' Simply And Enjoy's : VIRUS KOMPUTER ( Win32.HLLW.Autoruner.based )

INTERLINKPPOB.NET PELUANG USAHA LOKET PPOB GRATIS SPANDUK PPOB & STRUK PPOB

Selasa, 07 Desember 2010

VIRUS KOMPUTER ( Win32.HLLW.Autoruner.based )

Virus Win32.HLLW.Autoruner.based  atau sering di juluki " folder cinta" ...dan bagaimana bisa membasmi virus tersebut....sumber di ambil dari vaksin.com 

Font merupakan salah satu bagian penting yang ada pada sistem komputer yang digunakan. Tanpa adanya font, kita tidak bisa membaca apapun yang ada di komputer. Selain itu, variasi font juga berguna untuk mempercantik sebuah tulisan. Sehingga, banyak pengguna komputer yang suka mengkoleksi font.
 
Bagi anda yang suka mengkoleksi font, harap berhati-hati jika anda memiliki sekumpulan font, karena bisa saja anda justru dikunjungi salah satu worm yang menggunakan logo/icon font. Alih-alih ingin memperbarui komputer anda, justru membuat komputer anda terinfeksi dan menyebarkan worm font.
Varian worm font ini merupakan kelanjutan dari worm folder cinta pada tahun lalu. Anda dapat melihat review worm folder cinta pada link berikut :
http://www.vaksin.com/2009/0709/cinta/virus_cinta.htm. Jika worm folder cinta menggunakan file kosong "khq", maka worm font menggunakan juga file kosong yaitu "khy". Jadi jika pada komputer anda atau komputer server anda terdapat file “khy”, maka anda baru saja dikunjungi oleh worm ini dan bahkan sudah menyebar worm “font” ini pada jaringan komputer anda.
 
Untuk varian worm ini, Dr.Web Scanner mendeteksi sebagai Win32. HLLW.Autoruner.based.


 
Ciri-ciri file worm
Ciri-ciri file worm font yaitu sebagai berikut :
-        Menggunakan icon/logo font
-        Memiliki ukuran 494 kb
-        Type file "application"
-        Memiliki ekstensi file "exe" (lihat gambar 2)
Gejala/efek worm
Jika anda telah terinfeksi worm font, maka akan menimbulkan gejala/efek sebagai berikut :
·         Disetiap file sharing akan muncul file worm dengan nama “[namaacak].exe” dan file system yang kosong dengan nama “khq”. (lihat Gambar 3) File khq ini juga akan berada pada setiap root drive. 


File worm aktif di memori komputer dengan nama “csrcs.exe” (mirip dengan proses "csrss.exe" milik system Windows) pada proses dengan username lokal. Anda dapat melihat dengan menggunakan task manager pada tab processes. (lihat gambar 4)

    Tidak dapat menampilkan file yang sudah di hidden. (walaupun “folder options” sudah di rubah ber-kali kali, akan kembali hidden). Dengan melakukan hal ini, pengguna komputer tidak akan mudah tahu jika komputer sudah terinfeksi worm. (lihat gambar 5)

  Melakukan koneksi ke internet untuk berkomunikasi dengan server worm. (lihat gambar 6)



Setelah melakukan koneksi, worm akan mendownload file malware lain-nya. (lihat gambar 7)


File file virus
Sama seperti halnya worm folder cinta, worm font juga dibuat dengan menggunakan bahasa script Autoit dan di kompress menggunakan UPX Unpacker. Beberapa file virus yang akan muncul jika dijalankan, yaitu :
ü  C:\WINDOWS\system32\csrcs.exe (berukuran 494 kb)
ü  [namaacak].exe , (disetiap root folder lokal yg sharing, serta folder dalam jaringan yang full-sharing)
ü  khq, (disetiap root folder lokal yg sharing, serta folder dalam jaringan yang full-sharing) , serta pada setiap root drive.
ü  [namaacak].exe , (pada media USB Flash/removable drive)
ü  Autorun.inf , (pada media USB Flash/removable drive)
 
