Virus
dari Microsoft di Yahoo Messenger ?? Waspadalah..... Waspadalah
!!
Virus terbaru kembali menyerang dunia internet Indonesia. Virus ini
diidentifikasi dengan nama W32/gent.FUVR. berikut
beritanya.
Lagi-lagi pengguna internet Indonesia cukup
digemparkan serangan virus asing. Peneliti dari vaksincom
menyebutnya W32/gent.FUVR. Virus ini mampu
membuat komputer atau server anda kehabisan nafas alias
lambat beroperasi karena tiba -tiba ia akan berusaha dengan
intens mendownload file dari situs web tertentu (kebanyakan
di Cina) untuk "mengupdate" dirinya. "Update"
ini tentu saja hanya untuk mengacaukan kerja komputer
anda. "Hebatnya” virus ini juga aktif
memanfaatkan YM (Yahoo Messenger). Jadi, jika YM anda tahu-tahu
bertingkah aneh dalam beberapa hari ini ….Siap-siap dan
Waspadalah.
Untuk memastikan W32/Agent.FUVR aktif di komputer anda (Windows
XP), silahkan periksa C:\Windows\AppPatch dan cari
file-file dengan nama :
· AcXtrnel.dll
File ini merupakan file palsu (file imitasi) yang mirip dengan
file dll OS Microsoft Windows “AcXtrnal.dll”
· AcSpecf.dll
File ini juga merupakan file palsu yang mirip dengan file dll
OS Microsoft Windows “AcSpecfc.dll”
· AcPlugin.dll
File ini adalah memang benar file dll dari Microsoft Windows
(Microsoft Plus), tetapi lokasi file ini seharusnya ada di C:\Program
Files\Microsoft Plus dan bukan di c:\Windows\AppPatch.
Microsoft Plus adalah add on untuk Windows XP. Namun yang membingungkan
Microsoft Plus adalah add on yang saat ini sudah tidak
dilanjutkan produksinya.
· Jview.dll
Jview sebenarnya adalah file Java, tetapi virus ini dengan cerdik
melakukan delay / menunda aktivasi Jview yang asli (jika ada).
Dengan cerdas virus ini mengubah setting registry sehingga
yang dijalankan adalah Jview yang bervirus.
Hati-hati jika Anda menjumpai sejumlah file dengan nama
Microsoft.vbs, Microsoft.bat atau Microsoft.pif
pada local disk (C:\). Jika kita buka file Microsoft.bat
maka akan terlihat jelas bahwa file ini akan menjalankan file
dengan nama Microsoft.pif begitupun dengan file Microsoft.vbs.
File Microsoft.pif ini sendiri di kompres dengan menggunakn
UPX.
Jika file di atas dijalankan, Microsoft.bat
/ Microsoft.vbs maka akan langsung mengaktifkan file
Microsoft.pif yang tersembunyi / hidden. Dan jika file microsoft.pif
ini anda langsung hapus, ada konsekuensinya. Jika anda
lakukan penghapusan, sebagai gantinya akan ada banyak sekali
file library (dll) yang aktif di memori, file ini juga akan
di aktifkan setiap kali user mengakses Internet Explorer.
Virus ini akan membuat koneksi internet atau
jaringan juga menjadi lambat karena setelah ia aktif, ia akan
selalu mencoba untuk melakukan koneksi internet dan mencoba
untuk mendownload file gambar dengan format GIF dan file EXE
kesejumlah situs yang telah ditentukan seperti :
· http://root.51113.com/root.gif
· http://hk.www404.cn:53/ads.js
· http://err.www404.cn:443/014.html
Menurut pengamatan Vaksincom,
situs yang mengandung file virus ini sangat banyak dan bervariasi
dan rata-rata merupakan domain yang berasal dari Cina sehingga
disinyalir kuat virus ini berasal dari Cina. Karena kemampuannya
mendownload file update, maka secara teknis virus ini memiliki
kemampuan mengupdate dirinya seperti antivirus sehingga termasuk
dalam virus dengan resiko tinggi. Walaupun varian awal sudah
terdeteksi sejak akhir 2007, tetapi varian yang ditemukan tersebut
terlihat berbeda dengan varian awal dan terbukti berhasil mengecoh
banyak program antivirus yang sebelumnya berhasil mendeteksinya.Di
bawah ini adalah contoh varian program gif atau exe
File gif dan exe tersebut akan disimpan di
direktori berikut
- C:\Documents and Settings\%user%\Local Settings\Temporary
Internet Files\Content.IE5\xxx (xxx ini menunjukan karakter
acak)
- C:\Documents and Settings\%user%\Local Settings\Temp
Virus ini juga akan aktif bersamaan dengan
Yahoo Messenger dan pada beberapa kasus menimbulkan error pada
Script file.
BAGAIMANA CARA MENGATASINYA ?
- Sebaiknya putuskan hubungan jaringan / internet komputer
yang akan dibersihkan.
- Lakukan pembersihan pada mode “safe mode”.
- Patch OS anda dengan patch terakhir.
- Download tools Combofix di alamat berikut kemudian jalankan
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
- Hapus file temporary dan temporary internet file, untuk
mempercepat proses penghapusan silahkan download tools berikut
http://majorgeeks.com/ATF_Cleaner_d4949.html
- Hapus registry yang sudah dibuat oleh virus. Untuk mempercepat
proses penghapusan silahkan salin script dibawah ini pada
program notepad kemudian simpan dengan nama repair.inf,
jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1""
%*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1""
%*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1""
%*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1""
%*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe
"%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1""
%*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0,
"cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0,
"cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0,
"cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows,
AppInit_DLLs,0, ""
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad,
ThunderAdvise
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad,
JavaView
- Untuk pembersihan optimal dan mencegah infeksi ulang gunakan
antivirus yang dapat mendeteksi dan membasmi virus ini dengan
baik.
Source : pingubian.wordpress.com,
vaksin.com
|