Kini telah hadir virus baru yang diidentifikasi Norman Virus Control sebagai Autorun.QBP. Virus ini menggunakan icon virus berbentuk folder bernama “Folder Cinta”dan memiliki file kosong “khq” di dalamnya. Virus Autorun.QBP dibuat dengan menggunakan script Autoit dan di-kompress menggunakan UPX Unpacker.
Berikut ciri-ciri virus Autorun.QBP menurut Vaksin.com:
1. Menggunakan icon “Folder Cinta.exe“, tipe Application dengan ukuran 793KB
2. Muncul nama file [namaacak].exe di setiap folder dan jaringan yang di-share, juga di flashdisk
3. Ada file system kosong bernama “khq” yang ada di setiap drive pula, baik di jaringan ataupun di flashdisk
4. Muncul nama file “csrcs.exe” di memory, yang dapat dilihat di task manager bagian tab Process.
5. Muncul nama file “C:\WINDOWS\system32\csrcs.exe” di memory ukuran 793KB
6. Muncul nama file “C:\WINDOWS\system32\Autorun.inf”
7. Tidak dapat menampilkan file yang sudah di-hidden, walaupun “Folder Options” sudah dimunculkan berkali-kali
8. Melakukan perubahan di registry :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s\CurrentVersion\policies\Explorer\Run
csrcs = C:\WINDOWS\system32\csrcs.exe
9. Untuk memproteksi dan tetap aktif pada windows, akan membuat di registry :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe csrcs.exe
Cara membersihkan virus :
1. Putuskan jaringan dari komputer, matikan System Restore
2. Buka “Task Manager” dengan Ctr+Alt+Del untuk mematikan proses [End Process] pada virus “csrsc.exe” yang aktif
3. Hapus file virus Autorun.QBP, yang ada di C:\WINDOWS\system32, dengan nama csrsc.exe yang berukuran 793 KB dan Autorun.inf yang berukuran 1 KB.
4. Gunakan search untuk mencari file virus berukuran 793 KB, berextension exe dan tipe application serta file khq di seluruh drive.
5. Hapus string registry yang sudah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \comfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \exefile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \scrfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \piffile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \regfile\shell\open\command,,, "regedit.exe "%1"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0, Explorer.exe
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Expl orer\Run
6. Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan). Jalankan repair.inf dengan klik kanan, kemudian pilih [install].
7. User bisa menggunakan Norman Malware Cleaner (normanasa.vo.llnwd.net/o29/public/Norman_Malware_C leaner.exe), Norman Security Suite atau Norman Endpoint Protection (Corporate User) untuk membasmi virus ini.
0 komentar:
Posting Komentar