“Blue Fantasy” Yang Suka Yang ‘biru-biru’ :)
W32/VBWorm.MYE [81u3f4nt45y]Virus surabaya yang menyembunyikan folderPenyebaran virus saat ini sudah semakin marak, removal tools atau antivirus lokalpun mulai bermunculan dengan mengatasnamakan kebaikan berusaha untuk meringankan mereka yang menjadi korban keganasan virus yang menyebar.Setelah virus Banjir muncul beberapa hari sebelumnya yang mencoba menginfeksi denganaksi bunuh diri, kini muncul virus yang lahir di surabaya dan lebih dikenal dengan nama 81u3f4nt45y, virus ini mempunyai ukuran sebesar 40 KB dan untuk mengelabui user ia akan menggunakan icon “Folder”. Satu hal yang menjadi ciri utama dari virus ini adalah munculnya pesan setiap kali komputer login [perhatikan gambar dibawah ini] selain itu ia juga akan mencoba untuk menyembunyikan file/folder yang ada di Flash Disk atau disetiap Drive dan untukmengelabui user ia akan membuat file duplikat sesuai dengan folder yang disembunyikan. Dengan update terakhir Norman Virus Control sudah dapat mengenali virus ini sebagai VBWorm.MYEJika VBworm.MYE sudah aktif pada komputer terget ia akan membuat beberapa file yang akan dijalankan setiap kali jika komputer dinyalakan diantaranya:· C:\Documents and Settings\%user%\Start Menu\Programs\Startupo Adobe Online.como Adobe update.com· C:\Documents and Settings\%user%\Autoexec.bat· %Drive%:> autorun.inf· %Drive%:> Thumbs.com· %Drive%:> thumbs .dbCatatan: %Drive% ini menunjukan lokasi Drive [contoh Drive C:\ atau D:\]Tidak Blok Fungsi WindowsDilihat dari aksi yang dilakukan, VBWorm,MYE tidaklah terlalu membahayakan karena hanya sebatas menyembunyikan file/folder saja tidak seperti virus lain yang mencoba untuk menghapus file disamping itu untuk varian awalnya tidak akan melakukan blok terhadap fungsi Windows seperti Regsitry, msconfig atau task manager serta beberapa tools security lainnya [HijackThis/killbox atau prosesxp] sehingga relative mudah untuk dibersihkan, walaupun demikian VBWorm.MYE ini akan tetap mencoba untuk bermain-main dengan folder option dengan “selalu” mengaktifkan option “Do Not Show hidden files and folders” dan “Hide Extension for known files types” hal ini dimaksudkan agar user kesulitan untuk menampilkan file/folder yang sudah disembunyikan dan mempersulit user untuk mengetahui ekstensi dari file tersebut. Untuk melakukan hal tersebut ia akan merubah string pada registry berikut:· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\ HideFileExto UncheckedValue = 1· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\ Hidden\SHOWALLo CheckedValue = 0o DefaultValue = 2Hati-hati dengan file berbentuk folder berukuran 40 KBSeperti yang sudah dijelaskan sebelumnya bahwa VBWorm.MYE akan menyembunyikan file/folder dan mencoba untuk membuat file duplikat sesui dengan folder yang disembunyikan dimana file duplikat tersebut akan di buat disetiap folder dan subfolder dengan ciri-ciri:· Menggunakan icon “Folder”· Ukuran 40 KB· Ekstensi .SCR· Type file “File Folder”Agar file duplikat tersebut tampak seolah-olah berupa folder maka VBWorm.MYE akan merubah type file duplikat tersebut dari “Screen saver” menjadi “File Folder” selain itu VBWorm.MYE juga akan menyembunyikan ekstensi dari file duplikat tersebut sehingga semakin sempurnalah penyeramaran yang dilakukan oleh virustersebut dengan demikian user akan mudah terjebak untuk menjalankan file tersebut , jika anda selalu INGAT bahwa suatu FOLDER tidak akan mempunyai ukuran semakin memperkecil peluang virus tersebut untuk menyebar dan memperkecil kemungkinan komputer anda terinfeksi virus ini. Untuk melakukan hal tersebut diatas ia akan membuat string pada registry berikut:· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfileo Default = File Foldero InfoTipo NeverShowExto TileInfoVBWorm.MYE merubah type file dari file yang terinfeksi menjadi “File Folder”Menyebar secara Otomatis melalui Flash DiskSebagai media penyebarannya, VBWorm.MYE masih menggunakan Flash Disk dengan menyembunyikan file/folder yang ada dalam Flash Disk tersebut dan membut file duplikat sesuai dengan file/folder yang disembunyikan dengan ukuran 40 KB dimana file tersebut akan menyamarkan dirinya dengan menggunakan icon “Folder”, selain itu VBWorm.MYE juga akan membuat 3 buah file utama sebagai file induk yang akan di aktifkan setiap kali user mencoba untuk akses Flash Disk yakni Autorun.inf, Thumbs.com dan thumbs .db, file Thumbs .db ini terdeteksi oleh Norman Virus Contol sebagai VBTroj.dam.Agar virus ini dapat aktif secara otomatis setiap kali user akses Flash Disk tersebut tanpa harus menjalankan file yang terinfeksi secara manual, VBWorm.MYE akan membuat file Autorun.inf dimana script ini berisi perintah untuk menjalankan file Thumbs.com dan sebagai pendukung agar dirinya dapat aktif VBWOrm.MYE jugaakan membuat file Thumbs .db di direktori yang sama. Ke tiga file ini juga akan dibuat deisetiap Drive sehingga setiap kali user akses terhadap drive tersebut maka secara tidak langsung akan mengaktifkan kembali VBWorm.MYE.VBWorm.MYE juga akan menampilkan pesan dibawah ini setiap kali komputer login dengan terlebih dahulu melakukan perubahan pada registfy berikut:· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogono LegalNoticeCaption = 81u3f4nt45y - 24.01.2007 – Surabayao LegalNoticeText = Surabaya in my birthday. Don't kill me, i'm just send message from your computer. Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti. Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah lamunan dalam sesal Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0.Pesan yang disampikan oleh VbWorm.MYE setiap komputer loginMembuat File DuplikatSebagai penutup ia akan membuat file duplikat disetiap folder dan sub folder dengan terlebih dahulu menyembunyikan file/folder asli yang dijumpainya. File duplikat tersebut mempunyai ciri-ciri:· Menggunakan icon “Folder”· Ukuran 40 KB· Ekstensi .SCR· Type file “File Folder”File duplikat yang dibuat oleh VBWorm.MYECara mengatasi VbWorm.MYE1. Disconnet komputer yang akna dibersihkan dari jaringan2. Jika menggunakan Windows ME/XP Disable “System restore” untuk sementara selama proses pembersihan[http://www.norman.com/Virus/Articles/Articles_previous_years/25782/en-us]3. Matikan proses virus yang aktif dimemori, untuk mematikan proses virus tersebut anda dapat menggunakan tools CurrProcess [tools ini dapat didownload di alamat http://www.nirsoft.net/utils/cprocess.html], kemudian matikan proses yang mempunyai nama :a. Adobe Online.comb. Adobe update.com4. Hapus string registry yang sudah dibuat oleh virus, untuk mempercepat proses penghapusan registry tersebut salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara:· Klik kanan repair.inf· Klik Install[Version]Signature="$Chicago$"Provider=Vaksincom[DefaultInstall]AddReg=UnhookRegKeyDelReg=del[UnhookRegKey]HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,"Explorer.exe"HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0,"cmd.exe"HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0HKLM, SOFTWARE\Classes\scrfile,,,"Screen Saver"[del]HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,LegalNoticeCaptioHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,LegalNoticeTextHKLM, SOFTWARE\Classes\scrfile, InfoTipHKLM, SOFTWARE\Classes\scrfile, NeverShowExtHKLM, SOFTWARE\Classes\scrfile, TileInfoHKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryToolsHKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptionsHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\Msconfig.exeHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\regedit.exeHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\taskmgr.exe5. Hapus file duplikat yang sudah dibuat oleh virus dengan ciri-ciri:· Menggunakan icon “Folder”· Ukuran 40 KB· Ekstensi SCR atau .ComCatatan :khusus file dengan ekstensi .Com hapus file berikut:a. Adobe Online.comb. Adobe update.comc. Thumbs.comSebelum menghapus file tersebut sebaiknya anda tampilkan semua file/folder yang disembunyikan oleh VbWorm dengan memilih option “Show hidden files and folders” dan menghilangkan check list pada option “Hide extensions for known file types” dan “Hide protected operating system files (Recommended).Untuk mempercepat proses penghapusan file duplikat gunakan menu SEARCH WINDOWS dengan terlebih dahulu merubah setting berikut:· All or part of the file name -_ *.SCR· What size is it? _ Pilih Option “Specify size (in KB)o At Mosto 41 KB· More Advanced optionso Search system foldero Search hidden files and folderso Search subfolderHapus juga file berikut yang ada disetiap Drive· Autorun.inf· Thumbs .db6. Tampilkan kembali file/folder yang sudah di sembunyikan oleh virus. Untuk menampilkan file folder yang disembunyikan oleh VbWorm.MYE anda dapat menggunakan perintah ATTRIB –s –h /s /d dengan memastikan posisi kursor berada di root masing-masing Drive yang file/foldernya akan ditampilkan.Contoh:C:\> ATTRIB –s –h /s /d7. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date dan sudah dapat mengenali virus ini dengan baik.
W32/VBWorm.MYE [81u3f4nt45y]Virus surabaya yang menyembunyikan folderPenyebaran virus saat ini sudah semakin marak, removal tools atau antivirus lokalpun mulai bermunculan dengan mengatasnamakan kebaikan berusaha untuk meringankan mereka yang menjadi korban keganasan virus yang menyebar.Setelah virus Banjir muncul beberapa hari sebelumnya yang mencoba menginfeksi denganaksi bunuh diri, kini muncul virus yang lahir di surabaya dan lebih dikenal dengan nama 81u3f4nt45y, virus ini mempunyai ukuran sebesar 40 KB dan untuk mengelabui user ia akan menggunakan icon “Folder”. Satu hal yang menjadi ciri utama dari virus ini adalah munculnya pesan setiap kali komputer login [perhatikan gambar dibawah ini] selain itu ia juga akan mencoba untuk menyembunyikan file/folder yang ada di Flash Disk atau disetiap Drive dan untukmengelabui user ia akan membuat file duplikat sesuai dengan folder yang disembunyikan. Dengan update terakhir Norman Virus Control sudah dapat mengenali virus ini sebagai VBWorm.MYEJika VBworm.MYE sudah aktif pada komputer terget ia akan membuat beberapa file yang akan dijalankan setiap kali jika komputer dinyalakan diantaranya:· C:\Documents and Settings\%user%\Start Menu\Programs\Startupo Adobe Online.como Adobe update.com· C:\Documents and Settings\%user%\Autoexec.bat· %Drive%:> autorun.inf· %Drive%:> Thumbs.com· %Drive%:> thumbs .dbCatatan: %Drive% ini menunjukan lokasi Drive [contoh Drive C:\ atau D:\]Tidak Blok Fungsi WindowsDilihat dari aksi yang dilakukan, VBWorm,MYE tidaklah terlalu membahayakan karena hanya sebatas menyembunyikan file/folder saja tidak seperti virus lain yang mencoba untuk menghapus file disamping itu untuk varian awalnya tidak akan melakukan blok terhadap fungsi Windows seperti Regsitry, msconfig atau task manager serta beberapa tools security lainnya [HijackThis/killbox atau prosesxp] sehingga relative mudah untuk dibersihkan, walaupun demikian VBWorm.MYE ini akan tetap mencoba untuk bermain-main dengan folder option dengan “selalu” mengaktifkan option “Do Not Show hidden files and folders” dan “Hide Extension for known files types” hal ini dimaksudkan agar user kesulitan untuk menampilkan file/folder yang sudah disembunyikan dan mempersulit user untuk mengetahui ekstensi dari file tersebut. Untuk melakukan hal tersebut ia akan merubah string pada registry berikut:· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\ HideFileExto UncheckedValue = 1· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\ Hidden\SHOWALLo CheckedValue = 0o DefaultValue = 2Hati-hati dengan file berbentuk folder berukuran 40 KBSeperti yang sudah dijelaskan sebelumnya bahwa VBWorm.MYE akan menyembunyikan file/folder dan mencoba untuk membuat file duplikat sesui dengan folder yang disembunyikan dimana file duplikat tersebut akan di buat disetiap folder dan subfolder dengan ciri-ciri:· Menggunakan icon “Folder”· Ukuran 40 KB· Ekstensi .SCR· Type file “File Folder”Agar file duplikat tersebut tampak seolah-olah berupa folder maka VBWorm.MYE akan merubah type file duplikat tersebut dari “Screen saver” menjadi “File Folder” selain itu VBWorm.MYE juga akan menyembunyikan ekstensi dari file duplikat tersebut sehingga semakin sempurnalah penyeramaran yang dilakukan oleh virustersebut dengan demikian user akan mudah terjebak untuk menjalankan file tersebut , jika anda selalu INGAT bahwa suatu FOLDER tidak akan mempunyai ukuran semakin memperkecil peluang virus tersebut untuk menyebar dan memperkecil kemungkinan komputer anda terinfeksi virus ini. Untuk melakukan hal tersebut diatas ia akan membuat string pada registry berikut:· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfileo Default = File Foldero InfoTipo NeverShowExto TileInfoVBWorm.MYE merubah type file dari file yang terinfeksi menjadi “File Folder”Menyebar secara Otomatis melalui Flash DiskSebagai media penyebarannya, VBWorm.MYE masih menggunakan Flash Disk dengan menyembunyikan file/folder yang ada dalam Flash Disk tersebut dan membut file duplikat sesuai dengan file/folder yang disembunyikan dengan ukuran 40 KB dimana file tersebut akan menyamarkan dirinya dengan menggunakan icon “Folder”, selain itu VBWorm.MYE juga akan membuat 3 buah file utama sebagai file induk yang akan di aktifkan setiap kali user mencoba untuk akses Flash Disk yakni Autorun.inf, Thumbs.com dan thumbs .db, file Thumbs .db ini terdeteksi oleh Norman Virus Contol sebagai VBTroj.dam.Agar virus ini dapat aktif secara otomatis setiap kali user akses Flash Disk tersebut tanpa harus menjalankan