Hai Temen2 !!! Jumpa lagi dengan saya. Dalam Entri ini saya ingin membahas tentang virus pendekar blank yg menyebar melalui flash disk. So langsung aja yach.
Semua misi virus ini dapat anda lihat pada File (Read Me)Pendekar Blank.txt yang terletak pada drive C:\ pada komputer yang telah terinfeksi virus ini
Kurang lebih screen shoot file (Read Me)Pendekar Blank.txt seperti terlihat pada gambar berikut
Gambar file (Read Me)Pendekar Blank.txt
Tolls yang saya pergunakan adalah Proclister dapat di download di http://www.geocities.com/yadoy666/download. Ok mari kita mulai membasmi virus ini.
Pertama kali dieksekusi virus ini akan membuat sebuah folder dengan nama duplikat virus itu sendiri. Misalnya virus tersebut telah menyebar ke flashdisk anda dengan nama yadoy.exe, maka pada saat virus itu dieksekusi dengan segera ia akan membuat folder dengan nama yadoy dengan attribute super hidden ( +S +H) dan akan membuka folder tersebut. Langkah ini dilakukan virus tersebut dengan maksud membuat user tidak sadar bahwa yang dieksekusi bukanlah virus tetapi merupakan sebuah folder kosong. Ini merupakan cara yang cerdik untuk mengelabuhi user.
Selanjutnya virus ini akan menggandakan dirinya di
• c:\aut0exec.bat
• c:\windows\system32\dllcache\Regedit32.com
• c:\windows\system32\dllcache\Shell32.com
• c:\windows\system32\dllcache\rund1132.exe
• c:\windows\system32\dllchache.exe
• c:\windows\system32\M5VBVM60.exe
• c:\(Read Me)Pendekar Blank.txt
• c:\windows\system32\dllchache\blank.doc
• c:\windows\system32\dllchache\empty.jpg
• c:\windows\system32\dllchache\hole.zip
• c:\windows\system32\dllchache\msvbvm60.dll
• c:\windows\system32\dllchache\unoccupied.reg
• c:\windows\system32\dllchache\zero.txt
• c:\windows\system32.exe
virus ini juga akan mengacak-acak registry windows. Registry yang diacak-acak adalah
• HKCU\Software\Microsoft\Windows\CurrentVersion\run ==> Secure32
• HKCU\Software\Microsoft\Windows\CurrentVersion\run ==> Secure64
• HKLM\Software\Microsoft\Windows\CurrentVersion\Run ==> Blank Antiviri
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ==> userinit
• HKCR\comfile\shell\open\command ==> c:\windows\system32\run1123.exe
• HKLM\System\Currentcontrolset\control\safeboot ==> AlternateShell
• HKLM\System\Controlset001\control\safeboot ==> AlternateShell
Virus ini juga akan menyembunyikan semua isi flash disk dengan cara merubah attribute semua file menjadi super hidden dan mengkopikan dirinya ke flash disk dengan menggunakan nama-nama folder yang ada pada flash disk. Virus ini mempunyai ke unikan bila dibandingkan virus-virus local yang lain. Bisaanya virus-virus local akan memblokir akses Registry, Command Prompt, Msconfig dan Task Manager, tetapi virus ini beda.
Pada komputer yang telah terserang virus ini akses ke akses Registry, Command Prompt, Msconfig dan Task Manager tidak diblok, user tetap bisa membuka akses Registry, Command Prompt, Msconfig dan Task Manager. Saya tidak mengetahui apa maksud dari sang Virus Maker mengapa ia tidak memblok aplikasi-aplikasi tersebut, padahal aplikasi-aplikasi bawaan windows tersebut dapat dipergunakan untuk membasmi keberadaan virus tersebut. Kalau menurut pendapat saya alasan mengapa sang virus maker tidak memblok aplikasi-aplikasi tersebut adalah agar user tidak sadar bahwa komputernya telah terjangkit virus. Tapi motif yang sebenarnya hanya sang Virus Maker dan Tuhan lah yang tahu jawabannya. ;P
Lalu kita lanjutkan pada sesi pembasmian virus ini. Yang pertama kita lakukan adalah menghentikan proses virus yang berjalan pada memori. Tolls yang kita pergunakan adalah Proclister. Mungkin anda bertanya mengapa saya tidak menggunakan taskmanager bawaan windows saja, kan taskmanager tidak diblok oleh virus ini. Jawabannya adalah, prosses virus yang berjalan pada memori adalah blank.doc, empty.jpg, hole.zip, unoccupied.reg, zero.txt. Kesemua proses virus di memory tersebut akan salang mengecaek dan melindungi.
Apabila salah satu proses virus dimemory tersebut kita matikan maka proses virus yang lain akan berusahaa untuk menjalankannya kembali. Apabila kita menggunakan taskmanager kita tidak bisa mematikan semua proses virus, tetapi kita hanya dapat mematikan satu proses viru saja. Dengan menggunakan proclister kita dapat mematikan keseumua prosses virus di memory, dengan cara klik kanan dan pilih “Kill VB Application”.
Proses virus di memory yang tertangkap proclister
Setelah semua proses virus dimemory perhasil dimatikan, langkah selanjutnya adalah menghapus semua duplikat virus di komputer. Duplikat virus ini berada di :
• c:\aut0exec.bat
• c:\windows\system32\dllcache\Regedit32.com
• c:\windows\system32\dllcache\Shell32.com
• c:\windows\system32\dllcache\rund1132.exe
• c:\windows\system32\dllchache.exe
• c:\windows\system32\M5VBVM60.exe
• c:\(Read Me)Pendekar Blank.txt
• c:\windows\system32\dllchache\blank.doc
• c:\windows\system32\dllchache\empty.jpg
• c:\windows\system32\dllchache\hole.zip
• c:\windows\system32\dllchache\msvbvm60.dll
• c:\windows\system32\dllchache\unoccupied.reg
• c:\windows\system32\dllchache\zero.txt
• c:\windows\system32.exe
Untuk menghapus duplikat virus ini anda harus men set folder option agar menampilkan semua file yang dihidden dan menampilkan semua system file. Langkah ini harus dilakukan agar file duplikat virus yang terletak di c:\windows\system32\dllchache dapat terlihat, karena folder dllchache di set supper hidden oleh sang virus. Apabila anda tidak menset folder option seperti diatas maka folder dllchache tidak akan terlihat. Untuk menampilkan semua file anda yang dihidden pada flashdisk buka Command Prompt, masuk ke dalam drive flashdisk anda dan ketikan perintah attrib –s –h /s /d
Setelah menghapus semua duplikat virus langkah selanjutnya adalah membersihkan registry yang telah di acak-acak oleh sang virus. Untuk mudahnya silahkan kopi-paste script berikut ke notepad
[Version]
Signature=”$Chicago$”
Provider=yadoy666
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCR, comfile\shell\open\command,,,”"”%1″” %*”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0, “C:\Windows\system32\userinit.exe,”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit.,0, “userinit.exe”
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Secure32
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Secure64
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Blank Antiviri
Simpan dengan nama “yadoy.inf” (tanpa tanda petik). Klik kanan pada file “yadoy.inf” lalu pilih install. Kemudian restart komputer anda. Maka komputer anda pun telah bersih dari pengaruh virus Pendekar Blank.
Thanks By Adhe Setiawan
maju teruss
BalasHapus