Apabila terkoneksi internet, worm akan mendownload beberapa file yaitu :
ü  C:\Documents and Settings\%user%\Local Settings\Temp\www3.tmp
ü  C:\WINDOWS\system32\RegShellSM.exe (berukuran 524 kb)
ü  C:\WINDOWS\system32\autorun.i
ü  C:\WINDOWS\system32\autorun.in
 
Registri Windows
Walau tidak banyak aksi yang dilakukan, Autorun.QBP juga membuat beberapa perubahan pada registry yaitu diantaranya :
 
Ø  Agar dapat aktif saat komputer dijalankan, ia akan membuat string registry sebagai berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
csrcs          =          C:\WINDOWS\system32\csrcs.exe
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
csrcs          =          C:\WINDOWS\system32\csrcs.exe
 
Ø  Untuk memproteksi dan tetap aktif pada windows, ia akan membuat string berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell       =    Explorer.exe csrcs.exe
 
Media Penyebaran
Worm font melakukan penyebaran melalui media USB/Removable drive dan juga melalui jaringan (file sharing).
 
Pada USB/Removable drive, worm font akan membuat 2 file yang disembunyikan. Kedua file tersebut memiliki attribut RHSA (Read, Hidden, System, Archive), yaitu :
-        autorun.inf, file pemicu agar worm dapat aktif jika komputer masih mengaktifkan system autoplay (autorun) windows.
-        [namaacak.exe], file worm yang berukuran 494 kb. (lihat gambar 8)




Dalam jaringan, worm akan melakukan penyebaran menggunakan media file sharing. Jika pada server folder yang dibuat sharing FULL akses, maka worm akan dengan mudah menyebarkan file worm, yaitu :
-        khy, file kosong yang seolah menjadi jejak persinggahan dari worm font
-        [namaacak.exe], file worm yang berukuran 494 kb. (lihat gambar 9)


Cara pembersihan worm
Beberapa cara yang dilakukan untuk membersihkan komputer dari worm font yaitu sebagai berikut :
1.    Putuskan koneksi komputer dari jaringan/internet.
2.    Matikan System Restore Windows, selama proses pembersihan (XP/ME).
- Klik kanan My Computer, pilih Properties.
- Setelah muncul jendela System Properties, pilih tab System Restore.
- Centang pada pilihan "Turn off System Restore"
- Jika sudah, klik Apply dan OK. (lihat gambar 10)


3.    Matikan dan hapus proses worm yang aktif dan berjalan. Gunakan tools dari Dr.Web CureIt untuk membersihkan dengan mudah. Download tools pada link berikut : http://www.freedrweb.com/download+cureit (lihat gambar 11)


Klik 2x file yang telah anda download, hingga muncul pesan komputer yang sedang berjalan pada mode EPM (Enhanced Protection Mode), dan klik OK.
Klik OK jika muncul notifikasi untuk menjalankan, kemudian klik START pada menu yang ditampilkan dan klik “Yes” pada notifikasi Start scan now?.
Maka Dr.Web akan melakukan proses scanning pada komputer anda dan akan memunculkan pesan jika terdapat malware, klik Move. Biarkan hingga selesai.
Restart komputer, jika diperlukan.
 
4.    Hapus registry yang telah dibuat oleh worm. Untuk mempermudah, dapat menggunakan script registry di bawah ini.
 
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
 
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
 
[UnhookRegKey]
 
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \comfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \exefile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \scrfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \piffile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \regfile\shell\open\command,,, "regedit.exe "%1"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0, Explorer.exe
 
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
 
Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih [install].
 
5.    Untuk pembersihan yang optimal dan mencegah infeksi ulang dari worm, sebaiknya gunakan antivirus yang terupdate dan dapat mendeteksi worm ini dengan baik.
Download Software PPOB Interlink 2014


Artikel Terkait or related articles:

Kode Smiley Untuk Komentar


:a   :b   :c   :d   :e   :f   :g   :h   :i   :j   :k   :l   :m   :n   :o   :p   :q   :r   :s   :t  
Posting Komentar