W32/Naki.A-D
14 Juli 2006
Hati-hati !! Sindrome Fish
Influensa
menyerang komputer anda
Setelah Flu Burung W32/Gnurbulf.A menyerang komputer, layaknya
tandukan kepala Zizou yang tidak hanya digunakan untuk menanduk bola
dan dapat dilakukan untuk menanduk dada orang kini muncul Flu lain
yang tidak kalah ganasnya, Flu Ikan W32/Naki, tidak
tanggung-tanggung, virus yang dimotori oleh orang yang mengaku
sebagai Dr. Pluto ini sudah mencapai 4 varian sampai hari ini.
Belum
surutnya kabar mengenai penyebaran Flu burung yang menyerang manusia
dan hewan [jenis unggas] kini beredar kabar baru mengenai adanya
penyakit baru yang mulai menyerang Ikan [mereka menyebutnya Flu-Ikan
atau sindrome fish influensa], apakah kabar tersebut adalah benar
atau hanya isapan jempol saja ?
Yang
pasti sampai saat ini belum ada kepastian mengenai hal tersebut dari
dinas perikanan dan kesehatan
:P.
Walaupun belum ada kabar tentang adanya penyakit
tersebut yang menyerang manusia atau
ikan
di dunia nyata tetapi di dunia maya
virus ini mulai menyebar
di Indonesia dan
mulai menyerang
komputer-komputer yang tidak/kurang memiliki kekebalan terhadap
penyakit ini.
Jika anda
menjalankan file virus
Naki
(kebalikan dari "ikan"),
maka ia akan menampilkan sebuah aplikasi IE dengan isi tentang
bahaya adanya Flu-Ikan, jika anda membaca pesan tersebut sebaiknya
jangan di hiraukan karena
sampai saat ini
dinas perikanan dan kesehatan belum mengumumkan adanya
kasus Flu-Ikan, dan kemugkinan pesan tersebut hanya berupa hoax
dengan tujuan agar masyarakat menjadi panik dan takut untuk memakan
hewan jenis ikan [sama ketakutannya dalam mengkonsumsi unggas].
(lihat gambar 1)
Gambar 1,
Pesan yang ditampilkan
Virus Naki
Sampai
saat ini sudah beredar 4 varian [mungkin lebih] yang muncul, untuk
ke empat varian Norman mendeteksi sebagai W32/Naki [dengan ukuran
file 76 KB, 65 KB atau 92 KB].
Virus ini
dibuat menggunakan VB, Naki juga belajar dari pengalaman dimana
jika virus dibuat dengan menggunakan VB maka akan lebih mudah untuk
mematikannya hanya dengan merubah nama file MSVBVM60.dll yang
berada didirektori [C:\Windows\System32], oleh karena itu untuk
menghindari hal tersebut ia akan mengkopi
file MSVBVM60.dll ke direktori dimana file induk virus
tersebut dibuat sehingga walaupun file MSVBVM60.dll yang berada di
direktori [C:\Windows\system32] di rubah hal ini tidak berpengaruh
apa-apa [virus tetap aktif] dan dilihat dari script yang dibuat
kemungkinan semua virus ini dibuat oleh mereka yang juga pernah
membuat virus W32/Romdil [red.
Dr. Pluto].
Norman Virus Control sudah mendeteksi virus-virus ini sebagai
W32/Naki.A, W32/Naki.B, W32/Naki.C dan W32/Naki.D (lihat gambar 2)
Gambar 2,
Norman Virus Control
sudah dapat mendeteksi W32/Naki
dengan baik
Untuk
mengelabui user ia akan
memalsukan diri sebagai
icon Folder dengan
demikian akan mempermudah dalam proses penyebaranya.
(lihat gambar 3)
Gambar 3, Contoh
folder yang dipalsukan virus
Naki
Jika user
tidak menyadari dan mencoba
membuka folder tersebut, maka virus tersebut akan diaktifkan dan dan
Naki akan
menampilkan sebuah pesan dalam format HTML yang berisi “imbauan
untuk tidak mengkonsumsi jenis ikan tertentu",
untuk lebih jelasnya perhatikan gambar
4 dibawah ini
:
Gambar 4, Pesan
yang ditampilkan Naki
Setelah
muncul pesan tersebut di atas, maka Naki akan melakukan log off
windows sebagai tanda bahwa virus tersebut sudah aktif di komputer
tersebut.
