Ini adalah berita terbaru dari om Alfons.....saya post aja disini,semoga para Smadaver merasa terbantu dan be carefull tentunya.
Di dunia ini, selalu ada dua sisi yang saling bertentangan. Ambil contoh dalam dunia coding, dimana pada industri game ada satu perusahaan lokal yang kreatif dan berani mengambil resiko berhadapan dengan perusahaan-perusahaan game besar seperti Blizzard atau Ragnarok dengan meluncurkan game yang bernama Nusantara Online
http://www.nusantara-online.com/
http://www.nusol.web.id dengan thema karakter lokal dan kerajaan-kerajaan besar di Indonesia. Sebaliknya, pada dunia virus, seakan tidak mau kalah dengan maraknya penyebaran virus mancanegara, menyebar satu virus lokal yang memiliki ciri khas mengubah default page dan default search page dari Internet Explorer dari komputer korbannya. Alangkah bagusnya kalau energi dan kreativitas programmer virus yang berlebihan disalurkan ke hal-hal yang positif seperti mendukung pengembangan dan penyebaran aplikasi lokal.
Satu virus lokal lain yang perlu diwaspadai adalah VBWorm.AGR, virus ini mengubah default page Internet Explorer ke
http://www.hellspawn.de.be dan memberikan "bonus" mengubah defailt search page ke salah satu akun di Friendster. Virus ini dibuat dengan program bahasa Visual Basic dengan ukuran file sekitar 58 KB. Virus ini mempunyai ciri-ciri : (lihat gambar 1)
Gambar 1, File induk VBWorm.AGR=> Menggunakan icon Folder
=> Ukuran file 58 KB
=> Type File "Application"
=> Ekstensi file "EXE"
Merubah Default Page ke
http://www.hellspawn.de.be !
Gambar 2, Default Page IE dirubah ke http://www.hellspawn.de.beMerubah default Search Page ke
http://www.frienster.com http://www.friendster.com/user.php?uid=27987774 Gambar 3, Default search page di arahkan ke satu page FriendsterBagaimana mengenai virus VBWorm.AGR?Sebenarnya tidaklah terlalu sulit untuk mengenali virus ini salah satunya adalah dengan melihat halaman awal dan search page dari Internet Explorer (lihat gambar 2 dan 3). Selain itu, pada saat menjalankan program regedit maka akan muncul pesan error seperti terlihat pada gambar 4 dibawah.
Gambar 4, Pesan yang tampil saat membuat aplikasi registry editorDengan update terbaru Norman Security Suite mendeteksi virus ini sebagai VBWorm.AGR (lihat gambar 5)
Gambar 5, Hasil deteksi VBWorm.AGRFile induk VBWorm.AGRPada saat virus ini aktif di komputer target, ia akan membuat beberapa file induk yang akan dijalankan petama kali saat komputer dinyalakan
=> C:\WIndows
-> Lsass.exe
-> 310733.exe
-> z100427d.exe
-> cypreg.dll
=> C:\Windows\81374
-> system.exe
-> smss.exe
=> C:\WIndows\system32
-> 662832100427l.exe
-> moonlight.scr
=> C:\Document and Settings\Client\Templates\18282
-> winlogon.exe
-> services.exe
-> 018282.exe
=> C:\WINDOWS\81374
-> Smss.exe
-> Regedit.cmd
-> w412375.com
=> C:\WINDOWS\system32\15780a
-> 662832.cmd
=> C:\Documents and Settings\Client\Start Menu\Programs\Startup
-> adobe gama.cmd
=> C:\%user% p***.exe
=> C:\Data %user%.exe
=> C:\Foto %user%.exe
=> C:\Documents and Settings\%user%\My Documents\My Music
-> My Music.exe
=> C:\Documents and Settings\%user%\My Documents\My Pictures
-> My Pictures.exe
Registri WindowsAgar file tersebut dapat dijalankan secara otomatis, ia akan membuat beberapa string pada registri window berikut:
=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
-> 0 = C:\WINDOWS\l.exe
-> 028200 = C:\WINDOWS\l310733.exe
-> a82662 = C:\WINDOWS\notepad.exe:X
=> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-> s0 = C:\WINDOWS\system32\l.exe
-> s1307330 = C:\WINDOWS\system32\662832100427l.exe
=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
-> shell =explorer.exe, "C:\Documents and Settings\%user%\Templates\18282\018282.exe"
Blok fungsi WindowsUntuk mempertahankan dirinya, ia akan melakukan blok terhadap beberapa fungsi windows utama seperti Task Manager, Registry Editor, Msconfig atau system restore, cara ini juga dilakukan untuk mengaktifkan dirinya pada saat user mengeksekusi aplikasi tersebut, Virus ini juga akan menyembunyikan file regedit.exe dan notepad.exe.
