| » Categories
» Polling
» Newsletter
|
Virus Loren
Posted: 24/03/2007 - 22:43
• Virus lokal yang baru-baru ini menyerang sangat kreatif, selain mengacaukan system explore virus in juga memberikan kata-kata indah
Virus Loren
Virus lokal yang baru-baru ini menyerang sangat kreatif, selain mengacaukan system explore virus in juga memberikan kata-kata indah setiap saat kita pertama kali login ke dalam windows. Virus ini merupakan variant dari Trojan, karena serangan virus ini mempunyai karakteristik jika file virus yang telah berada dalam system aktif, virus akan menyebar.
Sebenarnya virus ini tidak berbahaya, hanya saja kehadirannya membuat pengguna kesal karena komputer ajan sering hang dan menduplikat folder yang terdapat di setiap partisi hardisk dengan file aplikasi dengan nama yang menyerupai nama folder sehingga membuat pengguna kebingungan.
Cara kerja virus ini:
Virus akan mengekstrak file private.zip/rar kedalam direktory C:\WINDOWS\System32\12053, yang didalamnya terdapat beberapa file (Autoexcec.bat, LSASS.exe, SVCHOST.exe dan beberapa file dll dan gambar setangkai mawar merah).
Virus akan me-register file LSASS.EXE dan SVCHOST.EXE yg berada di direktory tersebut kedalam registry windows sehingga file tersebut mendominasi perintah winlogon dan startup, dan juga mengganti informasi pada System Properties.
Didalam file AUTOEXEC.BAT buatan virus ini terdapat perintah eksekusi yang cukup mengejutkan, yaitu menghapus semua direktory yang biasanya dianggap sebagai direktory dimana AntiVirus terkenal (NOD32, MCAfee, Norton, AntiVir, dll..) terinstall (C:\Program Files\) dan tentu saja jika eksekusi dilakukan sebelum anda memasuki system dalam windows maka AntiVirus anda menjadi tidak berfungsi karena file system dari AntiVirus itu sendiri telah terhapus.
Bagaimana virus bisa aktif?:
Virus ini akan merubah attribut file dan folder pada C:\WINDOWS menjadi "hidden" dan membuat file dengan nama WINDOWS.EXE yang mempunyai tampilan icon folder sehingga akan terlihat mirip seperti folder WINDOWS (nb: selalu tampilkan extensi file untuk menghindari kejadian-kejadian seperti ini), jika user me-klik file ini virus akan bekerja dan menampilkan folder sebelumnya (de ja vu), membingungkan bukan.
Karekateristik virus aktif:
-File mempunyai icon menyerupai icon folder sehingga menipu korban untuk me-klik
-File berukuran 216Kb dan mempunyai ekstensi *.exe, dan biasanya file ini menyerupai nama parent folder, mis: didalam folder "data" ada file yg menyerupai folder dan bernamakan "data" juga.
Vaksinasi: Cobalah untuk login dengan account "ADMINISTRATOR" terlebih dahulu dan hapus file dan folder pada
C:\WINDOWS\System32\12053 <--- residen file virus tsb
kemudian rubah data yg telah ditambah-tambahi oleh virus ini pada registry² berikut:
hapus data register yang berhubungan dengan folder 12053 mis (C:\WINDOWS\system32\12053\svchost.exe),
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (jika, UserInit = C:\WINDOWS\system32\userinit.exe hilang maka anda tidak akan bisa login ke windows)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Setelah itu gunakan "Search" dan hapus semua file yang berekstensi *.exe pada semua local hard disk, hapus file dengan nama "private.rar/zip".
nb: jika dengan account ADMINISTRATOR juga tidak berhasil, berarti virus sudah 100% aktif, jika demikian maka lakukan proses penghapusan direktory C:\WINDOWS\System32\12053 melalui konsole (DOS) yang bisa anda buat dengan boot disk maker atau dengan CD yang bootable, kemudian hapus file yg berada didalam direktory tsb secara manual, kemudian lakukan booting seperti biasa, setelah login kedalam windows bersihkan registry yang telah disebutkan diatas.
*Teenz |
|
» Calendar
» Interviews
Makam - Solo BlackMetal
• di kota kecil ini kondisi extreme gen-nya bisa dikatakan punah dan selayaknya mendapat konservasi alias "pembudidayaan" lagi
|
|