Penulis Topik: Bedah Virus Disini !  (Dibaca 339770 kali)

Offline Ki@mhu

  • Moderator
  • Pro500
  • *****
  • Tulisan: 1.665
  • Reputation: +791/-0
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re: Bedah Virus Disini !
« Jawab #210 pada: Januari 28, 2012, 10:34:48 PM »
@ bro jastis : ilmu anda saya saring di forum bsi salemba jakarta.
banyak dari rekan saya yang mengucapkan terima kasih.
bravoo bro jastis
oh ente anak bsi salemba mas bos  :D ane punya cewek anak sekretaris bsi salemba mas bos  :-bd
ngemeng2.. ulasan bedah virusnya Ki@mhu di thread Upload virus ke forum juga bagus tuh, malah selalu update  :-bd
Makasih gann.. Jadi  :-[ Ane..  =))
Kebetulan lagi ada waktu senggang gann.. Jadinya bisa update.. Belakangan ini ane agak sibuk gak jelas..
Jadi belum post apa2 tentang review viruss.. Padahal pengen bgt..  :'(

Offline arjunasupriyadi

  • Pro500
  • ******
  • Tulisan: 600
  • Reputation: +493/-0
  • Jenis kelamin: Pria
  • ojo dumeh yen wis pinter lan sugeh
    • Lihat Profil
Re: Bedah Virus Disini !
« Jawab #211 pada: Januari 30, 2012, 11:38:36 AM »
@ bro jastis : ilmu anda saya saring di forum bsi salemba jakarta.
banyak dari rekan saya yang mengucapkan terima kasih.
bravoo bro jastis
oh ente anak bsi salemba mas bos  :D ane punya cewek anak sekretaris bsi salemba mas bos  :-bd
ngemeng2.. ulasan bedah virusnya Ki@mhu di thread Upload virus ke forum juga bagus tuh, malah selalu update  :-bd
Makasih gann.. Jadi  :-[ Ane..  =))
Kebetulan lagi ada waktu senggang gann.. Jadinya bisa update.. Belakangan ini ane agak sibuk gak jelas..
Jadi belum post apa2 tentang review viruss.. Padahal pengen bgt..  :'(
ditunggu nih update tannya
gw cuma pengen nambah teman dan saudara

Offline acongg

  • Pro200
  • *****
  • Tulisan: 494
  • Reputation: +445/-1
  • Jenis kelamin: Pria
  • si anak bandel
    • Lihat Profil
Re: Bedah Virus Disini !
« Jawab #212 pada: Januari 30, 2012, 11:43:21 AM »
@ bro jastis : ilmu anda saya saring di forum bsi salemba jakarta.
banyak dari rekan saya yang mengucapkan terima kasih.
bravoo bro jastis
oh ente anak bsi salemba mas bos  :D ane punya cewek anak sekretaris bsi salemba mas bos  :-bd
ngemeng2.. ulasan bedah virusnya Ki@mhu di thread Upload virus ke forum juga bagus tuh, malah selalu update  :-bd
Makasih gann.. Jadi  :-[ Ane..  =))
Kebetulan lagi ada waktu senggang gann.. Jadinya bisa update.. Belakangan ini ane agak sibuk gak jelas..
Jadi belum post apa2 tentang review viruss.. Padahal pengen bgt..  :'(
Ngemeng2 mana tuh si anak Super Narsis (ponco wibowo) ga keliatan lagi batang idungnya  =)) , biasanya tuh anak rajin bener tiap hari olpoad virus  :D
Ane sih anaknya asik-asik aja bro... Biar jelek tapi eksis!! PEDE aja lagi!

Offline Ki@mhu

  • Moderator
  • Pro500
  • *****
  • Tulisan: 1.665
  • Reputation: +791/-0
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re: Bedah Virus Disini !
« Jawab #213 pada: Januari 31, 2012, 03:21:03 PM »
@arjunasupriyadi: Okee gann..  :-bd Trimss.. ;)
@acongg: Iya yahh.. Kemarin dia sempat ngabsen di sini sehabis plg liburan dari Bali..  ;D
Semoga ada yang dia upload nanti untuk bahan review..  ;D

Offline ponco wiibowo

  • Pro200
  • *****
  • Tulisan: 401
  • Reputation: +411/-0
  • Jenis kelamin: Pria
  • bermimpi ingin menjadi seorang mastah
    • Lihat Profil
Re: Bedah Virus Disini !
« Jawab #214 pada: Februari 01, 2012, 12:04:15 PM »
@ bro jastis : ilmu anda saya saring di forum bsi salemba jakarta.
banyak dari rekan saya yang mengucapkan terima kasih.
bravoo bro jastis
oh ente anak bsi salemba mas bos  :D ane punya cewek anak sekretaris bsi salemba mas bos  :-bd
ngemeng2.. ulasan bedah virusnya Ki@mhu di thread Upload virus ke forum juga bagus tuh, malah selalu update  :-bd
Makasih gann.. Jadi  :-[ Ane..  =))
Kebetulan lagi ada waktu senggang gann.. Jadinya bisa update.. Belakangan ini ane agak sibuk gak jelas..
Jadi belum post apa2 tentang review viruss.. Padahal pengen bgt..  :'(
Ngemeng2 mana tuh si anak Super Narsis (ponco wibowo) ga keliatan lagi batang idungnya  =)) , biasanya tuh anak rajin bener tiap hari olpoad virus  :D
kenapa ? kangen sm gw loe gan,,, >=) biarin aja gw narsis, emang kenyataan kok  <=)

@arjunasupriyadi: Okee gann..  :-bd Trimss.. ;)
@acongg: Iya yahh.. Kemarin dia sempat ngabsen di sini sehabis plg liburan dari Bali..  ;D
Semoga ada yang dia upload nanti untuk bahan review..  ;D

iya gan, gw mau upload virus nih,,, tunggu bentar lagi gw zip dolooo  <=)
si junker yang sudah Tobat,  Tapi kadang suka kumat penyakit Junker nya.

si virus hunter yang suka becanda dan agak konyol,,,

calon mastah nehhhh

cowok paling Fenomenal di forum smadav,,,

Offline Blue-Eyes

  • Pro10
  • ***
  • Tulisan: 25
  • Reputation: +53/-0
  • Jenis kelamin: Pria
    • Lihat Profil
    • Blue Eyes
Re: Bedah Virus Disini !
« Jawab #215 pada: Februari 06, 2012, 05:28:45 PM »
Jangan smpai kena y Allah
Aminn ;)

Offline adiselian

  • Pro10
  • ***
  • Tulisan: 63
  • Reputation: +91/-0
    • Lihat Profil
Re: Bedah Virus Disini !
« Jawab #216 pada: Februari 12, 2012, 09:39:21 AM »
wah kudu di safe nih infonya buat jaga-jaga

Offline Ki@mhu

  • Moderator
  • Pro500
  • *****
  • Tulisan: 1.665
  • Reputation: +791/-0
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Virus Serviks Fandy
« Jawab #217 pada: Februari 23, 2012, 08:26:49 PM »

Tipe Sampel: EXE
Size: 65,5 KB
MD5: 1e610e4f4d6c73db0973e2247b360f50
CRC32: b11432a2

Beberapa minggu yang lalu Saudara 3ndiixz melakukan upload sampel virus di sini yang dikenali Smadav sebagai virus Fandy.
[spoiler]
[/spoiler]
Virus ini merupakan varian lain dari virus Serviks yang merupakan virus lokal yang juga sudah bisa dideteksi dan dibersihkan oleh antivirus lokal seperti Smadav. Tetapi varian virus yang satu ini sedikit berbeda dari virus lokal yang lain karena selain mengutak-atik Registry, virus ini juga mengganti (OverWrite) File HTM, HTML, OCX, dan PHP yang ada di dalam komputer korban menjadi file buatan virus ini (dengan ekstensi yang sama) sehingga sangat merugikan :(.

