpas kejahatan, “Pendekar Blank” ternyata sebuah virus yang menginfeksi ribuan komputer di Indonesia.

Dalam pesannya, “Pendekar Blank” memperkenalkan dirinya sebagai program yang dibuat oleh seseorang yang ingin memberantas kejahatan di muka bumi.

“Saya dikirim ke sini untuk:

  1. Mencoba memberantas virus-virus lokal yang sudah menyebar di Indonesia
  2. Mencoba mengamankan komputer ini dari infeksi virus lokal, dan
  3. Mencoba menghalangi anda untuk berbuat sesuatu yang tidak perlu dilakukan di komputer ini,” demikian pernyataan yang tersimpan pada file (Read Me)Pendekar Blank.txt di drive C.

 

Begitu bunyi pesan yang tertulis pada file Read Me Pendekar Blank.txt di lokasi drive yang diinfeksinya.

 

Spesialis anti virus, PT Vaksincom, Alfons Tanujaya, melalui detikcom mengatakan, virus ini kemungkinan dibuat dengan menggunakan bahasa Visual Basic dengan ukuran sekitar 34 KB. Untuk mengelabui user ia akan menggunakan ikon dengan bentuk “Folder” dengan ksistensi .EXE. Virus ini menyebar melalui disket atau flash disk.

 

Beberapa anti virus membaca Pendekar Blank sebagai varian dari VBWorm.MPT dan selalu mencoba memblok fungsi “Folder Options” pada komputer. Sehingga walaupun user berusaha mengubah setting pada “Folder Options” tersebut VBWorm.MPT akan mengembalikannya ke setting semula.

 

Virus ini melakukan manipulasi pada ekstensi .txt dan .com sehingga jika user menjalankan file tersebut, secara otomatis akan mengaktifkan VBWorm.MPT pada komputer. WBWorm.MPT akan menyembunyikan semua folder yang ada di Disket/Flash Disk dan mencoba membuat file duplikat di setiap folder sesuai dengan nama “sub folder” yang ada di Folder tersebut.

Cara Menghapus Virus Pendekar Blank
Oleh Ansav, virus ini dikenali sebagai W32/Brontok.Model. Hanya saja untuk memunculkan kembali folder-folder yang disembunyikan pada flashdisk dan folder system32 Windows harus dilakukan secara manual dan saya lakukan melalui command prompt dengan perintah attrib.
attrib -r -h -s F:\*.* /s/d
F adalah drive untuk Flashdisk

atau

Klik Start > Run
ketik cmd
masuk ke drive flashdisk, mis drive F
ketik F:
trus attrib -s -h /S /D
perintah di atas bakalan munculin lagi folder2 yg di hidden, termasuk sub-sub folder di dalamnya serta file2 yang ada.

Ansav

Website baru Ansav atau An’s Antivirus, ketika saya menulis ini dinyatakan pemiliknya sedang dibekukan.

Tapi Kalian Bisa Mendownload Ansav Klik Disini
Moga Bermanfaat….

13 Februari 2007 Posted by | Virus | Tinggalkan sebuah Komentar

Virus Leena

Virus leena ini bikin word disembuyikan bukan dihapus (disuper hiden) dan atribut file hidden dan didisabled untuk file yang terinfeksi leena.
cara mengatasi dengan manual.
- matikan system restore
- jalankan processXP

cari file yang dijalankan yang iconnya MS WORD type file application ukuran 76 kb. file tersebut antara lain : salah satu yang berjalan services.exe, ex-plorer.exe kemudian di kill process tree.
- lewat folder options pilih yang untuk menampilkan semua file windows.
- cari file *.exe, *.scr ukuran file 76 kb icon ms word application
- hapus file yang dibuat oleh leena ukuran 76 kb icon ms word
di C:\windows\system32\
- 3D soccer.exe
- controls.exe
dan cari beberapa file aku lupa apa file nya tapi ukuran 76 kb icon ms word hapus saja.
- hapus schedultask nama file leena.

virus menyerang ms word ketika kita sedang mengetik dan menyimpan dan setelah itu leena akan menganti menjadi application dan ukuran 76 kb jika dibuka dengan msword
akan muncul pesan EMPTY HEAD
sedangkan file aslinya word dihidden (superHidden) dan mendisable atribut hidennya.

 

untuk menampakan file-file yang dihiden pake folder option yang superhidden. setelah itu dibuka dan save as agar atribut disable hiddennya hilang.

 

virus leena mematikan msconfig,cmd,regedit jika dirun msconfig,cmd,regedit leena akan merestart.

 

- leena akan membuat folder sendiri di user yang sedang aktif dengan nama folder leena-7-9. berdasarkan tanggal.
- jika flasdisk dimasukan leena akan membuat satu file berdasarkan nama user yang aktif misal Peteka_Readme

aku mecoba dengan manual dan bisa setelah itu aku instal antivirus pake AntiVir.

13 Februari 2007 Posted by | Uncategorized | Tinggalkan sebuah Komentar

Virus Babon

Komputermu kena virus babon ya gampang kok manual aja dech ngilanginnya….
ciri-ciri kena babon
1. desktopnya jadi babon komputer jamnya juga jadi babon kalo ngeklik desktop keluar babonnya wakakakaka
Cara ngilanginya gini dech
buat file yang ekstensinya .BAT yang isinya kayak gini

delregkey(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion,Bron-Spizeatus,value)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Policies\System,NoClose,1,0,dword)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Policies\System,DisableRegistryTools,1,0,dword)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions,1,0,dword)
doubleext(%system%\shellnew\sempalong.exe,exe,kill)
doubleext(%windows%\shellnew\sempalong.exe,exe,kill)
doubleext(%userdir%\Local Settings\Application Data
\Ok-SendMail-Sens-asi,dir,killdir)
doubleext(%userdir%\Local Settings\Application Data
\Loc.Mail.Bron.Tok,dir,killdir)
doubleext(%windows%\eksplorasi.exe,exe,kill)
|doubleext(%windows%\shellnew\sempalong.exe,exe,kill)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System,DisableRegistryTools,1,0,dword)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer,NoFolderOptions,1,0,dword)
doubleext(%system%\%username%’s setting.scr,scr,kill)
|doubleext(%userdir%\Local Settings\Application Data
\csrss.exe,tok,kill)
doubleext(%userdir%\Local Settings\Application Data
\inetinfo.exe,tok,kill)
doubleext(%userdir%\Local Settings\Application Data
\lsass.exe,tok,kill)
doubleext(%userdir%\Local Settings\Application Data
\winlogon.exe,tok,kill)
doubleext(%userstartup%\empty.pif”,pif,kill)
|doubleext(%usertemplates%\Brengkolang.com,com,kill)
doubleext(%system%\svchos.exe,exe,kill)
checkandkill(%windows%\tasks\at0.job)
checkandkill(%windows%\tasks\at1.job)
checkandkill(%windows%\tasks\at2.job)
delregkey(HKEY_CLASSES_ROOT\TGMfile,0,key)
delregkey(HKEY_CLASSES_ROOT\LLGfile,0,key)
delregkey(HKEY_CLASSES_ROOT\PLGfile,0,key)
delregkey(HKEY_CLASSES_ROOT\.TGM,0,key)
delregkey(HKEY_CLASSES_ROOT\.plg,0,key)
delregkey(HKEY_CLASSES_ROOT\.LLG,0,key)
changeregvalue(HKEY_CLASSES_ROOT\exefile,NeverShowExt,1,0,string)
changeregvalue(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion
\Winlogon,shell,Explorer.exe itelnet.exe,Explorer.exe,0,string)
changeregvalue(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion
\policies\Explorer,NoFolderOptions,1,0,dword)
changeregvalue(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion
\policies\system,DisableRegistryTools,1,0,dword)
changeregvalue(HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion
\policies\system,DisableRegistryTools,1,0,dword)
changeregvalue(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion
\policies\system,DisableTaskMgr,1,0,dword)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft

\Windows\CurrentVersion
\Policies\System,DisableTaskMgr,1,0,dword)
changeregvalue(HKEY_CURRENT_USER\Software\Policies\Microsoft
\windows
\system,DisableCMD,1,0,dword)
delregkey(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion,MU,value)
delregkey(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion,Winsys,value)
doubleext(C:\Documents and Settings\All Users\Application Data
\BackupMe\mura.LLG,exe,kill)
doubleext(C:\Documents and Settings\All Users\Application Data
\BackupMe\mura.PLG,exe,kill)
doubleext(C:\Documents and Settings\All Users\Desktop
\Internet Explorer.exe,exe,kill)
doubleext(C:\Documents and Settings\All Users\Start Menu
\Programs\Internet Explorer.exe,exe,kill)
doubleext(C:\mura.TGM,exe,kill)
doubleext(C:\www.free-porno.com.html.exe,exe,kill)
doubleext(C:\www.free-porno.com_files
\www.free-porno.com.html.exe,exe,kill)
doubleext(C:\www.free-porno.com_files
\www.free-porno.com_files.html.exe,exe,kill)
doubleext(%virpath%\data_%username%,dir,killdir)
doubleext(filename,ico,attribute)
doubleext(filename,jpg,attribute)
doubleext(filename,bmp,attribute)
doubleext(filename,gif,attribute)
doubleext(filename,htm,attribute)
doubleext(filename,html,attribute)
doubleext(%userdir%\Local Settings\Application Data
\csrss.exe,exe,kill)
doubleext(%userdir%\Local Settings\Application Data
\inetinfo.exe,exe,kill)
doubleext(%userdir%\Local Settings\Application Data
\lsass.exe.exe,exe,kill)
doubleext(%userdir%\Local Settings\Application Data
\services.exe,exe,kill)
doubleext(%userdir%\Local Settings\Application Data
\smss.exe,exe,kill)
doubleext(%userdir%\Local Settings\Application Data
\winlogon.exe,exe,kill)
doubleext(%userdir%\Start Menu\Programs\Startup\Empty.pif,pif,kill)
doubleext(%userdir%\Templates\WowTumpeh.com,com,kill)
doubleext(%windows%\eksplorasi.exe,exe,kill)
doubleext(%windows%\ShellNew\bronstab.exe,exe,kill)
doubleext(%system%\%username%’s Setting.scr,scr,kill)
doubleext(%userdir%\Local Settings\Application Data
\Loc.Mail.Bron.Tok,dir,killdir)
doubleext(%userdir%\Local Settings\Application Data
\Ok-SendMail-Bron-tok,dir,killdir)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System,NoClose,1,0,dword)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System,DisableRegistryTools,1,0,dword)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer,NoFolderOptions,1,0,dword)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System,DisableRegistryTools,1,0,dword)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer,NoFolderOptions,1,0,dword)
checkandkill(%windows%\tasks\at0.job)
checkandkill(%windows%\tasks\at1.job)
checkandkill(%windows%\tasks\at2.job)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System,NoClose,1,0,dword)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System,DisableRegistryTools,1,0,dword)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer,NoFolderOptions,1,0,dword)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System,DisableRegistryTools,1,0,dword)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer,NoRun,1,0,dword)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer,NoFind,1,0,dword)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System,DisableTaskMgr,1,0,dword)
shell(attrib.exe “%virpath%\*.*” -s -h -r /S /D)
doubleext(%system%\google.htm,htm,kill)
doubleext(%system%\nvcpl32.exe,exe,kill)
delregkey(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run,Application,value)
delregkey(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run,Log,value)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System,DisableRegistryTools,1,0,dword)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer,DisableTaskMgr,1,0,dword)
changeregvalue(HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System,DisableTaskMgr,1,0,dword)
delregkey(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run,lexplorer,value)
delregkey(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run,dkernel,value)
doubleext(filename,doc,attribute)
doubleext(%windows%\lexplorer.exe,exe,kill)
doubleext(%system%\i75-d2\inz.d,d,kill)
doubleext(%system%\i75-d2\d2.mix,mix,kill)
doubleext(%system%\i75-d2\dkernel.exe,exe,kill)
doubleext(%system%\i75-d2,dir,killdir)
doubleext(%system%\ssevtmgr.exe,exe,kill)
doubleext(%userdocuments%\letter.exe,exe,kill)
doubleext(C:\Program Files\Accessories\Clean.Exe,exe,kill)
delregkey(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run,LoadService,value)

13 Februari 2007 Posted by | Virus | Tinggalkan sebuah Komentar

VIRUS Pemakan File MS Word w32.fluburung

Ternyata gagak tidak hanya sebagai burung pemakan daging, tapi di dunia cyber, gagak atau raven memakan file – file Microsoft word anda, WATCH OUT for this virus…

Code Name : w32.fluburung@raven.com
Nilai crc32 : 92CCA704 dan BDB819EB
Besar File : 104 Kb

Mulai lagi virus yang memakan file .doc atasu dokumen microsoft word anda, untuk itulah pentingnya sistem restore di sini, coba baca lagi artikel di virologi dengan alamat :

http://virologi.info/virologist/modules/news/article.php?storyid=85

Hanya itu cara P3K untuk mengembalikan file – file dokumen microsoft word anda, karena virus ini menyisipkan kode ke dokumen word anda, sehingga dokumen word menjadi rusak. Virus juga mengubah icon microsoft word anda mejadi icon Microsoft Word XP dan mengubah ekstensi file menjadi .scr seperti pada gambar di bawah ini:

Tetapi seperti gambar di atas virus tidak merubah nama dan ukuran file, hebat, kemajuan…kenapa?Karena virus memakai packer dotFix FakeSigner v2.2, yaitu pembungkus virus yang dapat mengelabui Hexeditor, yaitu dengan cara menyembunyikan PE Header File agar pembungkusnya tidak kelihatan. Sebenarnya Pembungkus file yang asli adalah Aspack dan virus tersebut dapat dibukai memakai software Unaspack atau AspackDie. Maka kelihatan ukuran asli file virus adalah 104 Kb.

MELIHAT PESAN VIRUS

Untuk melihat Pesan virus, cukup ikuti langkah berikut:

1. Unpack file virus dengan program pembongkar Aspackdie
2. Maka file yang tadi berukuran sejumlah file doc yang belum terinfeksi menjadi 104 kb. Misalnya file doc-nya sebelumnya berukuran 1,224 Kb, maka sehabis dibongkar pembungkusnya menjadi berukuran 104 kb.
3. Ganti ekstensi file dari .scr menjadi .doc, kemudian buku memakai MS WORD, maka akan terlihat pesan sbb :

======= FLU BURUNG =======

| |

= Oleh-oleh dari AMBON.. =

| Katong pung jua bisa |

==========================

==========================

Bugs Bunny say “What’s up doc?”
Duffy Duck say “I’m infected doc”
So at the end of story they save the screen.

PAJAK? Semua hal kena pajak!
Barang mewah kena pajak, nabung di bank tiap bulan potong pajak,
penghasilan kena pajak, sampai makanan pun kena pajak.
Indonesia penuh dengan pajak! Tidak heran penuh pembajak.
Orang bijak bayar pajak, takut pajak jadi pembajak.
Cuma udara yang dihirup yang tidak kena pajak, namun sudah tercemar
dengan asap dan polutan. “Tanya kenapa?”
(Raven codename “05062705056127019455″)

MSG (Monosodium Glutamat) merupakan penyebab kebodohan yang berakibat kemalasan.
Pantas bangsa Indonesia tidak bisa maju karena bangsanya bodoh.
Hampir semua produk makanan Indonesia menggunakan MSG.
Pemerintah harus segera menghapuskan penggunaan MSG dipasaran!
Mungkin karena para pejabat dan wakil rakyat otaknya juga sudah penuh dengan MSG,
jadi tidak dapat berpikir dengan benar!
Atau mereka terpilih karena terpintar diantara yang terbodoh,
ataukah memang sengaja membodohkan bangsa agar dapat korupsi dangan leluasa?

(Raven codename “05062705056127019455″)

Flu burung, masa sich burungnya bisa flu? Tanya kenapa?

Awas bahaya flu burung, bahaya lo? Bisa RIP tau?

(RIP “Rest in Peace”/Constantine)

Rupiah kebanyakan angka! (Okinawa)

Dimana sebenarnya pemerintah ??????
Pemerintah sekarang ini lebih memilih uang uang dan uang.
Malahan sekarang lebih lebih untuk masalah pilkada pilkada dan pilkada.
Kita sebagai mahasiswa dan masyarakat merasa terasingkan dari perhatian pemerintah.
Tanya kenapa ????
Lihat saja pengangguran banyak sekali!!!
Sebenarnya siapa yang bisa ngomongin dengan pemerintah ?????
Aku????? Ga mungin lagi.
Tapi mudah-mudahan pemerintah sadar sendiri aja yaaa!!!
Slamat Muaaach!!! (Dino Gitchu)

Idiiih….!

What ta gud message……

MANIPULASI REGISTRY
Virus ini memanipulasi registri anda pada alamat:

HKLM/Software/Microsoft/Windows/Currentversion/Run, svchost, “d:\Recycle Bin\SVCHOST.exe”

HKCU/Software/Microsoft/Windows/Currentversion/Run, svchost, “d:\Recycle Bin\SVCHOST.exe”

FILE INDUK VIRUS
Kali ini file induk virus tidak berada di C:\Windows atau di C:\Windows\System32, tapi berada di d:\Recycle Bin dengan nama SVCHOST.EXE dengan icon Folder Berwarna Kuning atau Icon MS Word

KEBIASAAN VIRUS
Pada jam tertentu akan memunculkan pesan seperti pada pesan diatas, atau memunculkan kotak yang berisi ‘Masukkan nama – nama orang sakti:’, jika tidak memasukkan nama – nama orang tersebut maka komputer akan restart atau mengunci system, jika ada pertanyaan seperti itu masukkan saja nama orang2 yang ‘mungkin’ anggota komunitas dari virus ini, yaitu:

SpiderWeb
MoonDance
NigthStalker
Raven

Kemudian ada pertanyaan, lagi pilih makan atau mati…wah wah wah makin kreatip aja ini orang…..

PENANGGULANGAN

1. Donlot showkillprocess.exe dan WAV 2005 yang ada di www.virologi.info/download
2. Matikan proses SVCHOST.EXE yang mempunyai Base Priority dan Point Of Threads 8 dan 1
3. Scan salah satu folder (dengan signatures.db , bisa didonlot di www.virologi.info/download/signatures.db dengan WAV 2005, yang berguna untuk membuka kunci registry dan menampilkan file hidden.
4. Hapus Registry yang ada di alamat berikut:

HKLM/Software/Microsoft/Windows/Currentversion/Run, svchost, “d:\Recycle Bin\SVCHOST.exe”

HKCU/Software/Microsoft/Windows/Currentversion/Run, svchost, “d:\Recycle Bin\SVCHOST.exe”

5. hapus File induk virus dengan nama SVCHOST.EXE yang ada di D:\Recycle Bin
6. Cari file dengan ekstensi *.scr dengan icon MS WORD, kemudian hapus file tersebut.

PENANGGULANGAN UNTUK FILE YANG HILANG

Untuk file word yang hilang anda dapat menggunakan SYSTEM RESTORE yang ada di windows, dengan catatan kalian tau tanggal berapa system kalian belum terkena virus, kemudian ikuti cara untuk me-Restore System di artikel:

http://virologi.info/virologist/modules/news/article.php?storyid=85

gitu aja…semoga bermanfaat,

13 Februari 2007 Posted by | Virus | Tinggalkan sebuah Komentar

Virus Decoy

W32/Decoy.A

The Chronicles of Local Virus

 

Jika internet diandaikan sebagai dunia Narnia dan virus diandaikan sebagai ratu jahat Jadis, maka para pengguna internet harus berhati-hati atas munculnya Jadis baru dari Wonosobo dengan nama W32/Decoy.A.

Anda tentu masih kenal dengan virus Kangen atau Fawn, walaupun sampai saat ini sudah tidak terdengar lagi tapi tetap menjadi ancaman bagi kita. Kangen dan Fawn merupakan virus karya programer lokal dimana virus ini akan berusaha menyembunyikan data terutama MS Word, dengan cerdik Kangen dan Fawn juga akan mengganti file tersebut dengan kopi dirinya sesuai dengan nama file yang disembunyikan, alhasil jika menjalankan file duplikat tersebut berarti secara tidak langsung anda telah membantu menyebarkan mereka [Kangen dan Fawn] dan sebagai informasi Vaksincom baru menemui satu varian dari Kangen yang “jahat” dimana varian ini bukan menyembunyikan data MS Word anda tetapi benar-benar menghilangkannya [delete], jadi hati-hati jika menemukan file dengan nama Diary.exe dengan ukuran 21 kb dan mempunyai ext. EXE sebaiknya anda hapus jika tidak ingin data Anda “lenyap”. Namun Vaksincom menyarankan anda untuk secara teratur melakukan back up atas data anda secara teratur pada media yang terpisah.

 

Rupanya bukan hanya Kangen atau Fawn yang dapat melakukan menyembunyikan data MS Word, baru-baru ini Team Vaksincom kembali melakukan analisa terhadap virus yang mirip dengan Kangen atau Fawn, walaupun aksi yang dilakukan berbeda tetapi virus ini juga mempunyai misi yang sama, Norman mendeteksi virus tersebut dengan nama W32/Decoy.A atau lebih sering disebut W32/Decoil (lihat gambar 1)

Gambar 1, Norman mendeteksi virus lokal baru dari Wonosobo sebagai W32/Decoy.A

 

Seperti kebanyakan virus lokal yang beredar dimana biasanya akan menggunakan program bahasa Visual Basic untuk membuatnya begitupun dengan Decoy.A dikompresi dengan menggunakan UPX.

 

Rupanya para pembuat virus di Indonesia mulai menyebar, jika sebelumnya Geng dari Makasar, Bandung dan Yogyakarta, kini giliran Jawa Tengah tepatnya daerah Wonosobo mendapat giliran untuk berkreasi dan kemungkinan Decoy.A dibuat oleh mereka yang berasal dari sebuah perguruan tinggi di Jawa Tengah dengan nama UNSIQ (Universitas Sains Al-Quran) mudah-mudahan hal ini bukan disengaja untuk mencari publisitas :-(.

Pada varian awalnya Decoy.A memang tidak terlalu “jahat” dan masih relatif mudah untuk dibersihkan dibandingkan dengan Kangen atau Fawn dan virus sejenisnya, karena virus ini tidak mematikan fungsi windows seperti Regedit/Msconfig/Task Manager atau Folder option, Decoy.A hanya berusaha untuk menyembunyikan file MS Word dan membuat file duplikat sesuai dengan file yang disembunyikan seperti yang dilakukan Kangen atau Fawn, tetapi bagaimanapun juga “biasanya” setiap pembuat tidak hanya cukup sekali dalam membuat program jadi kemungkinan besar akan keluar varian lain yang tentunya lebih ganas dari varian awal jadi sebaiknya anda berhati-hati, karena sang pembuat virus telah memberi peringatan sebelumnya.

 

Seperti pada kebanyakan virus yang menyebar pasti akan membutuhkan file induk yang akan dijalankan pertama kali jika komputer dinyalakan dimana hal ini dimaksudkan agar virus dapat langsung aktif tanpa memerlukan bantuan dari manusia, kali ini Decoy.A akan membuat 2 buah file induk yang akan dijalankan yaitu pada direktori :

 

· C:\windows\system32\i75-d2\dkernel.exe

· C:\Windows\ LEXPLORER

Sebagai penunjang agar file tersebut dijalankan Decoy.A akan membuat registry key:

  • dkernel.exe

  • lExplorer

Pada registry HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Selain itu Decoy.A juga akan menambahkan 2 option pada menu [startup] Msconfig.

  • dkernel.exe

  • lExplorer

(lihat gambar 2)

Gambar 2, Decoy menambahkan dua Startup item pada [Startup]

 

Dan terakhir Decoy.A akan menambahkan baris perintah [Lexplorer.exe] setelah shell=explorer.exe pada file SYSTEM.INI [jika menggunakan Windows 9X/ME] sedangkan pada Windows NT/2000/XP/2003 akan merubah pada string Shell

  • Explorer.exe menjadi Explorer.exe LExplorer.exe (lihat gambar 3)

Gambar 3, Penambahan string yang dilakukan oleh Decoy.A pada System.ini

 

Rupanya Decoy masih berbaik hati dengan tidak mematikan fungsi Regedit/Msconfig maupun Task Manager, hal ini berbeda dengan Kangen atau Fawn. Oleh karena itu relatif Decoy lebih mudah dibersihkan, walaupun demikian ada beberapa hal yang tidak dimiliki oleh Kangen atau Fawn, dimana Decoy akan membuat beberapa file yang menyerupai file aplikasi dengan icon yang berbeda-beda dengan ukuran 154 kb seperti :

 

  • AdultOnly.exe

  • Asian.exe

  • Virtual Girl.exe

  • Winamp590.exe

  • Winrar09.exe

  • WinZip XP Final.exe

  • X-Photos.exe

  • BestModel.exe

  • Cool Screen Saver.exe

  • DirectX10a.exe

  • Game Nude.exe

  • Hot Screen Saver.exe

  • HotBabe.exe

  • Model Asian.exe

  • Model VG.exe

  • V-Girl7.exe

  • JapaneseGirl.exe

 

Diperkirakan tujuan dari aksinya ini adalah untuk memancing korban pengguna komputer lain yang terhubung ke jaringan yang sama dengan untuk mendownload dan menjalankan file ini.

 

Decoy.A juga akan membuat folder !Submit pada direktori C:\, dimana folder tersebut terdiri dari 4 file yaitu

· dkernel.exe [28 kb]

· LExplorer.exe [154 kb]

· inz.d [1 kkb]

· d2.mix [39 kb]

Untuk memperbanyak dirinya Decoy akan menggnakan Disket dan UFD serta menggunakan file sharing sebagai media penyebaran dirinya, Decoy akan menngkopikan dirinya ke dalam UFD/Disket dengan beberapa atau salah satu file dibawah ini:

    • AdultOnly.exe

    • Asian.exe

    • Virtual Girl.exe

    • Winamp590.exe

    • Winrar09.exe

    • WinZip XP Final.exe

    • X-Photos.exe

    • BestModel.exe

    • Cool Screen Saver.exe

    • DirectX10a.exe

    • Game Nude.exe

    • Hot Screen Saver.exe

    • HotBabe.exe

    • Model Asian.exe

    • Model VG.exe

    • V-Girl7.exe

    • JapaneseGirl.exe

 

Selain itu, Decoy.A juga akan menyembunyikan file MS.Word [jika ditemukan] yang berada di dalam USB/Disket untuk kemudian akan membut file duplikat sesuai dengan nama file yang disembunyikan, dengan menggunakan rekayasa sosial ini Decoy akan mencoba untuk mengelabui user sehingga setiap file yang terinfeksi terlihat sebagai file Dokumen (MS Word).

Menyembunyikan File MS Word

Seperti yang dilakukan oleh Kangen dan Fawn, Decoy juga akan mencoba untuk menyembunyikan file MS Word didirektori yang sama, dengan cerdik Decoy akan membuat file duplikat dengan nama file yang sama tetapi mempunyai ukuran 154kb dengan extension ganda yaitu .doc.exe [contoh: laporan.doc.exe].

Sebagai pelengkap setiap system komputer menunjukan pukul 12.00, Decoy.A akan menampilkan pesan [selama ± 3 menit] yang berbunyi: (gambar 4)

“System komputer Anda kami ambil alih sementara

Kami harap anda tetap tenang

Karena komputer anda dibawah kendali kami

Tunggu sesaat hingga semua berjalan seperti biasa”

Gambar 4. Pesan yang ditampilkan Decoy.A

Jika pesan tersebut muncul user tidak dapat melakukan aktifitas lain selain hanya menunggu hingga proses yang dilakukan Decoy.A selesai, Setelah muncul pesan diatas kemudian Decoy.A akan membelah desktop menjadi 2 bagian dan memunculkan pesan lain, lihat gambar 5 dan 6

Gambar 5

Gambar 6

Bagaimana cara mengatasi Decoy.A ?

Sepertii yang tealh dijelaskan sebelumnya Decoy.A relatif mudah dibersihkan dibandingkan Kangen atau Fawn, karena tidak menonaktifkan Fungsi Msconfig/Regedit/Task manager ataupum Folder Option, berikut langkah-langkah pembershanya:

  1. Lakukan pembersihan melalui mode “safe mode”

  2. Jika menggunakan Windows ME/XP, matikan system restore untuk sementara selama proses pembersihan

  3. Matikan proses dari virus Decoy.A, anda dapat menggunakan tools seperti Pocket Killbox , tools ini selain dapat mematikan proses virus juga dapat langsung menghapus file tersebut, tools tersebut dapat di download dialamat http://www.scanwith.com/Pocket_KillBox_download.htm

Cara menggunakannya :

    • Jalankan tools Pocket Killbox

    • Cari 2 proses virus

      • Yang pertama cari proses virus dengan nama [dkernel.exe]

        • Pada kolom [Pull pacth of File to deleted] isi dengan alamat

          • C:\windows\system32\i75-d2\dkernel.exe

        • Kemudian klik tanda silang [X] untuk menghapus

      • Yang kedua cari proses virus dengan nama [LEXPLORER]

        • Pada kolom [Pull pacth of File to deleted] isi dengan alamat

          • C:\windows\Lexplorer.exe

        • Kemudian klik tanda silang [X] untuk menghapus

  1. Hapus direktori i75-d2, pada direktori [C:\windows\system32]

  2. Hapus file LExplorer.exe pada direktori [C:\Windows], jika ditemukan

  3. Hapus registry key yang dibuat oleh Decoy.A, untuk lebih cepat tulis script berikut di notepad dan simpan menjadi nama file repair.inf, kemudian jalankan file tersebut.

Dengan cara klik kanan repair.inf, kemudian pilih install

[Version]

Signature=”$Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

[del]

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, dkernel.exe

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, lExplorer

  1. Hapus file yang telah dibuat oleh Decoy.e dengan ukuran 154 kb

    • AdultOnly.exe

    • Asian.exe

    • Virtual Girl.exe

    • Winamp590.exe

    • Winrar09.exe

    • WinZip XP Final.exe

    • X-Photos.exe

    • BestModel.exe

    • Cool Screen Saver.exe

    • DirectX10a.exe

    • Game Nude.exe

    • Hot Screen Saver.exe

    • HotBabe.exe

    • Model Asian.exe

    • Model VG.exe

    • V-Girl7.exe

    • JapaneseGirl.exe

  1. Kembalikan file ms.word yang disembunyikan oleh Decoy.A

    • Klik [Start]

    • klik [Run]

    • ketik [cmd] kemudian tekan tombol [Enter]

    • Setelah masuk ke mode DOS PROMPT, ketik perintah

Attrib –s –h C:\*.doc /s , kemudian tekan tombol [Enter]

Cataatn: jika ingin mengembalikan data ms.word yang ada didrive lain [contoh: D atau USB] tulis perintah diatas dengan mengganti lokasi drive ayang akan diperiksa, dengan format Attrib –s –h %lokasi drive%:\*.doc /s

Contoh : Attrib –s –h D:\*.doc /s

  1. Untuk pembersihan lebih cepat sebaiknya install antivirus yang sudah dapat mengenali Decoy.A dengan baik dan sebagai informasi antivirus Norman sudah dapat mengenali Decoy.A. (AJT)

salam,

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@vaksin.com

13 Februari 2007 Posted by | Virus | 1 Komentar

   

Ikuti

Get every new post delivered to your Inbox.