Perlihatkan Tulisan

Seksi ini mengijinkan Anda untuk melihat semua tulisan yang dibuat oleh anggota ini. Catatan bahwa Anda hanya bisa melihat tulisan yang dibuat dalam area di mana Anda memiliki akses terhadapnya.


Pesan - FAKHRICKER

Halaman: 1 ... 50 51 52 [53] 54
521
Konsultasi Virus / Re: Apa SMADAV Rev 7.5 Salah detect ??
« pada: Desember 18, 2009, 04:07:29 PM »
m'f kk sedikit nambahin........
kalau mau install sesuatu software diperhatikan dlu apakah software tersebut telah disertifikasi oleh SoftPedia...
Kalau sudah disertifikasi brarti 100% aman dari virus. Apalagi kalau kk install software yang vital yang tahu2 itu hanya virus...
kalau saya menginstall AV, Utilyty tools, dll selalu saya periksa apkah sudah disertifikasi oleh SoftPedia, kalau belum saya masih ragu..... :-\ :-\ :-\

522
Bug, Kritik, Saran / Re: Folder Smad-Lock & autorun.inf ko jebol yah....
« pada: Desember 17, 2009, 11:46:03 PM »
wajar kk kalau tembus
sesempurna apapun AV dibilang orang pasti ada titik kelemahannya
Mustahil kalau ada AV yg ngk ada titik kelemahannya, pasti ada walaupun itu kecil  8) 8) 8)
Ituloh kata president kaspersky

523
Antivirus Impor / Re: AVAST Antivirus
« pada: Desember 17, 2009, 11:08:55 PM »
m'f kalau ganggu
AV ne kalau mantapp kenapa AV ini ngk masuk dalam top ten review 2009...
Jangankan Avast, Avira aja ngk masuk...
Apkah akan masuk top ten review 2010 dalam versi AV terbaik di seluruh dunia. AVG masuk urutan ke 6......
 :-bd :-bd :-bd :-bd

524
Antivirus Impor / Re: Symantec VS Smadav
« pada: Desember 17, 2009, 10:35:10 PM »
ya kk....
Baru ingat saya smadav rev 5 terdeteksi sebagai virus sma AVG, Kaspersky, dan Norton

525
Kalau ngk salah itu antara tahun 2007 - 2008.
Tapi kalau di Indo yang lebih empuk itu sekarang yang mampu menginfeksi AV
Seperti virus matrox yang mampu mencegah PCMAV, SMADAV, ANsav utk mengkill dia..
Satu - satunya cara yaitu mengubah nama file AV.
Cth: Nama file SMADAV di rename menjadi Smaduv, Smadsoft, dll

526
Ne fakhri share deh tekhnik Social Enginering virus dari tahun 2008 sampe 2010 yang akan datang
Tahun 2008: Tekhnik SE ini tergolong unik biasanya virus maker menciptakan nama virusnya dengan nama yang jorok. Cth virus alman yang menggunakan nama bokep.exe. Tekhnik ini lumayan sukses jga...
Tahun 2009: Tekhink SE yang dilakukan adalah tergolong unik yaitu berupa menawarkan antivirus gratis dan terbaik yang ternyata adalah virus.
Untuk menghindari tekhik ini adalah dengan cara mendownload AV langsung dari situsnya tanpa perantaraan siapapun. Tapi jangan lupa check apakah ini software lulus dalam penyeleksian SoftPedia. Jika lulus maka bisa dijamin AV tersebut bebas dari virus. Contoh kasus yang pernah fakhri jumpai adalah SpySherif yang menawarkan pembersihan malware, setelah kita install maka yang terjadi kompi akan menjadi amburadul...  ~x( ~x( ~x(
Tahun 2010: Fakhri prediksikan penyebaran dan SE virus ini akan menyebar melalui situs berjaring social yaitu Facebook dengan cara menampilkan spam dan membuat kompi menjadi lumbung iklan. Sperti kasus Wanita berbikini di Facebook. Tapi tenang akhirnya CEO FB kita sudah menanganinya. Dan semoga saja ditahun 2010 penyebaran Virus luar dan lokal akan segera berhenti

Semoga ini bermanfaat buat kalian ya  >=) >=) >=)

527
Pakai USB Firewall aja.....
Coz hanya itu caranya

528
hohoho..........
Ngk ush khawatir akan saya kirim sampelnya....

529
  Kwik, Kwek dan Kwak adalah keponakan Paman Donald yang nakal dan kemungkinan mengilhami lahirnya group Trio Kwek Kwek di tahun 1993 yang digawangi oleh Leony, Dhea dan Affandy. Di akhir tahun 2009 ini dunia internet Indonesia diramaikan oleh Trio Kwek Kwek yang lain. Yang pertama (Kwik) adalah virus yang mengeksploitasi Facebook (seperti Bredolab dan Zbot), Kwek adalah virus yang mengeksploitasi Yahoo Messenger dan sedang dianalisa oleh Vaksinis dan Kwak adalah virus yang mengarahkan semua akses situs sekuriti ke Google. Dibawah ini Vaksinis Aj Tau memberikan analisa aksi virus Google yang dikenal dengan nama generik W32/SmallTroj.VPCG dan terdeteksi menginfeksi ribuan komputer di tanah air pada awal Desember 2009. Virus ini perlu diwaspadai karena selain memblok akses ke situs sekuriti, ia juga sangat sulit dibersihkan secara manual dan membutuhkan Windows Mini PE Live CD untuk dibersihkan secara tuntas karena ia menggunakan teknik rootkit yang menyamar sebagai services dan drivers.

 

Dipenghujung tahun 2009 ini, dimanfaatkan oleh para pembuat virus untuk menghasilkan karya-karya yang bisa dijadikan kebanggaan bagi mereka. Sudah tak terhitung sudah berapa banyak virus-virus yang dihasilkan sepanjang bulan November-Desember 2009 ini yang rata-rata mempunyai daya sebar yang sangat cepat dan cukup merepotkan, mulai dari virus  yang menyebar dengan memafaatkan facebook atau memanfaatkan aplikasi chat seperti yahoo messager dan media-media yang umum digunakan oleh user sehingga mempermudah dalam penyebaranya.

 

Selain  kedua virus tersebut, baru-baru ini telah muncul satu virus lain ikut merampaikan “acara” tutup tahun ini, walaupun virus ini dibuat dengan program bahasa Visual Basic tetapi efek yang dihasilkan cukup merepotkan, ia akan melakukan blok terhadap ”hampir” semua tools security termasuk antivirus yang umum sering digunakan oleh user dengan cara membaca ”nama file” dari aplikasi tersebut.

 

Virus ini juga akan blok akses ke beberapa website sekuriti dan website lain yang telah ditentukan dengan cara mengalihkan ke nomor ip 209.85.225.99 yang merupakan ip public google. Jadi setiap kali user mencoba untuk akses ke website tertentu termasuk website security/antivirus, maka yang muncul bukan web yang anda inginkan tetapi website www.google.com. Untuk melakukan hal ini ia akan menambahkan alamat website yang akan di blok ke sebuah file dengan nama [C:\Windows\System32\Drivers\etc\hosts] (lihat gambar 1)

Virus ini dibuat dengan menggunakan program bahasa Visual Basic, dengan ukuran file sekitar 212-233 KB, sedangkan file pendukung lainnya mempunyai ukuran yang berbeda-beda. (lihat gambar 2)

 File induk

Pada saat virus ini di aktifkan, ia akan membuat beberapa file induk dan mendownload beberapa file lainnya dari alamat web yang telah ditentukan sebelumnya. File ini akan di simpan dibeberapa lokasi yang akan di aktifkan setiap kali komputer dinyalakan. Virus ini juga akan menyamarkan dirinya sebagai file service Windows dan sebuah drivers sehingga mempersulit dalam proses pembersihan.

 

Berikut beberapa file yang akan dibuat oleh virus ini:

·         C:\windows\system32

ü  wmispqd.exe

ü  Wmisrwt.exe

ü  qxzv85.exe@

ü  qxzv47.exe@

ü  secupdat.dat

·         C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sebesar 6 kb.

·         C:\windows\system32\drivers

o   Kernelx86.sys

o   %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)

o   Ndisvvan.sys

o   krndrv32.sys

·         C:\Documents and Settings\%user%\secupdat.dat

·         C:\Windows\inf

o   Netsf.inf

o   netsf_m.inf

 

Autorun

Agar file tersebut dapat di jalankan secara otomatis, ia akan membuat string pada  registry  berikut:

 

Ø  HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run

·         ctfmon.exe

Ø  HKEY_LOCAL_MACHINE\system\ControlSet001\services\\kernelx86

·         type = 1

·         start = 3

·         Group = SST miniport drivers

·         Error Control = 1

·         DisplayName = Kernel Debug Service

·         image path = c:\windows\system32\drivers\kernelx86.sys

Ø  HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\\kernelx86

·         type = 1

·         start = 3

·         Group = SST miniport drivers

·         Error Control = 1

·         DisplayName = Kernel Debug Service

·         image path = c:\windows\system32\drivers\kernelx86.sys

Ø  HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\\passthru

·         type = 1

·         start = 3

·         tag = 9

·         Group = PNP TDI

·         Error Control = 1

·         DisplayName = Service

·         image path = c:\windows\system32\drivers\ndisvvan.sys

Ø  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe

·         Debugger =  wmispqd.exe

Ø  HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon

·         Userinit = userinit.exe,C:\Documents and Settings\%user%\%xx%.exe \s

 

                        Catatan: %xx%, adalah karakter acak

Ø  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List

·         %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall

Ø  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

·         %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall

Ø  HKEY_LOCAL_MACHINE\system\ControlSet001\services\\mojbtjlt

·         type = 1

·         start = 0

·         Group = SCSI Class

·         Error Control = 0

·         Image path = System32\drivers\mojbtjlt.sys

Ø  HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\\mojbtjlt

·         type = 1

·         start = 0

·         Group = SCSI Class

·         Error Control = 0

·         Image path = System32\drivers\mojbtjlt.sys

 

Blok fungsi Windows

Untuk memperlancar aksi nya ia akan blok beberapa fungsi windows termasuk disable system restore, disable Windows Firewall, disable RPC DCOM, disable upgrade  Service Pack 2 atau tidak bisa menampilkan file yang tersembunyi dengan merubah string pada registry berikut:

 

Ø  HKEY_LOCAL_MACHINE\software\microsoft\ole

·         EnableDCOM =  N

Ø  HKEY_LOCAL_MACHINE\software\microsoft\security center

·         AntiVirusDisableNotify = 1

·         FirewallDisableNotify = 1

·         AntiVirusOverride = 1

·         FirewallOverride = 1

Ø  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

·         DisableConfig = 1

Ø  HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate

·         DoNotAllowXPSP2 = 1

Ø  HKEY_LOCAL_MACHINE\system\ControlSet001\control\lsa

·         restrictanonymous = 1

Ø  HKEY_LOCAL_MACHINE\system\CurrentControlSet\control\lsa

·         restrictanonymous = 1

 

Selain dengan membuat string registry tersebut, ia juga akan blok “hampir” semua tools yang umum digunakan dengan cara membaca nama file dari aplikasi tersebut.

   Cara membersihkan W32/Smalltroj. VPCG

 

1.    Nonaktifkan”System Restore” selama proses pembersihan berlangsung

2.    Putuskan komputer yang akan di bersihkan dari jaringan maupun internet

3.       Ubah nama file [C:\Windws\system32\msvbvm60.dll] untuk mencegah virus aktif kembali.

 

4.       Lakukan pemberihan dengan menggunakan Tools Windows Mini PE Live CD hal ini disebabkan untuk beberapa file rootkit yang menyamar sebagai services dan drivers sulit untuk di hentikan. Silahkan download software tersebut di alamat http://soft-rapidshare.com/2009/11/10/minipe-xt-v2k50903.html

         

Kemudian booting komputer dengan menggunakan software Mini PE Live CD tersebut. Setelah itu hapus beberapa file iduk virus dengan cara:

 

l  Klik menu [Mini PE2XT]

l  Klik menu [Programs]

l  Klik menu [File Management]

l  Klik menu [Windows Explorer]

l  Kemudian hapus file berikut : (lihat gambar 5)

o   C:\Windows\System32

§  wmispqd.exe

§  Wmisrwt.exe

§  qxzv85.exe@

§  qxzv47.exe@

§  secupdat.dat

o   C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sebesar 6 kb.