Aksi File
Virus ini akan membuat file berikut ini pada setiap Drive (C, D, E, dstnya..):


- disk32dll.exe
- Autorun.inf, yang isinya:
[spoiler][AUTORUN]
UseAutoplay=1
ICON=%SystemRoot%\system32\SHELL32.dll,7
OPEN=disk32dll.exe
SHELLEXECUTE=disk32dll.exe
Shell\OPEN\COMMAND=disk32dll.exe
Shell\explore\COMMAND=disk32dll.exe
Shell\Collapse\COMMAND=disk32dll.exe
SHELL=Collapse
Action=Please open your drive[/spoiler]
Fungsi autorun.inf ini adalah untuk menjalankan disk32dll.exe secara otomatis setiap korban mengakses Drive yang telah terjangkit virus ini ataupun hanya dengan mencolok USB Drive yang sudah terjangkit virus ini (melalui fitur autoplay).
- msvbvm60.dll
- f*** Of Malingsia.txt, yang isinya:
[spoiler]
[/spoiler]
- Lirik Lagu.doc, yang isinya:
[spoiler]
[/spoiler]

Selain itu, virus ini juga akan membuat file:
- screen.scr, serviks.exe, dan setup.exe di C:\windows
- run32dll.exe (bukan rundll32.exe milik windows), serviks.exe di C:\windows\system32
- File .ico di C:\windows\system32\Driver\Printer\LX300 (lihat gambar di bawah)


- C:\Documents and Settings\All Users\Desktop\Foto Bugil.scr
- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\system.exe (agar file system.exe ini dijalankan otomatis setiap User masuk (Log on) ke Windows)
File disk32dll.exe, Foto Bugil.scr, run32dll.exe, setup.exe, serviks.exe, screen.scr, system.exe ini merupakan file yang identik (mempunyai kode Hash yang sama).
- Membuat banyak sekali file HTM (berukuran 1 KB) berawal dari B4ND1T0.htm sampai dengan B4ND1T9995.htm (dengan pola kenaikan nomor yang tidak tentu) pada lokasi C:\WINDOWS
[spoiler]
       
[/spoiler]
Isi dari HTML yang dibuat virus ini:
[spoiler]
[/spoiler]
Selain membuat file pada komputer korban, virus ini juga mengganti (Overwrite) file berikut:
- Mengganti file berekstensi HTM dan HTML yang berada pada setiap Drive. Virus ini menggantinya dengan file HTM/HTML dengan nama dan ekstensi yang sama dengan file asli. Tetapi jika dibuka kembali, isinya sama persis dengan gambar di atas (juga berukuran 1 KB). Akan tetapi, virus ini tidak mengganti file HTM/HTML yang mempunyai folder pengikut (isi folder ini biasanya berupa file-file yang dibutuhkan oleh tampilan HMTL tersebut).


File HTM/HTML yang diganti Virus Selalu berukuran 1 KB, perhatikan bahwa file Arc_furnace.htm tidak diganti karena mempunyai folder pengikut

- Mengganti file berekstensi PHP. Virus ini juga menggantinya dengan nama dan ekstensi yang persis sama dengan yang asli (juga berukuran 1 KB). Sewaktu file PHP dan KEY ini dibuka dengan Notepad, isinya sama persis dengan Source Code HTML yang dibuat virus (yang telah diuraikan di atas):

[spoiler]

File PHP yang Diganti Virus Sewaktu Dibuka Dengan Notepad++/size]
[/spoiler]

- Mengganti file berekstensi KEY dan OCX. Virus ini juga menggantinya dengan nama dan ekstensi yang persis sama dengan yang asli (juga berukuran 1 KB). Isi kedua file yang diganti ini sewaktu dibuka dengan Notepad:


Termasuk juga file-file OCX yang berada di C:\windows dan C:\windows\system32 juga diganti sehingga memunculkan peringatan berikut:



Aksi Registry

Value yang dibuat:

- HKEY_CLASSES_ROOT\scrfile\DefaultIcon,
@="SHELL32.dll,3"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\DefaultIcon,
@="SHELL32.dll,3"
Value ini dibuat untuk mengganti ikon file SCR dari ikon berbentuk aplikasi menjadi ikon berbentuk folder:



- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,
Window Title="Serviks Explorer"
Value ini dibuat untuk mengganti nama Microsoft Internet Explorer/Windows Internet Explorer menjadi Serviks Explorer:


- Memblok Command Prompt, Task Manager, Regedit, Klik kanan (pada Desktop maupun Taskbar), Memghilangkan Folder Options, Run & Search (pada Start Menu) dengan membuat value:
[spoiler]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System dan HKEY_USERS\[USER]\Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableCMD=1
DisableTaskMgr=1
DisableRegistryTools=1


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer dan HKEY_USERS\[USER]\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoFolderOptions=1
NoRun=1
NoFind=1
NoTrayContextMenu=1 (Disable klik kanan pada Taskbar)
NoViewContextMenu=1 (Disable klik kanan pada Desktop)
[/spoiler]
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SystemFileProtection,
ShowPopups=0

- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,
DisableConfig=1
DisableSR=1

Value ini dibuat untuk mematikan System Restore dan mencegah korban untuk mengaktifkannya kembali.

- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer,
DisableMSI=1
LimitSystemRestoreCheckpointing=1

Value ini dibuat untuk me-nonaktifkan file yang berekstensi MSI (Microsoft Windows Installer) dan mencegah Windows membuat Restore Point sewaktu menjalankan file MSI tersebut

- Membuat value berikut sehingga setiap kali korban masuk ke Windows, akan menjalankan secara otomatis file-file aplikasi yang telah dibuatnya:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
Microsoft Serviks="C:\WINDOWS\serviks.exe"
Windows Serviks="C:\WINDOWS\system32\serviks.exe"
Run32dll="C:\WINDOWS\system32\run32dll.exe"


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Back Up Disk="D:\disk32dll.exe"
Setup="C:\WINDOWS\setup.exe"

[spoiler]

File-File Aplikasi yang Dijalankan Sewaktu Melakukan Log On Pada Windows Termasuk Juga System.exe Seperti yang Telah Diuraikan Sebelumnya pada bagian Aksi File
[/spoiler]
Selain itu, virus ini juga membuat value untuk menjalankan otomatis suatu file. Tetapi file yang dituju oleh value ini sebenarnya tidak ada dan juga tidak dibuat oleh virus ini sendiri. Saya sendiri kurang jelas apa tujuannya.. Tetapi saya bisa menyimpulkan bahwa value berikut ini (sama persis) juga dibuat oleh varian virus serviks yang lain (seperti Serviks Kiddrock). Hanya saja pada varian virus yang lain, value ini dibuat menuju kepada file aplikasi yang memang ada, sedangkan pada varian yang ini filenya tidak ada sama sekali:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
MSMSGS=C:\WINDOWS\Application Data\WINDOWS\WINLOGON.EXE
Service=C:\WINDOWS\Application Data\WINDOWS\SERVICES.EXE


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Logon="\Application Data\WINDOWS\CSRSS.EXE"
System Monitoring="\Application Data\WINDOWS\LSASS.EXE"


- Mengganggu Service Windows seperti McAfee, Norton, Symantec, dan System Restore sehingga aplikasi tersebut tidak bisa berjalan sebagaimana semestinya tetapi sebagai gantinya akan mengaktifkan salah satu file virus (serviks.exe) setiap Service ini dijalankan. Untuk tujuan ini, virus mengubah Value berikut menjadi:
[spoiler]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McDetect.exe,
ImagePath="C:\WINDOWS\serviks.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McShield,
ImagePath="C:\WINDOWS\serviks.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McTskshd.exe,
ImagePath="C:\WINDOWS\serviks.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mcupdmgr.exe,
ImagePath="C:\WINDOWS\serviks.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPFMntor,
ImagePath="C:\WINDOWS\serviks.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NSCService,
ImagePath="C:\WINDOWS\serviks.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PugPlay,
ImagePath"="%SystemRoot%\system32\services.exe, c:\windows\svchost.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SAVScan,
ImagePath="C:\WINDOWS\serviks.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNDSrvc,
ImagePath="C:\WINDOWS\serviks.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPBBCDrv,
ImagePath="C:\WINDOWS\serviks.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPBBCSvc,
ImagePath="C:\WINDOWS\serviks.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice,
ImagePathservice="C:\WINDOWS\serviks.exe"


Services.exe Menjalankan Serviks.exe Akibat Dari Value yang Telah digantinya
[/spoiler]
Value yang diubah:

- Tidak bisa membuka/menjalankan file BAT, COM, INF, INI, PIF, VBE, VBS. Dan apabila keenam tipe file ini tetap dijalankan, maka secara otomatis akan mengaktifkan salah satu file virus serviks.exe. Untuk tujuan ini, virus mengubah:
[spoiler]HKEY_CLASSES_ROOT\batfile\shell\open\command, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command, @
Dari ""%1" %*"" menjadi "C:\WINDOWS\serviks.exe"

HKEY_CLASSES_ROOT\comfile\shell\open\command, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command, @
Dari ""%1" %*"" menjadi "C:\WINDOWS\serviks.exe"

HKEY_CLASSES_ROOT\inffile\shell\Install\command, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command, @
Dari "%SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1" menjadi "C:\WINDOWS\serviks.exe"

HKEY_CLASSES_ROOT\inifile\shell\open\command, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command, @
Dari "%SystemRoot%\System32\NOTEPAD.EXE %1" menjadi "C:\WINDOWS\serviks.exe"

HKEY_CLASSES_ROOT\piffile\shell\open\command, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\pifFile\Shell\Open\Command
Dari ""%1" %*" menjadi "C:\WINDOWS\serviks.exe"

HKEY_CLASSES_ROOT\VBEFile\Shell\Open\Command, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBEFile\Shell\Open\Command, @
Dari "%SystemRoot%\System32\WScript.exe "%1" %*" menjadi "C:\WINDOWS\serviks.exe"

HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open\Command, @
Dari "%SystemRoot%\System32\WScript.exe "%1" %*" menjadi "C:\WINDOWS\serviks.exe"[/spoiler]
- Mengubah tipe file berekstensi EXE dari Application menjadi Serviks Corporation dengan mengubah:
HKEY_CLASSES_ROOT\exefile, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile, @
Dari "Application" menjadi "Serviks Corporation"

- Mengubah tipe file berekstensi file SCR dari Screen Saver menjadi File Folder
HKEY_CLASSES_ROOT\scrfile, @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile, @
Dari "Screen Saver" menjadi "File Folder"

- Mengubah Home Page dan Local Page Internet Explorer menjadi salah satu file HTM (B4ND1T[Nomor Urut].htm) yang telah dibuat virus di dalam folder C:\WINDOWS (seperti yang telah telah diuraikan diatas). Untuk tujuan ini virus ini mengubah:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,
Local Page menjadi "C:\WINDOWS\B4ND1T[Nomor Urut].htm"
Start Page menjadi "C:\WINDOWS\B4ND1T[Nomor Urut].htm"

Menyembunyikan Ekstensi file, menyembunyikan file beratribut Hidden, dan menyembunyikan file beratribut System dengan mengubah value berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced dan HKEY_USERS\[User]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden menjadi 2
HideFileExt menjadi 1
ShowSuperHidden menjadi 0



Virus ini juga mengubah value berikut ini:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder, HideFileExt
UncheckedValue menjadi 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder, SuperHidden
UncheckedValue menjadi 0

Dengan tujuan agar User tidak bisa membuang centangan Hide ekstensions for known file types dan Hide protected operating system files melalui Folder Options. Setiap kali User berusaha membuang centangannya (dengan harapan untuk menampilkan ekstensi file dan menampilkan file-file yang beratribut System), centangannya selalu muncul kembali. Jadi, User tidak akan pernah bisa melihat file-file induk virus ini karena semua filenya beratribut Hidden dan System.

Tidak seperti kebanyakan virus yang lain, virus ini tidak mengubah UncheckedValue pada [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] sehingga User tetap bisa dengan bebas mengganti settingan Hidden files and folders (Do not show hidden files and folders ataupun show hidden files and folders) dalam menampilkan/melihat file-file yang di-Hidden. Tetapi dengan inipun, User tetap tidak bisa melihat file beratribut System sehingga file-file induk virusnya (yang sengaja dibuat beratribut System) tetap tidak bisa kelihatan.

