Nadia Saphira reinkarnasi Donal Bebek
Hati hati virus Bulu Bebek ber mutasi menjadi Nadia Saphira sebagai W32/VBTroj.AOQB yang mempunyai cirri-ciri di bawah ini:
File virus
? Memiliki ukuran file sebesar “17 kb & 69 kb”.
? Mempunyai type file “Application”.
? Berekstensi file “exe & ini”.
? Memiliki icon folder.
? Membuat duplikat folder seduai dengan nama folder yang ada dan menyembunyikan folder aslinya.
? Menghilangkan pilihan “Folder Options”.
? CD Rom tidak bisa digunakan
? Command Prompt tidak bisa diakses.
Jika virus Nadia Saphira berhasil menginfeksi, maka ia akan membuat beberapa file virus diantaranya :
? C:\autorun.inf (pada semua root drive)
? C:\NadiaSaphira.ini (pada semua root drive)
? C:\Documents and Settings\All User\Start Menu\Programs\Startup\lan.exe
? C:\Documents and Settings\%User%\NadiaSaphira.ini
? C:\WINDOWS\taskmgr.exe
? C:\WINDOWS\system32\.exe
? C:\WINDOWS\system32\allsys.exe
? C:\WINDOWS\system32\misconfig.exe
? C:\WINDOWS\system32\MS586.sys
? C:\WINDOWS\system32\System
? C:\WINDOWS\system32\wtoolsb.exe
? C:\WINDOWS\system32\dllcache\.exe
? C:\WINDOWS\system32\ dllcache\System
? Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb.
Hidden folder & membuat duplikat virus
Virus Nadia Saphira ini hanya menyembunyikan folder / sub folder pada drive maupun pada flashdisk / external, untuk mengelabui user virus akan membuat duplikat di setiap folder/sub folder sesuai dengan nama folder yang disembunyikan. Selain itu virus juga membuat type file sesuai dengan type file folder.
Blok fungsi Windows
Virus Nadia Saphira akan mencoba melakukan usaha blok terhadap beberapa fungsi Windows. Beberapa fungsi Windows yang di blok diantaranya sebagai berikut :
? Folder Options (dilakukan untuk mencegah akses terhadap file/folder yang disembunyikan)
? Registry Editor (dilakukan untuk mencegah akses perbaikan registry)
? Search/Find (dilakukan untuk mencegah dari pembersihan virus)
? Command Prompt (dilakukan untuk mencegah dari proses kill virus)
Aktif pada start up
Virus Nadia Saphira menyisipkan file virus pada startup windows sehingga akan langsung aktif jika kita sudah masuk windows. File virus yang aktif pada startup yaitu :
? C:\Documents and Settings\All User\Start Menu\Programs\Startup\lan.exe
? C:\WINDOWS\system32\misconfig.exe
? C:\WINDOWS\taskmgr.exe
Metode Penyebaran
Dengan memanfaatkan system autoplay windows, virus ini menggunakan removable drive / usb sebagai sarana penyebaran dirinya. Beberapa file yang akan di buat virus yaitu :
? autorun.inf
? NadiaSaphira.ini
? Membuat file virus dan menggandakan diri pada setiap folder yang ada
Cara pembersihan virus Nadia Saphira
o Sebaiknya putuskan komputer yang akan dibersihkan dari jaringan.
o Matikan “System Restore” selama proses pembersihan virus (untuk Windows XP / Vista).
o Matikan proses virus yang aktif di memory. Gunakan tools pengganti task manager, seperti CProcess ( download pada alamat berikut http://www.nirsoft.net/utils/index.html)
Lakukan kill process, pada beberapa file virus yang aktif yaitu :
? C:\Documents and Settings\All User\Start Menu\Programs\Startup\lan.exe
? C:\WINDOWS\system32\misconfig.exe
? C:\WINDOWS\taskmgr.exe
o Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCR, batfile\shell\open\command,,,”””%1?” %*”
HKCR, comfile\shell\open\command,,,”””%1?” %*”
HKCR, exefile\shell\open\command,,,”””%1?” %*”
HKCR, piffile\shell\open\command,,,”””%1?” %*”
HKCR, lnkfile\shell\open\command,,,”””%1?” %*”
HKCR, scrfile\shell\open\command,,,”””%1?” %*”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
HKLM, SOFTWARE\Classes\exefile\DefaultIcon,,,””%1?”
HKLM, SOFTWARE\Classes\exefile,,,”Application”
HKLM, SOFTWARE\Classes\exefile,infotip,0, “prop:FileDescription;Company;FileVersion;Create;Size”
HKLM, SOFTWARE\Classes\exefile,TileInfo,0, “prop:FileDescription;Company;FileVersion”
HKCU, Software\Microsoft\Command Processor, AutoRun,0,
HKLM, SOFTWARE\Microsoft\Command Processor, AutoRun,0,
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0×00010001,1
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue, 0×00010001,2
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, nofind
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, nofind
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sessmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPYXX.exe
Gunakan notepad, kemudian simpan dengan nama “repair.inf” Jalankan repair.inf dengan klik kanan, kemudian pilih install. Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
o Hapus file virus yang mempunyai ciri-ciri sebagai berikut :
? Icon application/folder
? Ext. exe
? Ukuran 69 kb & 17 kb
Catatan
o Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.
o Untuk mempermudah proses pencarian sebaiknya gunakan “Search Windows” dengan filter file *.exe & *.ini yang mempunyai ukuran 69 KB & 17 KB.
• Hapus file virus yang biasanya mempunyai date modified yang sama.
o Tampilkan kembali folder yang disembunyikan pada drive atau flashdisk. Gunakan perintah “ATTRIB” pada command prompt.
? Klik “Start”
? Klik “Run”
? Ketik “CMD”, kemudian tekan tombol “Enter”
? Pindahkan posisi kursor ke drive Flash Disk
? Kemudian ketik perintah ATTRIB –s –h –r /s /d kemudian tekan tombol “enter
o Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.
sumber vaksin
Hati hati virus Bulu Bebek ber mutasi menjadi Nadia Saphira sebagai W32/VBTroj.AOQB yang mempunyai cirri-ciri di bawah ini:
File virus
? Memiliki ukuran file sebesar “17 kb & 69 kb”.
? Mempunyai type file “Application”.
? Berekstensi file “exe & ini”.
? Memiliki icon folder.
? Membuat duplikat folder seduai dengan nama folder yang ada dan menyembunyikan folder aslinya.
? Menghilangkan pilihan “Folder Options”.
? CD Rom tidak bisa digunakan
? Command Prompt tidak bisa diakses.
Jika virus Nadia Saphira berhasil menginfeksi, maka ia akan membuat beberapa file virus diantaranya :
? C:\autorun.inf (pada semua root drive)
? C:\NadiaSaphira.ini (pada semua root drive)
? C:\Documents and Settings\All User\Start Menu\Programs\Startup\lan.exe
? C:\Documents and Settings\%User%\NadiaSaphira.ini
? C:\WINDOWS\taskmgr.exe
? C:\WINDOWS\system32\.exe
? C:\WINDOWS\system32\allsys.exe
? C:\WINDOWS\system32\misconfig.exe
? C:\WINDOWS\system32\MS586.sys
? C:\WINDOWS\system32\System
? C:\WINDOWS\system32\wtoolsb.exe
? C:\WINDOWS\system32\dllcache\.exe
? C:\WINDOWS\system32\ dllcache\System
? Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb.
Hidden folder & membuat duplikat virus
Virus Nadia Saphira ini hanya menyembunyikan folder / sub folder pada drive maupun pada flashdisk / external, untuk mengelabui user virus akan membuat duplikat di setiap folder/sub folder sesuai dengan nama folder yang disembunyikan. Selain itu virus juga membuat type file sesuai dengan type file folder.
Blok fungsi Windows
Virus Nadia Saphira akan mencoba melakukan usaha blok terhadap beberapa fungsi Windows. Beberapa fungsi Windows yang di blok diantaranya sebagai berikut :
? Folder Options (dilakukan untuk mencegah akses terhadap file/folder yang disembunyikan)
? Registry Editor (dilakukan untuk mencegah akses perbaikan registry)
? Search/Find (dilakukan untuk mencegah dari pembersihan virus)
? Command Prompt (dilakukan untuk mencegah dari proses kill virus)
Aktif pada start up
Virus Nadia Saphira menyisipkan file virus pada startup windows sehingga akan langsung aktif jika kita sudah masuk windows. File virus yang aktif pada startup yaitu :
? C:\Documents and Settings\All User\Start Menu\Programs\Startup\lan.exe
? C:\WINDOWS\system32\misconfig.exe
? C:\WINDOWS\taskmgr.exe
Metode Penyebaran
Dengan memanfaatkan system autoplay windows, virus ini menggunakan removable drive / usb sebagai sarana penyebaran dirinya. Beberapa file yang akan di buat virus yaitu :
? autorun.inf
? NadiaSaphira.ini
? Membuat file virus dan menggandakan diri pada setiap folder yang ada
Cara pembersihan virus Nadia Saphira
o Sebaiknya putuskan komputer yang akan dibersihkan dari jaringan.
o Matikan “System Restore” selama proses pembersihan virus (untuk Windows XP / Vista).
o Matikan proses virus yang aktif di memory. Gunakan tools pengganti task manager, seperti CProcess ( download pada alamat berikut http://www.nirsoft.net/utils/index.html)
Lakukan kill process, pada beberapa file virus yang aktif yaitu :
? C:\Documents and Settings\All User\Start Menu\Programs\Startup\lan.exe
? C:\WINDOWS\system32\misconfig.exe
? C:\WINDOWS\taskmgr.exe
o Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCR, batfile\shell\open\command,,,”””%1?” %*”
HKCR, comfile\shell\open\command,,,”””%1?” %*”
HKCR, exefile\shell\open\command,,,”””%1?” %*”
HKCR, piffile\shell\open\command,,,”””%1?” %*”
HKCR, lnkfile\shell\open\command,,,”””%1?” %*”
HKCR, scrfile\shell\open\command,,,”””%1?” %*”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
HKLM, SOFTWARE\Classes\exefile\DefaultIcon,,,””%1?”
HKLM, SOFTWARE\Classes\exefile,,,”Application”
HKLM, SOFTWARE\Classes\exefile,infotip,0, “prop:FileDescription;Company;FileVersion;Create;Size”
HKLM, SOFTWARE\Classes\exefile,TileInfo,0, “prop:FileDescription;Company;FileVersion”
HKCU, Software\Microsoft\Command Processor, AutoRun,0,
HKLM, SOFTWARE\Microsoft\Command Processor, AutoRun,0,
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0×00010001,1
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue, 0×00010001,2
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, nofind
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, nofind
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sessmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPYXX.exe
Gunakan notepad, kemudian simpan dengan nama “repair.inf” Jalankan repair.inf dengan klik kanan, kemudian pilih install. Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
o Hapus file virus yang mempunyai ciri-ciri sebagai berikut :
? Icon application/folder
? Ext. exe
? Ukuran 69 kb & 17 kb
Catatan
o Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.
o Untuk mempermudah proses pencarian sebaiknya gunakan “Search Windows” dengan filter file *.exe & *.ini yang mempunyai ukuran 69 KB & 17 KB.
• Hapus file virus yang biasanya mempunyai date modified yang sama.
o Tampilkan kembali folder yang disembunyikan pada drive atau flashdisk. Gunakan perintah “ATTRIB” pada command prompt.
? Klik “Start”
? Klik “Run”
? Ketik “CMD”, kemudian tekan tombol “Enter”
? Pindahkan posisi kursor ke drive Flash Disk
? Kemudian ketik perintah ATTRIB –s –h –r /s /d kemudian tekan tombol “enter
o Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.
sumber vaksin
Tidak ada komentar:
Posting Komentar