Virus Blue Fantasy Emang bikin sebel, bisa membuat kaget sedikit terkejut. Tapi untungnya PC Media bisa mengatasinya tapi pesan pada pertama kali masuk windows tidak bisa dihapus (sebel juga क!). Tapi tenang aja aku da di kasih tau ma temanku untuk mengatasi virus yang bandel itu. Bagi yang belum tau boleh coba cara ini :
VIRUS BLUEFANTASY
Virus Level = Very Low
Discovered: April 10, 2007 (Symantec Recognize)
MVD discovered: Februari - Maret, 2007
Type: Worm
Infection Length: Varies
Systems Affected: Windows 2000, Windows 95, Windows 98,
Windows Me, Windows NT, Windows Server 2003, Windows XP
Sekali dieksekusi, worm meng-kopi dirinya sebagai file berikut copies:
%UserProfile%\Start Menu\Programs\Startup\Adobe
Online.com
%UserProfile%\Start Menu\Programs\Startup\Adobe
update.com
Kemudian mengkopi dirinya pada root folder dari local drive dan drive dalam jaringan sebagai file berikut:
Thumbs.com
Worm kemudian menge-chek nama dari subfolder yang terkandung dalam folder yang ada. Dan akan membuat executable files memakai nama dari subfolder dan Explorer folder icon, berharap dapat membingungkan pemakai/ users sampai meng-klik malicious file tersebut. Contohnya jika worm mengkopi dirinya dalam drive C,worm tersebut akan mengkopi dirinya dalam drive C, worm tersebut akan meng-check subfolder dalam drive C dan mengkopi dirinya
sebagai:
Windows.exe or Windows.scr
Temp.exe or Temp.scr
Documents and Settings.exe or Documents and
Settings.scr
Worm tersebut memakai blank folder icon dalam Explorer untuk membingungkan users untuk meng-klik malicious worm file daripada folder yang sebenarnya.
Worm tersebut juga membuat file dalam root folder dari local drive dan drive yang ada dalam jaringan jadi melakukan “run” begitu drive dibuka:
Autorun.inf
Yang berisi:
-------------------------------
[Autorun]
open = thumbs.com
-------------------------------
note : bisa juga sudah termodifikasi oleh virus lainnya
Worm juga membuat file sebagai berikut:
%CurrentFolder%\Autoexec.bat
Worm membuat string baru dalam regitry sehingga menjalankan worm tersebut setiap Windows start:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\"LegalNoticeCaption" =
"81u3f4nt45y - 24.01.2007 - Surabaya"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\"LegalNoticeText" =
"Surabaya in my bi[REMOVED]k1m0"
Worm tersebut memodifikasi registry dibawah ini:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu
rrentVersion\explorer\Advanced\Folder\Hidden\NOHIDDEN\"CheckedValue"= "2"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu
rrentVersion\explorer\Advanced\Folder\Hidden\NOHIDDEN\"DefaultValue"= "2"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu
rrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"= "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu
rrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"DefaultValue"= "2"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu
rrentVersion\explorer\Advanced\Folder\HideFileExt\"CheckedValue"= "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu
rrentVersion\explorer\Advanced\Folder\HideFileExt\"DefaultValue"= "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu
rrentVersion\explorer\Advanced\Folder\HideFileExt\"UncheckedValue"= "1"
Worm juga memodifikasi registry dibawah ini sehingga extensinyadi sembunyikan dari semua [SUBFOLDER NAME].scr files yang dibuat oleh worm tersebut:
HKEY_CLASSES_ROOT\scrfile\"(Default Value)" = "File
Folder"
HKEY_CLASSES_ROOT\scrfile\"InfoTip" = ""
HKEY_CLASSES_ROOT\scrfile\"NeverShowExt" = ""
HKEY_CLASSES_ROOT\scrfile\"TileInfo" = ""
HKEY_CLASSES_ROOT\scrfile\shell\open\command\"(Defa
ult Value)" = "%1"
MANUAL VIRUS DELETE
Spesial Note :Jaminan tidak 100% dikarenakan banyak hal yang bisa terjadi diluar dugaan jika komputer Anda juga terinfeksi oleh virus lain atau ada “bekas” dari virus yang lama).
1. Delete Process dengan cara kill process tree menggunakan TASK MANAGER (CTRL+ALT+DELETE) software lainnya yang fungsinya untuk meng – “kill proses”.
Berikut file yang harus di KILL :
Adobe Online.com
Adobe update.com
2. Dengan menggunakan fasilitas search pada windows cari file –
file dibawah ini :
Thumbs.com
Adobe Online.com
Adobe update.com
Semua file berekstension *.scr dengan file size = 40kb
(Biasanya duplikat dari folder Anda)
Windows.exe
Temp.exe
Documents and Settings.exe
Delete dengan cara menekan SHIFT+DELETE
3. Masuklah ke regedit dengan cara :
START RUN regedit.exe
Setelah masuk :
Menuju kepada petunjuk dibawah ini dan delete entry berikut:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\"LegalNoticeCaption" =
"81u3f4nt45y - 24.01.2007 - Surabaya"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\"LegalNoticeText" =
"Surabaya in my bi[REMOVED]k1m0"
Kembalikan settingan entry yang telah dimodikasi oleh virus
berikut entry yang harus diubah :
Mengembalikan settingan Registry yang ter ”disable” oleh virus BlueFantasy. Ingat Export registry yang akan Anda modifikasi (sebagai back up) jika terjadi kesalahan meng-input atau hasilnya nanti error bisa dikembalikan ke settingan semula.
Resiko tanggung sendiri jika terjadi kesalahan meng-input.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExtValue yang harus dikembalikan :
CheckedValue = 1
DefaultValue = 1
UncheckedValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
CheckedValue = 0
DefaultValue = 0
UncheckedValue = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
CheckedValue = 2
DefaultValue = 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 1
DefaultValue = 2
HKEY_CLASSES_ROOT\scrfile\shell\config\command
Value Data = "%1" %*
Semoga cara ini dapat membantu sobatku semuanya. Jika menurut Anda settingan ini salah mohon dikoreksi. Sejauh ini komputer yang saya gunakan memakai settingan ini ; lancar – lancar saja ^_^; .
Tidak ada komentar:
Posting Komentar