Professional Computer Crew
Would you like to react to this message? Create an account in a few clicks or log in to continue.

Professional Computer Crew

Share With Us
 
IndeksPortalLatest imagesPencarianPendaftaranLogin

Professional Computer Crew :: Pembelajaran :: Sistem Operasi
 

 virus VBWorm.PXJ

Go down 
PengirimMessage
c02 dp




Jumlah posting : 9
Join date : 30.05.09
Age : 38
Lokasi : Makassar

virus VBWorm.PXJ Empty
PostSubyek: virus VBWorm.PXJ   virus VBWorm.PXJ I_icon_minitimeMon Jun 08, 2009 6:49 am
Gejala virus VBWorm.PXJ
Salah satu ciri khas yang membedakan virus ini adalah munculnya pesan sebelum komputer login Windows :

- Pesan VM “Bagi yang merasa gila hubungi Spongebob Squerpant”

- Selain itu setiap kali menjalankan file/aplikasi MS.Office maka akan mucul pesan error "Please install Microsoft Office..."

Ciri-ciri file VBWorm.PXJ
Virus ini dibuat dengan menggunakan program bahasa Visual Basic. Mempunyai ukuran file sebesar 69 KB. Untuk mengelabui user, ia akan menggunakan icon Winamp (Winamp Media File) dengan menyertakan nama file yang berhubungan dengan judul lagu seperti Klip_Rossa, klip_Peterpan_Menghapus_jejakmu atau R@dja-Patah hati sehingga user tidak mengetahui bahwa file tersebut sebenarnya bukan file lagu melainkan virus. File ini akan mempunyai ekstensi EXE, jika kita perhatikan lebih detail file ini mempunyai type sebagai “Application”.

File induk VBWorm.PXJ
Untuk mempertahankan dirinya, ia akan membuat beberapa file induk yang akan dijalankan secara otomatis setiap kali komputer dinyalakan. File yang dibuat ini akan menggunakan icon Winamp dengan ukuran yang samayakni 96 KB.

Berikut beberapa file induk yang akan didrop oleh VBWorm,MXJ:
- C:\ Program Files.exe
- C:\klip_Peterpan_Menghapus_Jejakmu.exe (file ini akan dibuat di semua drive)
- C:\klip_Rossa.exe (file ini akan dibuat di semua drive dan akan disembunyikan)
- C:\autorun.inf (file ini akan dibuat di semua drive)
- C:\VM-Satria F150.htm (file ini akan dibuat di semua drive)
- C:\Windows
> Winlogon.exe
> R@DJA-PATAH_HATI.exe
- C:\WINDOWS\system32
> KANGEN_BAND-Selingkuh.exe
- C:\WINDOWS\system
> csrss.exe
- C:\WINDOWS\system32\CatRoot
> SVHOST.exe
- C:\WINDOWS\system32\CatRoot2
> SVHOST.exe
> smss.exe
- C:\WINDOWS\system32\drivers
> VSD.dll (pengganti msvbvm60.dll)
> C:\WINDOWS\Cursors
> VWC (pengganti msvbvm60.dll)
- C:\Windows\media
> Satria_Ngebut.exe
- C:\WINDOWS\Help
> LSASS.exe
- C:\Documents and Settings\%user%
> PETERPAN-Menghapus_Jejakmu.exe
> VM-Satria F150.htm
- C:\Documents and Settings\%user%\Local Settings\Temp
> SAMSONS-Kisah_Tak_Sempurna.exe
- C:\Documents and Settings\%user%\My Documents
> THE_TITAN-Rasa_Ini.exe

Registry Auto Start
Agar file tersebut dapat dijalanakan secara otomatis, ia akan membuat string pada registry berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- AutoStartADZ = C:\WINDOWS\system32\KANGEN_BAND-Selingkuh.exe
- ayam jago = C:\WINDOWS\system\csrss.exe
- ngebut = C:\WINDOWS\system32\CatRoot\SVHOST.exe
- winl = C:\WINDOWS\winlogon.exe
- Boros = C:\WINDOWS\system32\CatRoot2\SVHOST.exe
- Gayo = C:\WINDOWS\system32\CatRoot2\smss.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
- Shell = Explorer.exe C:\WINDOWS\R@dja-Patah-Hati.exe
- Userinit = C:\WINDOWS\System32\userinit.exe C:\WINDOWS \Help\LSASS.exe

Blok Fungsi Windows (Metode Pertahanan)
Untuk langkah antisipasi agar dirinya tidak mudah untuk di lumpuhkan, ia akan blok beberapa fugsi Windows berikut :
- Registry Editor
- Searh Windows
- Run
- Msconfig
- Task Manager
- Folder Option
- System Restore

Untuk melakukan hal di atas ia akan membuat string registry berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- DisableRegistryTools
- NoFolderOptions
- NoViewContextMenu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- DisableRegistryTools
- NoFolderOptions
- NoViewContextMenu
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
- DisableSR


Catatan :
Jika user menjalankan “Search” atau “Run” maka VBWorm.PXJ akan logoff komputer tersebut.

Selain blok beberapa fungsi Windows di atas, ia juga akan mencoba untuk mematikan beberapa aplikasi Windows lainnya seperti :
- Windows Media Player
- Microsoft Visual Basic
- Media Player Classic
- Group Policies
- Microsoft Office Document

Media Penyebaran
Untuk mempermudah penyebarannya, ia akan menggunakan media Disket atau Flash Disk dengan membuat 2 file induk yang menggunakan icon file MP3 dengan nama :
klip_Peterpan_Menghapus_Jejakmu.exe
klip_Rossa.exe

Serta 1 file autorun.inf yang berfungsi agar virus dapat aktif secara otomatis setiap kali user akses kedalam Flash Disk tersebut. File ini juga akan dibuat disemua root drive yang ada. File autorun.inf ini berisi script untuk menjalankan file klip_Rossa.exe.

Berikut ciri-ciri file induk yang akan dibuat di Flash Disk :
- Icon Winamp
- Ukuran 96 KB
- Ext. EXE
- Type File "Application"

Langkah Pembersihan Virus VBWorm.PXJ :

- Putuskan komputer anda dari jaringan jika komputer anda terhubung ke jaringan.

- Download CurrProcess yang tersedia di menu download.

- Setelah download CurrProcess, maka di jalankan software CurrProcess tersebut, matikan process yang berbentuk icon Winamp.

Hapus string registry yang dibuat oleh virus
Untuk mempermudah proses penghapusan registry, Untuk download file tersebut klik disini

Hapus file induk virus
Sebelum mencari file virus, sebaiknya tampilkan file yang tersebunyi terlebih dahulu dengan konfigurasi pada Folder Option dengan cara sebagai berikut :
- Buka Windows Explorer
- Klik menu [Tools] [Folder Options] [View]
- Pada kolom "Advanced settings", lakukan konfigurasi berikut:
- check opsi "Show hidden files and folders”
- uncheck opsi "Hide extensions for known file types
- uncheck opsi “Hide protected operating system file (recommanded)
- Klik "Apply"
- Klik "Ok"

Setelah menampilkan file yang tersebunyi, lakukan pencarian dengan menggunakan "Search Results Windows".
Untuk mempermudah pencarian sebaiknya cari berdasarkan eksensi EXE dengan ukuran file 96 KB, dengan cara sebagai berikut :
- Pada kolom “All or part of the file name” isi dengan ekstensi *.exe
- Pada kolom “Look in” isi drive C atau D atau lokasi Flash Disk
- Klik menu “What size is it”, pilih opsi “Specify size (in KB)
- Pilih “At most”
- Isi dengan ukuran file 97
- Klik menu “More advanced opstions”
- Pilih opsi “Search system folders”
- Pilih opsi “Search hidden files and folders”
- Pilih opsi “Search sub folder”
- Kemudian pilih tombol “Search” untuk memulai proses pencarian

Setelah proses pencarian selesai, hapus file yang mempunyai ciri-ciri:
- Icon Winamp (Winamp Media File)
- Ukuran 96 KB
- Ekstensi EXE
- Type File "Application"
Hapus juga file virus yang ada di Flash Disk dengan ciri-ciri sama seperti di atas.
Untuk pembersihan optimal dan mencegah infeksi ulang, instal komputer anda dengan antivirus yang dapat mendeteksi dan membasmi virus ini.
Kembali Ke Atas Go down
 
virus VBWorm.PXJ
Kembali Ke Atas 
Halaman 1 dari 1
 Similar topics
-
» Mengamankan Flashdisk Dari Virus...

Permissions in this forum:Anda tidak dapat menjawab topik
Professional Computer Crew :: Pembelajaran :: Sistem Operasi-
Navigasi: