Modul
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Modul as PDF for free.
More details
- Words: 1,100
- Pages: 7
BAGOES ADHY
VIRUS Coolface the MP3 Slayer Kalau Amerika punya Buffy the Vampire Slayer, maka Indonesia punya Coolface the MP3 Slayer. Kalau Buffy membasmi vampir, maka varian Coolface membasmi file MP3. Kalau Buffy di musuhi oleh kaum vampir maka Coolface dimusuhi oleh manusia. Uniknya walaupun Coolface dimusuhi oleh manusia, kaum vampirpun (kalau ada) juga akan napsu sama Coolface (memusuhi), khususnya vampir yang punya banyak koleksi MP3 di komputernya dan baru terinfeksi virus Coolface. Bagi anda yang senang dengan musik khususnya untuk file dengan format MP3, sebaiknya mulai berhati-hati karena saat ini sedang muncul program pelacak MP3 yang akan menyita file MP3 anda tanpa pandang bulu dalam arti ia tidak akan memperdulikan apakah MP3 anda original ataupun bajakan, yang pasti semua MP3 akan di hapus dan digantikan dengan duplikat dirinya, agar user tidak curiga ia akan tetap menggunakan icon Windows Media Player. File ini dibuat dengan bahasa C++ dan merupakan turunan dari Mr.Coolface dengan ukuran file sebesar 64 KB. File tersebut mempunyai ekstensi Exe (application) dengan menggunakan icon Windows Media Player. Secara sepintas kita tidak akan tahu bahwa komputer telah terinfeksi virus ini karena ia tidak akan banyak melakukan blok terhadap fungsi Windows / tools security akan tetapi akan mebawa dampak yang cukup merepotkan karena semua file dengan format MP3, .INF dan VBS akan dihapus. Dengan update terbaru (01/07/2008), Norman Virus Control telah mendeteksi virus ini sebagai W32/Smallworm.BZH. MP3 slayer juga akan memalsukan iconnya sebagai file Windows Media Player. Pada saat virus tersebut menginfeksi komputer, ia akan membuat beberapa file induk yang akan dijalankan pertama kali pada saat komputer dinyalakan dan kali ini ia akan
MODUL_Q
1
BAGOES ADHY
membuat dirinya sebagai sebuah service C:\Windows\svchost.exe Agar file tersebut dapat aktif setiap kali komputer dihidupkan, ia akan membuat dirinya sebagai sebuah service dengan nama "Shell Software Detection" dimana service ini akan secara otomatis menjalankan file C:\Windows\svchost.exe. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Mr_CoolFace DisplayName = Shell Software Detection ImagePath = C:\Windows\svchost.exe ErrorControl = 0 (Reg_Dword) ObjectName = Localsystem Start = 2 (Reg_Dword) Type = 0x00000110 (110) ïf Reg_Dword HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mr_CoolFace DisplayName = Shell Software Detection ImagePath = C:\Windows\svchost.exe ErrorControl = 0 (Reg_Dword) ObjectName = Localsystem Start = 2 (Reg_Dword) Type = 0x00000110 (110) ïf Reg_Dword Walaupun virus ini tidak melakukan blok terhadap fungsi Windows seperti task manager / regedit / folder options dll, tetapi ia akan mencoba untuk blok akses "services.msc". (lihat gambar 3) Tentunya aksi yang agak berbeda ini bertujuan untuk mengelabui korbannya agar sulit menemukan dan membersihkan komputer yang terinfeksi oleh virus ini. Hapus file .MP3/.INF/.VBS Sasaran utama dari virus ini adalah file yang mempunyai format MP3 / .INF / .VBS
MODUL_Q
2
BAGOES ADHY
dimana ia akan mencoba untuk menghapus file tersebut dan sebagai gantinya ia akan membuat file duplikat sesuai dengan file yang dihapus dengan ciri-ciri: Menggunakan icon "Windows Media Player" Ukuran 64 KB Ekstensi EXE Type File "Application" Media penyabaran Untuk menyebarkan dirinya ia akan menggunakan Media Flash Disk dengan menghapus file yang mempunyai ekstensi MP3 / INF dan VBS serta membuat file duplikat sesuai dengan nama file yang disembunyikan. File duplikat tersebut mempunyai ciri-ciri seperti yang telah disebutkan di atas. Cara mengatasi Smallrorm.BZH Putuskan hubungan komputer yang akan dibersihkan dari jaringan Matikan "System Restore" selama proses pembersihan Matikan proses virus yang aktif dimemori. Untuk mematikan proses virus tersebut Anda dapat menggunakan tools "Process Explorer" (lihat gambar 4). Silahkan download di www.sysinternals.com Hapus string registry yang dibuat oleh virus. Untuk mempermudah proses penghapusan, silahkan salin script dibawah ini pada rogram notepad, kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: Klik kanan repair.inf Klik install [Version] Signature="$Chicago$" Provider=Vaksincom Oyee
[DefaultInstall] AddReg=UnhookRegKey
MODUL_Q
3
BAGOES ADHY
DelReg=del [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1"" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe" HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe" [del] HKLM, SYSTEM\ControlSet001\Services\Mr_CoolFace HKLM, SYSTEM\ControlSet002\Services\Mr_CoolFace HKLM, SYSTEM\CurrentControlSet\Services\Mr_CoolFace Hapus file induk dan file virus yang dibuat oleh virus. Untuk mempermudah proses penghapusan, silahkan gunakan "Search Windows". Untuk pembersihan optimal dan mencegah infeksi ulang, lindungi komputer dan jaringan anda dengan antivirus yang mampu mendeteksi dan membasmi virus ini dengan baik.
CARA ENABLE TASK MANAGER Beberapa virus lokal Indonesia sering kali men-disable task manager pada windows, hal ini menyebabkan kita sulit untuk melakukan pengecekan akan proses yang
MODUL_Q
4
BAGOES ADHY
mencurigakan yang berjalan di komputer kita. Berikut adalah entry registry yang dapat men-enable task manager: REG
add
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
/v
DisableTaskMgr /t REG_DWORD /d 0 /f Jalankan dari start - run di windows, ada baiknya langsung copy paste saja biar tidak terjadi kesalahan :). Disablenya karena apa. Kalau karena virus, virusnya harus DIHAPUS DULU, SELANJUTNYA LAKUKAN LANGKAH INI: 1. klik start 2. klik run 3. ketikan gpedit.msc dalam Open box dan klik OK akan keluar kotak group policy 4. pilih User Configuration > Administrative Templates > System 5. Pilih Ctrl+Alt+Delete options 6. double-klik Remove Task Manager option keluar kan pilihannya :) trus pilih enable dan selanjutnya save/yes/ok CARA ENABLE REGEDIT Jalankan command prompt (start -> run -> cmd). Ketikkan: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies \System /v DisableRegistryTools Ketika muncul konfirmasi, isikan: y Jalankan regedit (start -> run -> regedit)
Gw suka pusing kalo nemuin komputer yang ada keterangan kayak gambar yg gw sertakan dalam blog gw ini. Soalnya kalau gw mau akses ke registry Windows jadi ngga
MODUL_Q
5
BAGOES ADHY
bisa. Akhirnya dengan terpaksa gw buat script vbs dengan WSH (Windows Scripting Host), untuk bisa menggunakan dan mengedit registry Windows. Dengan demikian gw bisa lagi mengakses tools Regedit, dan ngoprek registry Windows. List source vbs sebagai berikut : ‘SetRegedit by php412 @2006 ‘For all Windows Value = 1 ( Enable ) ‘Value = 0 ( Disable) Set Php = CreateObject(”WScript.Shell”) Php.RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\”&_ “Policies\System\DisableRegistryTools”, Value, “REG_DWORD” InfoPhp = WScript.CreateObject(”WScript.Shell”).RegRead(”HKCU\”&_ “Software\Microsoft\Windows\CurrentVersion\”&_ “Policies\System\DisableRegistryTools”) MsgBox (”OPEN REGEDIT TOOLS!” &_ ” DisableRegistryTools=REG_DWORD:” & InfoPhp) Anda pernah berpikir untuk mendisable regedit ? Hal ini sangat berguna untuk mencegah orang lain mengubah setting registry komputer anda !!! Untuk melakukan itu Anda dapat mengubah seting registry seperti yang tercantum pada tabel di bawah.Key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\System Value Name DisableRegistryTools Data Type Data
REG_DWORD (DWORD Value)
(0 = enable regedit, 1 = disable regedit)
MODUL_Q
6
BAGOES ADHY
Jika Anda mengubah setting dengan benar maka saat program regedit dipanggil akan muncul pesan kesalahan seperti gambar di bawah ini: Pasti anda bertanya, bagaimana cara mengembalikannya seperti semula? Caranya gampang, ikuti langkah-langkah di bawah ini : Dengan menggunakan Notepad, buatlah sebuah file baru. Ketikkan isi seperti di bawah ini: REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Syste m] "DisableRegistryTools"=dword:00000000 Simpan
dengan
sembarang
nama
file,
tapi
dengan
ekstensi
reg,
misalnya
enable_regedit.reg. Setelah itu klik 2x file tersebut untuk meng-enable registry editor.
MODUL_Q
7
VIRUS Coolface the MP3 Slayer Kalau Amerika punya Buffy the Vampire Slayer, maka Indonesia punya Coolface the MP3 Slayer. Kalau Buffy membasmi vampir, maka varian Coolface membasmi file MP3. Kalau Buffy di musuhi oleh kaum vampir maka Coolface dimusuhi oleh manusia. Uniknya walaupun Coolface dimusuhi oleh manusia, kaum vampirpun (kalau ada) juga akan napsu sama Coolface (memusuhi), khususnya vampir yang punya banyak koleksi MP3 di komputernya dan baru terinfeksi virus Coolface. Bagi anda yang senang dengan musik khususnya untuk file dengan format MP3, sebaiknya mulai berhati-hati karena saat ini sedang muncul program pelacak MP3 yang akan menyita file MP3 anda tanpa pandang bulu dalam arti ia tidak akan memperdulikan apakah MP3 anda original ataupun bajakan, yang pasti semua MP3 akan di hapus dan digantikan dengan duplikat dirinya, agar user tidak curiga ia akan tetap menggunakan icon Windows Media Player. File ini dibuat dengan bahasa C++ dan merupakan turunan dari Mr.Coolface dengan ukuran file sebesar 64 KB. File tersebut mempunyai ekstensi Exe (application) dengan menggunakan icon Windows Media Player. Secara sepintas kita tidak akan tahu bahwa komputer telah terinfeksi virus ini karena ia tidak akan banyak melakukan blok terhadap fungsi Windows / tools security akan tetapi akan mebawa dampak yang cukup merepotkan karena semua file dengan format MP3, .INF dan VBS akan dihapus. Dengan update terbaru (01/07/2008), Norman Virus Control telah mendeteksi virus ini sebagai W32/Smallworm.BZH. MP3 slayer juga akan memalsukan iconnya sebagai file Windows Media Player. Pada saat virus tersebut menginfeksi komputer, ia akan membuat beberapa file induk yang akan dijalankan pertama kali pada saat komputer dinyalakan dan kali ini ia akan
MODUL_Q
1
BAGOES ADHY
membuat dirinya sebagai sebuah service C:\Windows\svchost.exe Agar file tersebut dapat aktif setiap kali komputer dihidupkan, ia akan membuat dirinya sebagai sebuah service dengan nama "Shell Software Detection" dimana service ini akan secara otomatis menjalankan file C:\Windows\svchost.exe. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Mr_CoolFace DisplayName = Shell Software Detection ImagePath = C:\Windows\svchost.exe ErrorControl = 0 (Reg_Dword) ObjectName = Localsystem Start = 2 (Reg_Dword) Type = 0x00000110 (110) ïf Reg_Dword HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mr_CoolFace DisplayName = Shell Software Detection ImagePath = C:\Windows\svchost.exe ErrorControl = 0 (Reg_Dword) ObjectName = Localsystem Start = 2 (Reg_Dword) Type = 0x00000110 (110) ïf Reg_Dword Walaupun virus ini tidak melakukan blok terhadap fungsi Windows seperti task manager / regedit / folder options dll, tetapi ia akan mencoba untuk blok akses "services.msc". (lihat gambar 3) Tentunya aksi yang agak berbeda ini bertujuan untuk mengelabui korbannya agar sulit menemukan dan membersihkan komputer yang terinfeksi oleh virus ini. Hapus file .MP3/.INF/.VBS Sasaran utama dari virus ini adalah file yang mempunyai format MP3 / .INF / .VBS
MODUL_Q
2
BAGOES ADHY
dimana ia akan mencoba untuk menghapus file tersebut dan sebagai gantinya ia akan membuat file duplikat sesuai dengan file yang dihapus dengan ciri-ciri: Menggunakan icon "Windows Media Player" Ukuran 64 KB Ekstensi EXE Type File "Application" Media penyabaran Untuk menyebarkan dirinya ia akan menggunakan Media Flash Disk dengan menghapus file yang mempunyai ekstensi MP3 / INF dan VBS serta membuat file duplikat sesuai dengan nama file yang disembunyikan. File duplikat tersebut mempunyai ciri-ciri seperti yang telah disebutkan di atas. Cara mengatasi Smallrorm.BZH Putuskan hubungan komputer yang akan dibersihkan dari jaringan Matikan "System Restore" selama proses pembersihan Matikan proses virus yang aktif dimemori. Untuk mematikan proses virus tersebut Anda dapat menggunakan tools "Process Explorer" (lihat gambar 4). Silahkan download di www.sysinternals.com Hapus string registry yang dibuat oleh virus. Untuk mempermudah proses penghapusan, silahkan salin script dibawah ini pada rogram notepad, kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: Klik kanan repair.inf Klik install [Version] Signature="$Chicago$" Provider=Vaksincom Oyee
[DefaultInstall] AddReg=UnhookRegKey
MODUL_Q
3
BAGOES ADHY
DelReg=del [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1"" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe" HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe" [del] HKLM, SYSTEM\ControlSet001\Services\Mr_CoolFace HKLM, SYSTEM\ControlSet002\Services\Mr_CoolFace HKLM, SYSTEM\CurrentControlSet\Services\Mr_CoolFace Hapus file induk dan file virus yang dibuat oleh virus. Untuk mempermudah proses penghapusan, silahkan gunakan "Search Windows". Untuk pembersihan optimal dan mencegah infeksi ulang, lindungi komputer dan jaringan anda dengan antivirus yang mampu mendeteksi dan membasmi virus ini dengan baik.
CARA ENABLE TASK MANAGER Beberapa virus lokal Indonesia sering kali men-disable task manager pada windows, hal ini menyebabkan kita sulit untuk melakukan pengecekan akan proses yang
MODUL_Q
4
BAGOES ADHY
mencurigakan yang berjalan di komputer kita. Berikut adalah entry registry yang dapat men-enable task manager: REG
add
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
/v
DisableTaskMgr /t REG_DWORD /d 0 /f Jalankan dari start - run di windows, ada baiknya langsung copy paste saja biar tidak terjadi kesalahan :). Disablenya karena apa. Kalau karena virus, virusnya harus DIHAPUS DULU, SELANJUTNYA LAKUKAN LANGKAH INI: 1. klik start 2. klik run 3. ketikan gpedit.msc dalam Open box dan klik OK akan keluar kotak group policy 4. pilih User Configuration > Administrative Templates > System 5. Pilih Ctrl+Alt+Delete options 6. double-klik Remove Task Manager option keluar kan pilihannya :) trus pilih enable dan selanjutnya save/yes/ok CARA ENABLE REGEDIT Jalankan command prompt (start -> run -> cmd). Ketikkan: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies \System /v DisableRegistryTools Ketika muncul konfirmasi, isikan: y Jalankan regedit (start -> run -> regedit)
Gw suka pusing kalo nemuin komputer yang ada keterangan kayak gambar yg gw sertakan dalam blog gw ini. Soalnya kalau gw mau akses ke registry Windows jadi ngga
MODUL_Q
5
BAGOES ADHY
bisa. Akhirnya dengan terpaksa gw buat script vbs dengan WSH (Windows Scripting Host), untuk bisa menggunakan dan mengedit registry Windows. Dengan demikian gw bisa lagi mengakses tools Regedit, dan ngoprek registry Windows. List source vbs sebagai berikut : ‘SetRegedit by php412 @2006 ‘For all Windows Value = 1 ( Enable ) ‘Value = 0 ( Disable) Set Php = CreateObject(”WScript.Shell”) Php.RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\”&_ “Policies\System\DisableRegistryTools”, Value, “REG_DWORD” InfoPhp = WScript.CreateObject(”WScript.Shell”).RegRead(”HKCU\”&_ “Software\Microsoft\Windows\CurrentVersion\”&_ “Policies\System\DisableRegistryTools”) MsgBox (”OPEN REGEDIT TOOLS!” &_ ” DisableRegistryTools=REG_DWORD:” & InfoPhp) Anda pernah berpikir untuk mendisable regedit ? Hal ini sangat berguna untuk mencegah orang lain mengubah setting registry komputer anda !!! Untuk melakukan itu Anda dapat mengubah seting registry seperti yang tercantum pada tabel di bawah.Key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\System Value Name DisableRegistryTools Data Type Data
REG_DWORD (DWORD Value)
(0 = enable regedit, 1 = disable regedit)
MODUL_Q
6
BAGOES ADHY
Jika Anda mengubah setting dengan benar maka saat program regedit dipanggil akan muncul pesan kesalahan seperti gambar di bawah ini: Pasti anda bertanya, bagaimana cara mengembalikannya seperti semula? Caranya gampang, ikuti langkah-langkah di bawah ini : Dengan menggunakan Notepad, buatlah sebuah file baru. Ketikkan isi seperti di bawah ini: REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Syste m] "DisableRegistryTools"=dword:00000000 Simpan
dengan
sembarang
nama
file,
tapi
dengan
ekstensi
reg,
misalnya
enable_regedit.reg. Setelah itu klik 2x file tersebut untuk meng-enable registry editor.
MODUL_Q
7
