• L O G I N

  • Arsip

  • it’s me

    ”image”/
  • New Avatar Was Born

    ”image”/
  • Spreadfirefox Affiliate Button
  • IP

Awas Doraemon, Sin Chan dan Tom & Jerry | w32/VBWorm.PEC

Belakangan ini, sebuah serangan virus baru telah terdeteksi oleh Norman Security Center sebagai W32/VBWorm.PEC. Virus ini mungkin terilhami dari 3 film kartun yang biasa nya mebuat kita tertawa, yaitu Tom & Jerry, Shinchan dan Doraemon. Ciri – ciri File virus ini adalah :

  1. Menggunakan icon Real Player (software media player buatan Real Media)
  2. Memiliki ukuran 129 kb
  3. Type file aplication
  4. Ekstensi exe

Gejalanya / Efek Virus
Jika komputer kamu terinfeksi oleh Virus W23/VBWorm.PEC, maka virus akan melakukan blok terhadap beberapa fungsi windows seperti System Configuration Utility / MSConfig, Folder Options, dan System Restore.
Selain melakukan blok, virus berusaha menutup / mamatikan fungsi windows seperti Task Manager, Registry Editor, dan Command Prompt. Serta mencoba juga menutup / mematikan program pengganti Task Manager seperti Security TaskManager, CurrProcess, ProceXP,dll. Dari aksinya ini terlihat bahwa pembuat virus lokal rupanya juga mengapati tools apa saja yang sering digunakan komunitas IT indonesia dalam membasmi virus )
Untuk mengelabui user, virus membuat sebuah folder dengan nama pilem lutchu, pada My Documents dan flashdisk / removable drive / external harddisk. Folder tersebut berisi 3 file virus yang bernama :

  1. Doraemon-Pistol Perubah Tubuh Sebagian.rm.exe
  2. Shinchan-Menginap Di Sekolah.rm.exe
  3. TOM & JERRY 2.rm.exe

Sama seperti virus lokal lainnya, W32/VBWorm.PEC meninggalkan pesan pada My Computer, dengan mengubah support information dari system properties My Computer. Serta pada Drive C, dengan membuat file THE ROAD TO SYUHADA dengan isi yang sama
Terakhir, virus ini mencoba aktif pada mode safe mode atau safe mode with command prompt, agar semakin sulit dibersihkan. Untuk itu, virus membuat string pada registry berikut :

HKEY_LOCAL_MACHINES\System\CurrentControlSet\Control\SafeBoot
AlternateShell = Explorer.exe %SystemRoot%\system3260785.bat
HKEY_LOCAL_MACHINES\System\ControlSet001\Control\SafeBoot
AlternateShell = Explorer.exe %SystemRoot%\system3260785.bat
HKEY_LOCAL_MACHINES\System\ControlSet002\Control\SafeBoot
AlternateShell = Explorer.exe %SystemRoot%\system3260785.bat
HKEY_LOCAL_MACHINES\System\ControlSet002\Control\SafeBoot
AlternateShell = Explorer.exe %SystemRoot%\system3260785.bat

Cara pembersihan virus :

  • Sebaiknya lakukan pembersihan pada mode safe mode
  • Lakukan kill process, pada beberapa file virus yang aktif yaitu :

C:\\WINDOWS\Help\explorer.exe
C:\\WINDOWS\system32\300403.exe
C:\\WINDOWS\System32\aparaparsaparyangparipircapar.exe
C:\\WINDOWS\system32\HacKid’s.exe

  • Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM,SOFTWARE\Classes\batfile\shell\open\command,,,”””%1″”%”
HKLM,SOFTWARE\Classes\comfile\shell\open\command,,,”””%1″”%”
HKLM,SOFTWARE\Classes\exefile\shell\open\command,,,”””%1″”%”
HKLM,SOFTWARE\Classes\piffile\shell\open\command,,,”””%1″”%”
HKLM,SOFTWARE\Classes\regfile\shell\open\command,,,”””%1″”%”
HKLM,SOFTWARE\Classes\scrfile\shell\open\command,,,”””%1″”%”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,Shell,0,”Explorer.exe”
HKLM,SYSTEM\ControlSet001\Control\SafeBoot,AlternateShell,0,”cmd.exe”
HKLM,SYSTEM\ControlSet002\Control\SafeBoot,AlternateShell,0,”cmd.exe”
HKLM,SYSTEM\ControlSet003\Control\SafeBoot,AlternateShell,0,”cmd.exe”
HKLM,SYSTEM\CurrentControlSet\Control\SafeBoot,AlternateShell,0,”cmd.exe”
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Hidden,0×00010001,1
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,HideFileExt,0×00010001,1
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,UncheckedValue,0×00010001,0
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,DefaultValue,0×00010001,0

[Del]

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run,noboe
HKCU,Control Panel\Desktop, SCRNSAVE.EXE
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM,SOFTWARE\Classes\.reg\shell
HKLM,SOFTWARE\Classes\.txt\shell
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\AppPaths\MSCONFIG.EXE
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, NoDispSCRSavPage
HKLM,SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableSR
HKLM,SOFTWARE\Policies\mICROSOFT\wINDOWS nt\SystemRestore,DisableConfig

  • Gunakan Notepad, kemudian simpan dengan nama repair.inf (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan)
  • Jalankan repair.inf dengan klik kanan, kemudian pilih install
  • Buat file repair.inf di komputer yang clean, agar virus tidak aktif kembali
  • Hapus file virus yang mempunyai ciri – ciri sebagai berikut :

Icon Real Player”, Extension *.ese, ukuran 129 kb
Catatan : Sebaiknya tampilkan file yang tersembunyi  agar mempermudah dalam proses pencarian file virus.

  • Untuk mempermudah proses pencarian sebaiknya menggunakan Search Windows dengan filter file *.exe yang mempunyai ukuran 129 kb
  • Hapus file virus yang biasanya mempunyai date modified yang sama
  • Untuk pembersihan yang optimal dan mencegah infeksi ulang, menggunakan Norman Security Suite atau antivirus yang terupdate.

Satu Tanggapan

  1. wah thanks yaw tas infonya.oh ya apakah ada anti virus laenselain norton yang dpt digunakan???

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: