A. CIRI-CIRI & KERUSAKAN YANG DITIMBULKAN
Untuk mengetahui apakah komputer sudah terinfeksi virus ini adalah munculnya file shortcut berukuran 2KB disetiap drive, selain itu munculnya file dengan icon ”Windows Media Player Classic” yang di simpan di direktori dimana anda menyimpan file film / video dengan ukuran file sebesar 66 KB atau 575 KB, tetapi file ini akan disembunyikan.
File Induk
Pada saat file tersebut di jalankan oleh user, ia akan membuat beberapa file induk berikut yang akan dijalankan secara otomatis pada saat komputer dinyalakan:
C:\Program Files\Windows Media Player
o Svchost.exe
o Wmplayerc.exe
C:\Documents and Settings\client\My Documents\RÊCYCLÊR
o .com
..\RÊCYCLÊR
o Autorun.inf (folder)
o .com
Registry Windows
Virus akan membuat string pada registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
o Windows Media Player = C:\Program Files\Windows Media Player\wmplayerc.exe
Selain dengan membuat string pada registri di atas, ia juga akan membuat shortcut dengan ukuran 2 KB. File shortcut ini mempunyai nama file yang sama dengan folder yang nantinya akan disembunyikan oleh virus tersebut, icon yang digunakannya pun akan menyerupai icon folder, hal ini digunakan sebagai upaya untuk mengelabui user apalagi type yang tersebut adalah sebagai “File Folder” sungguh penyamaran yang sempurna. File shortcut itu sendiri berisi script/link untuk menjalankan sebuah file virus yang berada di direktori “..\RÊCYCLÊR\ .com”
Blok fungsi Windows
Virus ini tidak terlalu banyak melakukan blok terhadap tools / software security, walaupun demikian ia akan merubah beberapa fungsi Windows seperti Windows Firewall atau Folder Options (tidak bisa menampilkan file yang tersembunyi) dan beberapa fungsi Windows lainnya dengan membuat beberapa string pada registri berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\system
o EnableLUA = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System
o DefaultValue = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
o AntiVirusDisableNotify = 1
o FirewallDisableNotify = 1
o UpdatesDisableNotify = 1
o AntiVirusOverride = 1
o FirewallOverride = 1
o UacDisableNotify = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
o AntiVirusDisableNotify = 1
o FirewallDisableNotify = 1
o UpdatesDisableNotify = 1
o AntiVirusOverride = 1
o FirewallOverride = 1
o UacDisableNotify = 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
o WaitToKillServiceTimeout = 1000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l
o WaitToKillServiceTimeout = 1000
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\PropSummary
o Advanced = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\ComDlg32
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
o NextId = 8193
o {92780B25-18CC-41C8-B9BE-3C9C571A8263} = 8193
Delete file film / video
Bagi anda yang suka mengkoleksi film dengan berbagai format sebaiknya berhati-hati karena virus ini akan mengincar sejumlah file yang mempunyai ekstensi mpeg, avi, dat, atau mov. Virus ini tidak akan menghapus tetapi lebih parah dari itu ia akan menulis ulang isi file tersebut, file yang sudah di ubah akan mempunyai ukuran sebesar 66 KB tidak sampai disitu, file duplikat ini akan di injeksi ulang dengan menambahkan kode virus sehingga ukuran file virus membengkak menjadi 575 KB. Untuk mengelabui user ia akan menggunakan rekayasa yang cukup pintar yakni dengan menggunakan icon “Windows Media Player Classic” dan akan menyembunyikan file tersebut sehingga user akan beranggapan file yang disembunyikan oleh virus adalah file asli yang tidak terinfeksi virus.
Recovery file dengan bantuan software recovery masih tidak mampu menolong banyak, karena virus ini sudah merubah isi file tersebut maka file yang berhasil di recovery pun adalah file-file yang sudah terinfeksi virus.
Hal lain yang akan dilakukan adalah akan menyembunyikan folder / sub folder di setiap drive termasuk media flash disk atau removable disk, untuk mengelabui user ia akan membuat file shortcut yang akan mempunyai nama file yang sama dengan folder yang disembunyikan tersebut, file ini mempunyai ukuran sekitar 2 KB dan berisi link untuk menjalankan file virus yang ada di direktori “RÊCYCLÊR\ .com”.
Agar penyamarannya lebih sempurna, ia juga akan memanipulasi type file dari file shortcut tersebut menjadi “File Folder” dengan merubah string pada registry berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile
o [Default] = File Folder
Media Penyebaran
Untuk menyebarkan dirinya, ia akan menggunakan media Flash Disk dengan cara menyembunyikan folder/subfolder yang ditemui dan membuat shortcut yang mempunyai nama yang sama dengan nama folder yang disembunyikan dengan ukuran sekitar 2 kb. File shortcut ini berisi link untuk menjalankan file virus yang disimpan di direkori “RÊCYCLÊR\ .com”
Virus ini tidak akan aktif secara otomatis pada saat user akses ke drive / flash disk, justru ia akan membuat folder kosong dengan nama “autorun.inf” disetiap drive yang mempunyai atribut (system, hidden dan read only), mungkin langkah ini dilakukan sebagai upaya agar virus lain tidak dapat membuat script autorun virus sehingga virus tersebut tidak dapat aktif secara otomatis pada saat user akses drive tersebut.
B. CARA MEMBASMI
1. Nonaktifkan “System Restore”, selama proses pembersihan
2. Matikan proses virus yang aktif di memory, anda dapat menggunakan tools “Security Task Manager” dengan mendownload di alamat:
Code:
http://www.neuber.com/taskmanager/download.html
Matikan proses virus yang mempunyai nama “svchost.exe” dan Multimedia Video File” atau file yang mengarah ke direktori “..\Program Files\Windows Media Player\”
Quote:
Pada beberapa kasus, file/process tersebut tidak ditemukan, maka perlu dilakukan analisa yang mendalam terhadap process svchost.exe dengan menggunakan svchost viewer, bisa di-donlot di sini:
Code:
http://svchostviewer.codeplex.com/releases/view/17498
Ambil yang Versi 0.3.0.0 (Stable)
3. Fix registry Windows yang sudah diubah oleh virus, untuk mempercepat proses perbaikan donlot file dibawah ini, jalankan file tersebut dengan cara, klik kanan “RepairRegQeyj.inf” >> klik “install”
Code:
http://www.4*shared.com/file/M6wODl_Y/RepairRegQeyj.html
4. Hapus file induk yang dibuat oleh virus dengan terlebih dahulu menampilkan file yang disembunyikan terlebih dahulu, caranya :
Buka Windows Explorer
Klik menu “Tools”
Klik menu “View”
Klik “Folder Options”
Klik tabulasi “View”
Centang option “Show hidden files and folders”
Hilangkan tanda centang pada opsi “Hide extensions for known files types”
Hilangkan tanda centang pada opsi “Hide protected operating system files (Recommended)”
Klik “OK”
Quote:
Kalo gak bisa, pake cara ini gan...
Donlot >> Extract >> Klik Kanan file HKLM Explorer.reg >> Merge
Kalo ada popup warning, jawab "Yes"
Code:
http://www.mediafire.com/?wyzk3y4kkkm
Kemudian hapus file berikut (kalo ada):
C:\Program Files\Windows Media Player
• Svchost.exe
• Wmplayerc.exe
C:\Documents and Settings\client\My Documents\RÊCYCLÊR
RÊCYCLÊR (hapus di setiap drive termasuk Flash Disk)
5. Hapus file shortcut yang dibuat oleh virus yang berada di disetiap drive termasuk flash disk dengan ciri-ciri : (lihat gambar 9)
a. Ukuran 2 KB (file shortcut)
b. Icon “Folder” (file shortcut)
6. Hapus juga file duplikat yang dibuat oleh virus dengan ciri-ciri
a. Ukuran 66 KB dan 575 KB
b. Icon “Windows Media Player Classic”
c. Type file “Application”
Lokasi file ini acak tergantung dimana anda menyimpan file film/video, karena file duplikat ini akan dibuat di direktori yang sama dengan penyimpanan file film/video tersebut. Oleh karena itu untuk mempercepat proses pencarian dan penghapusan sebaiknya anda gunakan fungsi “Search Windows”, seperti terlihat pada gambar di bawah ini :
7. Tampilkan folder/subfolder yang disemunyikan,dengan cara :
Klik menu “start”
Klik “Run”
Ketik CMD, kemudian klik tombol “OK”
Pindahkan posisi kursor ke lokasi drive yang akan di cek (dengan perintah CD \Nama Direktori), kemudian ketik perintah ATTRIB –S –H –R /S /D
8. Untuk pembersihan optimal dan mencegah infeksi ulang install dan scan dengan menggunakan antivirus yang up-to-date. Anda juga dapat mendwnload Norman Malware Cleaner di alamat berikut:
Code:
http://www.norman.com/support/support_tools/58732/en-us
Quote:
Sumber: http://vaksin.com/2010/0510/agent-qeyj/Agent-QEYJ.htm
Jika pada Log hijackThis ditemukan seperti ini:
Code:
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: nwprovau.dll
Perbaiki Winsock dengan menggunakan LSPFix dari sini:
Code:
http://www.cexx.org/lspfix.htm
Good luck bro...
Powered by Qumana
Tidak ada komentar:
Posting Komentar