o   C:\windows\system32\drivers

§  Kernelx86.sys

§  %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)

§  Ndisvvan.sys

§  krndrv32.sys

o   C:\Documents and Settings\%user%\secupdat.dat

o   C:\Windows\inf

§  Netsf.inf

§  netsf_m.inf

 5.         Hapus registri yang dubah dibuat oleh virus, dengan menggunakan "Avas! Registry Editor", caranya:

l Klik menu [Mini PE2XT]

l Klik menu [Programs]

l Klik menu [Registry Tools]

l Klik [Avast! Registry Editor]

l Jika muncul layar konfirmasi kelik tombol "Load....."

l Kemudain hapus registry : (lihat gambar 6)

 

Ø  HKEY_LOCAL_MACHINE\software\microsoft\windows\currentvers

      on\run\\ctfmon.exe

Ø  HKEY_LOCAL_MACHINE\system\ControlSet001\services\kernelx86

Ø  HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\kernelx

      86

Ø  HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\passthru

Ø  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

      NT\CurrentVersion\Image File Execution Options\ctfmon.exe

Ø  HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon

ü  Ubah value pada string Userinit menjadi = userinit.exe,

Ø  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List

ü  %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall

Ø  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List

ü  %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall

 

Ø  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

ü  %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall

Ø  HKEY_LOCAL_MACHINE\system\ControlSet001\services\%xx%

Ø  HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\%xx%

 

Catatan:

%xx% menunjukan karakter acak, key ini dibuat untuk menjalankan file .SYS yang mempunyai ukuran sebesar 40 KB yang berada di direktori [C:\Windows\system32\drivers\]

 6.         Restart komputer, pulihkan sisa registry yang diubah oleh virus dengan copy script berikut pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: klik kanan repair.inf | klik install

       

        [Version]

Signature="$Chicago$"

Provider=Vaksincom

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, software\microsoft\ole, EnableDCOM,0, "Y"

HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusDisableNotify,0x00010001,0

HKLM, SOFTWARE\Microsoft\Security Center,FirewallDisableNotify,0x00010001,0

HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusOverride,0x00010001,0

HKLM, SOFTWARE\Microsoft\Security Center,FirewallOverride,0x00010001,0

HKLM, SYSTEM\ControlSet001\Control\Lsa, restrictanonymous, 0x00010001,0

HKLM, SYSTEM\ControlSet002\Control\Lsa, restrictanonymous, 0x00010001,0

HKLM, SYSTEM\CurrentControlSet\Control\Lsa, restrictanonymous, 0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0

 

 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ctfmon.exe

HKLM, SYSTEM\ControlSet001\Services\kernelx86

HKLM, SYSTEM\ControlSet002\Services\kernelx86

HKLM, SYSTEM\CurrentControlSet\Services\kernelx86

HKLM, SYSTEM\CurrentControlSet\Services\mojbtjlt

HKLM, SYSTEM\ControlSet001\Services\mojbtjlt

HKLM, SYSTEM\ControlSet002\Services\mojbtjlt

HKLM, SYSTEM\ControlSet001\Services\Passthru

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, DoNotAllowXPSP2

HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe

 

7.       Hapus file temporary dan temporary internet file. Silahkan gunakan tools ATF-Cleaner. Download tools tersebut di alamat http://www.atribune.org/public-beta/ATF-Cleaner.exe (lihat gambar 7)


 8.         Restore kembali host file Windows yang telah di ubah oleh virus. Anda dapat menggunakan tools Hoster, silahkan download di alamat berikut  http://www.softpedia.com/progDownload/Hoster-Download-27041.html (lihat gambar 8)

Klik tombol [Restore MS Host File], untuk merestore file hosts Windows tersebut.

530
Konsultasi Virus / Re: Kenapa semua virus yg inveksi exe disebut sality
« pada: Desember 16, 2009, 02:22:36 PM »
Dh rindu sama virus Alman ne...
Msh ada ya variant barunya  8) 8) 8)

Halaman: 1 ... 50 51 52 [53] 54