W32/VBWorm.YDT

Jangan tanya apa yang bisa negara berikan kepada kita,

tapi apa yang bisa kita berikan untuk negara,

Bangkit INDONESIA !!!

Kampus Ku……

• Kampusku Rumahku……Kampusku Negeriku……Kampusku Kebebasanku……Kampusku Wahana Kami……

• Disana Kami Dibina……Menjadi Manusia Dewasa……Tapi Kini Apa Yang Terjadi……Kami Ditindas Semena-mena……

• Berjuga Rakyat Menanti Tanganmu……Mereka Lapar Dan Bau Keringat……

• Ku Sampaikan Salam-Salam Perjuangan……Kami Semua Cinta XXXX

• Kaumku Mahasiswa……Dimana Kini Kau Berada……Belenggu Disisi Kirimu……Penjara Disisi Kananmu……

• Berjuta Rakyat Menanti Tanganmu……Mereka Lapar Dan Bau Keringat……

• Ku Sampaikan Salam-Salam Perjuangan……Kami Semua Cinta-Cinta XXXX

Salam Pembebasan……

Architecture By:

=> T I N S <=

T I N S <=> XXXX

Pengantar

Siapa lagi yang dapat diharapkan selalu idealis dan kritis sepanjang masa selain mahasiswa. Pada saat peralihan Orde Baru tercatat mahasiswa salah satu pihak yang berani menentang penguasa dan memaksakan pergantian rezim walaupun terkadang terjadi dengan pengorbanan darah dan airmata. Umur manusia boleh bertambah dan yang dulunya mahasiswa sekarang sudah tidak mahasiswa lagi, tetapi mahasiswa yang lulus selalu akan digantikan dengan mahasiswa baru dengan idealisme dan kekritisannya. Tercatat juga dalam perseteruan dua lembaga negara (atau lebih) yang banyak dianalogikan sebagai pertempuran cicak lawan buaya, sampai-sampai ada lomba banting buaya (karet) dan lomba makan roti buaya yang diadakan oleh pendukung salah satu lembaga yang berseteru, mahasiswa juga terlibat secara aktif membela lembaga yang menurut hati nuraninya benar. Bukan hanya dalam masalah negara yang besar, tetapi dalam masalah sehari-hari, dimana terjadi pemadaman listrik bergilir sampai-sampai PLN disingkat menjadi Perusahaan Lilin Negara atau sindiran yang banyak menyebar melalui internet, baik Facebook, email maupun Blackberry Chat dimana dikatakan bahwa PLN akan menghilangkan sama sekali pemadaman bergilir dan sebagai gantinya akan dilakukan penyalaan bergilir, mahasiswa juga beraksi menuntut perbaikan http://www.detiknews.com/read/2009/10/27/174354/1229648/10/protes-pemadaman-ratusan-mahasiswa-demo-pln-wilayah-riau.

Mungkin karena ke kritisan tersebut, walaupun melakukan hal yang sebenarnya kurang terpuji (membuat virus) namun positifnya adalah virus yang di deteksi Norman Security Suite sebagai W32/VBWorm.YDT mengubah header dari Windows Media Player menjadi :

Windows Media Player provided by KORUPTOR PENGHIANAT BANGSA !!! (LIHAT GAMBAR 9 DI BAWAH)

Serta menampilkan pesan yang dikutip dari pidato John F. Kennedy

“Ask not what your country can do for you; Ask what you can do for your country”

IIngin tahu lebih jauh ? Silahkan simak artikel yang dibuat oleh Vaksinis Aj Tau dibawah ini.

Secara umum virus ini tidak akan merusak data pada komputer yang terinfeksi, walaupun demikian ia akan menghilangkan beberapa fungsi windows seperti Disable /span> Registry Editor, menghilangkan menu Folder Options, Disable Task Manager dan fungsi Windows lainnya dengan tujuan agar user kesulitan untuk menghapus keberadaan virus tersebut. Virus ini mempunyai misi sosial dengan menampilkan sejumlah pesan baik pada saat komputer dinyalakan, saat user menjalankan aplikasi Internet Explorer atau pada saat screen saver Windows aktif. Virus ini juga akan mengganti halaman utama dari internet explorer dengan alamat web salah satu universitas sains yang cukup top di Jakarta. Apakah yang membuat adalah mahasiswa dari universitas ini dari bagian TINS … (Teknik Industri ??) …… walahualam.

Ciri-ciri komputer terinfeksi VVBworm YDT

• Menampilkan pesan pada browser Internet Explorer. (lihat gambar 1)
  

  

  Gambar 1, Pesan yang akan di tampilkan pada saat Internet Explorer dijalankan

• Mengganti halaman utama Internet Explorer dengan alamat web http://istn.ac.id (lihat gambar 2)
  

  

  Gambar 2, Halaman utama yang akan ditampilan saat menjalankan IE

• Menampilkan pesan sosial pada saat sreen saver Windows aktif. Screen saver ini akan aktif setiap 1 menit. (lihat gambar 3)
  

  

  Gambar 3, Pesan yang akan tampil saat Screen Saver Windows aktif

• Menambahkan kata =>TINS<= pada format jam windows (lihat gambar 4)
  

  

  Gambar 4, Tulisan =>TINS<= yang diselipkan di sebelah jam.

• Menampilkan pesan error berikut pada saat komputer dinyalakan/span> (lihat gambar 5)
  

  

  Gambar 5, Pesan error saat komputer di jalankan

Virus VB/span> dengan icon Winrar

Virus ini dibuat dengan menggunakan program bahasa Visual Basic dengan ukuran file mencapai 536 KB. Untuk mengelabui user ia akan menggunakan icon WINRAR (Winrar Self Extractor) dan menggunakan nama file [SOFWARE.EXE] sehingga user beranggapan bahwa file tersebut adalah kumpulan file software yang di kompres. File tersebut akan mempunyai type file sebagai “Application” sehingga jika dijalankan bukannya akan mengekstrak file tetapi langsung mengaktifkan virus. (lihat gambar 6)

Gambar 6, File induk VBWorm.YDT

Dengan update terakhir Norman Security Suite mengenali sebagai VBWorm.YDT. (lihat gambar 7)

Gambar 7, Norman Security Suite mendeteksi virus ini sebagai Worm:W32/VBWorm.YDT

Pada saat file virus di jalankan ia akan menampilkan layar berikut dan menjalankan file [C:\ C:\Program Files\Outlook Express\wab.exe], diperkirakan pesan ini dimunculkan supaya korbannya tidak curiga kalau komputernya sebenarnya sudah di infeksi virus (lihat gambar 7 dan 8)

GGambar 7, Dialog box pertama yang dimunculkan ketika virus dijalankan

Gambar 8, Dialog Box kedua yang dijalankan ketika virus diaktifkano:p>

Kemudian akan membuat beberapa file induk yang akan di jalankan pada saat komputer dinyalakan

• %Drive%\:>software.exe

• %Drive%\:>autorun.inf

• C:\Windows\system32\explorer.exe

• C:\Windows\atn.htm

• C:\Windows\master.exe

• C:\Documents and Settings\%user%\NetHood\software.exe

Catatan: %Drive%, menunjukan lokasi Drive [Contoh: C:\ atau D:\]

Agar salah satu file tersebut dapat dijalankan ia akan membuat string pada registry berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • explorer = C:\WINDOWS\system32\explorer.exe

Disable Aplikasi Utility Windows

Untuk mempersulit proses penghapusan, ia akan mencoba untuk mematikan beberapa aplikasi utility windows seperti Task Manager, CMD, Registry Editor atau Folder Options dan fungsi windows lainnya dengan membuat string pada registry berikut

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

  • NoDevMgrPage

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

  • NoFInd

  • NoRun

  • NoFolderOptions

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

  • DisableRegistryTools

  • DisableTaskMgr

  • DisableCMD

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

  • NeverShowExt

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

• DisableCurrentUserRun

• NoSaveSettings

Koruptor Penghianat Bangsa !!!

Walaupun melumpuhkan beberapa fungsi windows di atas, tetapi kelihatannya pembuat vvirus ini tidak melakukan perusakan terhadap data user. Virus ini akan lebih banyak menampilkan pesan sosial baik pada saat komputer dinyalakan atau pada saat screen saver Windows aktif,

• Pesan sosial saat Screen Saver aktif yang akan di aktifkan setiap 1 (satu) menit sekali, dengan membuat string pada registry berikut:

HKEY_CURRENT_USER\Control Panel\Desktopo:p>

- SCRNSAVE.EXE = C:\WINDOWS\system32\\ssmarque.scr

HKEY_CURRENT_USER\Control Panel\Screen Saver.Marquee

- Text = Jangan tanya apa yang bisa negara berikan kepada kita, tapi apa yang bisa kita berikan untuk negara, Bangkit INDONESIA !!! (lihat gambar 3 di atas)

§ Mengubah Header Windows Media Player (lihat gambar 9) dengan terlebih dahulu membuat string pada registry berikut

HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsMediaPlayer

- TitleBar = KORUPTOR PENGHIANAT BANGSA !!!

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsMediaPlayer

- TitleBar = KORUPTOR PENGHIANAT BANGSA !!!

Gambar 9, Header Windows Media Player akan ditambahi tulisan “provided by KORUPTOR PENGHIANAT BANGSA !!!

§ Virus ini juga akan merubah format tampilan jam seperti yang terlihat pada gambar 4 di atas dengan terlebih dahulu merubah string pada registry berikut

HKCU\Control Panel\International

- s1159= =>TINS<=

- s2359= =>TINS<=

§ Menampilkan pesan pada sebuah file html dengan nama [atn.htm] yang akan ditampilkan pada saat komputer dinyalakan (lihat gambar 1 di atas)

VBWorm.YDT juga akan meninggalkan jejak lain dengan merubah nama pemilik windows menjadi =>TINS<= (lihat gambar 10) dengan merubah string pada registry berikut

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

- RegisteredOrganization =""

- RegisteredOwner = =>TINS<=

Gambar 10, Nama pemilik Windows yang telah di ubah oleh VBWorm.YDT

Kampus ISTN

Sebagai penutup ia akan merubah halaman awal pada Internet Explorer dengan mempromosikan alamat sebuah kampus sains (lihat gambar 2 di atas) dengan terlebih dahulu merubah string pada registry berikut :

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

- Start Page = http://istn.ac.id

Dengar MP3 malah menjalankan virus

Virus ini memiliki cara yang unik tetapi cukup cerdik dalam menyebarkan dirinya, dimana setiap kali user mengjalankan file MP3, malahan akan mengaktifkan file C:\Windows\master.exe yang sebenarnya adalah file virus.

Untuk melakukan hal tersebut ia akan merubah string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp3file

- DEFAULT = STOP PEMBAJAKAN

- "" = STOP PEMBAJAKAN

- MPlayer2.BAK = STOP PEMBAJAKAN

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp3file\DefaultIcon

- Default = C:\WINDOWS\master.exe,1

HKEY_CLASSES_ROOT\mp3file

- DEFAULT = STOP PEMBAJAKAN

- "" = STOP PEMBAJAKAN

- MPlayer2.BAK = STOP PEMBAJAKAN

HKEY_CLASSES_ROOT\mp3file\DefaultIcon

- Default = C:\WINDOWS\master.exe,1

Media Penyebaran

Untuk menyebarkan dirinya, ia akan memanfaatkan fungsi autorun Windows sehingga ia akan aktif secara otomatis saat user mengakses drive dengan terlebih dahulu membuat file [autorun.inf] dan [software.exe] disetiap drive termasuk di Flash Disk. Script [autorun.inf] ini akan menjalankan file virus yang yang di simpan di drive yang sama dengan nama [software.exe] (lihat gambar 11)

Gambar 11, Script autorun yang akan menjalankan virus secara otomatis

Cara membasmi VBWorm.YDT

1. Disable System Restore saat proses pembersihan dilakukan

2. Matikan proses yang aktif di memori dengan menggunakan tools pengganti Task Manager seperti Security Task Manager, silahkan download tools tersebut di alamat berikut: http://www.neuber.com/taskmanager/download.html

Kemudian matikan proses yang mempunyai icon [WINRAR Self Extractor]. (lihat gambar 12)

Gambar 12, Mematikan proses virus dengan menggunakan Security Task Manager

3. Fix registry yang telah di ubah oleh virus, untuk mempercepat proses perbaikan registry, salin script dibawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.INF. Jalankan file tersebut dengan cara:

- Klik kanan REPAIR.INF

- Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, Software\Microsoft\Internet Explorer\Main, tart Page,0, "about:blank"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner"

HKCU, Control Panel\International, s1159,0 "AM"

HKCU, Control Panel\International, s2359,0, "PM"

HKCU, Control Panel\Desktop, SCRNSAVE.EXE,0, ""

HKCU, Control Panel\Screen Saver.Marquee, text,0, "Your text goes here."

HKLM, SOFTWARE\Classes\mp3file,,,"MP3 Format Sound"

HKLM, SOFTWARE\Classes\mp3file\DefaultIcon,,,"C:\PROGRA~1\WINDOW~3\wmplayer.exe,-120"

HKCR, mp3file\DefaultIcon,,,"C:\PROGRA~1\WINDOW~3\wmplayer.exe,-120"

bb[del]

HKLM, SOFTWARE\Classes\mp3file,""

HKLM, SOFTWARE\Classes\mp3file,MPlayer2.BAK

HKCR, mp3file,""

HKCR, mp3file,MPlayer2.BAK

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies, NoDevMgrPage

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFInd

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, DisableCurrentUserRun

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoSaveSettings

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, DisableTaskMgr

HKLM, SOFTWARE\Classes\exefile, NeverShowExt

HKCU, Software\Policies\Microsoft\WindowsMediaPlayer, TitleBar

HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsMediaPlayer, TitleBar

4. Hapus file virus yang berada di ditektori

- %Drive%\:>software.exe

- %Drive%\:>autorun.inf

- C:\Windows\system32\explorer.exe

- C:\Windows\atn.htm

- C:\Windows\system.exebbbbb

- C:\Documents and Settings\%user%\NetHood\software.exe

Sebelum menghapus file tersebut, tampilkan terlebih dahulu file yang tersembunyi dengan merubah setting pada Folder Options dengan cara (lihat gambar 13) :

- Buka Windows Explorer

- Klik menu [Tools]

- Klik menu [Folder Options]

- Klik tabulasi [View]

- Pilih opsi [Show hidden files and folders]

- Hilangkan tanda centang pada opsi [Hide protected operating system files (recommended)]

- Klik tombol [Apply]

- Klik tombol [Ok]

Gambar 13, Menampilkan file yang tersembunyi

5. Untuk pembersihan optimal dan mecegah infeksi ulang, silahkan scan dengan antivirus yang sudah dapat mendeteksi virus ini dengan baik

Silahkan download Norman Securit Suite di alamat berikut

http://www.norman.com/downloads/home/58573/en-us

Atau download Norman Malware Cleaner di alamat berikut

http://www.norman.com/support/support_tools/58732/en-us

salam,

Aj Tau

info@vaksin.com

Ada 2 cara untuk mengatasi blinking yang terjadi di printer epson T11 yaitu secara Adjustment program dan manual. untuk cara yang pertama adjustment program relatif mudah menggunakan sebuah software yang dapat di download disini ( Ajudment Program Resetter T 11 ) . tinggal install saja dan langsung pilih printer yang diinginkan..


Untuk cara yang kedua.. bisa menggunakan cara manual dengan tutorial sebagai berikut :

Saya telah mencobanya sendiri dan berhasil.








Silahkan anda coba sendiri dan jika terjadi
kerusakan saya tidak menanggungnya!.

Langkah-langkah:

1. Siapkan peralatan seperti gambar dibawah ini (obeng kembang, obeng minus, dan
potongan kabel.









2. Buka bodi printer (gambar setelah bodi printer epson T11 terbuka)









3. Buka tempat penahan kertas










Gambar Setelah tempat penahan kertas dibuka













4. Cabut semua kabel (kabel data & power) pada mainboard T11















Gambar setelah kabel yang terhubung ke mainboard T11 tercabut












5. Lepaskan mainboard T11 dari bodi printer terlebih dahulu dengan mencopot sekrup
penempelnya











Gambar setelah mainbaord dicopot












6. Perhatikan pada papan mainboard ada chip kecil seperti gambar berikut (yang
dilingkar merah




7. Kupaslah kabel yang telah disiapkan dan ambilah kawatnya



8. Berikut saya visualisasikan memakai gambar vektor saja karena hasil jepretan foto
agak kabur.




B. Hubungkan kawat kabel yang telah dipotong ke kaki chip 1-4



9. Setelah anda melakukan langkah 8 B, kemudian anda pasang lagi mainboard tersebut
ke printer, lalu pasang kembali kabel data & kabel powernya beserta sekrup-sekrup
penempel mainboard ke bodi printer.

10. Setelah itu hidupkan printer. Jreeeeeng!..... printer hidup kembali (berdasarkan
pengalaman saya). Kalau berhasil lampunya sudah tidak blinking.

11. Setelah itu anda matikan lagi printer.

12. Copot lagi mainboard epson.

13. Copot lagi kawat kabel yang menempel pada kaki chip pin 1-4

14. Kemudian pasang kembali mainboard ke bodi printer beserta kabel data dan kabel
powernya, kencangkan sekrupnya.

15. Hidupkan lagi printernya.

16. Selesai.

Catatan:
Setelah langkah ke-10, jangan lupa untuk melepaskan kembali kabel kawat yang
menempel pada kaki chip pin 1-4.
Jika anda lupa mencopotnya komputer akan membaca printer anda sebagai Epson S 20
(berdasarkan pengalaman saya).

Terima Kasih
TECHNICAL SUPPORT THE PEAK INTERNET GAME ONLINE

Apakah anda sedang putus cinta atau patah hati??? Jangan khawatir, karena “Sandra Dewi” akan membantu anda. Loh??? Ko bisa??? Hehehe, jangan salah paham dulu, Sandra Dewi ini bukanlah Sandra Dewi yang beneran loh... (klo itu juga saya mau… J).

Jika anda penggemar gadis berparas cantik ini, maka anda perlu berhati-hati karena telah menyebar varian virus baru dengan menggunakan nama “Sandra Dewi”. Dari script virus yang dibuat, si pembuat virus ini juga ikut membawa dan memunculkan nama salah satu kampus komputer di Kalimantan Timur.

Cinta Ditolak VIRUS bertindak

Sangat sakit rasanya apabila cinta kita ditolak oleh seseorang,

pada zaman dahulu orang menggunakan fasilitas dukun sebagai media untuk mendapatkan cintanya

Seiring dengan berkembangnya Teknologi informasi,

media yang digunakannya untuk mendapatkan cintanya adalah VIRUS

Norman Security Suite mendeteksi varian virus Sandra Dewi sebagai W32/Obfuscated.B!genr. (lihat gambar 1 dan 2)

Gambar 1. Norman Security Suite dengan teknologi Sandbox dan DNA Matching tanpa update mendeteksi virus Sandra Dewi sebagai new unkown virus.

Gambar 2, NSS setelah update mengidentifikasi Sandra Dewi Bugil.exe sebagai W32/Sadra.A

File virus

Ciri-ciri dari file virus ini, diantaranya sebagai berikut :

• Memiliki ukuran file sebesar “132 kb”.
• Mempunyai type file “Application”.
• Berextension file “exe”.
• Memiliki icon gambar (JPEG image).

Virus Sandra Dewi dibuat dengan menggunakan bahasa pemrograman visual basic. Jika virus berhasil menginfeksi, maka ia akan membuat beberapa file virus diantaranya :

• C:\Sandra Dewi Bugil.exe (pada semua root drive)
• C:\Documents and Settings\%user%\Start Menu\Programs\Startup\Sandra Dewi Bugil.exe
• C:\WINDOWS\Sandra Dewi Bugil.exe
• C:\WINDOWS\system32\ Sandra Dewi Bugil.exe
• Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb. (lihat gambar 2)

Gambar 2. Contoh file virus Sandra Dewi

Pesan sebelum login

Masih ingat dengan virus Blue Fantasy, virus yang menampilkan pesan sebelum login, dan kini virus Sandra Dewi juga menampilkan sebuah pesan. (lihat gambar 3)

Gambar 3. Virus Sandra Dewi in Action (duplikat dan hidden folder)

Blok fungsi Windows

Sebagai bentuk pertahanan, virus akan mencoba melakukan usaha blok terhadap beberapa fungsi Windows. Beberapa fungsi Windows yang di blok diantaranya sebagai berikut :

• Folder Options (dilakukan untuk mencegah akses terhadap file/folder yang disembunyikan)
• Registry Editor (dilakukan untuk mencegah akses perbaikan registry)
• Search/Find (dilakukan untuk mencegah dari pembersihan virus)
• Command Prompt (dilakukan untuk mencegah dari proses kill virus)
• Task Manager (dilakukan untuk mencegah proses monitoring virus) (lihat gambar 4)
• Control Panel (dilakukan untuk mencegah akses kontrol dari OS komputer)
• MsConfig/System Configuration Utility (dilakukan untuk mencegah akses pada startup)

Gambar 4. Virus Sandra Dewi in Action (blok fungsi windows)

Selain itu, virus juga mencoba melakukan usaha blok terhadap beberapa fungsi Windows yang lain seperti diantaranya :

• Disable klik kanan pada desktop.
• Disable “All Programs” pada Start Menu.
• Disable menu Log Off/Turn Off pada Start Menu.

Dengan usaha ini, virus mencoba agar pengguna komputer kesulitan dalam menjalankan program tertentu, dan bahkan kesulitan untuk me-restart, log-off maupun shutdown komputer.

Merubah informasi System Properties

Pada System Properties, virus akan merubah RegisteredOwner menjadi Dewi Bugil dan RegisteredOrganization menjadi Sandra. (lihat gambar 5)

Gambar 5. Merubah nama pemilik Windows menjadi Sandra Dewi Bugil

Merubah header Internet Explorer

Virus akan merubah header Internet Explorer (IE) saat akan menjalankan aplikasi Internet Explorer, dengan tambahan ::CREATION::BUDI::DARMA::.

Gambar 6. Header Internet Explorer yang sudah diubah

Aktif pada start up dengan menjalankan program Splash

Untuk memastikan agar file dapat berjalan dengan baik pada saat komputer dijalankan, virus menyisipkan file virus pada startup windows sehingga akan langsung aktif jika kita sudah masuk windows.. File virus yang aktif pada startup yaitu :

• C:\Documents and Settings\%user%\Start Menu\Programs\Startup\Sandra Dewi Bugil.exe

File virus yang aktif ini menjalankan program Splash, program ini tidak dapat di geser ataupun di tutup kecuali pada tombol Keluar. Jika tombol Keluar di klik, maka akan muncul pop-up KONFIRMASI kirim email kepada budi_9***@yahoo.com. Apapun yg di klik, baik tombol Yes maupun No akan membuat shutdown komputer kita dengan memunculkan jendela System Shutdown dalam waktu 1 menit.

Gambar 7.Program Splash Sandra Dewi yang aktif dengan mencantumkan sebuah kampus

Gambar 8.Pop-up KONFIRMASI saat kita klik tombol Keluar pada program tsb.

Gambar 9.Pop-up System Shutdown saat kita klikYes atau No dengan waktu 1 menit.

Registry windows

Untuk melakukan blok fungsi windows, virus akan membuat string registry sebagai berikut :

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoClose = 1

NoControlPanel = 1

NoFind = 1

NoFolderOptions = 1

NoRun = 1

NoStartMenuMorePrograms = 1

NoViewContextMenu = 1

NoViewOnDrive = 1

StartMenuLogoff = 1

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableRegistryTools = 1

DisableMsConfig = 1

DisableTaskMgr = 1

Agar dapat melakukan blok fungsi “Command Prompt” windows, virus akan membuat string registry yang berbeda yaitu sebagai berikut :

• HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\system

DisableCMD = 1

Agar dapat memunculkan pesan sebelum login, maka virus membuat string registry sebagai berikut :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

LegalNoticeCaption = Cinta Ditolak VIRUS Bertindak.::CREATION BUDI DARMA::.

LegalNoticeText = Sangat sakit rasanya apabila cinta kita ditolak oleh seseorang, pad zaman dahulu orang menggunakan fasilitas dukun sebagai media untuk mendapatkan cintanya. Seiiring dengan berkembangnya Teknokogi Informasi media yang digunakan untuk mendapatkan cintanya adalah VIRUS.

Metode Penyebaran

Virus ini menggunakan removable drive/usb sebagai sarana penyebaran dirinya. File yang akan di buat virus yaitu :

• Sandra Dewi Bugil.exe

Cara pembersihan virus Sandra Dewi

• Sebaiknya putuskan hubungan komputer yang akan dibersihkan dari jaringan.
• Matikan “System Restore” selama proses pembersihan virus (untuk Windows XP/Vista)
• Matikan proses virus yang aktif di memory. Gunakan tools pengganti task manager, seperti Process Explorer (dapat anda download pada alamat berikut)

http://www.sysinternals.com/utils/index.html

• Lakukan kill process, pada beberapa file virus yang aktif yaitu :
  • C:\Documents and Settings\%user%\Start Menu\Programs\Startup\Sandra Dewi Bugil.exe
  • C:\WINDOWS\ Sandra Dewi Bugil.exe (lihat gambar 10)

Gambar 10. Kill process virus yang aktif

• Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCR, batfile\shell\open\command,,,"""%1"" %*"

HKCR, comfile\shell\open\command,,,"""%1"" %*"

HKCR, exefile\shell\open\command,,,"""%1"" %*"

HKCR, piffile\shell\open\command,,,"""%1"" %*"

HKCR, lnkfile\shell\open\command,,,"""%1"" %*"

HKCR, scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner"

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001,1

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue, 0x00010001,2

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableMsConfig

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Policies\Microsoft\Windows\system, DisableCMD

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoClose

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoControlPanel

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoStartMenuMorePrograms

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoViewContextMenu

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoViewOnDrive

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, StartMenuLogoff

Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik pada menu File pada windows explorer, kemudian pilih install.

Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

• Hapus file virus yang mempunyai ciri-ciri sebagai berikut :
  • Icon gambar (JPEG Image)
  • Extension exe
  • Ukuran 132 kb

Catatan

• Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.
• Untuk mempermudah proses pencarian sebaiknya gunakan "Search Windows" dengan filter file *.exe yang mempunyai ukuran 133 KB.
• Hapus file virus yang biasanya mempunyai date modified yang sama. (lihat gambar 11)

Gambar 11. Hapus file virus melalui fitur search windows

• Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik. Anda dapat pula menggunakan tools Norman Malware Cleaner yang dapat anda download pada

http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

Ad Sap

info@vaksin.com

Di dunia virus lokal, bahasa pemrograman yang menjadi “Cinta Terlarang” adalah Visual Basic. Tetapi rupanya bukan hanya Visual Basic saja yang bisa dijadikan sebagai program untuk membuat virus. Berikut ini Vaksincom memberikan satu virus lokal yang sedang mengganas di Indonesia dan selain tidak menggunakan bahasa “terlarang” Visual Basic melainkan VBS, virus ini memiliki banyak sekali kecanggihan seperti mengenkripsi kodenya, merekayasa file virus menjadi file video dan menyebabkan CD / DVD Rom anda terbuka terus dan kalau anda tutup akan terbuka lagi, sampai korbannya akan bertanya “What this is ??”. Kalau di ranah musik pop, virus yang satu ini ibaratnya lagu Tak Gendong yang lagi ngetop. Tertarik ? ... Follow me .... okay :P.

Virus lokal tidak selalu dibuat dengan menggunakan program Visual Basic, sudah banyak virus lokal yang dibuat dengan menggunakan program bahasa lain yang tentunya mempunyai efek yang cukup berbahaya, contohnya program VBS, walaupun virus ini “hanya” dibuat dengan menggunakan program VBS tetapi aksi yang dilakukan cukup “menegangkan” juga.

Harap Waspada, saat ini telah beredar salah satu virus yang dibuat dengan menggunakan VBS, saat ini penyebarannya masih di kawasan Jogjakarta [jadi bisa ditebak kira-kira asal dari virus ini). Tidak seperti kebanyakan Virus made in VBS, kali ini ia akan mengenkripsi code nya sehingga tidak mudah untuk di baca.

Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai VBS/Cryf.A (lihat gambar 1 dan 2)

Gambar 1, Hasil deteksi Norman Security Suite

Gambar 2, File induk VBS/Cryf.A

Ciri komputer yang “Tak Gendong” oleh VBS/Cryf.A

Komputer yang terinfeksi VBS/Cryf.A mudah dikenali dengan beberapa jejak yang ditinggalkannya, diantaranya:

• Pada saat komputer pertama kali dinyalakan, akan muncul program [Internet Explorer] yang menampilkan sosok yang cukup “menyeramkan”, tetapi kelihatannya bukan gambar Mbah Surip :P (lihat gambar 3)

Gambar 3, Jendela Internet Explorer yang akan ditampilkan saat komputer dinyalakan

• Merubah halaman utama [start page] program [Internet Explorer] untuk menjalankan file yang berada didirektori [C:\WINDOWS\windows.html] yang berisi pesan dari pembuat virus. (lihat gambar 4)

Gambar 4, Halaman utama yang sudah diubah oleh virus

• Ada folder “Album BOKEP” di setiap drive dan Flash Disk yang isinya seakan-akan file movie porno yang sebenarnya merupakan file virus yang siap “menggendong” komputer anda bila anda jalankan.

• Merubah nama organisasi dan nama pemilik Windows menjadi Registered to CRY Shemale (lihat gambar 5)

Gambar 5, Nama organisasi dan nama pemilik windows yang sudah diubah oleh virus

• Merubah type file “Shortcut” [.lnk] mejadi “Movie Clip” yang sebenarnya adalah suatu rekayasa sosial yang cukup cerdik sehingga korbannya akan mengira file virus “.lnk” adalah file film. (lihat gambar 6)

Gambar 6, Type file [lnk] diubah menjadi “Movie Clip

Ciri-ciri File Virus

File induk VBS/Cryf.A ini mempunyai nama [drvconfg.drv] dengan ukuran file sebesar 218 KB, file ini mempunyai ekstensi [.drv] dan mempunyai type file sebagai “device driver”, file ini akan di enkipsi sehingga kode virusnya tidak mudah di baca.

Pada saat file virus di jalankan, pertama kali yang akan di lakukan adalah memanggil file [svchost.vbs] yang sudah di ekript yang berada di direktori [%Driver%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db]. Kemudian file [svchost.vbs] ini akan menjalankan file utama virus yakni file [drvconfg.drv], file inilah yang berisi runtime untuk menginfeksi dan menanamkan aksi-aksi lain nya di dalam komputer target. (lihat gambar 6 dan 7)

Gambar 6, File shortcut virus yang akan mengaktifkan file [svchost.vbs]

Gambar 7, File induk virus

Pada saat user menjalankan dirinya, VBS/Cryf.A akan memanggil program [Windows Media Player] seperti yang terlihat pada gambar 8 dibawah ini :

Gambar 8, VBS/Cryf.A membuka program Windows Media Player saat dijalankan

Kemudian akan membuat beberapa file induk yang salah satunya akan dijalankan saat komputer dinyalakan:

• %Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db

• svchost.vbs

• desktop.ini

• drvconfg.drv

• SHELL32.dll

• C:\windows

  • appsys.exe

  • Winupdt.scx

  • appopen.scx

  • Windowsopen.mht

  • Windows.html

  • Regedit.exe.lnk

  • Help.htm

• C:\Windows\system\svchost.exe

• C:\WINDOWS\system32

  • Svchost.dls

  • Corelsetup.scx

  • Appsys.dls

  • Kernel32.dls

  • Taskmgr.exe.lnk

• C:\WINDOWS\system32\

  • Winupdtsys.exe

  • ssmarque.scr

• C:\Program Files\FarStone\qbtask.exe

• C:\Program Files\ACDsee\Launcher.exe

• C:\Program Files\Common Files\NeroChkup.exe

• C:\Program Files\ExeLauncher

• %ProgramFiles%\drivers\VGA\VGAdrv.lnk

• C:\Documents and Settings\Elvina\Desktop\Local Disk (C).dls

Catatan:

%Drive% adalah lokasi Drive (contoh: C:\ atau D:\]

%Program Files adalah [C:\Program Files]

Agar file tesebut dapat dijalankan secara otomatis pada saat komputer aktif, ia akan membuat beberapa string pada registry berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • ACDsee = c:\Program Files\ACDsee\Launcher.exe

  • CorelSetup = C:\WINDOWS\system32\Corelsetup.scx

  • updtsystem = C:\WINDOWS\system32\Winupdtsys.exe

  • VGAdriver = %ProgramFiles%\drivers\VGA\VGAdrv.lnk

  • VirtualCD Task = c:\Program Files\FarStone\qbtask.exe

  • WinSystem = c:\Windows\Windowsopen.mht

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  • Shell = explorer.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

  • Userinit = C:\WINDOWS\system32\userinit.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  • NeroFilterCheck = c:\Program Files\Common Files\NeroChkup.exe

• HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

  • Start Page = C:\WINDOWS\windows.html

Untuk file induk virus yang mempunyai ekstensi [SCX] dan [DLS], agar file tersebut dapat dijalankan, ia akan membuat registry di bawah ini. Agar file tersebut dapat dijalankan ia akan memanfaatkan file [C:\Windows\System32\wscript.exe]

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scxfile

• [Default] = VBScript Script File

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scxfile\shell\open\command

• [Default] = %SystemRoot%\System32\wscript.exe %1

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dlsfile

  • [Default] = VBScript Script File

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dlsfile\shell\open\command

  • [Default] = %SystemRoot%\System32\wscript.exe %1

Untuk mempertahankan eksistensinya ia akan mencoba untuk blok beberapa fungsi windows seperti :

• Task Manager

• Regedit

• CMD

• MSCONFIG

• Tidak dapat merubah Wallpaper

Untuk melakukan hal tersebut, ia akan membuat beberapa string pada registry berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop

• NoChangingWallpaper

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

• nobandcustomize

• nochangestartmenu

• NoDriveAutoRun

• NoDrivetypeautorun

• NoFileAssociate

• nosavesettings

• NOTOOLBARCUSTOMIZE

• NoRecycleFiles

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

• DisableCMD

• DisableRegistryTools

• DisableTaskMgr

• NoDispScrSavPage

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

• NoDriveAutoRun

• NoDriveTypeAutoRun = 95

Selain dengan membuat registry di atas, agar user tidak dapat menjalankan fungsi Regadit/Task Manager/CMD atau MSConfig, ia akan menyembunyikan file tersebut [regedit.exe, tskmgr.exe. cmd.exe dan MSConfig.exe] dan sebagai gantinya ia akan membuat file yang sama bedanya ia akan mempunyai dua ekstensi yakni [.exe.lnk], antara file “gadungan” dan file asli akan mempunyai icon yang sama. Jika user mencoba untuk memanggil salah satu fungsi Windows tersebut maka akan muncul pesan error berikut (lihat gambar 9 dan 10) :

Gambar 9, Pesan error saat menjalankan salah satu fungsi Windows

Gambar 10, File gadungan [regedit.exe.lnk] yang dibuat oleh virus

Tetapi jika user mencoba untuk langsung menjalankan file “gadungan” yang telah dibuat oleh virus sebagai pengganti file asli yang telah disembunyikan [contoh: regedit.exe.lnk] maka secara otomatis akan menjalankan file virus yang berada di direktori [C:\WINDOWS\system32\svchost.dls].

Selain itu ia juga akan melakukan Debugger terhadap ketiga fungsi windows tersebut untuk menjalankan file virus [C:\WINDOWS\appsys.exe] dengan membuat string pada registry berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMD.exe

  • Debugger = C:\WINDOWS\appsys.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

  • Debugger = C:\WINDOWS\appsys.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

  • Debugger = C:\WINDOWS\appsys.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe

  • Debugger = C:\WINDOWS\appsys.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe

  • Debugger = ntsd –d

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment

  • ComSpec = %SystemRoot%\system32\cmd.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\Environment

  • ComSpec = %SystemRoot%\system32\cmd.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment

  • ComSpec = %SystemRoot%\system32\cmd.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

Selain blok fungsi windows, ia juga akan blok beberapa tools security khususnya antivirus lokal seperti PCMAV atau ANSAV. VBS/Cryf.A juga akan melakukan Debugger terhadap program yang telah ditentukan dengan membuat string pada registry berikut :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\viremoval.exe

• Debugger = C:\WINDOWS\appsys.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winupdtsys.exe

• Debugger = C:\windows\system\svchost.exe "c:\windows\system32\kernel32.dls"

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe

• Debugger =

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe

• Debugger = ntsd –d

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NeroChkup.exe

• Debugger = C:\windows\system\svchost.exe "c:\windows\system32\svchost.dls"

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV.exe

• Debugger = C:\WINDOWS\appsys.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe

• Debugger = C:\WINDOWS\appsys.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe

• Debugger = C:\WINDOWS\appsys.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-SE.exe

• Debugger = C:\WINDOWS\appsys.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qbtask.exe

• Debugger = C:\windows\system\svchost.exe "c:\windows\system32\Corelsetup.scx

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe

• Debugger = ntsd -d

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Integrator.exe

• Debugger = C:\WINDOWS\appsys.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ise32.exe

• Debugger = C:\WINDOWS\appsys.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Launcher.exe

• Debugger = C:\windows\system\svchost.exe"c:\windows\appopen.scx"

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\a.exe

• Debugger = C:\WINDOWS\appsys.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe

• Debugger = C:\WINDOWS\appsys.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansavgd.exe

• Debugger = C:\WINDOWS\appsys.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\appsys.exe

• Debugger = C:\WINDOWS\system32\wscript.exe "c:\windows\system32\appsys.dls"

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe

• Debugger = ntsd -d

Aktif otomatis memanfaatkan file [.reg/.vbs/.inf]

Virus ini juga akan mecoba untuk mengaktifkan dirinya secara otomatis dengan menjalankan file [C:\windows\system\svchost.exe atau C:\windows\WinUpdt.scx] setiap kali user menjalankan file yang mempunyai ekstensi berikut:

• .reg

• .vbs

• .inf

Untuk melakukan hal ini, ia akan membuat string pada registry berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\comman

• [Default] = C:\Program Files\ExeLauncher\Launcher.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Edit\Command

• [Default] = C:\Program Files\ExeLauncher\Launcher.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regedit\shell\open

• Command = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regedit\shell\open\command

• [Defalut] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

• HKEY_CLASSES_ROOT\regfile\shell\edit\command

• [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

• HKEY_CLASSES_ROOT\regfile\shell\open\command

• [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command

• [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command

• [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

Rekayasa sosial “Album BOKEP”

Untuk mempermudah dalam mengelabui user, ia akan menggunakan rekayasa sosial dengan membuat sebuah folder dengan nama [Album BOKEP] disetiap Drive termasuk di Flash Disk. Dengan nama folder tersebut di harapkan dapat menarik user untuk menjalankan salah satu dari 3 file shortcut yang berada di dalam nya. File dengan icon “Windows Media Player” ini seolah-olah merupakan file Video “Mesum” yang jika dijalankan maka akan mengaktifkan file [%Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db\svchost.vbs] (lihat gambar 11)

Gambar 11, File shortcut virus yang akan mengaktifkan file [svchost.vbs]

Selain itu agar penyamarannya lebih sempurna ia akan merubah type file dari file LNK (shortcut) tersebut menjadi “Movie Clip” sehingga seolah-olah merupakan file Video dan untuk lebih meyakinkan ia akan menyembunyikan ekstensi yang kedua dari file tersebut [.LNK] dengan membuat string pada registry berikut

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile

• [Default] = Movie Clip

• NeverShowExt

VBS/Cryf.A juga akan merubah type file dari “VBScript Script File” menjadi “Application” serta merubah icon VBS menjadi icon Application serta menyembunyikan ekstensi dari file tersebut dengan merubah string registry berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile

• FriendlyTypeName = Application

• NeverShowExt

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\DefaultIcon (lihat gambar 12)

• [Default] = %SystemRoot%\system32\SHELL32.dll,2

Gambar 12, File VBS yang telah diubah oleh virus

Aktif pad mode “safe mode” dan “safe mode with command prompt”

Virus ini tidak hanya aktif pada mode Normal, tetapi akan aktf pada mode “safe mode” dan “safe mode” with command prompt dengan membuat string pada registry berikut

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  • Shell = explorer.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

  • Userinit = C:\WINDOWS\system32\userinit.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

• AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

• AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

• AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

Registry lain

VBS/Cryf.A juga akan membuat registry berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer

  • Logon User Name = Shemale

• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

  • AltDefaultUserName = Shemale

  • DefaultUserName = Shemale

• HKEY_CURRENT_USER\Control Panel\International

  • s1159 = [kosong]

  • s2359 = [kosong]

Jejak virus

Sperti kebanyakan virus lokal, salah satu aksi yang dilakukan adalah meninggalkan jejak berupa pesan di komputer target. VBS/Cryf.A juga akan meningalkan beberepa pesan yang dikemas dalam sejumlah file diantara pesan terebut akan di tampilan secara otomatis saat komputer di nyalakan dan saat menjalankan program Internet Explorer atau saat screen saver Windows aktif.

Berikut beberapa pesan yang dibuat oleh VBS/Cryf.A

• Merubah nama pemilik Windows dengan merubah string registry berikut (lihat gambar 5)

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

    • RegisteredOrganization = Shemale

    • RegisteredOwner = CRY

• Menampilkan jendela Internet Explorer yang berisi gambar berikut , gambar ini akan di tampilkan secara otomatis saat menghidupkan komputer sebagai salam pembuka. (lihat gambar 3)

Untuk melakukan hal ini ia akan merubah string pada registry berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • WinSystem = c:\Windows\Windowsopen.mht

• Menampilkan pesan “King of The World” saat membuka jendela Internet Explorer (lihat gambar 4)

Untuk melakukan hal ini ia akan merubah string pada registry berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

  • Start Page = C:\WINDOWS\windows.html

• Menampilkan pesan “SHEMALE By CRY” saat screen saver Windows aktif dengan terlebih dahulu merubah string pada registry berikut (lihat gambar 12)

• HKEY_CURRENT_USER\Control Panel\Desktop

  • SCRNSAVE.EXE = C:\WINDOWS\system32\ssmarque.scr

Gambar 12, Screen saver yang akan ditampilkan oleh VBS/Cryf.A

Promosi

Seolah-olah untuk menebus segala “dosa-dosa” nya, ia akan menyertakan link untuk mendownload removal tools untuk membersihkan komputer yang sudah terinfeksi. Link ini akan dibuat dalam sebuah file yang disimpan di direktori [C:\Windows\help.html] (lihat gambar 13)

Gambar 13, Link yang ditampilkan oleh virus

Jika link [ANTIVIRUS.exe] tersebut di klik maka akan diarahkan ke sebuah jendela baru dengan alamat [http://www.dinamikasolusi.co.nr], yang ternyata berisi “PROMOSI BUKU” tentang bagaimana “cara membuat antivirus dengan Visual Basic”. (lihat gambar 14)

Gambar 14, Alamat promosi yang akan ditampilkan oleh Virus

Media Penyebaran

Untuk menenyebarkan dirinya, ia akan memanfaatkan Flash Disk dengan cara membuat file folder berikut:

• %Flash Disk%:\>Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db

  • svchost.vbs

  • desktop.ini

  • drvconfg.drv

  • SHELL32.dll

• Autorun.inf

• Dataku Penting Jangan Dihapus.lnk, jika di jalankan akan mengaktifkan file [%Flash Disk%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db\svchost.vbs]

• %Flash Disk%:>Album BOKEP\Naughty America, jika di jalankan akan mengaktifkan file [%Flash Disk%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db\svchost.vbs]

• My friends hot mom - sativa rose.wmv.lnk

• My Sister Hot Friend - Courtney Dani.wmv.lnk

• Naughty America 2009 - Vicky Vette.Mpeg.lnk

Agar dirinya dapat aktif secara otomatis, ia akan memanfaatkan fitur autorun dengan nama [autorun.inf] yang akan menjalankan file [Shell32.dll] kemudian file ini yang akan menjalankan file induk utama dari virus yakni [drvconfg.drv]. (lihat gambar 15)

Catatan:

%Drive%, menunjukan lokasi Drive [contohnya: C:\, D:\]

%FlashDisk, menunjukan lokasi Flash Disk

Gambar 15, Cript autorun.inf

Gambar 16, Isi script [Shell32.dll]

Cara pembersihan VBS/Cryf.A

1. Matikan proses virus yang sedang aktif dimemori. Untuk mematikan proses virus ini silahkan gunakan tools pengganti task manager seperti [Currproses], kemudian matikan proses yang mempunyai product name “Microsoft (r) Windows Script Host” dengan cara : (lihat gambar 17)

• Pilih [blok] proses yang mempunyai product name “Microsoft (r) Windows Script Host”

• Klik kanan pada proses yang sudah di blok

• Pilih [Kill Selected Processes]

Gambar 17, Gunakan Curr Process untuk mematikan proses virus

2. Blok agar file virus tidak dapat dijalankan untuk sementara selama proses pembersihan dengan menggunakan fitur “Software Restriction Policies”, fitur ini hanya ada di Windows XP/2003/Vista/2008.

Untuk blok file tesebut lakukan langkah berikut : (lihat gambar 18)

• Klik menu [Start]

• Klik [Run]

• Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]

• Pada layar [Local Security Policy], klik [Software restriction policies]

• Klik kanan pada [software restriction policies] dan pilih [Create new policies]

• Kemudian klik kanan di [Additional Rule], dan pilih [New Hash Rule].

Gambar 18, Menentukan file yang akan diblok

• Di Kolom [File Hash], klik tombol [Browse] dan pilih file yang akan diblok. Pada kolom [File information] akan terisi informasi dari file tersebut secara otomatis. (lihat gambar 19)

Gambar 19, Pilih file yang akan diblok.

• Pada Security Level pilih [Disallowed]

• Pada kolom “description” isi deskripsi dari nama file tersebut (bebas),

• Pilih [OK]

Catatan:

Pada saat user menjalankan file yang sudah di add tersebut maka akan mucul pessan peringatan berikut : (lihat gambar 20)

Gambar 20, Pesan peringatan saat menjalankan file yang di blok

3. Fix Registry dengan menjalankan file [FixRegistry.exe], silahkan download di alamat berikut : (lihat gambar 21)

http://www.4shared.com/file/117095567/3ea8e8ce/_4__FixRegistry.html

Gambar 21, Cara menjalankan tools FixRegistry

1. Pada kolom [Register Owner] isi sesuai dengan nama pemilik Windows

2. Pada kolom [Register Organization] isi sesuai dengan nama organisasi pemilik Windows

3. Pada kolom [ShellWindows] isi dengan format explorer.exe

4. Pada kolom [Userinit Windows] isi dengan format berikut

   • Windows NT/2000 = C:\WinNT\System32\userinit.exe,

   • Windows XP/2003/Vista = C:\Windows\System32\userinit.exe,

5. Kemudian klik tombol [Set]

6. Kemudian lik [Pulihkan Registry] untuk memperbaiki registry lain nya

4. Hapus file induk virus yang telah dibuat. File induk virus ini akan disembunyikan. Jika file induk tersebut tidak dapat ditampilkan silahkan gunakan tools penggganti Windows Explorer seperti “Explorer XP”. Silahkan download di alamat berikut:

http://www.explorerxp.com/explorerxpsetup.exe

Setelah software tersebut di install, cari dan hapus file berikut:

• %Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db

• svchost.vbs

• desktop.ini

• drvconfg.drv

• SHELL32.dll

• %Drive%:\Album BOKEP\Naughty America

• C:\windows

  • appsys.exe

  • Winupdt.scx

  • appopen.scx

  • Windowsopen.mht

  • Windows.html

  • Regedit.exe.lnk

  • Help.htm

• C:\Windows\system\svchost.exe

• C:\WINDOWS\system32

  • Taskmgr.exe.lnk

  • CMD.exe.lnk

  • Svchost.dls

  • Corelsetup.scx

  • Appsys.dls

  • Kernel32.dls

  • Winupdtsys.exe

  • ssmarque.scr

• C:\Program Files\FarStone\qbtask.exe

• C:\Program Files\ACDsee\Launcher.exe

• C:\Program Files\Common Files\NeroChkup.exe

• C:\Program Files\ExeLauncher

• %ProgramFiles%\drivers\VGA\VGAdrv.lnk

• C:\Documents and Settings\%user%\Desktop\Local Disk (C).dls

• %Flash Disk:\>Dataku Penting Jangan Dihapus.lnk

Catatan:

%Drive%, menunjukan lokasi Drive [C:\ atau D:\]

%Flash Disk%, menunjukan lokasi Flash Disk

5. Tampilkan file [TaskMgr.exe/Regedt32.exe/Regedit.exe/CMD.exe/Logoff.exe] yang disembunyikan oleh virus, caranya : (lihat gambar 22)

1. Klik menu [Start]

2. Klik [Run]

3. Ketik CMD kemudian klik tombol [OK]

4. Pada layar “Dos Prompt” pindahkan posisi kursor ke drive yang akan di periksa

5. Ketik perintan ATTRIB –s –h –r regedit.exe kemudian klik tombol “enter”

6. Kemudian ketik perintah saya yang membedakan hanya nama file yang akan ditampilkan yakni Taskmgr.exe, cmd.exe dan Logoff.exe

Gambar 22, Menampilkan file yang disembunyikan

6. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan antivirus yang up-to-date.

7. Jika komputer sudah benar-bernar bersih dari virus, hapus rule blok file [WSCript.exe] yang telah dibuat pada langkah no. (2), cara nya : (lihat gambar 23)

   • Klik menu [Start]

   • Klik [Run]

   • Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]

   • Pada layar [Local Security Policy], klik 2x [Software restriction policies]

   • Klik [Additional Rule]

   • Hapus Rule yang pernah Anda buat sebelumnya

8. Untuk mencegah infeksi ulang, gunakan antivirus yang sudah dapat mendeteksi dan membasmi virus ini dengan baik.

Salam,

Aj Tau

info@vaksin.com