virus SBY
04.47 | 
Diposting oleh
MISTERY TELAGA MERAH |
| EVU Virus SBY / Worm:W32/Smallworm. |
Beberapa waktu lalu sempet tersebar virus yg menamakan dirinya virus SBY(susah susah Berbahaya)virus ne bekerja dgn menyebarkan pesan pesan politik di indonesia Virus SBY ne adalah virus lokal karna pembuatnya dari negri indonesia ne ada suatu lembaga yg menditeksi virus ne adalah NORMAN security agent khusus menangani virus-lokal maupun luar negeri berikut ne adalah gambaran yg ditemukan oleh lembaga normanNorman mendeteksi salah satu varian worm ini sebagai W32/Smallworm.EVU (lihat gambar 1).
Gambar 1, Norman mendeteksi worm sebagai W32/Smallworm.EVU
EFEK DR VIRUS N bagaimana cara mengenali virus ini
berikut ne adalah penjelasannya :
- VIRUS ne adalah berupa text politik seperti ne text virus SBY :
LupatuBag1Soeharto ga di hukum, tomi bebasn SBY(Susah2Berbahaya)…ga jelas!!!akan tetapi hanya SBY yang jadi harapan negara ini……………untuk saat ini lhox……Solusi :Untuk Setiap Insan,terutama para pejabat negeri inijangan terlalu memikirkan diri sendiri…………mulailah memikirkan untuk kebersamaan&gotongRoyongdari yang terdekat Keluarga,Saudara…….n……tetangga terdekat……Sorry,Maaf,….Sorry…………….Kalau ini hanya Opini saya……….Sekian n thanks.....!?
- proses pada prosesor bekerja sangat aneh n Biasanya dengan nama MSLib32.exe, WINHELP32.exe, RUN32DLL.exe dan MSOffice32.exe contoh gambarnya seperti berikut ini :
Gambar 2, File worm yang aktif pada proses
- pada saat kita menyalakan komputer akan muncul dgn sendirinya yg bernama “SBY”contoh nya dibawah ne :
Gambar 3, User Account yang dibuat worm
- mematikan beberapa pungsi windows seperti Find/Search dan Regedit (Registry Editor).
- Menyembunyikan fungsi Folder Options.contoh gambarnya seperti ne :
Gambar 4, Folder Options yang disembunyikan.
BERIKUT NE ADALAH CARA PENYEBARAN VIRUS SBY
Penyebaran pada jaringan dengan akses full sharing dengan membuat file worm “Documents.exe”. File inilah yang jika dijalankan oleh user lain n menginfeksi komputer korban n akan sangat merepotkan jika terjadi pada komputer server yang di share full akses berikut contoh gambarnya
Gambar 6, Menyebar lewat jaringan dengan akses full.
- Penggunaan removable drive seperti USB flashdisk, Card Reader, dan media tulis lainnya. Penyebaran pada flashdisk, card reader, dll dengan membuat beberapa file virus dan file penunjangnya seperti :
- Autorun.inf / file penunjang yang mengaktifkan file worm “Document1.exe”
- Desktop.ini / file penunjang yang mencoba menjalankan file “Folder.htt”
- Document1.exe / file worm
- MSLib\Folder.htt / file yang mengaktifkan file worm “OfficeLib.exe”
- MSLib\OfficeLib.exe / file worm
Gambar 7, File autorun pada flashdisk/card reader.
Worm dibuat dengan menggunakan bahasa pemrograman Visual Basic (VB). n berukuran 180 kb dan 48 kb. Worm berukuran 180 kb menggunakan icon MSWORD (Microsoft Word) sedangkan worm berukuran 48 kb menggunakan icon Windows Explorer.
