• L O G I N

  • Arsip

  • it’s me

    ”image”/
  • New Avatar Was Born

    ”image”/
  • Spreadfirefox Affiliate Button
  • IP

Jaga MP3 Kamu

Kalau kamu senang dengan musik khususnya musik dengan format mp3, sebaiknya kamu mulai berhati – hati, karena saat ini sedang muncul program pelacak MP3 yang akan menyita file MP3 kamu tanpa pandang bulu dalam arti ia tidak akan memperdulikan apakah MP3 kamu original maupun bajakan, yang pasti semua MP3 akan di hapus dan digantikan dengan duplikat dirinya, agar user tidak curiga ia akan tetap menggunakan icon Windows Media Player.

File ini dibuat dengan bahasa C++ dan merupakan turunan dari Mr.Coolface dengan ukuran file sebesar 64 KB. File tersebut mempunyai ekstensi Exe (aplication) dengan menggunakan icon Windows Media Player.
Secara sepintas, kita tidak tahu bahwa komputer telah terinfeksi virus ini, karena ia tidak akan melakukan blok terhadap fungsi Windows / tools security akan tetapi akan membawa dampak yang cukup merepotkan karena semua file dengan format MP3,.INF dan VBS akan dihapus. Virus ini sebagai W32/Smallworm.BZH.

Pada saat visrus tersebut menginfeksi komputer, ia akan membuat beberapa file induk yang akan dijalankan pertama kali pada saat komputer dinyalakan dan kali ini ia akan membuat dirinya sebagai sebuah service :

C:\Windows\svchost.exe

Agar file tersebut dapat aktif setiap kali komputer di hidupkan, ia akan membuat dirinya sebagai sebuah service dengan nama Shell Software Detection dimana service ini akan secara otomatis menjalankan file C:\Windows\svchost.exe

String virus pada registry :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Mr_CoolFace
DisplayName = Shell Software Detection
ImagePath = C:\Windows\scvhost.exe
ErrorControl = 0 (Reg_Dword)
ObjectName = Localsystem
Start = 2 (Reg_Dword)
Type = 0×00000110(110) ? Reg_Dword
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mr_CoolFace
DisplayName = Shell Software Detection
ImagePath = C:\Windows\scvhost.exe
ErrorControl = 0 (Reg_Dword)
ObjectName = Localsystem
Start = 2 (Reg_Dword)
Type = 0×00000110(110) ? Reg_Dword

Walaupun virus ini tidak melakukan blok terhadap fungsi Windows seperti Task Manager / Regedit / Folder options dll, tetapi ia akan mencoba untuk blok akses services.msc. Tentunya aksi yang agak berbeda ini bertujuan untuk mengelabui korbannya agar sulit menemukan dan membersihkan komputer yang terinfeksi oleh virus ini.

Hapus file .MP3/.INF/.VBS
Sasaran utama dari virus ini adalah file yang mempunyai format MP3 / .INF / .VBS dimana ia akan mencoba untuk menghapus dan sebagai gantinya ia akan membuat duplikat sesuai dengan file yang dihapus dengan ciri – ciri sebagai berikut :
Menggunakan icon “Windows Media Player”, Ukuran 64 KB, Ekstensi .EXE, Type File “Application”.

Media Penyebaran
Untuk menyebarkan dirinya, ia akan menggunakan Media Flash Disk dengan mengapus file yang mempunyai ekstensi MP3 / INF dna VBS serta membuat file duplikat sesuai dengan nama file yang disembunyikan / di hapus dengan ciri – ciri di atas.

Cara mengatasi Smallworm.BZH :
1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan
2. Matikan sistem Restore selama proses pembersihan
3. Matikan proses virus yang aktif di memori. Untuk mematikan proses virus tersebut kamu dapat menggunakan tools Process Explorer. Dapat di download di http://www.sysinternals.com
4. Hapus string registry yang dibuat oleh virus. Untuk mempermudah proses penghapusan, silahkan salin script dibawah ini pada program notepad, kemudian simpan dengan nama repait.inf. Jalankan file tersebut dengan cara : klik akan repair.inf kemudian klik install

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″”%*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″”%*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″”%*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″”%*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe”%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″”%*”
HKLM, SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon, Shell, 0, “Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cms.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cms.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cms.exe”
[del]
HKLM, SYSTEM\ControlSet001\Services\Mr_CoolFace
HKLM, SYSTEM\ControlSet002\Services\Mr_CoolFace
HKLM, SYSTEM\CurrentControlSet\Services\Mr_CoolFace

5. Hapus File induk dan file virus yang dibuat virus. Untuk mempermudah proses penghapusan silahkan gunakan Search Windows.
6. Untuk pembersihan optimal dan mencegah infeksi ulang, lindungi komputer dan jaringan kamu dengan antivirus yang mampu mendeteksi dan membasmi virus ini dengan baik.

Satu Tanggapan

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: