DIBACA YO,,,,,,,,,,!?????

Laman

lintas berita n banner temen

EVU Virus SBY / Worm:W32/Smallworm.


Beberapa waktu lalu sempet tersebar virus yg menamakan dirinya virus SBY(susah susah Berbahaya)virus ne bekerja dgn menyebarkan pesan pesan politik di indonesia Virus SBY ne adalah virus lokal karna pembuatnya dari negri indonesia ne ada suatu lembaga yg menditeksi virus ne adalah NORMAN security agent khusus menangani virus-lokal maupun luar negeri berikut ne adalah gambaran yg ditemukan oleh lembaga norman

Norman mendeteksi salah satu varian worm ini sebagai W32/Smallworm.EVU (lihat gambar 1).

Gambar 1,   Norman mendeteksi   worm  sebagai W32/Smallworm.EVU
Gambar 1, Norman mendeteksi worm sebagai W32/Smallworm.EVU

EFEK DR VIRUS N bagaimana cara mengenali virus ini

berikut ne adalah penjelasannya :

  • VIRUS ne adalah berupa text politik seperti ne text virus SBY :
LupatuBag1
Soeharto ga di hukum, tomi bebas
n SBY(Susah2Berbahaya)…ga jelas!!!
akan tetapi hanya SBY yang jadi harapan negara ini
……………untuk saat ini lhox……
Solusi :
Untuk Setiap Insan,terutama para pejabat negeri ini
jangan terlalu memikirkan diri sendiri…………
mulailah memikirkan untuk kebersamaan&gotongRoyong
dari yang terdekat Keluarga,Saudara…….n……
tetangga terdekat……
Sorry,Maaf,….Sorry…………….
Kalau ini hanya Opini saya……….
Sekian n thanks.....!?
  •   proses pada prosesor bekerja sangat aneh n Biasanya dengan nama MSLib32.exe, WINHELP32.exe, RUN32DLL.exe dan MSOffice32.exe contoh gambarnya seperti berikut ini :

Gambar 2, File worm yang aktif pada proses
Gambar 2, File worm yang aktif pada proses

  • pada saat kita menyalakan komputer akan muncul dgn sendirinya yg bernama “SBY”contoh nya dibawah ne :

Gambar 3, User Account yang dibuat worm
Gambar 3, User Account yang dibuat worm

  • mematikan beberapa pungsi windows seperti Find/Search dan Regedit (Registry Editor).
  • Menyembunyikan fungsi Folder Options.contoh gambarnya seperti ne :
Gambar 4, Folder Options yang disembunyikan.
Gambar 4, Folder Options yang disembunyikan.

BERIKUT NE ADALAH CARA PENYEBARAN VIRUS SBY 

Penyebaran pada jaringan dengan akses full sharing dengan membuat file worm “Documents.exe”. File inilah yang jika dijalankan oleh user lain n menginfeksi komputer korban n akan sangat merepotkan jika terjadi pada komputer server yang di share full akses berikut contoh gambarnya

    Gambar 6, Menyebar lewat jaringan dengan akses full.
    Gambar 6, Menyebar lewat jaringan dengan akses full.
    • Penggunaan removable drive seperti USB flashdisk, Card Reader, dan media tulis lainnya. Penyebaran pada flashdisk, card reader, dll dengan membuat beberapa file virus dan file penunjangnya seperti :
    1. Autorun.inf / file penunjang yang mengaktifkan file worm “Document1.exe”
    2. Desktop.ini / file penunjang yang mencoba menjalankan file “Folder.htt”
    3. Document1.exe / file worm
    4. MSLib\Folder.htt / file yang mengaktifkan file worm “OfficeLib.exe”
    5. MSLib\OfficeLib.exe / file worm
    karena Penyebaran pada flashdisk/card reader lebih cepat aktif atau otomatis dengan memanfaatkan salah satu fitur windows yaitu autoplay. Dengan autoplay, worm dapat otomatis menginfeksi komputer anda dengan cepat n proses penyebaran nya sangat simpel n memadai berikut contoh gambanya.
    Gambar 7,   File autorun pada flashdisk/card reader.
    Gambar 7, File autorun pada flashdisk/card reader.
    File Virus…
    Worm dibuat dengan menggunakan bahasa pemrograman Visual Basic (VB). n berukuran 180 kb dan 48 kb. Worm berukuran 180 kb menggunakan icon MSWORD (Microsoft Word) sedangkan worm berukuran 48 kb menggunakan icon Windows Explorer.
    Smallworm.EUV memiliki beberapa file worm utama yang diantaranya sebagai berikut :
    • C:\Documents and Settings\%user%\MSOffice32.exe
    • C:\WINDOWS\MSLib32.exe
    • C:\WINDOWS\OfficeStartUp.exe
    • C:\WINDOWS\RUN32DLL.exe
    • C:\WINDOWS\WINHELP32.exe
    • C:\WINDOWS\Wexplorer.exe
    Gambar 8,  File utama virus

    Gambar 8, File utama virus
    Sedangkan file yang dibuat pada semua root drive termasuk pada flashdisk/card reader yaitu diantaranya sebagai berikut :
    • Autorun.inf
    • Desktop.ini
    • Document1.exe
    • MSLib\Folder.htt
    • MSLib\OfficeLib.exe
    File pada semua root ne adalah berukuran 180 kb.
    Selain file worm, file lain yang dibuat yaitu sebagai berikut :
    • C:\DISKWASA.DAT
    • C:\WINDOWS\Desktop.ini
    • C:\WINDOWS\NDETECK.BAT
    • C:\WINDOWS\LagiLembur.txt
    • C:\Documents and Settings\%user%\desktop\CumaPesan.txt
    dan File yg lain hanya berukuran 1 kb.
    agar virus itu  dapat aktif pada saat komputer dijalankan, worm juga membuat 2 file pada folder start-up windows yaitu sebagai berikut :
    • C:\Documents and Settings\%user%\Start Menu\Programs\Startup\JavaScript.vbs
    • C:\Documents and Settings\klasnich\Start Menu\Programs\Startup\Online.com

    Pesan Pembuat Virus…
    Selain membuat file worm, pembuat virus juga membuat 2 pesan, yaitu  lihat gambar 9 n 10berikut ne
    • LagiLembur.txt (C:\WINDOWS\LagiLembur.txt)
    Gambar 9, Pesan LagiLembur.txt
    Gambar 9, Pesan LagiLembur.txt
    • CumaPesan.txt (C:\Documents and Settings\%user%\desktop\CumaPesan.txt)
    Gambar 10, Pesan CumaPesan.txt
    Gambar 10, Pesan CumaPesan.txt
    Membuat User Account Baru
    Salah satu efek yang dilakukan oleh Smallworm.EUV yaitu dengan membuat user account baru yaitu dengan nama “SBY”. Untuk melakukan hal tersebut, worm membuat script sebagai berikut :
    net user SBY shadow /add
    net localgroup administrators SBY /add
    Pada script tersebut, worm membuat sebuah user baru dengan nama SBY dan password shadow. Kemudian dilanjutkan menjadikan user yang sudah dibuat tadi memiliki akses administrator.lihat gambar 11
    Gambar 11, User yang dibuat oleh smallworm.EUV
    Gambar 11, User yang dibuat oleh smallworm.EUV
    egistry Windows…
    Agar virus dapat aktif pada saat menjalankan Windows, virus membuat string registry pada :
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run MSOfficeLib = C:\WINDOWS\MSLib32.exe
      RUN32DLL.exe = C:\WINDOWS\WINHELP32.exe
    Untuk mencegah akses user, virus membuat string registry pada :
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer NoFind = 1
      NoFolderOptions = 1
      NoRun = 1

    berikut ne adalah Cara Pembersihan Virus SBY


    • Matikan System Restore
    • Matikan proses virus yang aktif di memory komputer dengan menggunakan tools pengganti task manager. Gunakan tools “IceSword” untuk mematikan proses virus. (lihat gambar 12)
    Gambar 12, Kill Process virus
    Gambar 12, Kill Process virus
    Lakukan Terminate Process pada file virus yang aktif secara bersamaan.
    Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
    [Version]
    Signature=”$Chicago$”
    Provider=Vaksincom Oyee
    [DefaultInstall]
    AddReg=UnhookRegKey
    DelReg=del
    [UnhookRegKey]
    HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
    HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
    HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
    HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
    HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “”%1″”"
    HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0
    [del]
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, MSOfficeLib
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, RUN32DLL.exe
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
    Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
    Setelah registry di repair, sebaiknya log-off/restart komputer anda.
    Hapus file virus secara manual dengan terlebih dahulu menampilkan file yang tersembunyi agar mudah dalam mencari file virus tersebut, yaitu dengan cara :
    • Buka Windows Explorer
    • Klik [Tools]
    • Klik [Folder Options]
    • Klik tabulasi [View]
    • Pilih opsi “Show hidden files and folders”
    • Uncheck opsi “Hide protected operating system (recomennded)” (lihat gambar 12)
    Gambar 12, Menampilkan file tersembunyi
    Gambar 12, Menampilkan file tersembunyi
    Kemudian hapus file-file berikut :
    • C:\DISKWASA.DAT
    • C:\Documents and Settings\%user%\MSOffice32.exe
    • C:\Documents and Settings\%user%\desktop\CumaPesan.txt
    • C:\WINDOWS\MSLib32.exe
    • C:\WINDOWS\OfficeStartUp.exe
    • C:\WINDOWS\RUN32DLL.exe
    • C:\WINDOWS\WINHELP32.exe
    • C:\WINDOWS\Wexplorer.exe
    • C:\WINDOWS\Desktop.ini
    • C:\WINDOWS\NDETECK.BAT
    • C:\WINDOWS\LagiLembur.txh
    • hapu file yg ada pada semua root flashdisk/card reader
      • Autorun.inf
      • Desktop.ini
      • Document1.exe
      • MSLib\Folder.htt
      • MSLib\OfficeLib.exe
      Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.
      demikian penjelasan tentang Virus SBY (Susah2 Berbahaya), Worm:W32/Smallworm.EVU n cara membersikan nya
      semoga postingan ne bermamfaat
      salam

      google translate

      MISTERY TELAGA MERAH BLOG

      widgeo.net
      free counters


      free web site trafffic and promotion
      Widget By: Forantum