Dari sekian banyak virus lokal yang beredar di
indonesia, kebanyakan menggunakan teknik sosial enginering untuk menarik
korbanya, begitu juga dengan virus ini memanfaatkan ikon Quick Time
untuk menipu korban nya, sehingga terlihat seperti file video. virus
yang bernama asli VB.CewekMatre.D sudah dapat dikenali Smadav di revisi
terbaru.
Karakteristik Virus
Icon : Quick Time PlayerNama File : CewekMatre.exeUkuran : 84 kbDibuat menggunakan : Visual Basic 6
Kita dapat dengan mudah mengenali virus ini yakni dengan mengetahui ciri-ciri nya, virus menggunakan nama file CewekMatre.exe, berikon Quick Time Player, dengan ukuran sekitar 84 Kb. Apabila menemukan file dengan ciri-ciri seperti diatas sebaiknya jangan dibuka atau dijalankan, karena itulah ciri Virus Cewek Matre ini.
Aksi Virus
Apa yang terjadi apabila korban tidak sengaja
menjalankan file virus, virus akan langsung menginfeksi system dengan
membuat file induk virus di folder windows dengan nama file seperti
dibawah ini
-
C:\WINDOWS\Network.exe
Ketika korban menjalankan file virus maka tidak akan
terjadi reaksi apa-apa, tetapi dibalik semua itu virus sudah aktif di
memory dan siap menginfeksi tiap drive yang ada di komputer korban.
Aktif saat mengeksekusi file executable
Log virus
Virus dapat aktif dengan sendirinya saat korban
menjalankan setiap file berektensi .exe, hal ini terjadi karena virus
sudah menginfeksi registri yang mengatur ektensi file exe dengan
membelokan ke arah file induk virus yang ada di folder windows, sehingga
menyebabkan virus akan berjalan terlebih dahulu baru kemudian virus
meneruskan file exe yang akan dijalankan oleh korban. tak hanya itu
virus juga merekam setiap file exe yang dijalankan dengan menaruh file
log di lokasi :
-
C:\WINDOWS\exelog.txt
-
C:\WINDOWS\antd3.txt
Dapat mengirim informasi melalui Email
Virus ini juga diketahui dapat mengirim informasi melalui email, terkait informasi di komputer korban nya, beberapa email yang akan di tuju virus ini antara lain :
Dengan mencoba mendapatkan SMTP Server dan port yang akan digunakan, melalui link dibawah ini
- http://schemas.microsoft.com/cdo/configuration/smtpserver
- http://schemas.microsoft.com/cdo/configuration/smtpserverport
Infeksi Registry
Seperti hal virus biasanya, virus ini juga tidak ketinggalan ikut menginfeksi registry agar virus dapat aktif saat komputer dihidupkan dan beberapa aksi lainya untuk memperpanjang umur virus dengan mendisable beberapa tools windows
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Syswar\%IndukVirus%
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Sysdriver\%IndukVirus%
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Network\%IndukVirus%
- Software\Microsoft\Windows\CurrentVersion\Policies\System\%DisableRegistryTools%
- HKEY_CLASSES_ROOT\exefile\shell\open\command\%IndukVirus%
Infeksi Drive
File Virus
Virus akan menginfeksi tiap drive yang ada di komputer korbanya, drive yang akan di infeksi virus dimulai dari drive D:\ – L:\ dengan membuat duplikat virus dengan nama CewekMatre.exe dan sebuah file Autorun.inf
Pembersihan
Untuk membersihkan virus ini ikuti cara-cara dibawah ini :
-
Download Smadav Revisi terbaru, kemudian jalankan smadav revisi terbaru untuk mengenali variant virus ini.
-
Apabila Smadav tidak dapat terbuka / berjalan seperti biasanya. ikuti cara selanjutnya.
- Buka lokasi folder smadav yang ada di %ProgamFiles% – C:\Program Files\Smadav
- Kemudian klik Menu Tools > Folder Options
- Hilangkan centang pada Hide extentions for known file types
- Copy file SMΔRTP.exe dan rubah nama duplikatnya menjadi SMΔRTP.SCR kemudian jalankan file SMΔRTP.SCR tadi.
- Setelah Smadav terbuka, kemudian pilih Full Scan kemudian klik tombol Scan >>
- Tunggu hingga proses scanning selesai, kemudian klik tombol Bersihkan
- Restart komputer (Keep Using Local Antivirus ^^)
0 komentar:
Posting Komentar