file yang terinfeksi secara manual, VBWorm.MYE akan membuat file Autorun.inf dimana script ini berisi perintah untuk menjalankan file Thumbs.com dan sebagai pendukung agar dirinya dapat aktif VBWOrm.MYE jugaakan membuat file Thumbs .db di direktori yang sama. Ke tiga file ini juga akan dibuat deisetiap Drive sehingga setiap kali user akses terhadap drive tersebut maka secara tidak langsung akan mengaktifkan kembali VBWorm.MYE.VBWorm.MYE juga akan menampilkan pesan dibawah ini setiap kali komputer login dengan terlebih dahulu melakukan perubahan pada registfy berikut:· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogono LegalNoticeCaption = 81u3f4nt45y - 24.01.2007 – Surabayao LegalNoticeText = Surabaya in my birthday. Don't kill me, i'm just send message from your computer. Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti. Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah lamunan dalam sesal Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0.Pesan yang disampikan oleh VbWorm.MYE setiap komputer loginMembuat File DuplikatSebagai penutup ia akan membuat file duplikat disetiap folder dan sub folder dengan terlebih dahulu menyembunyikan file/folder asli yang dijumpainya. File duplikat tersebut mempunyai ciri-ciri:· Menggunakan icon “Folder”· Ukuran 40 KB· Ekstensi .SCR· Type file “File Folder”File duplikat yang dibuat oleh VBWorm.MYECara mengatasi VbWorm.MYE1. Disconnet komputer yang akna dibersihkan dari jaringan2. Jika menggunakan Windows ME/XP Disable “System restore” untuk sementara selama proses pembersihan[http://www.norman.com/Virus/Articles/Articles_previous_years/25782/en-us]3. Matikan proses virus yang aktif dimemori, untuk mematikan proses virus tersebut anda dapat menggunakan tools CurrProcess [tools ini dapat didownload di alamat http://www.nirsoft.net/utils/cprocess.html], kemudian matikan proses yang mempunyai nama :a. Adobe Online.comb. Adobe update.com4. Hapus string registry yang sudah dibuat oleh virus, untuk mempercepat proses penghapusan registry tersebut salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara:· Klik kanan repair.inf· Klik Install[Version]Signature="$Chicago$"Provider=Vaksincom[DefaultInstall]AddReg=UnhookRegKeyDelReg=del[UnhookRegKey]HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,"Explorer.exe"HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0,"cmd.exe"HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0HKLM, SOFTWARE\Classes\scrfile,,,"Screen Saver"[del]HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,LegalNoticeCaptioHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,LegalNoticeTextHKLM, SOFTWARE\Classes\scrfile, InfoTipHKLM, SOFTWARE\Classes\scrfile, NeverShowExtHKLM, SOFTWARE\Classes\scrfile, TileInfoHKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryToolsHKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptionsHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\Msconfig.exeHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\regedit.exeHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\taskmgr.exe5. Hapus file duplikat yang sudah dibuat oleh virus dengan ciri-ciri:· Menggunakan icon “Folder”· Ukuran 40 KB· Ekstensi SCR atau .ComCatatan :khusus file dengan ekstensi .Com hapus file berikut:a. Adobe Online.comb. Adobe update.comc. Thumbs.comSebelum menghapus file tersebut sebaiknya anda tampilkan semua file/folder yang disembunyikan oleh VbWorm dengan memilih option “Show hidden files and folders” dan menghilangkan check list pada option “Hide extensions for known file types” dan “Hide protected operating system files (Recommended).Untuk mempercepat proses penghapusan file duplikat gunakan menu SEARCH WINDOWS dengan terlebih dahulu merubah setting berikut:· All or part of the file name -_ *.SCR· What size is it? _ Pilih Option “Specify size (in KB)o At Mosto 41 KB· More Advanced optionso Search system foldero Search hidden files and folderso Search subfolderHapus juga file berikut yang ada disetiap Drive· Autorun.inf· Thumbs .db6. Tampilkan kembali file/folder yang sudah di sembunyikan oleh virus. Untuk menampilkan file folder yang disembunyikan oleh VbWorm.MYE anda dapat menggunakan perintah ATTRIB –s –h /s /d dengan memastikan posisi kursor berada di root masing-masing Drive yang file/foldernya akan ditampilkan.Contoh:C:\> ATTRIB –s –h /s /d7. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date dan sudah dapat mengenali virus ini dengan baik.
by http//dakjelas.blogspot.com
Tidak ada komentar:
Posting Komentar