Di dunia virus lokal, bahasa pemrograman yang menjadi “Cinta Terlarang” adalah Visual Basic. Tetapi rupanya bukan hanya Visual Basic saja yang bisa dijadikan sebagai program untuk membuat virus. Berikut ini Vaksincom memberikan satu virus lokal yang sedang mengganas di Indonesia dan selain tidak menggunakan bahasa “terlarang” Visual Basic melainkan VBS, virus ini memiliki banyak sekali kecanggihan seperti mengenkripsi kodenya, merekayasa file virus menjadi file video dan menyebabkan CD / DVD Rom anda terbuka terus dan kalau anda tutup akan terbuka lagi, sampai korbannya akan bertanya “What this is ??”. Kalau di ranah musik pop, virus yang satu ini ibaratnya lagu Tak Gendong yang lagi ngetop. Tertarik ? ... Follow me .... okay :P. Virus lokal tidak selalu dibuat dengan menggunakan program Visual Basic, sudah banyak virus lokal yang dibuat dengan menggunakan program bahasa lain yang tentunya mempunyai efek yang cukup berbahaya, contohnya program VBS, walaupun virus ini “hanya” dibuat dengan menggunakan program VBS tetapi aksi yang dilakukan cukup “menegangkan” juga. Harap Waspada, saat ini telah beredar salah satu virus yang dibuat dengan menggunakan VBS, saat ini penyebarannya masih di kawasan Jogjakarta [jadi bisa ditebak kira-kira asal dari virus ini). Tidak seperti kebanyakan Virus made in VBS, kali ini ia akan mengenkripsi code nya sehingga tidak mudah untuk di baca. Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai VBS/Cryf.A (lihat gambar 1 dan 2) Gambar 1, Hasil deteksi Norman Security Suite Gambar 2, File induk VBS/Cryf.A Ciri komputer yang “Tak Gendong” oleh VBS/Cryf.A Komputer yang terinfeksi VBS/Cryf.A mudah dikenali dengan beberapa jejak yang ditinggalkannya, diantaranya: Pada saat komputer pertama kali dinyalakan, akan muncul program [Internet Explorer] yang menampilkan sosok yang cukup “menyeramkan”, tetapi kelihatannya bukan gambar Mbah Surip :P (lihat gambar 3) Gambar 3, Jendela Internet Explorer yang akan ditampilkan saat komputer dinyalakan Merubah halaman utama [start page] program [Internet Explorer] untuk menjalankan file yang berada didirektori [C:\WINDOWS\windows.html] yang berisi pesan dari pembuat virus. (lihat gambar 4) Gambar 4, Halaman utama yang sudah diubah oleh virus Ada folder “Album BOKEP” di setiap drive dan Flash Disk yang isinya seakan-akan file movie porno yang sebenarnya merupakan file virus yang siap “menggendong” komputer anda bila anda jalankan. Merubah nama organisasi dan nama pemilik Windows menjadi Registered to CRY Shemale (lihat gambar 5) Gambar 5, Nama organisasi dan nama pemilik windows yang sudah diubah oleh virus Merubah type file “Shortcut” [.lnk] mejadi “Movie Clip” yang sebenarnya adalah suatu rekayasa sosial yang cukup cerdik sehingga korbannya akan mengira file virus “.lnk” adalah file film. (lihat gambar 6) Gambar 6, Type file [lnk] diubah menjadi “Movie Clip Ciri-ciri File Virus File induk VBS/Cryf.A ini mempunyai nama [drvconfg.drv] dengan ukuran file sebesar 218 KB, file ini mempunyai ekstensi [.drv] dan mempunyai type file sebagai “device driver”, file ini akan di enkipsi sehingga kode virusnya tidak mudah di baca. Pada saat file virus di jalankan, pertama kali yang akan di lakukan adalah memanggil file [svchost.vbs] yang sudah di ekript yang berada di direktori [%Driver%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db]. Kemudian file [svchost.vbs] ini akan menjalankan file utama virus yakni file [drvconfg.drv], file inilah yang berisi runtime untuk menginfeksi dan menanamkan aksi-aksi lain nya di dalam komputer target. (lihat gambar 6 dan 7) Gambar 6, File shortcut virus yang akan mengaktifkan file [svchost.vbs] Gambar 7, File induk virus Pada saat user menjalankan dirinya, VBS/Cryf.A akan memanggil program [Windows Media Player] seperti yang terlihat pada gambar 8 dibawah ini : Gambar 8, VBS/Cryf.A membuka program Windows Media Player saat dijalankan Kemudian akan membuat beberapa file induk yang salah satunya akan dijalankan saat komputer dinyalakan: %Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db svchost.vbs desktop.ini drvconfg.drv SHELL32.dll C:\windows appsys.exe Winupdt.scx appopen.scx Windowsopen.mht Windows.html Regedit.exe.lnk Help.htm C:\Windows\system\svchost.exe C:\WINDOWS\system32 Svchost.dls Corelsetup.scx Appsys.dls Kernel32.dls Taskmgr.exe.lnk C:\WINDOWS\system32\ Winupdtsys.exe ssmarque.scr C:\Program Files\FarStone\qbtask.exe C:\Program Files\ACDsee\Launcher.exe C:\Program Files\Common Files\NeroChkup.exe C:\Program Files\ExeLauncher %ProgramFiles%\drivers\VGA\VGAdrv.lnk C:\Documents and Settings\Elvina\Desktop\Local Disk (C).dls Catatan: %Drive% adalah lokasi Drive (contoh: C:\ atau D:\] %Program Files adalah [C:\Program Files] Agar file tesebut dapat dijalankan secara otomatis pada saat komputer aktif, ia akan membuat beberapa string pada registry berikut: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ACDsee = c:\Program Files\ACDsee\Launcher.exe CorelSetup = C:\WINDOWS\system32\Corelsetup.scx updtsystem = C:\WINDOWS\system32\Winupdtsys.exe VGAdriver = %ProgramFiles%\drivers\VGA\VGAdrv.lnk VirtualCD Task = c:\Program Files\FarStone\qbtask.exe WinSystem = c:\Windows\Windowsopen.mht HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = explorer.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx Userinit = C:\WINDOWS\system32\userinit.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run NeroFilterCheck = c:\Program Files\Common Files\NeroChkup.exe HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Start Page = C:\WINDOWS\windows.html Untuk file induk virus yang mempunyai ekstensi [SCX] dan [DLS], agar file tersebut dapat dijalankan, ia akan membuat registry di bawah ini. Agar file tersebut dapat dijalankan ia akan memanfaatkan file [C:\Windows\System32\wscript.exe] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scxfile [Default] = VBScript Script File HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scxfile\shell\open\command [Default] = %SystemRoot%\System32\wscript.exe %1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dlsfile [Default] = VBScript Script File HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dlsfile\shell\open\command [Default] = %SystemRoot%\System32\wscript.exe %1 Untuk mempertahankan eksistensinya ia akan mencoba untuk blok beberapa fungsi windows seperti : Task Manager Regedit CMD MSCONFIG Tidak dapat merubah Wallpaper Untuk melakukan hal tersebut, ia akan membuat beberapa string pada registry berikut: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop NoChangingWallpaper HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer nobandcustomize nochangestartmenu NoDriveAutoRun NoDrivetypeautorun NoFileAssociate nosavesettings NOTOOLBARCUSTOMIZE NoRecycleFiles HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableCMD DisableRegistryTools DisableTaskMgr NoDispScrSavPage HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveAutoRun NoDriveTypeAutoRun = 95 Selain dengan membuat registry di atas, agar user tidak dapat menjalankan fungsi Regadit/Task Manager/CMD atau MSConfig, ia akan menyembunyikan file tersebut [regedit.exe, tskmgr.exe. cmd.exe dan MSConfig.exe] dan sebagai gantinya ia akan membuat file yang sama bedanya ia akan mempunyai dua ekstensi yakni [.exe.lnk], antara file “gadungan” dan file asli akan mempunyai icon yang sama. Jika user mencoba untuk memanggil salah satu fungsi Windows tersebut maka akan muncul pesan error berikut (lihat gambar 9 dan 10) : Gambar 9, Pesan error saat menjalankan salah satu fungsi Windows Gambar 10, File gadungan [regedit.exe.lnk] yang dibuat oleh virus Tetapi jika user mencoba untuk langsung menjalankan file “gadungan” yang telah dibuat oleh virus sebagai pengganti file asli yang telah disembunyikan [contoh: regedit.exe.lnk] maka secara otomatis akan menjalankan file virus yang berada di direktori [C:\WINDOWS\system32\svchost.dls]. Selain itu ia juga akan melakukan Debugger terhadap ketiga fungsi windows tersebut untuk menjalankan file virus [C:\WINDOWS\appsys.exe] dengan membuat string pada registry berikut: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMD.exe Debugger = C:\WINDOWS\appsys.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe Debugger = C:\WINDOWS\appsys.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe Debugger = C:\WINDOWS\appsys.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe Debugger = C:\WINDOWS\appsys.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe Debugger = ntsd –d HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment ComSpec = %SystemRoot%\system32\cmd.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\Environment ComSpec = %SystemRoot%\system32\cmd.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment ComSpec = %SystemRoot%\system32\cmd.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx Selain blok fungsi windows, ia juga akan blok beberapa tools security khususnya antivirus lokal seperti PCMAV atau ANSAV. VBS/Cryf.A juga akan melakukan Debugger terhadap program yang telah ditentukan dengan membuat string pada registry berikut : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\viremoval.exe Debugger = C:\WINDOWS\appsys.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winupdtsys.exe Debugger = C:\windows\system\svchost.exe "c:\windows\system32\kernel32.dls" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe Debugger = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe Debugger = ntsd –d HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NeroChkup.exe Debugger = C:\windows\system\svchost.exe "c:\windows\system32\svchost.dls" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV.exe Debugger = C:\WINDOWS\appsys.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe Debugger = C:\WINDOWS\appsys.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe Debugger = C:\WINDOWS\appsys.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-SE.exe Debugger = C:\WINDOWS\appsys.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qbtask.exe Debugger = C:\windows\system\svchost.exe "c:\windows\system32\Corelsetup.scx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe Debugger = ntsd -d HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Integrator.exe Debugger = C:\WINDOWS\appsys.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ise32.exe Debugger = C:\WINDOWS\appsys.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Launcher.exe Debugger = C:\windows\system\svchost.exe"c:\windows\appopen.scx" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\a.exe Debugger = C:\WINDOWS\appsys.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe Debugger = C:\WINDOWS\appsys.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansavgd.exe Debugger = C:\WINDOWS\appsys.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\appsys.exe Debugger = C:\WINDOWS\system32\wscript.exe "c:\windows\system32\appsys.dls" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe Debugger = ntsd -d Aktif otomatis memanfaatkan file [.reg/.vbs/.inf] Virus ini juga akan mecoba untuk mengaktifkan dirinya secara otomatis dengan menjalankan file [C:\windows\system\svchost.exe atau C:\windows\WinUpdt.scx] setiap kali user menjalankan file yang mempunyai ekstensi berikut: .reg .vbs .inf Untuk melakukan hal ini, ia akan membuat string pada registry berikut: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\comman [Default] = C:\Program Files\ExeLauncher\Launcher.exe HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Edit\Command [Default] = C:\Program Files\ExeLauncher\Launcher.exe HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regedit\shell\open Command = C:\windows\system\svchost.exec:\windows\WinUpdt.scx HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regedit\shell\open\command [Defalut] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx HKEY_CLASSES_ROOT\regfile\shell\edit\command [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx HKEY_CLASSES_ROOT\regfile\shell\open\command [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx Rekayasa sosial “Album BOKEP” Untuk mempermudah dalam mengelabui user, ia akan menggunakan rekayasa sosial dengan membuat sebuah folder dengan nama [Album BOKEP] disetiap Drive termasuk di Flash Disk. Dengan nama folder tersebut di harapkan dapat menarik user untuk menjalankan salah satu dari 3 file shortcut yang berada di dalam nya. File dengan icon “Windows Media Player” ini seolah-olah merupakan file Video “Mesum” yang jika dijalankan maka akan mengaktifkan file [%Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db\svchost.vbs] (lihat gambar 11) Gambar 11, File shortcut virus yang akan mengaktifkan file [svchost.vbs] Selain itu agar penyamarannya lebih sempurna ia akan merubah type file dari file LNK (shortcut) tersebut menjadi “Movie Clip” sehingga seolah-olah merupakan file Video dan untuk lebih meyakinkan ia akan menyembunyikan ekstensi yang kedua dari file tersebut [.LNK] dengan membuat string pada registry berikut HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile [Default] = Movie Clip NeverShowExt VBS/Cryf.A juga akan merubah type file dari “VBScript Script File” menjadi “Application” serta merubah icon VBS menjadi icon Application serta menyembunyikan ekstensi dari file tersebut dengan merubah string registry berikut: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile FriendlyTypeName = Application NeverShowExt HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\DefaultIcon (lihat gambar 12) [Default] = %SystemRoot%\system32\SHELL32.dll,2 Gambar 12, File VBS yang telah diubah oleh virus Aktif pad mode “safe mode” dan “safe mode with command prompt” Virus ini tidak hanya aktif pada mode Normal, tetapi akan aktf pada mode “safe mode” dan “safe mode” with command prompt dengan membuat string pada registry berikut HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = explorer.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx Userinit = C:\WINDOWS\system32\userinit.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt.scx HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt.scx HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt.scx Registry lain VBS/Cryf.A juga akan membuat registry berikut: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer Logon User Name = Shemale HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon AltDefaultUserName = Shemale DefaultUserName = Shemale HKEY_CURRENT_USER\Control Panel\International s1159 = [kosong] s2359 = [kosong] Jejak virus Sperti kebanyakan virus lokal, salah satu aksi yang dilakukan adalah meninggalkan jejak berupa pesan di komputer target. VBS/Cryf.A juga akan meningalkan beberepa pesan yang dikemas dalam sejumlah file diantara pesan terebut akan di tampilan secara otomatis saat komputer di nyalakan dan saat menjalankan program Internet Explorer atau saat screen saver Windows aktif. Berikut beberapa pesan yang dibuat oleh VBS/Cryf.A Merubah nama pemilik Windows dengan merubah string registry berikut (lihat gambar 5) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion RegisteredOrganization = Shemale RegisteredOwner = CRY Menampilkan jendela Internet Explorer yang berisi gambar berikut , gambar ini akan di tampilkan secara otomatis saat menghidupkan komputer sebagai salam pembuka. (lihat gambar 3) Untuk melakukan hal ini ia akan merubah string pada registry berikut: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WinSystem = c:\Windows\Windowsopen.mht Menampilkan pesan “King of The World” saat membuka jendela Internet Explorer (lihat gambar 4) Untuk melakukan hal ini ia akan merubah string pada registry berikut: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Start Page = C:\WINDOWS\windows.html Menampilkan pesan “SHEMALE By CRY” saat screen saver Windows aktif dengan terlebih dahulu merubah string pada registry berikut (lihat gambar 12) HKEY_CURRENT_USER\Control Panel\Desktop SCRNSAVE.EXE = C:\WINDOWS\system32\ssmarque.scr Gambar 12, Screen saver yang akan ditampilkan oleh VBS/Cryf.A Promosi Seolah-olah untuk menebus segala “dosa-dosa” nya, ia akan menyertakan link untuk mendownload removal tools untuk membersihkan komputer yang sudah terinfeksi. Link ini akan dibuat dalam sebuah file yang disimpan di direktori [C:\Windows\help.html] (lihat gambar 13) Gambar 13, Link yang ditampilkan oleh virus Jika link [ANTIVIRUS.exe] tersebut di klik maka akan diarahkan ke sebuah jendela baru dengan alamat [http://www.dinamikasolusi.co.nr], yang ternyata berisi “PROMOSI BUKU” tentang bagaimana “cara membuat antivirus dengan Visual Basic”. (lihat gambar 14) Gambar 14, Alamat promosi yang akan ditampilkan oleh Virus Media Penyebaran Untuk menenyebarkan dirinya, ia akan memanfaatkan Flash Disk dengan cara membuat file folder berikut: %Flash Disk%:\>Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db svchost.vbs desktop.ini drvconfg.drv SHELL32.dll Autorun.inf Dataku Penting Jangan Dihapus.lnk, jika di jalankan akan mengaktifkan file [%Flash Disk%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db\svchost.vbs] %Flash Disk%:>Album BOKEP\Naughty America, jika di jalankan akan mengaktifkan file [%Flash Disk%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db\svchost.vbs] My friends hot mom - sativa rose.wmv.lnk My Sister Hot Friend - Courtney Dani.wmv.lnk Naughty America 2009 - Vicky Vette.Mpeg.lnk Agar dirinya dapat aktif secara otomatis, ia akan memanfaatkan fitur autorun dengan nama [autorun.inf] yang akan menjalankan file [Shell32.dll] kemudian file ini yang akan menjalankan file induk utama dari virus yakni [drvconfg.drv]. (lihat gambar 15) Catatan: %Drive%, menunjukan lokasi Drive [contohnya: C:\, D:\] %FlashDisk, menunjukan lokasi Flash Disk Gambar 15, Cript autorun.inf Gambar 16, Isi script [Shell32.dll] Cara pembersihan VBS/Cryf.A Matikan proses virus yang sedang aktif dimemori. Untuk mematikan proses virus ini silahkan gunakan tools pengganti task