=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
-> debugger = C:\WINDOWS\regedit.exe:X
=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
-> debugger = C:\WINDOWS\regedit.exe:X
=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
-> debugger = C:\WINDOWS\regedit.exe:X
=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
-> UncheckedValue = 0
=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
-> DisableRegistryTools
Pada saat user menjalankan aplikasi tersebut, ia juga akan memuculkan pesan seperti pada gambar 4 di atas.
Selain blok fungsi Windows tersebut, ia juga akan meninggalkan jejak lain dengan merubah halaman utama Internet Explorer dengan merubah string pada registri berikut:
=> HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
-> Start Page =
http://www.hellspawn.de.be -> Windows Title = Lan Elitta
-> Search Page =
http://www.friendster.com/user.php?uid=27987774=> HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
=> HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\main
-> FullScreen = No
Aktif pada mode "safe mode with command prompt"Virus ini tidak saja akan aktif pada mode "normal" tetapi lebih dari itu ia akan aktif pada mode "safe mode with comand prompt" dengan merubah string pada registry berikut:
=> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
-> AlternateShell = 662832100427l.exe
=> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
-> AlternateShell = 662832100427l.exe
=> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
-> AlternateShell = 662832100427l.exe
Memalsukan folder untuk menyebarkan dirinyaTarget utama dari virus ini adalah menyembunyikan folder dan subfolder yang ditemukan, masih "untung" virus ini hanya akan menyembunyikan folder / subfolder yang ada di flash disk anda saja :-). Untuk mengelabui user ia akan membuat file duplikat dengan nama file yang sama dengan ciri-ciri : (lihat gambar 6)
=> Menggunakan icon Folder
=> Ukuran file 58 KB
=> Type File "Application"
=> Ekstensi file "EXE"
Gambar 6, File duplikat VBWorm.AGR Media peyebaranUntuk menyebarkan dirinya ia akan menggunakan media Flash Disk/Removable Disk dengan membuat file duplikat sesuai dengan nama file yang disembunyikan. Tidak seperti yang dilakukan oleh kebanyakan virus lokal, ia tidak akan menggunakan fitur autorun Windows untuk mengaktifkan dirinya.
Cara mengatasi VBWorm AGR1.Nonaktifkan "System Restore" selama proses pembersihan
2.Matikan proses virus yang aktif dimemori dengan menggunakan tools "Ice Sword". Matikan proses virus yang mempunyai icon folder serta file cypreg.dll seperti terlihat pada gambar di bawah ini.
Gambar 7, Matikan proses virus dengan tools "Ice Sword" Tools ini dapat di download di alamat
http://icesword.en.softonic.com/download 3.Repair registry yang sudah diubah oleh virus. Salin script di bawah ini pada program notepad kemudian simpan denan nama REPAIR.INF, jalankan file tersebut dengan cara: Klik kanan REPAIR.INF | Klik INSTALL
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Internet Explorer\Main, start page,0, "about:blank"
HKCU, Software\Microsoft\Internet Explorer\Main, Search Page,0, "about:blank"
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperH
idden, UncheckedValue,0x00010001,1
[del]
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Run,0
HKLM, Software\Microsoft\Windows\CurrentVersion\Run,028200
HKLM, Software\Microsoft\Windows\CurrentVersion\Run,a82662
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, s0
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, s1307330
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\regedit.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\rstrui.exe
HKCU, Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
HKCU, Software\Microsoft\Internet Explorer\Main, Windows Title
4.Cari dan hapus file virus, sebelum melakukan proses penghapusan tampilkan file yang tersebunyi dengan merubah setting pada Folder Options. Kemudian hapus file berikut:
=> C:\Windows
-> Lsass.exe
-> 310733.exe
-> z100427d.exe
-> cypreg.dll
=> C:\Windows\81374
=> C:\WIndows\system32
-> 662832100427l.exe
-> moonlight.scr
=> C:\Document and Settings\Client\Templates\18282
=> C:\WINDOWS\81374
=> C:\WINDOWS\system32\15780a
=> C:\Documents and Settings\Client\Start Menu\Programs\Startup
-> adobe gama.cmd
=> C:\%user% p***.exe
=> C:\Data %user%.exe
=> C:\Foto %user%.exe
=> C:\Documents and Settings\%user%\My Documents\My Music
-> My Music.exe
=> C:\Documents and Settings\%user%\My Documents\My Pictures
-> My Picture.exe
Source :
http://jastisbago.blogspot.com