Telah terdeteksi virus baru dari hasil pengamatan Norman Security Suite, yang mendeteksi virus VBS/Cryf.A. Menurut Vaksin.com, virus ini memiliki banyak sekali kecanggihan seperti mengenkripsi kodenya, dan menyebabkan CD / DVD ROM terbuka terus dan kalau ditutup akan terbuka lagi.
Beberapa cirri dari virus tersebut menurut Vaksin.com:
- Di browser IE akan tampil sosok menyeramkan.
- HomepageIE akan berubah dengan berisi pesan “My World, Welcome, Shemale”.
- Ada folder “Album BOKEP” di setiap drive dan harddisk dengan icon file di dalamnya berupa Windows Media Player
- Mengubah tipe file shortcut [.Ink] menjadi “Movie Clip”
- Memiliki file nama [drvconfg.drv] atau device driver yang dienkripsi dengan ukuran file 218KB sehingga tidak bisa dibaca
- Menyembunyikan file regedit.exe, tskmgr.exe. cmd.exe dan MSConfig.exe, lalu membentuk [.exe.lnk] dengan icon yang sama dengan file aslinya.
- Memblokir fungsi Windows, juga tool antivirus lokal seperti PCMAV atau ANSAV
- Mengubah type file dari “VBScript Script File” menjadi “Application”
- Aktif di mode Normal, mode “safe mode” dan “safe mode with command prompt”
- Memberikan link [ANTIVIRUS.exe] untuk mendownload removal tools untuk membersihkan komputer yang sudah terinfeksi, padahal akan menuju ke website [http://www.dinamikasolusi.co.nr],yang berisi ‘promosi buku menggunakan Visual basic’, dimana link tersebut dibuat dalam sebuah file yang disimpan di direktori [C:\Windows\help.htm]
Cara membersihkan virus VBS/Cryf.A :
1. Matikan proses yang mempunyai product name “Microsoft (r) Windows Script Host” dengan cara pilih proses yang mempunyai product name “Microsoft (r) Windows Script Host”, klik kanan pada proses yang sudah di blok, pilih [Kill Selected Processes]
2. Blokir virus menggunakan “Software Restriction Policies” (untuk Windows XP/2003/Vista/2008) dengan cara ketik di dialog box [Run] -> SECPOL.MSC->Enter. Lalu di layar [Local Security Policy], pilih [Software restriction policies], klik kanan dan pilih Create new policies], klik kanan [Additional Rule]-> [New Hash Rule].
3. Di Kolom [File Hash], klik tombol [Browse] dan pilih file yang akan diblok.
Fix Registry dengan menjalankan file [FixRegistry.exe], download di 4shared.com/file/117095567/3ea8e8ce/_4__FixRegistry .html
4. Hapus file induk virus dengan menggunakan tool seperti “Explorer XP (explorerxp.com/explorerxpsetup.exe)
Hapus file berikut:
• %Drive%:\Recycled\S-1-5-21-343818398-18970151121- 842a92511246-500\Thumbs.db
- svchost.vbs
- desktop.ini
- drvco nfg.drv
- SHELL32.dll
• %Drive%:\Album BOKEP\Naughty America
• C:\windows
- appsys.exe
- Winupdt.scx
- appopen.scx
- Windowsopen.mht
- Windows.html
- R egedit.exe.lnk
- Help.htm
• &n bsp; C:\Windows\system\svchost.exe
• C:\WINDOWS\system32
- Taskmgr.exe.lnk
- CMD.exe.lnk
- S vchost.dls
- Corelsetup.scx
- Appsys.dls
- Kernel32.dls
- Winupdtsys.exe
- ssmarque.scr
& bull; C:\Program Files\FarStone\qbtask.exe
• C:\Program Files\ACDsee\Launcher.exe
• C:\Program Files\Common Files\NeroChkup.exe
• C:\Program Files\ExeLauncher
• %ProgramFiles%\drivers\VGA\VGAdrv.lnk
• C:\Documents and Settings\%user%\Desktop\Local Disk (C).dls
• %Flash Disk:\>Dataku Penting Jangan Dihapus.lnk
5. Tampilkan file [TaskMgr.exe/Regedt32.exe/Regedit.exe/CMD.exe/Logoff.ex e] yang disembunyikan oleh virus, caranya ketik di dialog box [Run]->ketik CMD->Enter. Lalu ketik ATTRIB –s –h –r regedit.exe-> Enter. Dengan perintah yang sama, bisa digunakan untuk menampilkan file Taskmgr.exe, cmd.exe dan Logoff.exe
6. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan antivirus yang up-to-date. Jika sudah bersih, lalu hapus hapus rule blok file [WSCript.exe] yang telah dibuat pada langkah no. (2), dengan cara ketik SECPOL.MSC di box [Run] dari menu [Start], lalu tekan Enter. Di layar [Local Security Policy], klik 2x [Software restriction policies]-> Additional Rule]->hapus rule yang telah dibuat.
0 komentar:
Posting Komentar