Kategori Berita
Daerah
Layanan
Detik Network
detikInet
Yang sedang ramai dicari
  1. Loading...
Promoted
Terakhir yang dicari
    Loading...
detikInet
detikInet
Analisa Virus Virut (2)
Bagaimana Membasmi Virut Si Raja Spam?
Terpopuler Gadget of the Month Lab Gadget Geekster Security Fotosop Inet Grafis
Analisa Virus Virut (2)

Bagaimana Membasmi Virut Si Raja Spam?

- detikInet

Jakarta - Catatan redaksi: Tulisan ini merupakan sambungan dari bagian pertama (baca: Virut, Biang Keladi Banjir Spam). Dalam dua tulisan ini, analis antivirus dari Vaksincom mencoba menguraikan ciri-ciri virus Virut, sebuah program jahat yang banyak menyebarkan spam.

Aksi Virut

Virus akan melakukan serangan SPAM kepada IP-IP yang terdapat pada data komputer pada server zombie. Secara khusus, virus menyerang IP yang menggunakan MX (Mail Exchanger) dengan memiliki account user pada beberapa alamat e-mail, yaitu :

SCROLL TO CONTINUE WITH CONTENT

  • yahoo.com
  • web.de
  • hotmail.com
  • gmail.com
  • aol.com

Fungsi yang Dimatikan


  • Windows Firewall dimatikan dan diproteksi. Hal ini dilakukan untuk mencegah akses pengguna komputer mengaktifkan kembali Firewall.
  • File aplikasi/executable tidak bisa dijalankan, baik karena ukuran sudah berubah maupun karena telah terinfeksi virus. Biasanya jika anda ingin menjalankan suatu program baik program antivirus ataupun program aplikasi lainnya, akan muncul error saat dijalankan.
  • Tidak bisa melakukan share folder ataupun share drive. Hal ini dilakukan untuk mencegah akses share dari komputer lain.

Replace/Inject Network Driver

Salah satu akibat yang ditimbulkan oleh virus ini adalah berusaha menggantikan file network ataupun menginjeksi file tersebut. Driver network yang berusaha digantikan adalah :

  • ndis.sys
  • TCPIP.sys

Akibat yang ditimbulkan adalah rusaknya driver network walaupun sudah anda re-install driver sehingga komputer tersebut tidak dapat terkoneksi pada jaringan.

File Virus

Varian W32/Virut.DG memiliki beberapa file virus yang diantaranya sebagai berikut :

  • C:Documents and Settings%user%reader_s.exe
  • C:Documents and Settings%user%%user%.exe
  • C:WINDOWSfontsservices.exe
  • C:WINDOWSSoftwareDistributionDownload[random_folder][nama_random].tmp
  • C:WINDOWSsystem32reader_s.exe
  • C:WINDOWSsystem32servises.exe
  • C:WINDOWSsystem32regedit.exe
  • C:WINDOWSsystem32[angka_random].tmp (beberapa file)
  • C:WINDOWSTempVRT[angka_random].tmp (beberapa file)
  • C:WINDOWSTemp~TM[angka_random].tmp (beberapa file)
  • C:WINDOWSTemp[angka_random].exe (beberapa file)
  • C:WINDOWSTemp[nama_acak].dll (beberapa file)

Salah satu file virus menyamarkan dirinya sebagai β€œPE Explorer”, PE Explorer merupakan salah satu tools yang dibuat oleh perusahaan Heaven Tools.

Registry Windows

Agar dapat aktif pada saat menjalankan Windows, virus membuat string registry pada :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
22951 = C:WINDOWSsystem32[nama_random].tmp.exe
reader_s = C:WINDOWSsystem32reader_s.exe
Regedit32 = C:WINDOWSsystem32regedit.exe
servises = C:WINDOWSsystem32servises.exe

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion PoliciesExplorerRun
servises = C:WINDOWSsystem32servises.exe
exec = C:WINDOWSfontsservices.exe

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
reader_s = C:Documents and Settingsklasnichreader_s.exe
servises = C:WINDOWSsystem32servises.exe

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies ExplorerRun
servises = C:WINDOWSsystem32servises.exe

HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersion Windows
load = C:WINDOWSsystem32servises.exe
run = C:WINDOWSsystem32servises.exe

Agar tidak mudah diidentifikasi oleh user, virus membuat string registry pada :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenSHOWALL
CheckedValue = 0

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenNOHIDORSYS
CheckedValue = 0Β Β Β 

Selain itu, virus menambahkan dan mengubah string registry pada firewall:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandarProfileAuthorizedApplicationsList
\??C:WINDOWSsystem32winlogon.exe = \??C:WINDOWSsystem32winlogon.exe:*:enabled:@shell32.dll,-1

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfile
EnableFirewall = 0

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewall StandardProfile
EnableFirewall = 0

Cara Pembersihan Virus

Matikan System Restore (XP/ME) (pada saat digunakan)

Hapus dan matikan proses virus yang aktif. Gunakan Norman Malware Cleaner untuk mematikan sekaligus menghapus virus. Anda dapat mendownload pada link berikut: http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

Sebaiknya anda men-download pada komputer yang masih bersih atau simpan file tersebut dengan extension file executable lain seperti com atau cmd.

Sebelum anda menjalankan file Norman Malware Cleaner, sebaiknya ubah terlebih dahulu extension file tersebut menjadi com atau cmd, atau anda kompress file tersebut menjadi zip. Jalankan file yang berada dalam zip atau yang sudah berubah menjadi com atau cmd.

Norman Malware Cleaner mampu menghapus virus, membersihkan file yang terinfeksi virus, serta memperbaiki driver yang terinfeksi. Setelah selesai proses pembersihan, disarankan segera restart komputer.

Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]
Signature="$Chicago$"
Provider=Vaksincom Gendong Virut Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL, CheckedValue, 0x00010001, 1
HKLM, SYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfile, EnableFirewall, 0x00010001, 1

[del]
HKCU, SoftwareMicrosoftWindowsCurrentVersionRun, reader_s
HKCU, SoftwareMicrosoftWindowsCurrentVersionRun, servises
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKCU, SoftwareMicrosoftWindows NTCurrentVersionWindows, load
HKCU, SoftwareMicrosoftWindows NTCurrentVersionWindows, run
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, reader_s
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, servises
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, 22951
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, Regedit32
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDORSYS
HKLM, SYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandarProfileAuthorizedApplicationsList, \??C:WINDOWSsystem32winlogon.exe
HKLM, SOFTWAREPoliciesMicrosoftWindowsFirewall

Gunakan notepad, kemudian simpan dengan nama β€œRepair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Sebagai antisipasi jika masih belum bisa terkoneksi dalam jaringan atau network drive masih error, sebaiknya replace driver network yaitu file β€œndis.sys” (berukuran 179 kb) dan β€œTCPIP.SYS” (berukuran 351 kb) dari komputer yang belum terinfeksi. Biasanya file tersebut berada pada C:WINDOWSsystem32driver dan C:WINDOWSsystem32dllcache

Kembalikan hosts file yang sudah terinfeksi. Replace file β€œhosts” (berukuran 1 kb) dari komputer yang belum terinfeksi. Biasanya berada pada C:WINDOWSsystem32driveretc. Anda bisa juga menggunakan tools perubah hosts file yaitu β€œHostsXpert”. Anda dapat mendownload pada link berikut: http://www.funkytoad.com/download/HostsXpert.zip

Pada hostsxpert anda dapat me-restore kembali hosts file seperti semula. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan dapat mendeteksi dan membasmi virus ini dengan baik.


Penulis, Adi Saputra, adalah analis antivirus di Vaksincom.

(wsh/wsh)

Hide Ads