Virus Lebaran …

Huh..

hari gini masih adaa..  ajah yang iseng-iseng bikin Virus, namanya aneh-aneh pula., dari nama hewan, nama Artis, pacar, ungkapan ,dll.

saya tidak tahu maksud dan tujuan orang itu untuk bikin-bikin virus dan nyusahin banyak orang pastinya.  Yang jelas tadi pagi komputer di tempat saya bekerja kena virus dan menamakan dirinya  ” Virus Lebaran” , menampilkan pesan yang isinya begini :

Selamat Hari Raya Iedul Fitri Mohon Maaf Lahir dan Bathin

Kamu Adalah Manusia terkutuk di dunia!
Laksana Anjing Kelaparan Memangsa Sesamanya
Memuja Harta dan Maksiat Berkedok Muslimin
Pantas teman2mu memanggilmu Anjing!!!…

:: Istigfar Nak, Istigfar!! ::

Haaah… lebaran bukannya ngasih THR kek atau bingkisan, eh malah ngasih Virus. Dan alhasil komputer saya pun  mati suri untuk sesaat. Semua folder hardisk di Hiden alias disembunyikan dan icon hardisknya pun berubah menjadi icon word 2007. Niat untuk menyelesaikan tugas sayapun akhirnya tertunda karena akses menuju file di blok sama tu Virus… arrrgghh

jengel karena tugas saya akhirnya terbengkalai, iseng-iseng ( padahal kesal ) saya search di google bagaimana ngebasmi Virus  sialan ini, dan menemukan referensi yang sangat bagus untuk mengatasinya. berikut cara dan deskripsi mengenai ” Virus Lebaran ” tersebut.

Ciri-Ciri

Ciri-ciri yang dapat diketahui dari virus ini tidak lah terlalu sulit, hal ini dapat dilihat dari beberapa jejak yang akan ditinggal kan seperti:

§ Munculnya tray menu pada taskbar dengan nama “CoolTrayIcon Service” yang berisi pesan ucapan Selamat Idul Fitri, pesan ini akan muncul jika user melakukan klik kanan pada tray menu tersebut, seperti yang terlihat pada gambar dibawah ini (lihat gambar 1)

Gambar 1, Pesan yang ditinggalkan oleh virus expplorer

§ Merubah icon selain drive System dengan icon MS. Word 2007 dan munculnya pesan dari pembuat virus saat user mengakses drive tersebut (lihat gambar 2 dan 3)

Gambar 2, Virus merubah icon Drive dengan icon MS.Word 2007

Gambar 3, Pesan yang ditampilkan saat mengakses drive


Dengan menggunakan update tarbaru, Norman Security Suite berhasil mendeteksi sebagai virus Autorun.AEEQ (lihat gambar 4)  atau memakai Smadav Rev 6.4 terbaru

[ recomendasi penulis pribadi ].

Gambar 4, Hasil deteksi Norman Security Suite

File induk

Virus ini dibuat dengan menggunakan program bahasa Borland Delphi dengan ukuran file sekitar 767 KB, untuk mengelabui user ia akan merubah icon tersebut menggunakan icon Explorer dan untuk lebih meyakinkan lagi disetiap file induk yang dibuat akan mempunyai nama yang menyerupai file system Windows seperti shstat.exe, hkcmd.exe, ctfmon.exe, acpictl.exe. (lihat gambar 5)

Gambar 5, File induk virus

Virus ini akan aktif secara otomatis saat user mengakses drive/flash disk yang telah terinfeksi dengan bantuan file [autorun.inf]. Setalah virus tersebut akitf ia akan membuat beberapa file yang di simpan di lokasi yang berbeda dan akan menyamarkan dirinya sebagai sebuah Service Windows dengan nama [Microsoft ACPI Driver Extension] yang akan menjalankan sebuah file yang berada di direktori [C:\WINDOWS\system32\acpictl.exe]. Agar file tersebut tidak mudah di hapus, ia akan menyembunyikan file tersebut. Berikut beberapa file yang akan dibuat oleh virus:

*

C:\Windows\system32\config\shstat.exe
*

C:\Windows\system32\dllcache\hkcmd.exe
*

C:\WIndows\system32\oob\ctfmon.exe
*

C:\WIndows\system32\acpictl.exe
*

C:\Autorun.inf [semua drive]
*

C:\Explorer.exe [semua drive]

Membuat Services untuk melindungi dirinya

Agar virus ini dapat di aktifkan secara otomatis setiap komputer dinyalakan, ia akan membuat sebuat services pada registry berikut:

*

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ACPIService
o

DisplayName = Microsoft ACPI Driver Extension
o

ImagePath = “C:\WINDOWS\system32\acpictl.exe” /svc /host0

*

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ACPIService
o

DisplayName = Microsoft ACPI Driver Extension
o

ImagePath = “C:\WINDOWS\system32\acpictl.exe” /svc /host0

*

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ACPIService
o

DisplayName = Microsoft ACPI Driver Extension
o

ImagePath = “C:\WINDOWS\system32\acpictl.exe” /svc /host0

Service tersebut akan mengaktifkan beberapa file induk lain nya untuk mempersulit proses pembersihan. (lihat gambar 6)

Gambar 6, Sebuah service yang akan dibuat oleh virus

Jejak sang petualang

Virus ini tergolong baik karena tidak akan melakukan blok terhadap fungsi Windows seperti Task Manager/Regedit/Msconfig/Folder Options atau tools security lainnya, tetapi hal ini justru akan mempermudah dalam penyebarannya karena dengan demikian user tidak curiga bahwa komputer tersebut sebenarnya telah terinfeksi virus apalagi virus ini tidak melakukan perubahan pada file/data serta tidak menggunakan icon yang mencurigakan yang biasa dilakukan oleh kebanyakan virus lokal.

Walaupun demikian ia akan tetap melakukan beberapa perubahan berikut yang justru akan mengundang kecurigaan user:

*

Mengganti icon selain drive system [contoh: D:\, E:\ dll] dengan icon MS.Word 2007 (lihat gambar 2)
*

Menampilkan pesan jika user mengeksekusi/mengakses drive yang sudah di ubah tersebut (lihat gambar 3)
*

Menambahkan satu tray dengan nama “CoolTrayIcon Service” dengan pesan “Selamat Hari Raya Iedul Fitri Mohon Maaf Lahir dan Bathin” (lihat gambar 1)

Aktif Otomatis

Agar dirinya dapat aktif secara otomatis saat user mengakses suatu drive, ia akan memanfaatkan celah autorun Windows dengan membuat sebuah file [autorun.inf] dan sebuah file dengan nama [explorer.exe]. kedua file ini akan dibuat disemua root drive termasuk flash disk sehingga dapat dikatakan untuk menyebarkan dirinya ia akan memanfaatkan Flash Disk dengan membuat 2 file tersebut. (lihat gambar 7)

Gambar 7, Script yang terdapat pada file autorun.inf

Selamat Iedul Fitri Mohon Maaf Lahir dan Bathin

Sebagai penutup Virus ini akan menyisipkan sebuah pesan yang disampaikan kepada semua user yang telah menjadi korban dengan ucapan “Selamat Iedul Fitri Mohon Maaf Lahir dan bathin, Apakah pesan ini diucapkan tulus dari mereka (pembuat virus), hanya Tuhan dan dia yang tahu tapi kita sebagai manusia yang lemah dihadapan Nya sudah sepantasnya untuk dapat memaafkan semua kesalahan yang ada baik yang sengaja atau tidak disengaja sehingga dengan perginua bulan Ramadhan dan datangnya Hari Raya Idul Fitri kita SEMUA dapat kembali suci seperti bayi yang baru terlahir kembali tanpa ada dendam dan permusuhan di antara kita semua.

Seluruh Staf PT. Vaksincom juga mengucapkan selamat Hari Raya Idul Fitri Mohon Maaf Lahir dan Bathin, semoga kami dapat memberikan informasi yang bermanfaat bagi semua.

Cara mengatasi virus Autorun.AEEQ

1. Putuskan komputer yang akan di bersihkan dari jaringan selama proses pembersihan.

2. Nonaktifkan [System Restore] selama proses pembersihan agar pembersihan dapat dilakukan dengan optimal.

3. Matikan proses virus yang aktif di memori dengan menggunakan tools pengganti Task Manager seperti tools “Security Task Manager”. Kemudian blok proses yang mempunyai icon Explorer [shstat.exe, ctfmon.exe, hkcmd, acpictl.exe] (lihat gambar 8)

Silahkan download tools tersebut di alamat berikut:

http://www.neuber.com/taskmanager/download.html

Gambar 8, Terminate proses virus

Matikan juga service [Microsoft ACPI Driver Extension] pada service Windows dengan cara : (lihat gambar 10)

· Klik [Start]

· Klik [Run]

· Pada dialog box [RUN] ketik [SERVICES.MSC]

· Klik kanan pada nama service [Microsoft ACPI Driver Extension], kemudian pilih [Properties]

Gambar 10, Matikan Microsoft ACPI Driver Extension

· Pada kolom [Startup Type] pilih “Disabled” (lihat gambar 11)

· Klik tombol [STOP]

Gambar 11, Pilih STOP mada [Startup tpe]

· Klik tombol [Apply]

· Klik tombol [OK]

4. Hapus string yang dibuat oleh virus dan disable autorun Windows agar virus tidak aktif kembali, silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama [repair.inf], jalankan file tersebut dengan cara

· Klik kanan REPAIR.INF File

· Klik Install

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1

HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0×00010001,0

HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0×00010001,0

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255

[del]

HKLM, SYSTEM\ControlSet001\Services\ACPIService

HKLM, SYSTEM\ControlSet002\Services\ACPIService

HKLM, SYSTEM\CurrentControlSet\Services\ACPIService

5. Hapua file yang dibuat oleh virus dengan terlebih dahulu menampilkan file yang tersembunyi agar mudah dalam mencari file virus tersebut, dengan cara : (lihat gambar 12)

· Buka Windows Explorer

· Klik [Tools]

· Klik [Folder Options]

· Klik tabulasi [View]

· Pilih opsi “Show hidden files and folders”

· Uncheck opsi “Hide protected operating system (recomennded)”

Gambar 12, Menampilkan file yang tersembunyi

Kemudian hapus file berikut:

· C:\Explorer.exe [di semua drive]

· C:\Autorun.inf [di semua drive]

· C:\Windows\system32\config\shstat.exe

· C:\Windows\system32\dllcache\hkcmd.exe

· C:\WIndows\system32\oob\ctfmon.exe

· C:\WIndows\system32\acpictl.exe

6. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan menggunakan antivirus  Smadav Rev. 6.4 [recomendasi penulis ].

Iklan

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: