ANDHY TRIONO: 08/10/07

Mengatasi Virus Brontok

Geleng geleng kepala..setelah berbagai varian virus brontok…akhirnya keluar Varian baru yang paling gressss…….

tapi tenang ajah…virus hermaprodite tersebut (jenis yg cepat berkembang) gampang kok di tanggulangi

whats a crap…virus dodol dari mana neh kira2, Jawa Barat Kah?Jawa Tengah?ato Banjarnegara?hmmm….yang mana yah… mirip - mirip sih kayak brontse..alias brontok itu bo…idi bahasa saya kok jadi kayak gini sih… ABCD Apasi Bo Cape De…halah simak ajah yah….

Code Name: w32.dodoL
Pengirim : Jaxone Smith
Ukuran : 129 Kb

Kebanyakan seperti virus biasanya, virus dodol ini menggunakan icon folder berwarna kuning. Seperti direktori windows pada umumnya, tapi ya itu…ekstensinya .exe…selain itu virus dodol juga mengadopsi cara penyebarannya menggunakan file DESKTOP.INI dan Folder.htt yang sebelumnya digunakan oleh hallo.roro.htt ataupun w32.Redloff, cara penyebaran seperti ini metode nya lama, tapi cukup efektif untuk digunakan oleh suatu virus.

FILE UTAMA

File utama virus ini adalah:

- mig2.exe yang ada di \Documents and Settings\All Users\Start Menu\Programs\Startup (tapi terkadang di tempat lain)

- Data.exe yang terletak di drive C:

- Empty.pif yang terletak di \Documents and Settings\All Users\Start Menu\Programs\Startup

- CSRSS.EXE yang terletak di \Application Data\Windows\
- WINLOGON.EXE yang terletak di \Application Data\Windows\
- SERVICES.EXE yang terletak di \Application Data\Windows\
- LSASS.EXE yang terletak di \Application Data\Windows\
- SMSS.EXE yang terletak di \Application Data\Windows\
- 4K51K4.exe
- shell.exe
- MrHelloween.scr
- SCRNSAVE.EXE
- MRHELL~1.SCR

Virus in juga membuat folder dengan nama mig2 di drive C: atau di direktory C:\Windows atau di C:\Windows\System32 jadi cari aja yak..heheheh, dan direktori ini berisi file:

- mig2.exe
- Folder.htt
- desktop.ini
- New Folder.exe

FILE - FILE YANG DITULARI

Selain membuat file virus folder di dalam folder (seperti brontok itu loh).., virus ini juga merubah file berekstensi di bawah ini menjadi file virus:

*.MP3
*.MP4
*.MPG
*.MPEG
*.AVI
*.DAT
*.WMV
*.JPG
*.GIF
*.JPEG
*.PNG
*.ASX
*.WMA
*.MDB
*.XLS
*.HTML
*.DOC
*.XML
*.ZIP
*.RM
*.3GP
*.RAR
*.WSF
*.TXT
*.VBS
*.RTF
*.REG
*.PPT
*.ATF
*.JS
*.ULS
*.ASP
*.INI
*.KEY
*.PDF
*.ASA
*.INF
*.CPP
*.DLL
*.MSI
*.C
*.LZH
*.MSP
*.bat
*.PPL

ya tuhhhhhhhhhannnnn banyak euy…ampe capek nulisnyah…

MEMATIKAN SYSTEM RESTORE

Virus ini juga mematikan system restore yang ada di windows, yaitu dengan memanipulasi registry dengan alamat

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Windows NT\SystemRestore, DisableSR

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Windows NT\SystemRestore, LimitSystemRestoreCheckpointing

HKEY_LOCAL_MACHINE\SOFTWARE\Windows\Installer, DisableMSI

HKEY_LOCAL_MACHINE\SOFTWARE\Windows\Installer, FullpathAddress

MANIPULASI REGISTRY LAINNYA

Virus ini juga memanipulasi registry lainnya, sehingga mengakibatkan windows tidak berjalan normal, jadi ciri- cirinya sbb:

- menDisable registry tools
- menDisable Task Manager
- Menyembunyikan Run
- Menyembunyikan Folder Options
- Menghilangkan Context Menu
- Menyembunyikan Desktop
- Menu SHow Delay menjadi Lebih Cepet
- Menyembunyikan atau membuat file attribut menjadi superhidden
- Menyembunyikan ekstensi file
- Mendisable regedit.exe

HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Policies\System\DisableRegistryTools

HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Policies\System\DisableTaskMgr

HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Policies\Explorer\NoFolderOptions

HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Policies\Explorer\NoSecurityTab

HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Explorer\Advanced\ShowSuperHidden

HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Explorer\Advanced\Hidden

BLOCKING PROGRAM

Virus ini juga mem-blocking program yang berjudul:

“ANT”
“VIR”
“TASK”
“REG”
“ASM”
“DBG”
“W32″
“BUG”
“HEX”
“DETEC”
“PROC”
“WALK”
“REST”
“AVS”
“OPTIONS”
“AVG”
“NORTON”
“SYMANTEC”
“PANDA”
“MCAFEE”
“PC-CILLIN”
“F-PROT”
“KAPERSKY”
“VAKSIN”
“RebarWindow32″
“ComboBoxEx32″
“ComboBox”
“Edit”
“ANTI”
“VIRUS”
“C:\”
“#32770″
“ComboBox”

PESAN YANG DITAMPILKAN

File pesan ada di drive C: dengan nama untukmu.txt

bunye pesannya sbb:

“Apa yang aku lakukan tak akan kau rasakan”
“Apa yang kau lakukan tak akan aku rasakan”
“Benar-benar jauh, jarak kita”
“Aku terpaksa,lakukan ini krana kau yang mengawali..”
“Senyummu adalah sedihku”
“Sedihmu adalah tawaku”
“Tangisku bukan milikmu”
“Tangismu adalah milikku”
“masih ada lagi yang ku kejar saat ini”
“saat,ini aku akan mulai mengejar yang lain”
“Lepaskan Dendam dan tawaku saat ini”
“JUST, 4u MIG - MIG”

Dueyyyyyyyy…..romantise sekaleeeeeee….

PENANGANAN

1. Download WAV 2005, Showkillprocess, atau jan_mod yang berguna untuk membunuh process virus.

2. Bunuh process dengan nama:

- CSRSS.EXE
- WINLOGON.EXE
- SERVICES.EXE
- LSASS.EXE
- SMSS.EXE
- 4K51K4.exe
- shell.exe
- MrHelloween.scr
- SCRNSAVE.EXE
- MRHELL~1.SCR
- mig2.exe
- Folder.htt
- desktop.ini
- New Folder.exe

3. Cari file induk virus yang bernama:

- mig2.exe yang ada di \Documents and Settings\All Users\Start Menu\Programs\Startup (tapi terkadang di tempat lain)

- Data.exe yang terletak di drive C:

- Empty.pif yang terletak di \Documents and Settings\All Users\Start Menu\Programs\Startup

4. Scan dengan WAV 2005 dengan update terbaru, jika belum ada nilai crc-nya update aja sendiri, tau kan…

5. Cari file berukuran 129kb dengan ekstensi .exe dan mempunyai icon folder berwarne kuning, kemudian hapus.

6. Hapus Registry yang ada di: