Dipenghujung tahun 2009 ini, dimanfaatkan oleh para pembuat virus untuk menghasilkan karya-karya yang bisa dijadikan kebanggaan bagi mereka. Sudah tak terhitung sudah berapa banyak virus-virus yang dihasilkan sepanjang bulan November-Desember 2009 ini yang rata-rata mempunyai daya sebar yang sangat cepat dan cukup merepotkan, mulai dari virus yang menyebar dengan memafaatkan facebook atau memanfaatkan aplikasi chat seperti yahoo messager dan media-media yang umum digunakan oleh user sehingga mempermudah dalam penyebaranya.
Selain kedua virus tersebut, baru-baru ini telah muncul satu virus lain ikut merampaikan “acara” tutup tahun ini, walaupun virus ini dibuat dengan program bahasa Visual Basic tetapi efek yang dihasilkan cukup merepotkan, ia akan melakukan blok terhadap ”hampir” semua tools security termasuk antivirus yang umum sering digunakan oleh user dengan cara membaca ”nama file” dari aplikasi tersebut.
Virus ini juga akan blok akses ke beberapa website sekuriti dan website lain yang telah ditentukan dengan cara mengalihkan ke nomor ip 209.85.225.99 yang merupakan ip public google. Jadi setiap kali user mencoba untuk akses ke website tertentu termasuk website security/antivirus, maka yang muncul bukan web yang anda inginkan tetapi website www.google.com. Untuk melakukan hal ini ia akan menambahkan alamat website yang akan di blok ke sebuah file dengan nama [C:\Windows\System32\Drivers\etc\hosts]
Virus ini dibuat dengan menggunakan program bahasa Visual Basic, dengan ukuran file sekitar 212-233 KB, sedangkan file pendukung lainnya mempunyai ukuran yang berbeda-beda.
Bagaimana mengenali virus ini?
Sebenarnya tidak terlalu sulit untuk mengenali ciri-ciri virus ini, salah satunya adalah jika user mengakses web security/web antivirus maka ia akan direct ke website www.google.com. Cara lain yang dapat dilakukan adalah dengan memeriksa file host windows anda, jika terdapat ip 209.85.225.99 yang di ikuti alamat website maka kemungkinan besar komputer telah terinfeksi virus ini.Dengan update terbaru, Norman Security Suite mendeteksi virus ini sebagai W32/ SmallTroj.VPCG
FILE INDUK
Pada saat virus ini di aktifkan, ia akan membuat beberapa file induk dan mendownload beberapa file lainnya dari alamat web yang telah ditentukan sebelumnya. File ini akan di simpan dibeberapa lokasi yang akan di aktifkan setiap kali komputer dinyalakan. Virus ini juga akan menyamarkan dirinya sebagai file service Windows dan sebuah drivers sehingga mempersulit dalam proses pembersihan.
Berikut beberapa file yang akan dibuat oleh virus ini:
·C:\windows\system32
ü wmispqd.exe
ü Wmisrwt.exe
ü qxzv85.exe@
ü qxzv47.exe@
ü secupdat.dat
·C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sebesar 6 kb.
·C:\windows\system32\drivers
o Kernelx86.sys
o %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)
o Ndisvvan.sys
o krndrv32.sys
·C:\Documents and Settings\%user%\secupdat.dat
·C:\Windows\inf
oNetsf.inf
onetsf_m.ini
Autorun
Agar file tersebut dapat di jalankan secara otomatis, ia akan membuat string pada registry berikut:
Ø HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
· ctfmon.exe
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services\\kernelx86
· type = 1
· start = 3
· Group = SST miniport drivers
· Error Control = 1
· DisplayName = Kernel Debug Service
· image path = c:\windows\system32\drivers\kernelx86.sys
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\\kernelx86
· type = 1
· start = 3
· Group = SST miniport drivers
· Error Control = 1
· DisplayName = Kernel Debug Service
· image path = c:\windows\system32\drivers\kernelx86.sys
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\\passthru
· type = 1
· start = 3
· tag = 9
· Group = PNP TDI
· Error Control = 1
· DisplayName = Service
· image path = c:\windows\system32\drivers\ndisvvan.sys
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe
· Debugger = wmispqd.exe
Ø HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
· Userinit = userinit.exe,C:\Documents and Settings\%user%\%xx%.exe \s
Catatan: %xx%, adalah karakter acak
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
· %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
· %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services\\mojbtjlt
· type = 1
· start = 0
· Group = SCSI Class
· Error Control = 0
· Image path = System32\drivers\mojbtjlt.sys
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\\mojbtjlt
· type = 1
· start = 0
· Group = SCSI Class
· Error Control = 0
· Image path = System32\drivers\mojbtjlt.sys
Blok fungsi Windows
Untuk memperlancar aksi nya ia akan blok beberapa fungsi windows termasuk disable system restore, disable Windows Firewall, disable RPC DCOM, disable upgrade Service Pack 2 atau tidak bisa menampilkan file yang tersembunyi dengan merubah string pada registry berikut:
Ø HKEY_LOCAL_MACHINE\software\microsoft\ole
· EnableDCOM = N
Ø HKEY_LOCAL_MACHINE\software\microsoft\security center
· AntiVirusDisableNotify = 1
· FirewallDisableNotify = 1
· AntiVirusOverride = 1
· FirewallOverride = 1
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
· DisableConfig = 1
Ø HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate
· DoNotAllowXPSP2 = 1
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\control\lsa
· restrictanonymous = 1
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\control\lsa
· restrictanonymous = 1
Selain dengan membuat string registry tersebut, ia juga akan blok “hampir” semua tools yang umum digunakan dengan cara membaca nama file dari aplikasi tersebut.
BLOK AKSES INTERNET
Sebagai oleh-oleh SmallTroj.VPCG akan blok akses ke website sekuriti termasuk antivirus, dengan cara mengarahkan semua akses ke website www.google.com yang secara tidak langsung menyebabkan Ddos pada situs Google.com, secara tidak langsung hal ini menimbulkan bahaya lain karena produk aktivirus atau program security lain tidak dapat melakukan update definisi dan terancam di infeksi virus baru lainnya. Untuk melakukan hal ini ia akan merubah isi file Host Windows yang berada di direktori [C:\Windows\System32\Drivers\Etc\Hosts] dengan cara menambahkan nomor ip public www.google.com di ikuti dengan alamat website yang akan diblok.
Cara membersihkan W32/Smalltroj. VPCG
1.Nonaktifkan”System Restore” selama proses pembersihan berlangsung
2.Putuskan komputer yang akan di bersihkan dari jaringan maupun internet
3.Ubah nama file [C:\Windws\system32\msvbvm60.dll] untuk mencegah virus aktif kembali.
4.Lakukan pembersihan dengan menggunakan Tools Windows Mini PE Live CD hal ini disebabkan untuk beberapa file rootkit yang menyamar sebagai services dan drivers sulit untuk di hentikan. Silahkan download software tersebut di alamat http://soft-rapidshare.com/2009/11/10/minipe-xt-v2k50903.html.
Kemudian booting komputer dengan menggunakan software Mini PE Live CD tersebut. Setelah itu hapus beberapa file iduk virus dengan cara:
l Klik menu [Mini PE2XT]
l Klik menu [Programs]
l Klik menu [File Management]
l Klik menu [Windows Explorer]
l Kemudian hapus file berikut : (lihat gambar 5)
o C:\Windows\System32
§ wmispqd.exe
§ Wmisrwt.exe
§ qxzv85.exe@
§ qxzv47.exe@
§ secupdat.dat
o C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sebesar 6 kb.