Naki akan
membuat beberapa file induk yang akan di jalankan, file induk yang
dibuat oleh Naki akan di simpan di direktori yang berbeda-beda
[random] di antaranya akan di simpan di salah satu direktori dibawah
ini:
C:\Windows\Syatem32\Config, contoh file:
·
C88V67D86X.exe
·
D78R68Z82N.exe
·
G81H71G72Q.exe
·
T68L84X76D.exe
·
T90U84U85Z.exe
·
MSvbvm60.dll
·
Flu-ikan.htm
·
FluIkan
C:\Windows\system32\catroot,
contoh file:
·
Z74N90D78J.exe
·
Z68R90P82D.exe
·
N89I78Y73Y.exe
·
K72I75N73H.exe
·
I65I73G73A.exe
·
Flu-Ikan.htm
·
MSVBVM60.DLL
·
FluIkan
C:\Documents and Settings\%user%\Local Settings, contoh file:
·
C88I67G73X.exe
·
E67O69E79c.EXE
·
F75Z70U90K.EXE
·
fLU-IKAN.HTM
·
G80R71I82P.EXE
·
S68F83F70D.EXE
·
Msvbvm60.dll
C:\Documents and Settings\%user%\Templates
:
·
B85M66F77U.exe
·
D86X68M88V.exe
·
F74F70N70J.exe
·
H70172U73F.exe
·
N82X78S88R.exe
·
Flu-Ikan.htm
·
FluIkan
·
Msvbvm60.dll
Selain
itu juga akan membuat file
pada
direktori :
·
C:\Documents and settings\%user%\my
documents\flu-ikan.htm
·
C:\Aliases.ini
·
C:\Script.ini
·
Untuk varian tertentu
akan membuat file FishDemon.exe pada direktori
C:\Windows
Sebagai
penunjang virus ini akan membuat string pada registry editor agar
file induk tersebut dapat dijalankan secara otomatis setiap kali
komputer restart/booting:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Kebodohan
mulut_besar
otak_udang
pemalas
HKLM\SOFTWARE\Flu-Ikan
Lokasi = lokasi file acak
Master1 = lokasi file acak
Master2 = lokasi file acak
Master3 = lokasi file acak
Master4 = lokasi file acak
Master5 = lokasi file acak
Contoh:
Master1 = C:\Windows\config\y82x89a88r.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
= Explorer.exe [lokasi file acak]
Sama
seperti yang dilakukan oleh virus lokal lainnya, Naki juga akan
berusaha untuk menonaktifkan beberapa fungsi windows diantaranya:
Registry
editor
Task
Manager
Folder
Option
Run
Search
Control Panel
Klk
kanan di Desktop dan Windows Explorer
CMD
Menu
Recent Documents
Dengan
membuat string pada registry editor berikut:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools
DisableCMD
DisableTaskMgr
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions
NoRecentDocsMenu
NoSetFolders
NoRun
NoFind
NoTrayContextMenu
NoViewContextMenu
Selain itu
Naki juga akan melakukan block terhadap tools freeware lain yang
digunakan untuk mematikan proses dari virus itu sendiri seperti:
HijackThis
Proceexp
Pocket
Killbox
Del
[ketika menghapus file / folder]
Iknown
Sebagai
informasi jika mencoba menjalankan fungsi windows dan tools tersebut
bahkan pada saat akan menjalankan program antivirus maka Naki akan
menampilkan sebuah “Access Denied-Protect by Flu-Burung.A” seperti
terlihat pada gambar 5
di bawah ini:
Gambar 5,
Pesan yang disampaikan
Naki jika menjalakan tools tertentu
Disamping
akan menyembunyikan Folder Option, juga akan bermain-main dengan
setting folder option yakni dengan menghilangkan beberapa menu
yakni:
Hidden
Files and Folders
Hide
extension for known file types
Hide
protected operating system [recommanded]
Dengan
menghapus value yang ada pada string TYPE pada
registry key berikut:
·
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
o
Hidden
o
HideFileExt
o
SuperHidden
Bukan Cuma
itu saja, Naki juga akan merubah nama organisasi dan pemilik
komputer tersebut dengan marubah string pada registry berikut:
·
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
o
RegisteredOrganization = malware
·
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
o
RegisteredOwner = Flu-Ikan
·
HKCU\Software\Microsoft\MS Setup (ACME)\User Info
o
DefCompany = malware
o
DefName = Flu-Ikan
Menyebar melalui
IRC
Untuk
menyebarkan dirinya, Naki akan menggunakan media Disket/USB/file
sharing selain itu ia juga akan mencoba untuk menyebar melaui media
Chat [MIRC] dengan mengirimkan sejumlah pesan
disertai url untuk download file virus tersebut ke channel yang sudah
ditentukan dengan terlebih dahulu akan berusaha untuk joint ke
beberapa chanel yang telah ditentukan tersebut, seperti terlihat
pada gambar
6
di bawah ini:
Gambar 6, Script
yang dibuat oleh Naki untuk melakukan koneksi ke channel
IRC tertentu
Berikut
beberapa pesan yang akan dikirimkan oleh Naki
nick ,
free picture indonesia sex double klik
url
nick
Ada info baru ne Marshanda, Agnes Monica, Dian Sastro, Bunga.C
Dah Berani Bugil, Untuk liat Fotonya double klik
url
nick
mo liat artis-artis indonesia nude, double klik
url
nick ,
indo artis majalah playboy double klik
url
nick
mo liat artis majalah playboy indo
nick
indonesia free porn, double klik
url
nick
mo liat karya ce-ce bangsa indo, double klik
url
Jika klik
url [http://indofree-sex.batcave.net/****.zip] yang disertakan
maka secara tidak langsung anda download virus tersebut, dimana
file tersebut mempunyai nama : ZIP [gadis manis.exe] dengan
ukuran file 56 KB, file ini telah terdeteksi oleh Norman sebagai
W32/Naki.D.
Untuk
menyebarkan dirinya memalui media chatting tersebut, ia akan membuat
file dengan nama
aliases.ini
dan script.ini pada setiap partisi Hard Disk [contoh: C:\],
kemungkinan file script.ini berisi script agar
Naki secara otomatis melakukan koneksi ke server IRC.DAL.net dan secara
otomatis melakukan joint ke channel yang sudah ditentukan.
Apakah Naki saudara Romdil ?
Manipulasi Desktop dan Start page internet explorer
Naki.A
juga akan mencoba untuk merubah Desktop
(gambar 7 dan 8)
dengan gambar “joker” [ID
Romantic Devil.R, seperti yang dilakukan oleh Romdil] dan merubah
start page dari internet explorer dengan membuat string pada
registry:
·
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main
o
Start page :
http://indofree-sex.batcave.net/
·
HKEY_CURRENT_USER\Control Panel\Desktop
o
Wallpaper = [lokasi file random]
Gambar 7, Naki.A
akan mengganti tampilan Desktop Windows
menjadi Tengkorak Joker
Gambar 8, Naki B
– Naki. D akan mengganti tampilan Desktop Windows
menjadi ikan Hiu Surfing
Naki juga
akan mencoba untuk memblok beberapa situs tertentu termasuk situs
antivirus dengan merubah file Host yang berada didirektori
C:\Windows\system32\drivers\ETC.
(gambar 9)
Gambar 9, File
Host yang sudah diubah oleh Naki dan Flukan
Sebagai
penutup Naki akan membuat file duplikat dengan ciri-ciri:
·
Icon Folder
·
Ukuran file 76, 65 KB atau 92 KB
·
Type file “Application:
(lihat gambar 10)
Gambar 10, File
duplikat yang dibuat oleh Naki.A
Untuk
beberapa varian tertentu, Naki akan mencoba untuk menginfeksi semua
file aplikasi dengan cara merubah ekstensi
dari semua file aplikasi
file [exe] dengan [MFF] dan untuk mengelabui user ia akan membuat
file duplikat sesuai dengan nama file aslinya [file duplikat
tersebut akan mempunyai ukuran lebih besar di bandingkan file
aslinya], tidak semua file aplikasi [.exe] akan di ubah
ekstensinya, tetapi juga akan mencoba untuk menghapus beberapa file
aplikasi tersebut, sehingga untuk beberapa file aplikasi yang sudah
di hapus maka jalan satu-satunya adalah re-install program tersebut
(lihat gambar 11).
Gambar 11, File
yang sudah di ubah oleh Flukan.A
Jika anda
menjalankan file aplikasi [EXE] yang sudah terinfeksi Naki maka akan
mucul pesan di bawah ini:
(gambar 12)
Gambar 12,
Pesan yang muncul ketika menjalankan file aplikasi yang sudah
terinfeksi
Naki
melumpuhkan “safe mode” dan “safe mode with command prompt”
Untuk
mempersulit proses pembersihan naki dengan cerdik akan mencoba untuk
melumpuhkan booting melalui “safe mode” atau “safe mode with command
prompt” sehingga user tidak dapat melakukan booting pada mode
tersebut.
Untuk
melakukan hal tersebut Naki akan menghapus beberapa key pada
registry berikut:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
vgasave.sys
vga.sys
tdtcp.sys
tdpipe.sys
sr.sys
sermouse.sys
rdpwd.sys
rdpdd.sys
rdpcdd.sys
dmiot.sys
dmboot.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
vgasave.sys
vga.sys
sr.sys
sermouse.sys
dmload.sys
dmio.sys
dmboot.sys
Cara
mengatasi virus Naki secara manual
Putuskan hubungan
komputer yang akan dibersihkan dari jaringan
/ internet
Matikan [system restore] untuk sementara selama proses
pembersihan [Jika menggunakan Windows ME/XP]
Hapus
file induk yang sedang aktif di memori, untuk menghapus file
ini anda dapat menggunakan tools Security Task Manager,
kemudian hapus proses yang mempunyai icon Folder [Flu_Ikan]
(gambar 13)
Gambar 13,
Gunakan Security Task Manager untuk mematikan proses Naki
Hapus
file induk yang dibuat oleh virus tersebut, untuk mengetahui
lokasi file induk yang dibuat oleh virus tersebut anda dapat
menggunakan tools Security Task Manager kemudian perhatikan
lokasi proses file dengan nama “Flu_Ikan”, hal ini disebabkan
karena Naki akan membuat file induk pada direktori yang
berbeda-beda [random] dengan nama file yang berbeda-beda pula ,
misalnya:
C:\Windows\Syatem32\Config, contoh file:
·
C88V67D86X.exe
·
D78R68Z82N.exe
·
G81H71G72Q.exe
·
T68L84X76D.exe
·
T90U84U85Z.exe
·
MSvbvm60.dll
·
Flu-ikan.htm
·
FluIkan
C:\Winodws\system32\catroot, contoh file:
·
Z74N90D78J.exe
·
Z68R90P82D.exe
·
N89I78Y73Y.exe
·
K72I75N73H.exe
·
I65I73G73A.exe
·
Flu-Ikan.htm
·
MSVBVM60.DLL
·
FluIkan
C:\Documents and Settings\%user%\Local Settings, contoh
file:
·
C88I67G73X.exe
·
E67O69E79c.EXE
·
F75Z70U90K.EXE
·
fLU-IKAN.HTM
·
G80R71I82P.EXE
·
S68F83F70D.EXE
·
Msvbvm60.dll
C:\Documents and Settings\%user%\Templates
·
B85M66F77U.exe
·
D86X68M88V.exe
·
F74F70N70J.exe
·
H70172U73F.exe
·
N82X78S88R.exe
·
Flu-Ikan.htm
·
FluIkan
·
Msvbvm60.dll
Hapus juga
file yang ada di direktori:
·
C:\Documents and settings\%user%\my
documents\flu-ikan.htm
·
C:\Aliases.ini
·
C:\Script.ini
·
C:\Windows\Fishdaemon.exe
Catatan:
File induk
yang dibuat oleh Naki akan disembunyikan sehingga jika
anda cari file induk tersebut secara manual maka akan sulit untuk
ditemukan. Dengan menggunakan tools Security Taks Manager
anda dapat langsung menuju ke lokasi dimana file induk tersebut di
buat sehingga mempermudah proses penghapusan, dengan cara:
klik
kanan pada nama proses virus [contoh : Flu-Ikan]
Kemudian klik [View This Folder]
(lihat gambar 14 dan 15)
Gambar
14,
Dengan menggunakan Security Task Manager akan dapat melihat lokasi
file induk Naki.A
Gambar 15,
Lokasi file induk Naki dapat diketahui dengan klik kanan dan
pilih [View this folder]
Dengan
menggunakan security task manager, anda dapat langsung menuju
lokasi file induk tersebut di buat sehingga mempermudah proses
penghapusan file tersebut.
Setelah
itu hapus file virus yang mempunyai bentuk Folder tetapi merupakan
file aplikasi.
Aktifkan kembali registry editor yang sudah di disable oleh
virus, anda dapat menggunakan tools HijackThis
(gambar 16)
Gambar
16,
Mengaktifkan kembali fungsi registry editor
Setelah
registry editor dapat kembali aktif , hapus string registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoTrayContextMenu
NoViewContextMenu
Hal ini
dimaksudkan agar fungsi klik kanan dapat kembali digunakan
karena untuk membersihkan string registry lain akan menggunakan
repair.inf
Catatan:
Untuk
membuka Registry Editor, jalankan file REGEDIT.exe yang ada
didirektori C:\Windows
Hapus
string yang telah dibuat oleh virus, untuk mempermudah proses
penhapusan copy script di bawah ini pada notepad dan simpan dengan
nama repair.inf, kemudian jalankan file tersebut dengan cara:
-
Klik kanan
repair.inf
-
Klik
[install]
Catatan:
jika file
repair.inf tidak dapat dijalankan [karena fungsi klik kanan
tidak berfungsi, sebaiknya anda restart komputer terlebih dahulu,
kemudian jalankan file repair.inf
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM,
Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM,
Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN,
CheckedValue,0x00010001,2
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN,
DefaultValue,0x00010001,2
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
CheckedValue,0x00010001,1
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
DefaultValue,0x00010001,2
HKLM,
SOFTWARE\Microsoft\Windows NT\CurrentVersion,
RegisteredOrganization,0, "Your Organizations"
HKLM,
SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0,
"Owners"
HKCU,
Control Panel\Desktop, Wallpaper,0,
HKCU,
Software\Microsoft\Internet Explorer\Main, Start Page,0,
"about:blank"
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden,
type,0, "group"
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,
type,0, "checkbox"
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,
type,0, "checkbox"
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys,,,Driver
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys,,,Driver
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys,,,Driver
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys,,,Driver
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys,,,FSFilter
System Recovery
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys,,,Driver
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys,,,Driver
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys,,,Driver
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys,,,Driver
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmiot.sys,,,Driver
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys,,,Driver
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys,,,Driver
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys,,,Driver
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys,,,FSFilter
System Recovery
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys,,,Driver
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys,,,Driver
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys,,,Driver
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys,,,Driver
[del]
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRecentDocsMenu
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetFolders
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoViewContextMenu
HKLM,
Software\Microsoft\Windows\CurrentVersion\Run,kebodohan
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Run,mulut_besar
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Run,otak_udang
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Run,pemalas
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,
ShowSuperHidden
HKCU,
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
HideFileExt,0x00000020,0
HKCU,
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
ShowSuperHidden ,0x00000020,0
HKLM,
SOFTWARE\Flu-Ikan
HKCU,
Software\Microsoft\MS Setup (ACME)\User Info
Hapus
file duplikat yang dibuat oleh virus dengan ciri-ciri
Icon Folder
Ukuran 76 KB, 65 KB atau 92 KB
Type file “Application”
Ubah
kembali isi file HOST yang berada didirektori
C:\Windows\system32\drivers\ETC yang sudah diubah sebelumnya oleh
virus, untuk mengubah kembali file HOST tersebut anda dapat
menggunakan tools freeware seperti HOSTER, tools ini dapat
didownload di alamat
http://www.softpedia.com/get/Security/Security-Related/Hoster.shtml
Setelah
menjalankan tools tersebut, klik tombol [Restore Original Hosts]
untuk mengembalikan ke setting semula.
(gambar 17)
Gambar
17,
Dengan tools HOSTER anda lebih mudah untuk mengembalikan setting fle
Host ke posisi semula
Sebaiknya cari file yang mempunyai extension .MFF
kemudian ganti ext. tersebut menjadi .EXE, karena untuk
varian tertentu akan mencoba untuk merubah setiap file yang
menggandung ext. .EXE menjadi .MFF dan jika ada
beberapa program yang tidak bisa dijalankan sebaiknya anda
re-install program tersebut karena ada beberapa varian tertentu
yang akan menghapus file aplikasi [EXE]
(lihat gambar 18)
Gambar 18,
ganti .MFF menjadi .EXE
Untuk
pembersihan optimal, sebaiknya scan dengan antivirus yang sudah
dapat mengenali virus ini dengan baik.
0 comments:
Post a Comment