Cara Pembersihan
Ciri file virus :
Dari gambar diatas kita dapat melihat perbedan dengan jelas mana file dan folder asli milik system dengan file dan folder palsu yang dibuat oleh virus.
Ciri-ciri File dan folder asli
Virus berusaha menginfeksi direktori CD Burning yang berada di “C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning” dengan membuat file “Autorun.inf” dan “Thumb.db”
Virus ini juga bisa menyebar melalui jaringan yakni dengan mencari folder yang di share dijaringan pada directori NetHood “C:\Documents and Settings\user\NetHood”, jika virus menemukanya ia akan menyembunyikan semua folder yang didapat kemudian membuat shortcut dengan nama yang sama dengan folder yang ia sembunyikan.
Pesan Virus
Di folder Temp “C:\Documents and Settings\user\Local Settings\Temp\” kita dapat menemukan sebuah pesan yang dibuat oleh virus, pesan itu berupa file text dengan nama “v.doc”
Registry yang di infeksi
Untuk membersihkan virus ini secara maksimal gunakan SmadAV versi
terbaru, Antivirus SmadAV bisa anda dapatkan secara geratis di www.smadav.net . SmadAV dapat mengenali virus ini sebagai “VBS.VirusCode” dan “Yuyun.Shortcut”
- Jalankan SmadAV pada TAB Scanner beri centang pada Computer Drive untuk membersihkan virus diseluruh drive yang anda punya. Lalu tekan tombol SCAN >> untuk memulai proses scanning. Tunggu hingga proses scanning selesai 100%, jika sudah selesai tekan tombol FIX ALL
Daftar file virus yang terdeteksi
Tampilan proses scanning telah selesai
Karakteristik Virus
Virus VBS ini hadir dengan ektensi berbeda dari kebanyakan virus VBS
lainya yakni dengan menggunakan ektensi “.db” dan “.lnk” [shortcut],
virus menyamarkan dirinya sebagai shortcut dan file “Thumbs.db” untuk
mengelabui korbanya. Teknik yang ia gunakan yakni menyamarkan dirinya
sebagai folder dengan memanfaatkan shortcut yang ia buat agar nantinya
virus dapat tereksekusi saat korbannya mengakses file shortcut samaran
folder tersebut.
Ciri file virus :
- Berektensi “.db” menyamar sebagai file “Thumb.db”
- Dan file shortcut berektensi “.lnk” yang digunakan virus untuk menyamarkan dirinya sebagai folder
File-file virus yang dibuat diseluruh folder
File-file virus tersebut dapat kita temui diseluruh folder yang ada
dikomputer terinfeksi oleh virus ini, virus ini akan menyembunyikan
seluruh folder-folder yang ditemuinya di setiap drive yang ada
dikomputer korbanya yakni dengan cara membuat shortcut samaran yang
mirip dengan nama folder yang ia sembunyikan, file-file yang ia buat
antara lain file induk virus “Thumb.db”, “Autorun.inf”, shortcut virus
“Microsoft”, “New Harry Potter and…” dan shortcut yang ia buat mirip
dengan nama folder yang ia sembunyikan.
Kita dapat melihat perbedaan antara file dan folder asli dengan file dan folder palsu yang dibuat oleh virus.
Dari gambar diatas kita dapat melihat perbedan dengan jelas mana file dan folder asli milik system dengan file dan folder palsu yang dibuat oleh virus.
Ciri-ciri File dan folder asli
- Folder tidak terdapat tanda panah di icon nya dan type nya adalah folder
- File Thumbs asli mempunyai nama lengkap Thumbs.db
- Folder memiliki tanda panah di icon nya dan typenya adalah Shortcut
- File Thumbs yang dibuat oleh virus namanya “Thumb.db”
Selain itu juga terdapat file Autorun.inf yang dibuat oleh virus agar
dirinya dapat aktif secara otomatis saat korbanya mengakses drive. Isi
autorun nya seperti gambar dibawah ini
File Autorun.inf yang dibuat oleh virus
Aksi Virus
Saat pertama kali shortcut virus dijalankan, virus memeriksa
keberadaan folder yang disembunyikan apakah folder yang disembunyikan
ada atau tidak, jika ada virus akan membuka folder yang disembunyikan
dan jika tidak ditemukan maka virus akan membuat folder baru mirip
dengan nama shortcut yang dijalankan lalu membuka folder tersebut dengan
menggunakan explorer. Jadi seolah olah shortcut virus yang dijalankan
sama seperti membuka folder biasa.
Kemudian virus membaca tubuhnya dan mendeksrip kode aslinya dan
membuat beberapa file ke direktori Temp. File file yang dibuatnya antara
lain Auto.exe [Script Autorun.inf virus], v.doc [Pesan virus] dan file
Yuyun.Q [File kosong] :
- C:\Documents and Settings\user\Local Settings\Temp\auto.exe
- C:\Documents and Settings\user\Local Settings\Temp\v.doc
- C:\Documents and Settings\user\Local Settings\Temp\Yuyun.Q
Pada direktori My Documents virus membuat file induknya dengan nama
“database.mdb”, yang akan ia jadikan file induk aslinya. Sebenarnya file
ini merupakan file VBS [Visual Basic Script] yang dirubah ektensinya
menjadi .mdb agar mirip sepertti file dartabase. File induk ini akan
dijalakan setiap computer dihidupkan.
- C:\Documents and Settings\user\My Documents\database.mdb
- C:\WINDOWS\:Microsoft Office Update for Windows XP.sys
Virus akan mencari keberadaan folder disetiap drive, jika ia
menemukanya virus akan mensembunyikan folder asli lalu membuat shortcut
mirip dengan folder yang disembunyikan, dan membuat beberapa file virus
lainya di direktori yang sama. File-file yang ia buat diseluruh drive
dan folder antara lain :
- Thumb.db
- Microsoft.lnk
- Autorun.inf
- %Folder%.lnk <Sesuai dengan nama foder yang disembunyikan>
- C:\WINDOWS\system32\wscript.exe //e:VBScript thumb.db “%NamaFolder%”
Virus berusaha menginfeksi direktori CD Burning yang berada di “C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning” dengan membuat file “Autorun.inf” dan “Thumb.db”
- C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning\Autorun.inf
- C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning\Thumb.db
Virus ini juga bisa menyebar melalui jaringan yakni dengan mencari folder yang di share dijaringan pada directori NetHood “C:\Documents and Settings\user\NetHood”, jika virus menemukanya ia akan menyembunyikan semua folder yang didapat kemudian membuat shortcut dengan nama yang sama dengan folder yang ia sembunyikan.
Pesan Virus
Di folder Temp “C:\Documents and Settings\user\Local Settings\Temp\” kita dapat menemukan sebuah pesan yang dibuat oleh virus, pesan itu berupa file text dengan nama “v.doc”
- C:\Documents and Settings\user\Local Settings\Temp\v.doc
Registry yang di infeksi
Virus ini tidak banyak melakukan perubahan didalam registry, virus
hanya membuat startup, menghapus beberapa value dan mendisable registry
tool [regedit], sedangkan tols seperti Task Manager, Folder Options,
CMD, dan Msconfig tidak diblok oleh virus.
- HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444-555555555555}\ = “Yuyun_Cantix”
- HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444-555555555555}\DefaultIcon\”= “shell32.dll,48”
- HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444 555555555555}\ShellFolder\Attributes = 0
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Desktop\NameSpace\{11111111-2222-3333-4444-555555555555}\ = “”
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools = 1
- HKEY_CLASSES_ROOT\lnkfile\IsShortcut
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Explorer = “Wscript.exe //e:VBScript C:\Documents and Settings\user\My Documents\database.mdb”
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinUpdate = “Wscript.exe //e:VBScript C:\WINDOWS\:Microsoft Office Update for Windows XP.sys
0 komentar:
Posting Komentar