Media Flash Disk masih menjadi "idaman" untuk dapat menyebarkan dirinya bagi setiap virus khususnya virus lokal. Virus SmallTroj.BEPS/EXTR3M3 akan membuat 2 buah file dengan nama [Autorun.inf] dan [CewekGirls.exe], file autorun.inf ini sendiri berisi script untuk menjalankan file [CewekGirls.exe] yang akan di aktifkan secara otomatis setiap kali user mengakses Flash Disk tersebut dengan memanfaatkan fitur Autorun Windows. Virus SmallTroj.BEPS/EXTR3M3 ini akan membawa pesan seperti dibawah ini:
EXTR3M3
Selamat Datang !
Perhatian !
Kapan manusia akan sadar ? Insaf kembali kepada jalan yang benar. Gempa, banjir, Tsunami, bukankah pertanda kiamat? Tapi selain itu, sekarang banyak tanda-tanda kiamat lain yang sudah terlihat, bahkan akan terjadi. Jika Anda seorang muslim yang beriman dan bertaqwa kepada Allah SWT. Kenapa harus takut mencegah perbuatan tercela? Satu orang berbuat maksiat, semua akan mendapat malapetaka!
Apabila bumi diguncangkan dengan goncangan (yang dashyat), dan bumi telah mengeluarkan beban-beban berat (yang dikandung)nya, dan manusia bertanya: Mengapa bumi (menjadi begini)?, pada hari itu bumi menceritakan beritanya, karena sesungguhnya Tuhanmu telah memerintahkan (yang sedemikian itu) kepadanya. Pada hari itu manusia ke luar dari kuburnya dalam keadaan bermacam-macam, supaya diperlihatkan kepada mereka (belasan) pekerjaan mereka. Barangsiapa yang mengerjakan kebaikan seberat dzarrahpun, niscaya dia akan melihat (balasan)nya. Dan barangsiapa yang mengerjakan kejahatan dzarrahpun, niscaya dia akan melihat (balasan)nya pula (QS. Al Zalzalah: 1 - 8)
Virus Sholat kembali berulang, tidak seperti varian sebelumnya virus ini tidak menampilkan pesan peringatan Sholat sehingga tidak terlalau mencolok. Virus ini kemungkinan dibuat dengan menggunakan program Visual Basic Script [VBS] dan untuk mengelabui user, virus ini dikemas dengan menggunakan converter menjadi file executable [exe] dan merubah type file dari VBS menajadi EXE serta merubah icon menjadi icon gambar sehingga user tidak akan terlalu curiga apalagi file tersebut mempunyai nama yang tidak religius [CewekGirls.EXE] yang membuat kita penasaran untuk membukanya. Virus ini mempunyai ukuran sekitar 151 KB. Dengan Update terbaru Norman Security Suite sudah dapat mendeteksi virus ini sebagai SmallTroj.BEPS
Bagaimana kita mengetahui bahwa komputer terinfeksi SmallTroj.BEPS?
Virus komputer ini sebenarnya tidak terlalu sulit dikenali, pada saat komputer terinfeksi virus ia akan meninggalkan beberapa jejak diantaranya:
1. Merubah halaman utama [Intenet Explorer] dengan mengakases file C:\Windows\Help\Log.
2. Merubah judul [Internet Explorer] menjadi "Kiamat Sudah Dekat ! by – EXTR3M3-
3. Akan menampilkan program kalkulator pada saat menjalankan "notepad.exe" "rstrui.exe" [system restore]
Apa yang dilakukan oleh SmallTroj.BEPS?
