Tiap orang pasti memiliki file video di komputernya, entah itu berekstensikan .avi, .dat, .mpg, .mpeg, .mov atau laen sebagainya. Dan kini teman-teman harus waspada karena ada virus yang "memakan" file video itu.
Virus ini terdeteksi dengan nama W32/Agent.QEYJ. Virus ini bisa menyerang file video semacam mpeg, avi, dat, atau mov. Untungnya file yang berekstensikan mp3 tidak menjadi target dalam aksi si virus ini, hehe.
Jika file video sudah terhapus dan teman-teman hendak mengembalikannya dengan tool bantuan semacam recovery tool, sepertinya tidak akan berhasil, karena tool itu belum tentu dapat mengembalikan file video yang telah diserang oleh si virus tersebut. Dan si virus juga dapat merubah isi file itu.
Virus ini dibuat dengan menggunakan program bahasa assembly dengan ukuran file induk sekitar 66 KB. Untuk mengelabui user ia akan menggunakan icon 'Windows Media Player Classic' dengan type file sebagai 'application'
Sebenarnya tidak terlalu sulit untuk mengetahui apakah komputer sudah terinfeksi virus ini. Salah satunya dengan munculnya file shortcut dengan ukuran 2 KB di setiap drive. Selain itu munculnya file dengan icon 'Windows Media Player Classic' yang disimpan di direktori dimana Anda menyimpan file film/video dengan ukuran file sebesar 66 KB atau 575 KB, tetapi file ini akan disembunyikan
Virus ini tidak terlalu banyak melakukan blok terhadap tools atau software security. Meski demikian, ia akan mengubah beberapa fungsi Windows seperti Windows Firewall atau Folder Options dan beberapa fungsi Windows lainnya dengan membuat beberapa string pada registri.
Jika diperhatikan, saat ini jarang virus lokal yang akan menyembunyikan file duplikat yang telah dibuat dan tetap diinfeksi virus tetapi justru trik ini sangat menarik dan di luar dugaan karena biasanya user akan beranggapan file yang disembunyikan oleh virus adalah file asli yang tidak terinfeksi virus.
Jadi, recovery file dengan bantuan software recovery masih tidak mampu menolong banyak, karena virus ini sudah mengubah isi file tersebut maka file yang berhasil di-recovery pun adalah file-file yang sudah terinfeksi virus.
Hal lain yang akan dilakukan adalah akan menyembunyikan folder/sub folder di setiap drive termasuk media flash disk, untuk mengelabui user ia akan membuat file shortcut yang akan mempunyai nama file yang sama dengan folder yang disembunyikan tersebut, file ini mempunyai ukuran sekitar 2 KB dan berisi link untuk menjalankan file virus yang ada di direktori 'RECYCLER\.com'
PENANGGULANGAN
1) Nonaktifkan ‘System Restore’ selama proses pembersihan.
2) Matikan proses virus yang aktif di memori. Anda dapat menggunakan tools ‘Security Task Manager’ dengan mendownload di alamat http://www.neuber.com/taskmanager/download.html.
Matikan proses virus yang mempunyai nama ‘svchost.exe’ dan ‘Multimedia Video File’ atau file yang mengarah ke direktori “..\Program Files\Windows Media Player\”.
3) Fix registry Windows yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan salin script di bawah ini pada notepad, lalu simpan dengan nama ‘repainr.inf’. Jalankan file tersebut dengan cara, klik kanan ‘repair.inf’ dan klik ‘install’.
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control, WaitToKillServiceTimeout,0, “2000″
HKLM, SYSTEM\CurrentControlSet\Control, WaitToKillServiceTimeout,0, “2000″
HKCU, Software\Microsoft\Internet Explorer\Extensions\CmdMapping,NextId,0, “8194″
HKCU, Software\Microsoft\Internet Explorer\Extensions\CmdMapping,{92780B25-18CC-41C8-B9BE-3C9C571A8263},0, “8194″
HKLM, SOFTWARE\Classes\lnkfile,,,”Shortcut”
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusDisableNotify,0×00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallDisableNotify,0×00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,UpdatesDisableNotify,0×00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusOverride,0×00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallOverride,0×00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,UacDisableNotify,0×00010001,0
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Windows Media Player
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, EnableLUA
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DefaultValue
HKLM, SOFTWARE\Microsoft\Security Center\Svc
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\PropSummary
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
4) file induk yang dibuat oleh virus dengan terlebih dahulu menampilkan file yang disembunyikan terlebih dahulu, caranya:
Buka Windows Explorer
-. Klik menu ‘Tools’
-. Klik menu ‘View’
-. Klik ‘Folder Options’
-. Klik tabulasi ‘View’
-. Centang option ‘Show hidden files and folders’
-. Hilangkan tanda centang pada opsi ‘Hide extensions for known files types’
-. Hilangkan tanda centang pada opsi ‘Hide protected operating system files (Recommended)’
-. Klik ‘OK’
Kemudian hapus file berikut:
§ C:\Program Files\Windows Media Player
· Svchost.exe
· Wmplayerc.exe
§ C:\Documents and Settings\client\My Documents\RÊCYCLÊR
§ RÊCYCLÊR (hapus di setia drive termasuk Flash Disk)
5) Hapus file shortcut yang dibuat oleh virus yang berada di setiap drive termasuk flash disk dengan ciri-ciri:
a. Ukuran 2 KB (file shortcut)
b. Icon ‘Folder’ (file shortcut)
6) Hapus juga file duplikat yang dibuat oleh virus dengan ciri-ciri:
-. Ukuran 66 KB dan 575 KB
-. Icon ‘Windows Media Player Classic’
-. Type file “Application”
Lokasi file ini acak tergantung di mana anda menyimpan file film/video, karena file duplikat ini akan dibuat di direktori yang sama dengan penyimpanan file film/video tersebut. Untuk itu untuk mempercepat proses pencarian dan penghapusan sebaiknya anda gunakan fungsi ‘Search Windows’.
7) Tampilkan folder/subfolder yang disembunyikan dengan cara:
Klik menu ‘start’
Klik ‘Run’
Ketik CMD, kemudian klik tombol ‘OK’
Pindahkan posisi kursor ke lokasi drive yang akan dicek, kemudian ketik perintah ATTRIB –S –H –R /S /D
8) Untuk pembersihan optimal dan mencegah infeksi ulang install dan scan dengan menggunakan antivirus yang up-to-date. Anda juga dapat mendwnload Norman Malware Cleaner di alamat berikut: http://www.norman.com/support/support_tools/58732/en
0 comments:
Post a Comment