Lagi-lagi virus YM baru.. temen gw sudah ada yang kena.. Hati2..
Virus Dloader.HDZD yang merupakan varian dari Sohanad berasal dari Vietnam.Virus ini akan melakukan blok atas beberapa fungsi utility windows seperti TaskManager, Registry Editor, Folder Options, MS Config dan Command Prompt sehingga cukup sulit untuk dibersihkan. Dengan menggunakan YM (Yahoo Messenger), dia akan menyebarkan diri sehingga computer yang mengaktifkan YM akan mengirimkan pesan-pesan dalam Bahasa Vietnam. Ada juga link untuk mendownload dan menjalankan virus ke situs hosting gratis 0catch.com dengan alamat http://nhatquanglan1.0catch.com.
Ciri ciri file virus ini diantaranya sebagai berikut :
- Menggunakan icon folder
- Memiliki ukuran file 249 KB (254.464 Byte)
- Type file "application"
- Ekstensi ".exe"
Efek-efek yang ditimbulkan bila computer anda terinfeksi virus Dloader.HDZD:
- Melakukan blok beberapa fungsi windows seperti Task Manager, Registry Editor, Folder Options.
- Menutup/mematikan fungsi windows seperti System Configuration Utility / MSConfig, dan Command Prompt jika dijalankan.
- Membuat Schedule tasks pada Windows, dengan membuat 2 file job (at1.job & at2.job), yang kemudian akan mengeksekusi file virus pada setiap jam 9 pagi setiap hari.
- Mengirimkan pesan dalam Bahasa Vietnam dengan link download file virus (sudah tidak aktif) kepada semua contact address yang ada pada Yahoo Messenger pada setiap waktu-waktu tertentu. Contoh-contoh pesan tersebut adalah:
a.E may, vao day coi co con nho nay ngon lam http://nhatquanglan1.0catch.com-Pesan link yang dibuat virus akan memancing user untuk mengklik link sebuah website (saat ini website tersebut sudah tidak bisa diakses / di banned oleh penyedia jasa web hosting gratis tersebut). Jika sudah masuk pada website tersebut dan masih aktif, maka secara otomatis akan mendownload file virus.
b.Vao day nghe bai nay di ban http://nhatquanglan1.0catch.com
c.Biet tin gi chua, vao day coi di http://nhatquanglan1.0catch.com
d.Trang Web nay coi cung hay, vao coi thu di http://nhatquanglan1.0catch.com
e.Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan.. Ve dau toi biet di ve dau? http://nhatquanglan1.0catch.com
f.Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa… http://nhatquanglan1.0catch.com
g.Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi… http://nhatquanglan1.0catch.com
h.Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo… http://nhatquanglan1.0catch.com
i.Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon… http://nhatquanglan1.0catch.com
Jika virus berhasil menginfeksi, maka ia akan membuat beberapa file virus diantaranya :
- C:\WINDOWS\SSCVIIHOST.exe
- C:\WINDOWS\system32\autorun.ini
- C:\WINDOWS\system32\setting.ini
- C:\WINDOWS\system32\blastclnnn.exe
- C:\WINDOWS\system32\SSCVIIHOST.exe
- \autorun.inf (pada usb/removable drive)
- \New Folder.exe (pada usb/removable drive)
Selain itu, agar dapat aktif saat komputer dijalankan, virus akan membuat string registry antara lain :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Yahoo Messengger = C:\WINDOWS\system32\ SSCVIIHOST.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon
Shell = Explorer.exe SSCVIIHOST.exe
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
Yahoo Messengger = C:\WINDOWS\system32\ SSCVIIHOST.exe
Untuk melakukan blok terhadap fungsi windows, virus membuat string sebagai berikut :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer
NoFolderOptions = 1
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System
DisableTaskMgr = 1
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System
DisableRegistryTools = 1
Agar dapat aktif dan memanfaatkan schedule task, virus membuat string berikut :
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
AtTaskMaxHour = 0
Untuk mempermudah proses penyebaran dalam jaringan, virus membuat string berikut :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ WorkgroupCrawler\Shares
Shares = \New Folder.exe
Di samping mengandalkan YM, Dloader.HDZD memanfaatkan media "Flashdisk" ataupun "Disket". Ia juga memanfaatkan system autoplay windows agar dirinya dapat aktif secara otomatis setiap kali Flash Disk tersebut di colokkan ke komputer. File yang di buat yaitu :
- autorun.inf
- New Folder.exe
Efektivitas Ban Website
Apakah ban website penyebar virus merupakan akhir dari penyebaran virus Sohanad ? Ban pada link download virus secara efektif akan mematikan varian virus yang bersangkutan, tetapi pembuat virus tinggal mengupload varian virus baru ke website lain dan mengarahkan korbannya untuk mendownload ke link tersebut. Karena itu pengguna YM harus berhati-hati, JANGAN pernah mengklik link apapun yang dikirimkan oleh teman sampai anda yakin bahwa link tersebut aman. Sebenarnya bukan teman / kontak YM anda yang mengirimkan link tersebut, tetapi virus yang menginfeksi komputernya yang melakukan hal tersebut.
Jika komputer korban tidak menggunakan Yahoo Messenger, maka ia akan melakukan copy paste link pesan tsb diatas pada program aplikasi Office yang sedang aktif dengan harapan supaya link tersebut di klik
Cara pembersihan virus Dloader.HDZD
- Lakukan pembersihan melalui mode safe mode.
- Matikan proses virus. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager
- Lakukan kill process, pada beberapa file virus yang aktif yaitu :
a.C:\WINDOWS\system32\SSCVIIHOST.exe
b.C:\WINDOWS\SSCVIIHOST.exe (jika aktif)
c.C:\WINDOWS\system32\blastclnnn.exe (jika aktif)
d.New Folder.exe (jika aktif)
- Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “”%1″”"
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares, Shared
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, SYSTEM\CurrentControlSet\Services\Schedule, AtTaskMaskHour
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger
Gunakan notepad, kemudian simpan dengan nama "Repair.inf" (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan). Jalankan repair.inf dengan klik kanan, kemudian pilih install. Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
- Untuk membasmi virus Dloader.HDZD, gunakan Norman Malware Cleaner untuk scan komputer anda.
- Gunakan Norman Virus Control yang terupdate untuk pembersihan secara optimal karena antivirus ini telah mengenalinya
0 komentar:
Posting Komentar