1. Pada saat file yang terinfeksi virus ini dijalankan, akan memanggil sebuah image yang berada di direktori [C:\WINDOWS\Web\Wallpaper\follow.jpg]. Kemudian akan membuat beberapa file induk yang akan dijalankan pertama kali pada saat komputer tersebut di nyalakan
C:\Documents and Settings\%user%\My Documents\CeweGirls.exe
C:\Windows\system32\ulib.dll
C:\Windows\system32\atrun.dll
C:\Windows\system32\1pconfig.EXE
C:\Windows\system32\illegal.vbs
C:\Windows\system32\Setup\Admin.dll
C:\Windows\system32\cewek.dll
C:\Windows\system32\girl.dll
C:\Windows\system32\log.wri
Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat string pada registri editor berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- services = %systemroot%\system32\1pconfig.EXE
- system = %systemroot%\system32\illegal.vbs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = Explorer.exe "%systemroot%\system32\1pconfig.EXE"
2. Untuk memperlancar aksinya, ia akan mencoba untuk blok beberapa fungsi Windows diantaranya, yaitu Registry Editor, Msconfig,Task Manager, Folder Option, System Restore,Menyembunyikan ekstensi File, Enable Autorun Windows, Notepad.
Untuk blok fungsi Windows tersebut, ia akan membuat registry berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoControlPanel = 0
- NoFind = 1
- NoFolderOption = 1
- NoRun = 1
- NoDriveTypeAutoRun = 145
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools = 1
- DisabletaskMgr = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- HideFileExt = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced
- Hidden = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- ShowSuperHidden = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
- Text = Show hidden files and folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
- Text = Do not show hidden files and folder
Selain itu ia juga akan merubah beberapa string registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- AltDefaultUserName = EXTR3M3
- DefaultUserName = EXTR3M3
HKEY_CURRENT_USER\Control Panel\Desktop
- MenuShowDelay = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
- Disable = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- HideIcons = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- FolderContentsInfoTip = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
- Text = Hidden files and folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
- Type = radio
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
- Type = radio
3. Virus ini tidak akan menghilangkan file data Anda melainkan hanya menghapus beberapa file bawaan Windows seperti regedit.exe, msconfig.exe, rstrui.exe [System Restore] dan program Notepad. Sebagai pengganti ia akan mengganti file yang di hapus [kecuali file TaskMgr.exe dan Regedit.exe] dengan file CALC.exe [Kalkulator], sehingga pada saat user menjalankan file [notepad.exe] dan [rstrui.exe] maka akan muncul program kalkulator tersebut [calc.exe].
4. Virus ini juga cukup baik dengan menghapus semua file yang ada di [C:\Wndows\temp]. Untuk mengapus file tersebut ia akan menjalankan perintah DOS /c Del /s /f /q systemroot\Temp secara terus menerus dengan membuka aplikasi MS.DOS, hal ini menyebabkan komputer manjadi tidak stabil dan terkesan hang.
5. Virus SmallTroj.BEPS juga akan meninggalkan pesan moral untuk mengajak kepada kebaikan dengan membuat pesan yang dituangkan pada file [C:\Windows\query.log], sayangnya pesan ini tidak akan ditampilkan. Selain itu ia juga akan menampilkan pesan lain dalam bentuk file HTML, dimana pesan ini akan langsung ditampilkan pada saat user membuka program [Internet Explorer], file HTML ini akan di simpan di direktori [C:\Windows\Help\log.HTML]. Agar pesan tersebut dapat dijalankan setiap kali user akses [Internet Explorer] ia akan membuat string pada registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Start page = C:\WINDOWS\Help\log.html
- Window Title = EXTR3M3 -
6. Virus ini juga dapat aktif secara otomatis dengan cara membuat jadwal task [Task Scheduler] yang akan menjalankan file virus yang berada di direktori [C:\Windows\system32\log.wri]. ia akan membuat 7 jadwal task yang akan di jalankan setiap hari pada waktu-waktu yang telah ditentukan.
C:\Windows\task
- At1 akan dijalankan setiap jam 1 AM
- At2 akan dijalankan setiap jam 6 AM
- At3 akan dijalankan setiap jam 9 AM
- At4 akan dijalankan setiap jam 1 PM
- AT5 akan dijalankan setiap jam 3 PM
- At5 akan dijalankan setiap jam 6 PM
- At7 akan dijalankan setiap jam 9 PM
CARA MENGATASI VIRUS SMALLTROJ.BEPS
Adapun cara untuk menghilangkan atau menghapus Virus Smalltroj.BEPS, yaitu
1. Putuskan koneksi komputer yang terinfeksi virus dari jaringan
2. Matikan proses virus yang akif di memory. Sebagai informasi virus ini dibuat dengan program VBS. Virus ini membutuhkan sebuah file dengan nama WSCRIPT.exe agar dirinya aktif. Oleh karena itu matikan file WSCRIPT.exe yang aktif dimemori, untuk memastikan proses virus ini dapat menggunakan tools pengganti Task Manager seperti Proceexp.
