Mengatasi Virus Brontok

24 06 2007


Geleng geleng kepala..
setelah berbagai varian virus brontok…akhirnya keluar Varian baru yang paling gressss…….

tapi tenang ajah…virus hermaprodite tersebut (jenis yg cepat berkembang) gampang kok di tanggulangi

whats a crap…virus dodol dari mana neh kira2, Jawa Barat Kah?Jawa Tengah?ato Banjarnegara?hmmm….yang mana yah… mirip – mirip sih kayak brontse..alias brontok itu bo…idi bahasa saya kok jadi kayak gini sih… ABCD Apasi Bo Cape De…halah simak ajah yah….

Code Name: w32.dodoL
Pengirim : Jaxone Smith
Ukuran : 129 Kb

Kebanyakan seperti virus biasanya, virus dodol ini menggunakan icon folder berwarna kuning. Seperti direktori windows pada umumnya, tapi ya itu…ekstensinya .exe…selain itu virus dodol juga mengadopsi cara penyebarannya menggunakan file DESKTOP.INI dan Folder.htt yang sebelumnya digunakan oleh hallo.roro.htt ataupun w32.Redloff, cara penyebaran seperti ini metode nya lama, tapi cukup efektif untuk digunakan oleh suatu virus.

FILE UTAMA

File utama virus ini adalah:

– mig2.exe yang ada di \Documents and Settings\All Users\Start Menu\Programs\Startup (tapi terkadang di tempat lain)

– Data.exe yang terletak di drive C:

– Empty.pif yang terletak di \Documents and Settings\All Users\Start Menu\Programs\Startup

– CSRSS.EXE yang terletak di \Application Data\Windows\
– WINLOGON.EXE yang terletak di \Application Data\Windows\
– SERVICES.EXE yang terletak di \Application Data\Windows\
– LSASS.EXE yang terletak di \Application Data\Windows\
– SMSS.EXE yang terletak di \Application Data\Windows\
– 4K51K4.exe
– shell.exe
– MrHelloween.scr
– SCRNSAVE.EXE
– MRHELL~1.SCR

Virus in juga membuat folder dengan nama mig2 di drive C: atau di direktory C:\Windows atau di C:\Windows\System32 jadi cari aja yak..heheheh, dan direktori ini berisi file:

– mig2.exe
– Folder.htt
– desktop.ini
– New Folder.exe

FILE – FILE YANG DITULARI

Selain membuat file virus folder di dalam folder (seperti brontok itu loh).., virus ini juga merubah file berekstensi di bawah ini menjadi file virus:

*.MP3
*.MP4
*.MPG
*.MPEG
*.AVI
*.DAT
*.WMV
*.JPG
*.GIF
*.JPEG
*.PNG
*.ASX
*.WMA
*.MDB
*.XLS
*.HTML
*.DOC
*.XML
*.ZIP
*.RM
*.3GP
*.RAR
*.WSF
*.TXT
*.VBS
*.RTF
*.REG
*.PPT
*.ATF
*.JS
*.ULS
*.ASP
*.INI
*.KEY
*.PDF
*.ASA
*.INF
*.CPP
*.DLL
*.MSI
*.C
*.LZH
*.MSP
*.bat
*.PPL

ya tuhhhhhhhhhannnnn banyak euy…ampe capek nulisnyah…

MEMATIKAN SYSTEM RESTORE

Virus ini juga mematikan system restore yang ada di windows, yaitu dengan memanipulasi registry dengan alamat

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Windows NT\SystemRestore, DisableSR

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Windows NT\SystemRestore, LimitSystemRestoreCheckpointing

HKEY_LOCAL_MACHINE\SOFTWARE\Windows\Installer, DisableMSI

HKEY_LOCAL_MACHINE\SOFTWARE\Windows\Installer, FullpathAddress

MANIPULASI REGISTRY LAINNYA

Virus ini juga memanipulasi registry lainnya, sehingga mengakibatkan windows tidak berjalan normal, jadi ciri- cirinya sbb:

– menDisable registry tools
– menDisable Task Manager
– Menyembunyikan Run
– Menyembunyikan Folder Options
– Menghilangkan Context Menu
– Menyembunyikan Desktop
– Menu SHow Delay menjadi Lebih Cepet
– Menyembunyikan atau membuat file attribut menjadi superhidden
– Menyembunyikan ekstensi file
– Mendisable regedit.exe

HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Policies\System\DisableRegistryTools

HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Policies\System\DisableTaskMgr

HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Policies\Explorer\NoFolderOptions

HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Policies\Explorer\NoSecurityTab

HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Explorer\Advanced\ShowSuperHidden

HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Explorer\Advanced\Hidden

BLOCKING PROGRAM

Virus ini juga mem-blocking program yang berjudul:

“ANT”
“VIR”
“TASK”
“REG”
“ASM”
“DBG”
“W32”
“BUG”
“HEX”
“DETEC”
“PROC”
“WALK”
“REST”
“AVS”
“OPTIONS”
“AVG”
“NORTON”
“SYMANTEC”
“PANDA”
“MCAFEE”
“PC-CILLIN”
“F-PROT”
“KAPERSKY”
“VAKSIN”
“RebarWindow32”
“ComboBoxEx32”
“ComboBox”
“Edit”
“ANTI”
“VIRUS”
“C:\”
“#32770”
“ComboBox”

PESAN YANG DITAMPILKAN

File pesan ada di drive C: dengan nama untukmu.txt

bunye pesannya sbb:

“Apa yang aku lakukan tak akan kau rasakan”
“Apa yang kau lakukan tak akan aku rasakan”
“Benar-benar jauh, jarak kita”
“Aku terpaksa,lakukan ini krana kau yang mengawali..”
“Senyummu adalah sedihku”
“Sedihmu adalah tawaku”
“Tangisku bukan milikmu”
“Tangismu adalah milikku”
“masih ada lagi yang ku kejar saat ini”
“saat,ini aku akan mulai mengejar yang lain”
“Lepaskan Dendam dan tawaku saat ini”
“JUST, 4u MIG – MIG”

Dueyyyyyyyy…..romantise sekaleeeeeee….

PENANGANAN

1. Download WAV 2005, Showkillprocess, atau jan_mod yang berguna untuk membunuh process virus.

2. Bunuh process dengan nama:

– CSRSS.EXE
– WINLOGON.EXE
– SERVICES.EXE
– LSASS.EXE
– SMSS.EXE
– 4K51K4.exe
– shell.exe
– MrHelloween.scr
– SCRNSAVE.EXE
– MRHELL~1.SCR
– mig2.exe
– Folder.htt
– desktop.ini
– New Folder.exe

3. Cari file induk virus yang bernama:

– mig2.exe yang ada di \Documents and Settings\All Users\Start Menu\Programs\Startup (tapi terkadang di tempat lain)

– Data.exe yang terletak di drive C:

– Empty.pif yang terletak di \Documents and Settings\All Users\Start Menu\Programs\Startup

– CSRSS.EXE yang terletak di \Application Data\Windows\
– WINLOGON.EXE yang terletak di \Application Data\Windows\
– SERVICES.EXE yang terletak di \Application Data\Windows\
– LSASS.EXE yang terletak di \Application Data\Windows\
– SMSS.EXE yang terletak di \Application Data\Windows\
– 4K51K4.exe
– shell.exe
– MrHelloween.scr
– SCRNSAVE.EXE
– MRHELL~1.SCR
– mig2.exe
– Folder.htt
– desktop.ini
– New Folder.exe

4. Scan dengan WAV 2005 dengan update terbaru, jika belum ada nilai crc-nya update aja sendiri, tau kan…

5. Cari file berukuran 129kb dengan ekstensi .exe dan mempunyai icon folder berwarne kuning, kemudian hapus.

6. Hapus Registry yang ada di:

HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Policies\System\DisableRegistryTools

HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Policies\System\DisableTaskMgr

HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Policies\Explorer\NoFolderOptions

HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Policies\Explorer\NoSecurityTab

HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Explorer\Advanced\ShowSuperHidden

HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Explorer\Advanced\Hidden

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Windows NT\SystemRestore, DisableSR

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Windows NT\SystemRestore, LimitSystemRestoreCheckpointing

HKEY_LOCAL_MACHINE\SOFTWARE\Windows\Installer, DisableMSI

HKEY_LOCAL_MACHINE\SOFTWARE\Windows\Installer, FullpathAddress

7. Cek Registry di alamat:

HKEY_LOCAL_MACHINE\SOFTWARE\micr*soft\Windows\Curr entVersion\Run

HKEY_CURRENT_USER\SOFTWARE\micr*soft\Windows\Curre ntVersion\Run

Jika ada point point yang mencurigakan hapus ajah…

8. Cari file dengan nama :

– Folder.htt dengan besar 640 BYTES bukan KILOBYTES loh itu file virusnyah..

– desktop.ini dengan ukuran 219 BYTES

jika ada, hapus ajah….

Mungkin segitu ajah….untuk menampilkan folder atau file yang disembunyikan cukup pakek FolderFix.exe yang bisa di donlot di http://www.virologi.info


Aksi

Information

8 responses

9 07 2007
aliv

file folder setelah kena brontok.model berubah extensi jadi “scr”
setelah di scan pake ansav diketahui di startup ada file adobe online.com yang g bisa di buang. komputer udah di format tapi tetep aja masih muncul lagi.

9 07 2007
Wahyu

varian baru ya? BELUM DAPAT SAMPLE NYAAA SAYA!

adakah yg mau bagi saya sampel varian baru?

12 07 2007
indahnya dunia

masih banyak tawa brontock di sana sini
masih banyak yang harus kita ketahui
masih banyak cara mengatasi””tapi bagaimana””
minta donk sample virus brontok(versi apa saja)

12 07 2007
indahnya dunia

OK

12 07 2007
surya

juragan brontock MANA????
ada yang liat
ada yang tahhu

12 07 2007
Wahyu

juragan nya jowo bot hahahah

27 09 2007
dova

kasih tahu dunkz penangan cepat membasmi virus.walaupun tanpa kita mengupdate anti virus yang terbaru.

8 11 2007
TEA

PERKEMBANGAN BRONTOK CUKUP MENGGANGU, JANGAN COBA-COBA, BAHKAN SEKARANG INI ADA MODEL TERBARU SEJENISNYA. KALO AMPE KENA KOMPUTER LO..LO.. PADE. WE JAMIN PADE GIBEG NGELADENINNYA…..

MAU GA … VIRUSNYA NIH DO KOMPUTER GW LAGI BUANYAK!!!!!
LIEUR AING!!!!!!!!!

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s




%d blogger menyukai ini: