TrafficRevenue
PC Games HP Games Software E-Book di HP Free E-Book
Jaringan Komputer Software Engineering Pemrograman Sistem Basis Data
Liga Inggris Liga Indonesia Liga Italia Liga Spanyol PSCS Cilacap
Aziz Wisang Geni Agunk Menyenk Dedi Plenkcell Dinar Fuck Georg Fabianto Gusnos Blog Ian Rockstar Mark Empett Tio's Blog
McFly My Chemical Romance
Get paid To Promote at any Location
Saturday, March 6, 2010 | 12:27 PM | 0 Comments

W32/Autorun.AXLB

 Kalau ada yang bisa basmi virus ini ... gua jadiin pacar :-p

Jika Agnes Monica menantang siapapun yang menemukan harga langganan Blackberry yang lebih murah dari miliknya akan dijadikan pacar, sayangnya belum ada artis lain yang mengeluarkan tantangan siapa yang mampu membasmi virus di komputernya akan dijadikan pacar :p.
Di musim penghujan yang diwarnai beberapa bencana longsor di tanah air yang memakan cukup banyak korban jiwa L. Sementara itu, pembuat virus sibuk nonton sinetron, terbukti dari nama-nama file virus yang sibuk mencatut artis-artis sinetron seperti Cinta Laura, Chelsea Olivia, Agnes, Bunga Citra dan Aming (oops yang ini ngga ada) dengan kalimat “sakti” sex, lagi bercinta, telanjang, bugil atau ga pake baju. Maka para pengguna internet, harap hati-hati dan jangan mudah “tergoda” untuk menjalankan file-file yang menarik, apalagi virus ini juga memanfaatkan icon 3GP sehingga tampilan file virus ini seakan-akan file film yang diambil dari Handphone.
Uniknya, varian virus yang diduga berasal dari salah satu sekolah menengah atas di Banjarnegara ini juga mampu melumpuhkan varian virus lokal lain seperti PendekarBlank, Decoil dan Netghost.
 
Oleh Norman Security Suite, kategori virus ini teridentifikasi sebagai W32/Autorun.AXLB. (gambar 1)
Gambar 1. Norman Security Suite mendeteksi sebagai W32/Autorun.AXLB
 
Ciri-ciri file virus
Ciri-ciri dari file virus Cinta Laura diantaranya sebagai berikut : (gambar 2)
 
  • Menggunakan icon 3GP
  • Memiliki ukuran “37” kb
  • Type file “application”
  • Ekstensi “exe”
Gambar 2. Contoh file virus Cinta Laura
 
Gejala / efek virus
Jika komputer anda terinfeksi oleh virus Cinta Laura, maka akan menimbulkan beberapa efek sebagai berikut :
 
·         Menutup / mematikan beberapa fungsi windows seperti System Configuration Utility (MSConfig), Command Prompt (cmd), Task Manager (taskmgr) dan Registry Editor (regedit). Tujuan dari aksi ini adalah mempersulit akses ke utility tools windows yang biasanya digunakan untuk mendeteksi dan membasmi virus.
·         Menutup/mematikan file instalasi dan aplikasi program yang memiliki nama file seperti integrator.exe, registryeditor.exe, processmanager.exe, wordpad.exe, notepad.exe, ansav.exe, installation.exe, install.exe dan setup.exe. Diperkirakan hal ini dilakukan oleh pembuat virus guna memperthaankan dirinya dari pembersihan virus.
·         Melumpuhkan beberapa varian virus lokal yang aktif seperti PendekarBlank (unoccupied.reg, Empty.jpg, zero.txt, hole.zip, blank.doc), Decoil (dkernel.exe,  IExplorer.exe), dan NetGhost (fun.exe, dc.exe, sviq.exe, winamp.exe). Biasanya, hal ini akan menimbulkan aksi balasan dari virus yang dibasmi yang akan mengeluarkan varian baru dan membalas membasmi virus Cinta Laura ini. Ibarat pepatah, “Gajah bertarung, Pelanduk mati di tengah-tengah”, maka jika para pembuat virus ini saling mengeluarkan varian virus baru untuk saling membasmi, maka yang paling menderita adalah pengguna komputer awam yang akan kebanjiran virus baru L. (gambar 3)
Gambar 3. Aksi virus untuk mematikan program/aplikasi
 
·         Menghapus registri dari beberapa varian virus lokal yang aktif seperti PendekarBlank, Decoil, dan NetGhost. (gambar 4)
Gambar 4. Aksi virus untuk menghapus registry virus lokal
 
·         Tidak dapat menampilkan file yang sudah di hidden, walaupun folder options sudah di rubah berkali-kali. (gambar 5)
Gambar 5. Show hidden tidak bisa berubah
 
File-file virus
Sama seperti varian virus lokal yang lain, virus Cinta Laura dibuat dengan menggunakan bahasa pemrograman Visual Basic. Setelah terinfeksi, virus Cinta Laura akan membuat beberapa file, yaitu sebagai berikut :
 
  • C:\$LDR$.sys
  • C:\autorun.inf
  • C:\NTDETECT.exe
 
Sedangkan jika anda memiliki partisi drive lain atau mapping drive, maka virus akan membuat beberapa file virus seperti : (gambar 6)
 
o   .EXE
o   autorun.inf
o   Cinta Laura lg bercinta.exe / Bunga citra in Sex.exe / Chelsea Olivia Telanjang.exe / Agnes Bugil.exe / Cinta Laura Telanjang Baju.exe / Bunga Citra ga pake baju.exe
Gambar 6. Virus menginfeksi USB Flash/Removable Disk
 
Manipulasi Registry
Agar dapat aktif saat komputer dinyalakan, virus akan membuat string registry pada startup windows, yaitu :
 
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = C:\NTDETECT.exe
 
Selain itu, virus mencoba mengalihkan beberapa extensi file dengan kembali membuka file virus. Untuk hal itu, virus membuat string pada :
 
  • HKEY_LOCAL_MACHINE\ SOFTWARE\Classes\batfile\shell\Open\command
(Default) = C:\NTDETECT.EXE
  • HKEY_LOCAL_MACHINE\ SOFTWARE\Classes\cmdfile\shell\Open\command
(Default) =C:\NTDETECT.EXE
  • HKEY_LOCAL_MACHINE\ SOFTWARE\Classes\htmlfile\shell\Open\command
(Default) =C:\NTDETECT.EXE
  • HKEY_LOCAL_MACHINE\ SOFTWARE\Classes\inffile\shell\Open\command
(Default) =C:\NTDETECT.EXE
  • HKEY_LOCAL_MACHINE\ SOFTWARE\Classes\regfile\shell\Open\command
(Default) =C:\NTDETECT.EXE
  • HKEY_LOCAL_MACHINE\ SOFTWARE\Classes\txtfile\shell\Open\command
(Default) =C:\NTDETECT.EXE
 
Media penyebaran
Sama seperti varian virus lokal lain-nya, virus Cinta laura akan menyebar menggunakan media USB Flash / Removable Drive / External Harddisk serta memanfaatkan share drive dan folder. Virus akan membuat 3 file virus seperti pada gambar 7.
 
Gambar 7. Virus menginfeksi USB Flash/Removable Disk
 
Cara Pembersihan Virus
  • Putuskan hubungan komputer yang akan dibersihkan dari jaringan.
  • Nonaktifkan “System Restore” selama proses pembersihan virus.
  • Matikan proses virus yang aktif di memory. Gunakan tools pengganti task manager, seperti IceSword atau tools lain yang tidak di blok oleh virus ini.
Lakukan terminate process pada  file virus yang aktif, berikut langkah-langkah yang dilakukan : (lihat gambar 8)
  • Cari proses yang berjalan dengan nama NTDETECT.EXE.
  • Klik kanan file NTDETECT.EXE, kemudian pilih “Terminate Process”.
 
Gambar 8. Terminate Process virus yang aktif
 
  • Hapus string registry yang telah dibuat oleh virus. Dalam hal ini, kita masih menggunakan tools IceSword karena worm telah men-disable fungsi perbaikan melalui script registry.
 
Berikut langkah-langkah yang dilakukan :
  • Explore file compress IceSword yang sudah di download atau dapat di extract terlebih dahulu, kemudian jalankan (klik 2x) file IceSword.exe.
  •  Pada tab [Registry], hapus string berikut :
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Pada jendela sebelah kanan, hapus value “Windows”.
  • Pada tab [Registry], rubah string berikut :
    •  HKEY_LOCAL_MACHINE\ SOFTWARE\Classes\batfile\shell\Open\command
  • Pada jendela sebelah kanan, rubah value “(Default)” menjadi “”%1”%*”
    •  HKEY_LOCAL_MACHINE\ SOFTWARE\Classes\cmdfile\shell\Open\command
  • Pada jendela sebelah kanan, rubah value “(Default)” menjadi “”%1”%*”
    • HKEY_LOCAL_MACHINE\ SOFTWARE\Classes\htmlfile\shell\Open\command
  • Pada jendela sebelah kanan, rubah value “(Default)” menjadi “”C:\Program Files\Internet Explorer\iexplore.exe” -nohome”
    •  HKEY_LOCAL_MACHINE\ SOFTWARE\Classes\inffile\shell\Open\command
  • Pada jendela sebelah kanan, rubah value “(Default)” menjadi “%SystemRoot%\System32\rundll32.exe”
    • HKEY_LOCAL_MACHINE\ SOFTWARE\Classes\regfile\shell\Open\command
  • Pada jendela sebelah kanan, rubah value “(Default)” menjadi “regedit.exe "%1"”
    • HKEY_LOCAL_MACHINE\ SOFTWARE\Classes\txtfile\shell\Open\command
  • Pada jendela sebelah kanan, rubah value “(Default)” menjadi “%SystemRoot%\System32\NOTEPAD.EXE%1”
Untuk melihat hasil perubahan, sebaiknya logoff/restart.
 
o   Hapus file virus yang mempunyai ciri-ciri sebagai berikut : (lihat gambar 9)
  • Icon “3GP
  • Extension *.exe
  • Ukuran 37 kb
 
Catatan :
  • Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.
  • Untuk mempermudah proses pencarian sebaiknya gunakan "Search Windows" dengan filter file *.exe yang mempunyai ukuran maksimal 37 KB.
  • Hapus file virus yang biasanya mempunyai date modified yang sama.
Gambar 9. Hapus file virus melalui fitur search windows
 
Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan Norman Security Suite atau antivirus yang ter-update dan mengenali virus ini dengan baik.

0 komentar:

Post a Comment

 
Copyright Goelzone | Bermain Sambil Belajar © 2010 - All right reserved - Using Riesha Wijayanto
Best viewed with Mozilla, IE, Google Chrome and Opera. Powered By Blue Ceria