- Mengubah Nama Pemilik Windows menjadi 4ND1 PR06R4M3R dan organisasi pemilik Windows menjadi V-Maker. Untuk tujuan ini, virus ini mengubah:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion,
RegisteredOrganization menjadi "V-Maker"
RegisteredOwner menjadi "F4ND1 PR06R4M3R"



- Mengaktifkan kembali fitur Autoplay walaupun telah dimatikan oleh User agar Virus (virus yang sedang dibahas ini ataupun virus lainnya) dapat masuk ke komputer korban sewaktu USB Drive yang telah terinfeksi oleh virus dicolokkan ke Port USB walaupun korban belum membuka isi Drive USB tersebut. Untuk tujuan ini, virus ini mengubah:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun
HKEY_USERS\[USER]\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun
Menjadi 1 (Seharusnya 255 agar fitur autoplay tidak berjalan).

- Mengubah value berikut dengan harapan agar file IExplorer.exe aktif setiap kali user log on ke Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell
Dari "Explorer.exe" menjadi "Explorer.exe "C:\WINDOWS\system32\IExplorer.exe""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
Dari "C:\WINDOWS\system32\userinit.exe," menjadi "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\IExplorer.exe"

Tetapi file IExplorer.exe ini sebenarnya tidak dibuat oleh varian virus serviks yang ini (sedangkan pada varian virus serviks yang lain, file ini tetap dibuat) sehingga memunculkan pesan error berikut saat User melakukan log on:



- Mengubah Value berikut ini untuk mengaktifkan Shell.exe sewaktu komputer User melakukan Debugg saat terjadi Error. Tetapi file Shell.exe ini tidak dibuat oleh varian Serviks yang ini sehingga tidak berpengaruh terhadap keamanan komputer User.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug, Debugger
Dari "drwtsn32 -p %ld -e %ld -g" menjadi "C:\WINDOWS\system32\Shell.exe"

==> Lanjut Di Bawah Karena Karakter terlalu banyak  :) <==
« Edit Terakhir: Februari 23, 2012, 09:10:23 PM oleh Ki@mhu »

Offline payjho

  • Pro500
  • ******
  • Tulisan: 2.677
  • Reputation: +65535/-593
  • Jenis kelamin: Pria
  • Forum Elite
    • Lihat Profil
    • payjho's blog . . . !!
Re: Bedah Virus Disini !
« Jawab #218 pada: Februari 23, 2012, 08:30:04 PM »
nice post gan !! +1 dah  :-bd

sekalian cara bantai manualnya donk, biar nubie2 kyk ane tambah paham :)

Offline Ki@mhu

  • Moderator
  • Pro500
  • *****
  • Tulisan: 1.665
  • Reputation: +791/-0
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Virus Serviks Fandy
« Jawab #219 pada: Februari 23, 2012, 08:30:49 PM »
==> Lanjutan dari Posting Virus Serviks sebelumnya <==

- Berusaha mengaktifkan File Virus serviks.exe sewaktu User Booting lewat "Safe mode with command prompt" dengan mengubah Value:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell
Dari "cmd.exe" menjadi "C:\WINDOWS\serviks.exe"

- Berusaha mengaktifkan File Virus serviks.exe saat komputer melakukan CHKDSK (Disk Error Checking) sewaktu melakukan Booting dengan mengubah value:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager, BootExecute
Dari "autocheck autochk *" menjadi "C:\WINDOWS\serviks.exe"

- Berusaha mengaktifkan File svchost.exe saat User membuka Command Window pada Folder (Directory) yang sedang dibuka dengan Windows Explorer (dengan cara mengetikkan %comspec% pada Address Bar Windows Explorer). Untuk tujuan ini, Virus ini mengubah Value:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment, ComSpec
Dari "%SystemRoot%\system32\cmd.exe" menjadi "%SystemRoot%\system32\cmd.exe, c:\windows\svchost.exe "
Tetapi lagi-lagi file svchost.exe ini tidak ada jadi, sepertinya value ini sia-sia saja bagi Virus ini.

- Berusaha mengaktifkan File serviks.exe saat Service "Windows Installer" dijalankan. Service Windows Installer ini akan aktif setiap User menjalankan file berekstensi MSI. Untuk tujuan ini, Virus mengubah:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer, ImagePath
Dari "C:\WINDOWS\system32\msiexec.exe /V" menjadi "C:\WINDOWS\serviks.exe"


Pembersihan

- Aktifkan Smad-Lock pada setiap Drive untuk mencegah infeksi ulang selama proses Scan berlangsung.
- Full Scan dengan Smadav terbaru kemudian akan muncul daftar deteksi seperti ini:



Klik Clean All untuk semua virus yang terdeteksi, Repair All untuk semua Registry yang terinfeksi.