o C:\windows\system32\drivers
§ Kernelx86.sys
§ %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)
§ Ndisvvan.sys
§ krndrv32.sys
o C:\Documents and Settings\%user%\secupdat.dat
o C:\Windows\inf
§ Netsf.inf
§ netsf_m.inf
5.Hapus registri yang dubah dibuat oleh virus, dengan menggunakan "Avas! Registry Editor", caranya:
l Klik menu [Mini PE2XT]
l Klik menu [Programs]
l Klik menu [Registry Tools]
l Klik [Avast! Registry Editor]
l Jika muncul layar konfirmasi kelik tombol "Load....."
l Kemudain hapus registry :
Ø HKEY_LOCAL_MACHINE\software\microsoft\windows\currentvers
on\run\\ctfmon.exe
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services\kernelx86
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\kernelx
86
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\passthru
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\ctfmon.exe
Ø HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
ü Ubah value pada string Userinit menjadi = userinit.exe,
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
ü %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
ü %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
ü %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services\%xx%
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\%xx%
Catatan:
%xx% menunjukan karakter acak, key ini dibuat untuk menjalankan file .SYS yang mempunyai ukuran sebesar 40 KB yang berada di direktori [C:\Windows\system32\drivers\]
6.Restart komputer, pulihkan sisa registry yang diubah oleh virus dengan copy script berikut pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: klik kanan repair.inf | klik install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, software\microsoft\ole, EnableDCOM,0, "Y"
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusOverride,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallOverride,0x00010001,0
HKLM, SYSTEM\ControlSet001\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SYSTEM\ControlSet002\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SYSTEM\CurrentControlSet\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ctfmon.exe
HKLM, SYSTEM\ControlSet001\Services\kernelx86
HKLM, SYSTEM\ControlSet002\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\mojbtjlt
HKLM, SYSTEM\ControlSet002\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\Passthru
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, DoNotAllowXPSP2
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe
7. Hapus file temporary dan temporary internet file. Silahkan gunakan tools ATF-Cleaner. Download tools tersebut di alamat http://www.atribune.org/public-beta/ATF-Cleaner.exe
8. Restore kembali host file Windows yang telah di ubah oleh virus. Anda dapat menggunakan tools Hoster, silahkan download di alamat berikut http://www.softpedia.com/progDownload/Hoster-Download-27041.html. Klik tombol [Restore MS Host File], untuk merestore file hosts Windows tersebut.
9. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini. Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download di alamat berikut Norman Malware Cleaner
http://dedepurnama.blogspot.com
Selain kedua virus tersebut, baru-baru ini telah muncul satu virus lain ikut merampaikan “acara” tutup tahun ini, walaupun virus ini dibuat dengan program bahasa Visual Basic tetapi efek yang dihasilkan cukup merepotkan, ia akan melakukan blok terhadap ”hampir” semua tools security termasuk antivirus yang umum sering digunakan oleh user dengan cara membaca ”nama file” dari aplikasi tersebut.
Virus ini juga akan blok akses ke beberapa website sekuriti dan website lain yang telah ditentukan dengan cara mengalihkan ke nomor ip 209.85.225.99 yang merupakan ip public google. Jadi setiap kali user mencoba untuk akses ke website tertentu termasuk website security/antivirus, maka yang muncul bukan web yang anda inginkan tetapi website www.google.com. Untuk melakukan hal ini ia akan menambahkan alamat website yang akan di blok ke sebuah file dengan nama [C:\Windows\System32\Drivers\etc\hosts]
Virus ini dibuat dengan menggunakan program bahasa Visual Basic, dengan ukuran file sekitar 212-233 KB, sedangkan file pendukung lainnya mempunyai ukuran yang berbeda-beda.
Bagaimana mengenali virus ini?
Sebenarnya tidak terlalu sulit untuk mengenali ciri-ciri virus ini, salah satunya adalah jika user mengakses web security/web antivirus maka ia akan direct ke website www.google.com. Cara lain yang dapat dilakukan adalah dengan memeriksa file host windows anda, jika terdapat ip 209.85.225.99 yang di ikuti alamat website maka kemungkinan besar komputer telah terinfeksi virus ini.Dengan update terbaru, Norman Security Suite mendeteksi virus ini sebagai W32/ SmallTroj.VPCG
FILE INDUK
Pada saat virus ini di aktifkan, ia akan membuat beberapa file induk dan mendownload beberapa file lainnya dari alamat web yang telah ditentukan sebelumnya. File ini akan di simpan dibeberapa lokasi yang akan di aktifkan setiap kali komputer dinyalakan. Virus ini juga akan menyamarkan dirinya sebagai file service Windows dan sebuah drivers sehingga mempersulit dalam proses pembersihan.
Berikut beberapa file yang akan dibuat oleh virus ini:
·C:\windows\system32
ü wmispqd.exe
ü Wmisrwt.exe
ü qxzv85.exe@
ü qxzv47.exe@
ü secupdat.dat
·C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sebesar 6 kb.
·C:\windows\system32\drivers
o Kernelx86.sys
o %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)
o Ndisvvan.sys
o krndrv32.sys
·C:\Documents and Settings\%user%\secupdat.dat
·C:\Windows\inf
oNetsf.inf
onetsf_m.ini
Autorun
Agar file tersebut dapat di jalankan secara otomatis, ia akan membuat string pada registry berikut:
Ø HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
· ctfmon.exe
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services\\kernelx86
· type = 1
· start = 3
· Group = SST miniport drivers
· Error Control = 1
· DisplayName = Kernel Debug Service
· image path = c:\windows\system32\drivers\kernelx86.sys
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\\kernelx86
· type = 1
· start = 3
· Group = SST miniport drivers
· Error Control = 1
· DisplayName = Kernel Debug Service
· image path = c:\windows\system32\drivers\kernelx86.sys
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\\passthru
· type = 1
· start = 3
· tag = 9
· Group = PNP TDI
· Error Control = 1
· DisplayName = Service
· image path = c:\windows\system32\drivers\ndisvvan.sys
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe
· Debugger = wmispqd.exe
Ø HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
· Userinit = userinit.exe,C:\Documents and Settings\%user%\%xx%.exe \s
Catatan: %xx%, adalah karakter acak
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
· %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
· %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services\\mojbtjlt
· type = 1
· start = 0
· Group = SCSI Class
· Error Control = 0
· Image path = System32\drivers\mojbtjlt.sys
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\\mojbtjlt
· type = 1
· start = 0
· Group = SCSI Class
· Error Control = 0
· Image path = System32\drivers\mojbtjlt.sys
Blok fungsi Windows
Untuk memperlancar aksi nya ia akan blok beberapa fungsi windows termasuk disable system restore, disable Windows Firewall, disable RPC DCOM, disable upgrade Service Pack 2 atau tidak bisa menampilkan file yang tersembunyi dengan merubah string pada registry berikut:
Ø HKEY_LOCAL_MACHINE\software\microsoft\ole
· EnableDCOM = N
Ø HKEY_LOCAL_MACHINE\software\microsoft\security center
· AntiVirusDisableNotify = 1
· FirewallDisableNotify = 1
· AntiVirusOverride = 1
· FirewallOverride = 1
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
· DisableConfig = 1
Ø HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate
· DoNotAllowXPSP2 = 1
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\control\lsa
· restrictanonymous = 1
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\control\lsa
· restrictanonymous = 1
Selain dengan membuat string registry tersebut, ia juga akan blok “hampir” semua tools yang umum digunakan dengan cara membaca nama file dari aplikasi tersebut.
BLOK AKSES INTERNET
Sebagai oleh-oleh SmallTroj.VPCG akan blok akses ke website sekuriti termasuk antivirus, dengan cara mengarahkan semua akses ke website www.google.com yang secara tidak langsung menyebabkan Ddos pada situs Google.com, secara tidak langsung hal ini menimbulkan bahaya lain karena produk aktivirus atau program security lain tidak dapat melakukan update definisi dan terancam di infeksi virus baru lainnya. Untuk melakukan hal ini ia akan merubah isi file Host Windows yang berada di direktori [C:\Windows\System32\Drivers\Etc\Hosts] dengan cara menambahkan nomor ip public www.google.com di ikuti dengan alamat website yang akan diblok.
Cara membersihkan W32/Smalltroj. VPCG
1.Nonaktifkan”System Restore” selama proses pembersihan berlangsung
2.Putuskan komputer yang akan di bersihkan dari jaringan maupun internet
3.Ubah nama file [C:\Windws\system32\msvbvm60.dll] untuk mencegah virus aktif kembali.
4.Lakukan pembersihan dengan menggunakan Tools Windows Mini PE Live CD hal ini disebabkan untuk beberapa file rootkit yang menyamar sebagai services dan drivers sulit untuk di hentikan. Silahkan download software tersebut di alamat http://soft-rapidshare.com/2009/11/10/minipe-xt-v2k50903.html.
Kemudian booting komputer dengan menggunakan software Mini PE Live CD tersebut. Setelah itu hapus beberapa file iduk virus dengan cara:
l Klik menu [Mini PE2XT]
l Klik menu [Programs]
l Klik menu [File Management]
l Klik menu [Windows Explorer]
l Kemudian hapus file berikut : (lihat gambar 5)
o C:\Windows\System32
§ wmispqd.exe
§ Wmisrwt.exe
§ qxzv85.exe@
§ qxzv47.exe@
§ secupdat.dat
o C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sebesar 6 kb.
o C:\windows\system32\drivers
§ Kernelx86.sys
§ %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)
§ Ndisvvan.sys
§ krndrv32.sys
o C:\Documents and Settings\%user%\secupdat.dat
o C:\Windows\inf
§ Netsf.inf
§ netsf_m.inf
5.Hapus registri yang dubah dibuat oleh virus, dengan menggunakan "Avas! Registry Editor", caranya:
l Klik menu [Mini PE2XT]
l Klik menu [Programs]
l Klik menu [Registry Tools]
l Klik [Avast! Registry Editor]
l Jika muncul layar konfirmasi kelik tombol "Load....."
l Kemudain hapus registry :
Ø HKEY_LOCAL_MACHINE\software\microsoft\windows\currentvers
on\run\\ctfmon.exe
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services\kernelx86
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\kernelx
86
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\passthru
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\ctfmon.exe
Ø HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
ü Ubah value pada string Userinit menjadi = userinit.exe,
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
ü %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
ü %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
ü %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services\%xx%
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\%xx%
Catatan:
%xx% menunjukan karakter acak, key ini dibuat untuk menjalankan file .SYS yang mempunyai ukuran sebesar 40 KB yang berada di direktori [C:\Windows\system32\drivers\]
6.Restart komputer, pulihkan sisa registry yang diubah oleh virus dengan copy script berikut pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: klik kanan repair.inf | klik install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, software\microsoft\ole, EnableDCOM,0, "Y"
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusOverride,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallOverride,0x00010001,0
HKLM, SYSTEM\ControlSet001\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SYSTEM\ControlSet002\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SYSTEM\CurrentControlSet\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ctfmon.exe
HKLM, SYSTEM\ControlSet001\Services\kernelx86
HKLM, SYSTEM\ControlSet002\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\mojbtjlt
HKLM, SYSTEM\ControlSet002\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\Passthru
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, DoNotAllowXPSP2
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe
7. Hapus file temporary dan temporary internet file. Silahkan gunakan tools ATF-Cleaner. Download tools tersebut di alamat http://www.atribune.org/public-beta/ATF-Cleaner.exe
8. Restore kembali host file Windows yang telah di ubah oleh virus. Anda dapat menggunakan tools Hoster, silahkan download di alamat berikut http://www.softpedia.com/progDownload/Hoster-Download-27041.html. Klik tombol [Restore MS Host File], untuk merestore file hosts Windows tersebut.
9. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini. Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download di alamat berikut Norman Malware Cleaner
http://dedepurnama.blogspot.com
1 comment for "Virus Lokal Mengekploitasi Google"
belom ada anti virus & anti malware yg bisa mengatasi
abis kena beneran soalnya... :D