Ciri umum yang dapat dikenali dari virus ini adalah munculnya file duplikat disetiap folder/subfolder yang terdapat file MS.Word dengan ukuran file 68 KB dan agar penyamarannya berhasil ia akan merubah type file dari file duplikat tersebut dari “application” menjadi “Microsoft Word Document” sehingga user mengira bahwa file tersebut adalah file MS.Word sehingga tanpa curiga user akan membuka file tersebut yang tentunya akan mengaktifkan virus, sedangkan file tersebut tidak akan dapat dibuka (karena disembunyikan) sehingga user akan mengira bahwa file tersebut telah rusak.
FreE_MiNe ini dibuat dengan menggunakan program bahasa Visual Basic tanpa di kompresi dengan ukuran 68 KB, file ini mempunyai ekstensi EXE dengan type file “Application”.
Jika file tersebut dijalankan, ia akan membuat file induk dibawah ini yang akan dijalankan secara otomatis setiap kali komputer di nyalakan/restart:
- C:\FreE_MiNe.exe (semua drive)
- C:\WINDOWS\system32\LoLOxz
o smss.exe
o msvbvm60.dll
File msvbvm60.dll yang dijalankan dari direktori C:\Windows\System32\LoLOxz\ di atas dimaksudkan sebagai backup untuk mengantisipasi kalau komputer korbannya memblok MSVBVM60.dll (MSVBVM60 = Microsoft Visual Basic Virtual Machine versi 6.0) yang merupakan syarat mutlak untuk menjalankan aplikasi Visual Basic di OS Microsoft (termasuk virus). Jadi sekalipun komputer korban berusaha mencegah infeksi virus VB dengan memblok msvbvm60.dll dari direktori C:\Windows\System32, virus ini tetap akan bisa aktif karena memiliki backup msvbvm60.dll.
Pesan dari sang pembuat virus
Pembuat virus juga akan meninggalkan pesan yang di simpan pada body virus tersebut, berikut pesan yang akan disampailan oleh sang VM
Bagaimana cara membasmi FreE_MiNe
1. Nonaktifkan “System Restore” selama proses pembersihan
2. Matikan proses virus yang aktif di memori. Gunakan tools “Security task Manager” untuk mematikan proses virus tersebut. Matikan proses virus yang mempunyai icon MS.Word
1. Pilih proses virus yang akan di matikan
2. Klik kanan pada proses tersebut
3. Pilih “Remove”
4. Pada layar “Remove”, pilih opsi “Move file to quarantine” agar file langsung di hapus.
5. Klik tombol “Ok”
Security Task Manager dapat di download dari :
http://www.neuber.com/taskmanager/download.html
3. Fix registry yang sudah diubah atau dibuat oleh virus. Untuk mempercepat proses perbaikan registry ini salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara:
1. Klik kanan repair.inf
2. Klik install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, userinit,0, "userinit.exe,"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, system,0, ""
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x00010001,255
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x00010001,255
HKLM, SOFTWARE\Classes\exefile,,,"Application"
HKLM, SOFTWARE\Classes\exefile,InfoTip,0,"prop:FileDescription;Company;FileVersion;Create;Size"
HKLM, SOFTWARE\Classes\exefile,TileInfo,0,"prop:FileDescription;Company;FileVersion;Create;Size"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD
atau download sini
4. Cari dan hapus file induk dan file duplikat virus dengan menggunakan fungsi Find/Search. Jika fungsi ini belum aktif sebaiknya LogOff komputer terlebih dahulu. Setelah fungsi Find/Search ini aktif jangan lupa untuk menampilkan file yang tersembunyi terlebih dahulu dari Folder Options
kemudian cari dan hapus file yang mempunyai ciri-ciri :
1. Icon MS.Word
2. Ukuran 68 KB
3. Type File “Application”
Anda juga dapat menggunakan Norman Malware Cleaner untuk membasmi virus Freemine di komputer anda yang dapat di download secara gratis dari http://download.norman.no/public/Norman_Malware_Cleaner.exe
5. Hapus juga file “Autorun.inf” disemua drive dan file C:\msvbvm60.dll”
6. Hapus script @echo off pada file C:\Autoexec.bat, caranya:
1. Klik kanan file C:\Autoexec.bat
2. Klik menu “Edit”
3. Hapus script @echo Off
4. Klik menu “File”
5. Klik “save”
7. Tampilkan kembali file MS.Word (*.doc) yang telah disembunyikan oleh FreE_MiNe dengan menjalankan perintah attrib -s -h -r *.doc /s (hanya untuk menampilkan file MS.Word pada drive/folder yang ditentukan) atau attrib -s -h -r /s /d (untuk menampilkan semua file/folder pada drive/folder yang ditentukan) pada Dos Prompt.
8. Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya install antivirus yang up-to-date dan dapat mendeteksi dan mengenali virus ini.
by vaksin.com
FreE_MiNe ini dibuat dengan menggunakan program bahasa Visual Basic tanpa di kompresi dengan ukuran 68 KB, file ini mempunyai ekstensi EXE dengan type file “Application”.
Jika file tersebut dijalankan, ia akan membuat file induk dibawah ini yang akan dijalankan secara otomatis setiap kali komputer di nyalakan/restart:
- C:\FreE_MiNe.exe (semua drive)
- C:\WINDOWS\system32\LoLOxz
o smss.exe
o msvbvm60.dll
File msvbvm60.dll yang dijalankan dari direktori C:\Windows\System32\LoLOxz\ di atas dimaksudkan sebagai backup untuk mengantisipasi kalau komputer korbannya memblok MSVBVM60.dll (MSVBVM60 = Microsoft Visual Basic Virtual Machine versi 6.0) yang merupakan syarat mutlak untuk menjalankan aplikasi Visual Basic di OS Microsoft (termasuk virus). Jadi sekalipun komputer korban berusaha mencegah infeksi virus VB dengan memblok msvbvm60.dll dari direktori C:\Windows\System32, virus ini tetap akan bisa aktif karena memiliki backup msvbvm60.dll.
Pesan dari sang pembuat virus
Pembuat virus juga akan meninggalkan pesan yang di simpan pada body virus tersebut, berikut pesan yang akan disampailan oleh sang VM
FreE_MiNe From Picture Village
Pesan dari Dunia lain
Sunyinya malam yang kian larut
Bagaikan awan putih dilangit
Menambah sesak dadaku yang menahan nafas
Nafas rindu, nafas Cinta dan nafas sepi
Tiap waktu dan tiap saat tak pernah berhenti
Seperti juga darahku yang selalu
Setia pada tubuh
Seperti juga keinginanku
yang semakin ingin ku jangkau
tetapi semua itu NIHIL
Picture Worms Vill
Messange me,, Attention Please ..
Ne Buat temen
temen New Bie TI
Tenang Ulet Ne ga berbahaya buat your PC.
Yang Penting lo ga Macem
Kalo lo mow kasar ntar q juga bisa..wee
Pesan dari Dunia lain
Sunyinya malam yang kian larut
Bagaikan awan putih dilangit
Menambah sesak dadaku yang menahan nafas
Nafas rindu, nafas Cinta dan nafas sepi
Tiap waktu dan tiap saat tak pernah berhenti
Seperti juga darahku yang selalu
Setia pada tubuh
Seperti juga keinginanku
yang semakin ingin ku jangkau
tetapi semua itu NIHIL
Picture Worms Vill
Messange me,, Attention Please ..
Ne Buat temen
temen New Bie TI
Tenang Ulet Ne ga berbahaya buat your PC.
Yang Penting lo ga Macem
Kalo lo mow kasar ntar q juga bisa..wee
Bagaimana cara membasmi FreE_MiNe
1. Nonaktifkan “System Restore” selama proses pembersihan
2. Matikan proses virus yang aktif di memori. Gunakan tools “Security task Manager” untuk mematikan proses virus tersebut. Matikan proses virus yang mempunyai icon MS.Word
1. Pilih proses virus yang akan di matikan
2. Klik kanan pada proses tersebut
3. Pilih “Remove”
4. Pada layar “Remove”, pilih opsi “Move file to quarantine” agar file langsung di hapus.
5. Klik tombol “Ok”
Security Task Manager dapat di download dari :
http://www.neuber.com/taskmanager/download.html
3. Fix registry yang sudah diubah atau dibuat oleh virus. Untuk mempercepat proses perbaikan registry ini salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara:
1. Klik kanan repair.inf
2. Klik install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, userinit,0, "userinit.exe,"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, system,0, ""
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x00010001,255
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x00010001,255
HKLM, SOFTWARE\Classes\exefile,,,"Application"
HKLM, SOFTWARE\Classes\exefile,InfoTip,0,"prop:FileDescription;Company;FileVersion;Create;Size"
HKLM, SOFTWARE\Classes\exefile,TileInfo,0,"prop:FileDescription;Company;FileVersion;Create;Size"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD
atau download sini
4. Cari dan hapus file induk dan file duplikat virus dengan menggunakan fungsi Find/Search. Jika fungsi ini belum aktif sebaiknya LogOff komputer terlebih dahulu. Setelah fungsi Find/Search ini aktif jangan lupa untuk menampilkan file yang tersembunyi terlebih dahulu dari Folder Options
kemudian cari dan hapus file yang mempunyai ciri-ciri :
1. Icon MS.Word
2. Ukuran 68 KB
3. Type File “Application”
Anda juga dapat menggunakan Norman Malware Cleaner untuk membasmi virus Freemine di komputer anda yang dapat di download secara gratis dari http://download.norman.no/public/Norman_Malware_Cleaner.exe
5. Hapus juga file “Autorun.inf” disemua drive dan file C:\msvbvm60.dll”
6. Hapus script @echo off pada file C:\Autoexec.bat, caranya:
1. Klik kanan file C:\Autoexec.bat
2. Klik menu “Edit”
3. Hapus script @echo Off
4. Klik menu “File”
5. Klik “save”
7. Tampilkan kembali file MS.Word (*.doc) yang telah disembunyikan oleh FreE_MiNe dengan menjalankan perintah attrib -s -h -r *.doc /s (hanya untuk menampilkan file MS.Word pada drive/folder yang ditentukan) atau attrib -s -h -r /s /d (untuk menampilkan semua file/folder pada drive/folder yang ditentukan) pada Dos Prompt.
8. Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya install antivirus yang up-to-date dan dapat mendeteksi dan mengenali virus ini.
by vaksin.com
Tidak ada komentar:
Posting Komentar