manager seperti [Currproses], kemudian matikan proses yang mempunyai product name “Microsoft (r) Windows Script Host” dengan cara : (lihat gambar 17) Pilih [blok] proses yang mempunyai product name “Microsoft (r) Windows Script Host” Klik kanan pada proses yang sudah di blok Pilih [Kill Selected Processes] Gambar 17, Gunakan Curr Process untuk mematikan proses virus Blok agar file virus tidak dapat dijalankan untuk sementara selama proses pembersihan dengan menggunakan fitur “Software Restriction Policies”, fitur ini hanya ada di Windows XP/2003/Vista/2008. Untuk blok file tesebut lakukan langkah berikut : (lihat gambar 18) Klik menu [Start] Klik [Run] Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK] Pada layar [Local Security Policy], klik [Software restriction policies] Klik kanan pada [software restriction policies] dan pilih [Create new policies] Kemudian klik kanan di [Additional Rule], dan pilih [New Hash Rule]. Gambar 18, Menentukan file yang akan diblok Di Kolom [File Hash], klik tombol [Browse] dan pilih file yang akan diblok. Pada kolom [File information] akan terisi informasi dari file tersebut secara otomatis. (lihat gambar 19) Gambar 19, Pilih file yang akan diblok. Pada Security Level pilih [Disallowed] Pada kolom “description” isi deskripsi dari nama file tersebut (bebas), Pilih [OK] Catatan: Pada saat user menjalankan file yang sudah di add tersebut maka akan mucul pessan peringatan berikut : (lihat gambar 20) Gambar 20, Pesan peringatan saat menjalankan file yang di blok Fix Registry dengan menjalankan file [FixRegistry.exe], silahkan download di alamat berikut : (lihat gambar 21) http://www.4shared.com/file/117095567/3ea8e8ce/_4__FixRegistry.html Gambar 21, Cara menjalankan tools FixRegistry Pada kolom [Register Owner] isi sesuai dengan nama pemilik Windows Pada kolom [Register Organization] isi sesuai dengan nama organisasi pemilik Windows Pada kolom [ShellWindows] isi dengan format explorer.exe Pada kolom [Userinit Windows] isi dengan format berikut Windows NT/2000 = C:\WinNT\System32\userinit.exe, Windows XP/2003/Vista = C:\Windows\System32\userinit.exe, Kemudian klik tombol [Set] Kemudian lik [Pulihkan Registry] untuk memperbaiki registry lain nya Hapus file induk virus yang telah dibuat. File induk virus ini akan disembunyikan. Jika file induk tersebut tidak dapat ditampilkan silahkan gunakan tools penggganti Windows Explorer seperti “Explorer XP”. Silahkan download di alamat berikut: http://www.explorerxp.com/explorerxpsetup.exe Setelah software tersebut di install, cari dan hapus file berikut: %Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db svchost.vbs desktop.ini drvconfg.drv SHELL32.dll %Drive%:\Album BOKEP\Naughty America C:\windows appsys.exe Winupdt.scx appopen.scx Windowsopen.mht Windows.html Regedit.exe.lnk Help.htm C:\Windows\system\svchost.exe C:\WINDOWS\system32 Taskmgr.exe.lnk CMD.exe.lnk Svchost.dls Corelsetup.scx Appsys.dls Kernel32.dls Winupdtsys.exe ssmarque.scr C:\Program Files\FarStone\qbtask.exe C:\Program Files\ACDsee\Launcher.exe C:\Program Files\Common Files\NeroChkup.exe C:\Program Files\ExeLauncher %ProgramFiles%\drivers\VGA\VGAdrv.lnk C:\Documents and Settings\%user%\Desktop\Local Disk (C).dls %Flash Disk:\>Dataku Penting Jangan Dihapus.lnk Catatan: %Drive%, menunjukan lokasi Drive [C:\ atau D:\] %Flash Disk%, menunjukan lokasi Flash Disk Tampilkan file [TaskMgr.exe/Regedt32.exe/Regedit.exe/CMD.exe/Logoff.exe] yang disembunyikan oleh virus, caranya : (lihat gambar 22) Klik menu [Start] Klik [Run] Ketik CMD kemudian klik tombol [OK] Pada layar “Dos Prompt” pindahkan posisi kursor ke drive yang akan di periksa Ketik perintan ATTRIB –s –h –r regedit.exe kemudian klik tombol “enter” Kemudian ketik perintah saya yang membedakan hanya nama file yang akan ditampilkan yakni Taskmgr.exe, cmd.exe dan Logoff.exe Gambar 22, Menampilkan file yang disembunyikan Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan antivirus yang up-to-date. Jika komputer sudah benar-bernar bersih dari virus, hapus rule blok file [WSCript.exe] yang telah dibuat pada langkah no. (2), cara nya : (lihat gambar 23) Klik menu [Start] Klik [Run] Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK] Pada layar [Local Security Policy], klik 2x [Software restriction policies] Klik [Additional Rule] Hapus Rule yang pernah Anda buat sebelumnya Untuk mencegah infeksi ulang, gunakan antivirus yang sudah dapat mendeteksi dan membasmi virus ini dengan baik. Salam, Aj Tau