Smallworm.EUV memiliki beberapa file worm utama yang diantaranya sebagai berikut :
- C:\Documents and Settings\%user%\MSOffice32.exe
- C:\WINDOWS\MSLib32.exe
- C:\WINDOWS\OfficeStartUp.exe
- C:\WINDOWS\RUN32DLL.exe
- C:\WINDOWS\WINHELP32.exe
- C:\WINDOWS\Wexplorer.exe
Gambar 8, File utama virus
- Autorun.inf
- Desktop.ini
- Document1.exe
- MSLib\Folder.htt
- MSLib\OfficeLib.exe
Selain file worm, file lain yang dibuat yaitu sebagai berikut :
- C:\DISKWASA.DAT
- C:\WINDOWS\Desktop.ini
- C:\WINDOWS\NDETECK.BAT
- C:\WINDOWS\LagiLembur.txt
- C:\Documents and Settings\%user%\desktop\CumaPesan.txt
agar virus itu dapat aktif pada saat komputer dijalankan, worm juga membuat 2 file pada folder start-up windows yaitu sebagai berikut :
- C:\Documents and Settings\%user%\Start Menu\Programs\Startup\JavaScript.vbs
- C:\Documents and Settings\klasnich\Start Menu\Programs\Startup\Online.com
Pesan Pembuat Virus…
Selain membuat file worm, pembuat virus juga membuat 2 pesan, yaitu lihat gambar 9 n 10berikut ne
- LagiLembur.txt (C:\WINDOWS\LagiLembur.txt)
Gambar 9, Pesan LagiLembur.txt
- CumaPesan.txt (C:\Documents and Settings\%user%\desktop\CumaPesan.txt)
Gambar 10, Pesan CumaPesan.txt
Salah satu efek yang dilakukan oleh Smallworm.EUV yaitu dengan membuat user account baru yaitu dengan nama “SBY”. Untuk melakukan hal tersebut, worm membuat script sebagai berikut :
net user SBY shadow /addPada script tersebut, worm membuat sebuah user baru dengan nama SBY dan password shadow. Kemudian dilanjutkan menjadikan user yang sudah dibuat tadi memiliki akses administrator.lihat gambar 11
net localgroup administrators SBY /add
Gambar 11, User yang dibuat oleh smallworm.EUV
Agar virus dapat aktif pada saat menjalankan Windows, virus membuat string registry pada :
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run MSOfficeLib = C:\WINDOWS\MSLib32.exe
RUN32DLL.exe = C:\WINDOWS\WINHELP32.exe
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer NoFind = 1
NoFolderOptions = 1
NoRun = 1
berikut ne adalah Cara Pembersihan Virus SBY
- Matikan System Restore
- Matikan proses virus yang aktif di memory komputer dengan menggunakan tools pengganti task manager. Gunakan tools “IceSword” untuk mematikan proses virus. (lihat gambar 12)
Gambar 12, Kill Process virus
Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “”%1″”"
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, MSOfficeLib
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, RUN32DLL.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Setelah registry di repair, sebaiknya log-off/restart komputer anda.
Hapus file virus secara manual dengan terlebih dahulu menampilkan file yang tersembunyi agar mudah dalam mencari file virus tersebut, yaitu dengan cara :
- Buka Windows Explorer
- Klik [Tools]
- Klik [Folder Options]
- Klik tabulasi [View]
- Pilih opsi “Show hidden files and folders”
- Uncheck opsi “Hide protected operating system (recomennded)” (lihat gambar 12)
Gambar 12, Menampilkan file tersembunyi
- C:\DISKWASA.DAT
- C:\Documents and Settings\%user%\MSOffice32.exe
- C:\Documents and Settings\%user%\desktop\CumaPesan.txt
- C:\WINDOWS\MSLib32.exe
- C:\WINDOWS\OfficeStartUp.exe
- C:\WINDOWS\RUN32DLL.exe
- C:\WINDOWS\WINHELP32.exe
- C:\WINDOWS\Wexplorer.exe
- C:\WINDOWS\Desktop.ini
- C:\WINDOWS\NDETECK.BAT
- C:\WINDOWS\LagiLembur.txh hapu file yg ada pada semua root flashdisk/card reader
- Autorun.inf
- Desktop.ini
- Document1.exe
- MSLib\Folder.htt
- MSLib\OfficeLib.exe
demikian penjelasan tentang Virus SBY (Susah2 Berbahaya), Worm:W32/Smallworm.EVU n cara membersikan nya
semoga postingan ne bermamfaat
salam.......
MISTERY TELAGA MERAH
Label:
virus