- Hapus msvbvm60.dll dan f*** Of Malingsia.txt pada setiap Drive.
- Hapus folder C:\windows\system32\Driver\Printer\LX300
- Hapus semua file: B4ND1T[Nomor Urut].htm pada C:\WINDOWS
- Ganti kembali semua file OCX di dalam C:\WINDOWS\system32 dan C:\WINDOWS\system32\dllcache (juga file OCX di folder lain jika ada) sudah diganti oleh virus ini dengan mengambilnya dari komputer lain atau download File OCX yang asli di sini dan taruh ganti kembali file OCX yang telah diganti virus dengan file OCX yang telah didownload tadi.
File OCX yang dibuat virus berukuran 1 KB dan dapat dikenali sewaktu dibuka dengan Notepad seperti yang telah diuraikan di atas.
- Untuk file-file PHP, KEY, HTML yang telah diganti virus, saya hanya bisa menyarankan untuk mencari dan mendapatkannya kembali dari luar.
- Sembuhkan Registry yang belum bisa disembuhkan Smadav. Salin (Copy Paste) teks di bawah ini ke dalam Notepad.
[spoiler]Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\scrfile\DefaultIcon]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice]
"ImagePathservice"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Logon"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System Monitoring"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Back Up Disk"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Service"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PugPlay]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"RegisteredOrganization"="ORGANISASI PEMILIK"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"RegisteredOwner"="NAMA PEMILIK"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="%SystemRoot%\\system32\\blank.htm"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"[/spoiler]
NAMA PEMILIK dan ORGANISASI PEMILIK diganti sesuai dengan yang anda inginkan.
Kemudian simpan teks ini dengan rincian:
Save as type: All Files
File name: [Nama Terserah].reg

Setelah itu, jalankan File yang Anda simpan tadi dengan melakukan klik ganda.

- Jika anda menggunakan Software Anti Virus seperti: McAfee, Norton, dan Symantec, ganti kembali value Registry Service berikut ini dengan melakukan klik ganda melalui regedit:

Untuk McAfee:
[spoiler]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McDetect.exe, ImagePath
Ganti menjadi C:\program files\mcafee.com\agent\mcdetect.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McDetect.exe, ImagePath
Ganti menjadi C:\program files\mcafee.com\agent\mcdetect.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McShield, ImagePath
Ganti menjadi C:\Program Files\McAfee\VirusScan Enterprise\mcshield.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McTskshd.exe, ImagePath
Ganti menjadi C:\progra~1\mcafee.com\agent\mctskshd.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mcupdmgr.exe, ImagePath
Ganti menjadi C:\progra~1\mcafee.com\agent\mcupdmgr.exe[/spoiler]
Untuk Norton:
[spoiler]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPFMntor, ImagePath
Ganti menjadi C:\Program Files\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NSCService, ImagePath
Ganti menjadi C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE[/spoiler]
Untuk Symantec:
[spoiler]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SAVScan, ImagePath
Ganti menjadi C:\Program Files\Norton SystemWorks\Norton AntiVirus\SAVScan.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNDSrvc, ImagePath
Ganti menjadi C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPBBCDrv, ImagePath
Ganti menjadi \??\C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPBBCSvc, ImagePath
Ganti menjadi C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe[/spoiler]
Mohon saran dan tambahan rekan-rekan karena ane cuma Review seadanya..  ^:)^
nice post gan !! +1 dah  :-bd

sekalian cara bantai manualnya donk, biar nubie2 kyk ane tambah paham :)
Thanks gann +1 nya..  :)
Mastahh koq ngaku nubii c.. Merendah bgt agan ini..  ;)
Iyaa gann.. Postnya ane bagi dua karena karakternya sudah melebihi izin satu kali posting (20.000 karakter).
« Edit Terakhir: Februari 23, 2012, 08:48:07 PM oleh Ki@mhu »