Silahkan download tools tersebut di alamat url berikut:
http://download.sysinternals.com/Files/ProcessExplorer.zip
3. Hapus string registry yang sudah dibuat oleh virus komputer ini. Silahkan copy script berikut pada program [Wordpad], caranya :
§ Klik [Start] à [Programs] à [Accessories] à [WordPad]
§ Setelah cript tersebut di copy, simpan dengan cara:
§ Klik [File]
§ Klik [Save]
§ Pada kolom "Save In", tentukan dimana lokasi file tersebut akan di simpan.
§ Pada kolom "File name", isi dengan nama REPAIR.INF
§ Pada kolom "Save As Type", pilih "Text Document"
§ Kemudian instal scipt tersebut dengan cara:
- Klik kanan Repair.INF
- Klik Install
Berikut script yang harus di copy
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, text,0, "Do not show hidden files and folders"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, Text,0, "Show hidden files and folders"
HKCU, Control Panel\Desktop, MenuShowDelay,0, "400"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, Hidden ,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, FolderContentsInfoTip, 0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden, 0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoControlPanel
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp, Disabled
4. Hapus File virus dengan terlebih dahulu menampilkan file yang disembunyikan
- Buka Windows Expplorer
- Klik [Tools]
- Klik [Folder Option]
- Klik Tab [View]
- Pilih Opsi "Show Hidden Files and Folders"
- Hilangkan tanda centang pada opsi "Hide Extension for known file types"
- Hilangkan tanda centang pada opsi "Hide Protected Operating System files (Recommended)"
5. Kemudian hapus file berikut:
§ C:\Documents and Settings\%user%\My Documents\CeweGirls.exe
§ C:\Windows\system32\ulib.dll
§ C:\Windows\system32\atrun.dll
§ C:\Windows\system32\1pconfig.EXE
§ C:\Windows\system32\illegal.vbs
§ C:\Windows\system32\Setup\Admin.dll
§ C:\Windows\system32\cewek.dll
§ C:\Windows\system32\girl.dll
§ C:\Windows\system32\log.wri
§ C:\Windows\Help\log.HTML
§ C:\Windows\query.log
§ C:\Windows\task\AT%1%
Catatan : %1% menunjukan angka [AT1 – AT7]
§ Hapus juga file [Autorun.inf] dan [CewekGirls.exe] yang ada di Drive lain termasuk Flash Disk
6. Copy ulang file yang telah dihapus oleh virus dari komputer dengan OS yang sama yang tidak terinfeksi.
- C:\Windows\Regedit.exe
- C:\Windows\System32\Notepad.exe
- C:\Windows\System32\TaskMgr.exe
- C:\WIndows\PCHealth\HelpCtr\Binaries\msconfig.exe
- C:\Windows\system32\restore\rstrui.exe
7. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan antivirus yang up-to-date. Anda juga dapat mendownload Norman_Malware_Cleaner di alamat:
http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe
BACA JUGA ARTIKEL TERKAIT lainnya(RELATED POST)
<::: Cara Untuk Mengatasi Virus Hopeless :::>
<::: Cara Untuk Mengatasi Virus Conficker.DV :::>
<::: Cara Untuk Mengatasi Virus W32/Sality AE :::>
<::: Cara Untuk Mengatasi Virus Sandra Dewi Bugil :::>
<::: Cara Untuk Mengatasi Virus Folder Cinta :::>
<::: Cara Untuk Mengatasi Virus Mbah Surip :::>
<::: Cara Untuk Mengatasi Virus Full House :::>
<::: Cara Untuk Mengatasi Virus Deadlock atau Tibs.DKKR :::>
<::: Cara Untuk Mengatasi Virus Virut :::>
<::: Cara Untuk Mengatasi virus lebaran-Autorun.AEEQ :::>
Tidak ada komentar:
Posting Komentar