Virus Hampa : Salam Hangat buat orang Medan Kamis, 12 Juni 2008 18:11
Jika komputer mulai bertingkah laku aneh, komputer mulai lambat, data/file tiba-tiba hilang/fungsi windows tiba-tiba disable bahkan aplikasi tertentu tidak dapat dijalankan ditambah dengan pesan-pesan aneh yang muncul tanpa di undang. Sebaiknya hati-hati karena kemungkinan komputer sudah terinfeksi oleh virus, segera update antivirus, lakukan scan dan cari informasi lebih banyak untuk mengatasi permasalahan tersebut jika perlu undang teman yang Anda anggap "jago" untuk membantu permasalah yang ada. By Hampa : Salam Hangat buat orang Medan Haroharo sodara-sodara hasibuan !!!Adaamb arita apa ni ? BBM Naek L Tobing, Baiknya tidaklah makan ayam sitanggang dahulu, apalagi sihombing gundaling, mahal bah! Pake kayu bakar kayak zaman purba, nantinya tarutung lah nasution kita. Bangun rumapea jangan pake batubara, pake batakO saja lah. Siantar anak sakolah… naek Lubis Way saja lah. Walo hujan dah lama tak manurung, Simarmata sirait dan tanah jadi girsang dah, rumapea rumahorbo kana peranginangin ritonga, (red. : rumah roboh kena angin ribut, weleh-weleh…. .) Kita horas sitorus simanjuntak, simatupang mundur !!! Hidup sakarang simanungkalit makan masti pakpahan, Panuh dangan ka-simanggintir- an, Banyak orang kana napitupulu, Pangabean banyak didatangi orang, Hidup sudah di ujung tanjung, Tapi … kita harus tatap nababan banting! Walo mataniari tarbit dari hutabarat, banyak sijabat yang jadi tambunan karana korup dan salalu simorangkir masuk karja, cari parlindungan di balik hukum. Tatapi kita…… Tatap hadapi hidup dangan hati yang aritonang, sitorus togatorop manatap ka dapan. HORAS !!! Jika sebelumnya kubu palangkaraya telah mengeluarkan virus dengan nama Agent.EQXM / virus Amburadul yang sempat menyebar beberapa waktu lalu. Virus ini mempunyai ciri khusus untuk menyembunyikan file gambar dan membuat file duplikat sesuai dengan file yang disembunyikan. File duplikat yang dibuat akan tetap menggunakan icon gambar (JPG) tetapi mempunyai ekstensi EXE. Lihat link berikut untuk lebih jelasnya.
http://vaksin.com/2008/0408/amburadul/amburadul.html
1 / 15
Virus Hampa : Salam Hangat buat orang Medan Kamis, 12 Juni 2008 18:11
Tak mau kalah dengan kubu Palangkaraya, kini kubu Medan kembali meluncurkan virus baru yang cukup merepotkan untuk dibersihkan apalagi bagi mereka yang awam terhadap virus bisa-bisa langkah Pasopati alias "format" yang akan dilakukan untuk menyelesaikan masalah ini.
Ciri khas lain dari virus ini adalah akan menampilkan pesan dari sang pembuat virus setiap kali menjalankan program aplikasi tertentu. Memanipulasi ekstensi file eksekusi dan proteksi diri dengan logoffDengan ukuran file sekitar 130 KB virus ini akan mencoba untuk blok aplikasi yang berhubungan dangan security bahkan tidak segan-segan menghapus file tersebut jika user eksekusi file tersebut. Redirect eksekusi file merupakan salah satu senjata yang ampuh yang akan digunakan oleh virus ini agar dirinya tetap aktif di dalam system. Ekstensi exe/com/bat/ scr/pif/vbs dan inf merupakan beberapa ekstensi file yang akan di incar untuk melancarkan modus redirect eksekusi file tersebut, jadi setiap kali user menjalankan file yang mempunyai ekstensi di atas maka secara tidak langsung akan menjalankan dirinya secara otomatis. Hati-hati !! Saat mematikan proses virus yang aktif di memory pun harus hati-hati, jika masih ada proses virus yang tersisa di memory maka komputer akan logoff sebelum sempat untuk membunuh virus tersebut. Aksi lain dari virus ini adalah menyembunyikan folder/subfolder di setiap drive terutama Flash Disk dan membuat file duplikat dengan maksud untuk menipu user. Metode penyebaran akan tetap mempertahankan tradisi yakni menggunakan Flash Disk dan memanfaatkan Autorun Windows agar dirinya aktif secar otomatis setiap kali user akses ke Drive / Flash Disk. Virus ini dibuat dengan program bahasa Visual Basic dengan ukuran 130 KB dan mempunyai icon "Folder".
Dengan update terakhir, Norman Virus Control mendeteksi virus yang kita sebut sebagai virus Hampa ini sebagai Trojan : W32/Agent.EAOI. (lihat gambar).
Pada saat virus ini aktif, ia akan membuat beberapa file induk dibawah ini yang akan dijalankan secara otomatis setiap kali komputer di hidupkan/restart· C:Documents and SettingsAll UsersStart MenuPrograms StartupAdobe Gamma Loader.pif · C:WINDOWS3D Flower.scr ·
2 / 15
Virus Hampa : Salam Hangat buat orang Medan Kamis, 12 Juni 2008 18:11
C:Windowsdllhost. exe · C:Windowsrundll32 .com · C:WINDOWSwinspool .com · C:WINDOWSinf taskman.exe · C:WINDOWSSystem32 wmiprvse. com · C:WINDOWSsystem32 dllcache shell.pif · C:TuGAS o TuGAS.exe o Folder.htt · C: Pesan Hampa.html · C:Windowstempx. tmp, dimana x menunjukan angka (contoh: temp1.tmp) Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat string pada registry berikut: · HKLMSoftware Microsoft WindowsCurrentV ersionRun o Kernel32 = C:Windowsdllhost. exe /i · HKLMSoftware Microsoft WindowsCurrentV ersionRunOnce o Load = C:WINDOWSSystem32 wmiprvse. com
3 / 15
Virus Hampa : Salam Hangat buat orang Medan Kamis, 12 Juni 2008 18:11
· HKLMSoftware Microsoft Windows NTCurrentVersion Winlogon o C:WINDOWSsystem32 userinit. exe, C:WINDOWSSystem32 wmiprvse. com · HKCUSoftware Microsoft WindowsCurrentV ersionRun o Debug = C:WINDOWSinf taskman.exe · HKCUSoftware Microsoft Windows NTCurrentVersion Windows o Load = C:WINDOWSinf taskman.exe Blok Fungsi Windows Selain membuat registry di atas, ia juga akan membuat registry berikut dengan tujuan untuk blok beberapa fungsi Windows agar user tidak mudah untuk membasmi dirinya. Berikut beberapa fungsi Windows yang akan di blok oleh Agent.EAOI : · Task Manager · Regedit · CMD · MSI · Folder Options · System Restore · Search File · Menyembunyikan ekstensi EXE dan SCR
4 / 15
Virus Hampa : Salam Hangat buat orang Medan Kamis, 12 Juni 2008 18:11
· Merubah file type dari "Application" menjadi "File Folder" Berikut beberapa registry yang akan dibuat untuk blok fungsi Widows di atas: · HKEY_CURRENT_ USERSoftware Policies Microsoft System § DisableCMD · HKEY_CURRENT_ USERSoftware Policies Microsoft Windows NTSystemRestore § DisableConfig § DisableSR · HKLMSoftware Classesexefile § Default = File Folder § NeverShowExt · HKLMSoftware Classesscrfile § NeverShowExt · HKCUSoftware Microsoft WindowsCurrentV ersionPolicies Explorer § DisableRegistryTool s § NoFolderOptions § NoFind
5 / 15
Virus Hampa : Salam Hangat buat orang Medan Kamis, 12 Juni 2008 18:11
§ Run = C:WINDOWSrundll32 .com · HKCUSoftware Microsoft WindowsCurrentV ersionPolicies System § DisableRegistryTool s § NoDispCPL § NoFind § DisableTaskMgr § DisableCMD · HKCUSoftware Microsoft WindowsCurrentV ersionExplorer Advanced § Hidden = 0 § HideFileExt = 1 § ShowSuperHidden =1 · HKLMSoftware Microsoft WindowsCurrentV ersionPolicies Explorer § DisableRegistryTool s § NoFind § NoFolderOptions ·
6 / 15
Virus Hampa : Salam Hangat buat orang Medan Kamis, 12 Juni 2008 18:11
HKLMSoftware Microsoft WindowsCurrentV ersionPolicies system § DisableRegistryTool s § DisableTaskMgr § NoFind · HKLMSoftware Microsoft Windows NTCurrentVersion AEDebug § Debugger = C:WINDOWSwinspool .com Pada saat screen saver Windows aktif, ia juga akan langsung menjalankan file C:WINDOWS3D Flower.scr secara otomatis dengan terlebih dahulu membuat string pada registry berikut: · HKCUControl PanelDesktop § scrnsave.exe, = C:WINDOWS3DFlow~ 1.scr sebaiknya file yang mempunyai ekstensi exe/com/bat/ pif/vbs/reg/ inf/mmc karena setiap kali menjalankan file-file tersebut maka secara otomatis akan mengaktifkan virus. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut: · HKLMSoftware Classesbatfile shellopen command o Default, "C:WINDOWS system32 dllcache shell.pif" %1 %* · HKLMSoftware Classescomfile shellopen command o Default, "C:WINDOWS system32 dllcache shell.pif" %1 %* · HKLMSoftware Classesexefile shellopen command o
7 / 15
Virus Hampa : Salam Hangat buat orang Medan Kamis, 12 Juni 2008 18:11
Default, "C:WINDOWS system32 dllcache shell.pif" %1 %* · HKLMSoftware Classesinffile shellopen command o Default, "C:WINDOWS system32 dllcache shell.pif" %1 %* · HKLMSoftware ClassesMSCfile shellopen command o Default, "C:WINDOWS system32 dllcache shell.pif" %1 %* · HKLMSoftware Classespiffile shellopen command o Default = "C:WINDOWS system32 dllcache shell.pif" %1 %* · HKLMSoftware Classesregfile shellopen command o Default = "C:WINDOWS system32 dllcache shell.pif" %1 %* · HKLMSoftware Classesregedit shellopen command o Default = "C:WINDOWS system32 dllcache shell.pif" %1 %* · HKLMSoftware Classesscrfile shellopen command o Default = "C:WINDOWS system32 dllcache shell.pif" %1 %* · HKLMSoftware Classesvbsfile shellopen command o Default = "C:WINDOWS system32 dllcache shell.pif" %1 %* · HKLMSoftware Classesvbsfile shellopen2 command
8 / 15
Virus Hampa : Salam Hangat buat orang Medan Kamis, 12 Juni 2008 18:11
o Default = "C:WINDOWS system32 dllcache shell.pif" %1 %* Aktif pada mode "safe mode" dan "safe mode with command prompt" Agent.EAOI juga akan tetap aktif walaupun komputer booting pada mode "safe mode" atau "safe mode with command prompt". Sehingga semakin sulit untuk dibersihkan. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut: · HKLMSystem CurrentControlSe tControl SafeBoot o Alternate Shell = C:WINDOWSSystem32 wmiprvse. com · HKLMSystem ControlSet001 ControlSafeBoot o Alternate Shell = C:WINDOWSSystem32 wmiprvse. com · HKLMSystem ControlSet002 ControlSafeBoot o Alternate Shell = C:WINDOWSSystem32 wmiprvse. com · HKLMSystem ControlSet003 ControlSafeBoot o Alternate Shell = C:WINDOWSSystem32 wmiprvse. com Merubah Host File Windows Salah satu hal yang cukup unik dilakukan oleh virus ini adalah merubah host file Windows yang ada di direktori C:Windowssystem32 drivers etchost. Tujuannya untuk mengarahkan akses komputer yang terinfeksi supaya browsernya tidak bisa mengakses situs-situs yang di blok dan semuanya diarahkan ke localhost / 127.0.0.1. Jika anda pengguna internet banking harap berhati-hati dan selalu mengecek host file komputer anda sebelum mengakses internet banking karena manipulasi atas host file ini sangat berpotensi mengalihkan akses internet banking anda ke situs internet banking yang telah dipalsukan. 127.0.0.1 localhost # Host file has been infected by: Hampa. # Powered by FM@2007 127.0.0.1 www.vaksin.com 127.0.0.1 vaksin.com 127.0.0.1 www.ansav.com
9 / 15
Virus Hampa : Salam Hangat buat orang Medan Kamis, 12 Juni 2008 18:11
127.0.0.1 ansav.com 127.0.0.1 www.jasakom. com 127.0.0.1 jasakom.com 127.0.0.1 www.vbbego.com 127.0.0.1 vbbego.com 127.0.0.1 www.virologi. info 127.0.0.1 virologi.info 127.0.0.1 www.infokomputer. com 127.0.0.1 infokomputer. com 127.0.0.1 www.kaskus.com 127.0.0.1 kaskus.com 127.0.0.1 www.duniasex. com 127.0.0.1 duniasex.com 127.0.0.1 www.17tahun. com 127.0.0.1 17tahun.com 127.0.0.1 www.sysinternals. com 127.0.0.1 sysinternals. com 127.0.0.1 www.avast.com 127.0.0.1 avast.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 www.grisoft. com 127.0.0.1 grisoft.com 127.0.0.1 www.symantec. com 127.0.0.1 symantec.com 127.0.0.1 www.norman.com 127.0.0.1 norman.com 127.0.0.1 www.trendmicro. com 127.0.0.1 trendmicro.com 127.0.0.1 www.secunia. com 127.0.0.1 secunia.com 127.0.0.1 www.zonelabs. com 127.0.0.1 zonelabs.com 127.0.0.1 www.pandasoftware. com 127.0.0.1 pandasoftware. com 127.0.0.1 www.f-secure. com 127.0.0.1 f-secure.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.free-av. com 127.0.0.1 free-av.com 127.0.0.1 www.neuber.com 127.0.0.1 neuber.com 127.0.0.1 www.bleepingcompute r.com 127.0.0.1 bleepingcomputer. com 127.0.0.1 www.iknowprocess. com
10 / 15
Virus Hampa : Salam Hangat buat orang Medan Kamis, 12 Juni 2008 18:11
127.0.0.1 iknowprocess. com 127.0.0.1 www.kaspersky. com 127.0.0.1 kaspersky.com 127.0.0.1 www.virustotal. com 127.0.0.1 virustotal.com 127.0.0.1 www.friendster. com 127.0.0.1 friendster.com 127.0.0.1 www.winguides. com 127.0.0.1 winguides.com 127.0.0.1 www.microsoft. com 127.0.0.1 microsoft.com # Salam hangat buat orang medan. Pesan untuk orang MedanSatu ciri yang mudah di ingat dari virus ini adalah munculnya pesan dari pembuat virus. Pesan ini (lihat gambar 1) biasanya muncul jika user menjalankan file eksekusi tertentu. Selain menampilkan pesan tersebut, Agent.EAOI juga akan menampilkan pesan lain dalam bentuk HTML yang ditujukan untuk seseorang. File HTML ini biasanya akan di simpan di direktori "C:Pesan hampa.html" seperti terlihat pada gambar dibawah ini: Agent.EAOI juga akan merubah Registered Owner dan Registered Organization Windows dengan terlebih dahulu membuat string pada registry berikut (lihat gambar 5) :· HKLMSoftwa re Microsoft Windows NTCurrentVersion · RegisteredOrganizat ion = FM@2007 · RegisteredOwner = Hampa Menyembuyikan folder/subfolder Salah satu akibat yang ditimbulkan dari virus ini adalah sistem komputer menjadi lambat. Selain itu ia juga akan mencoba untuk menyembunyikan folder/subfolder disetiap drive khususnya Flash Disk dan membuat duplikat disetiap folder dan subfolder sesuai dengan nama folder/subfolder yang disembunyikan tersebut. Berikut ciri-ciri file duplikat yang akan dibuat oleh Agent.EAOI· Ukuran 130 KB · Ekstensi EXE · Icon "folder" · Type file "Application" Media Penyebaran
11 / 15
Virus Hampa : Salam Hangat buat orang Medan Kamis, 12 Juni 2008 18:11
Untuk mempermudah proses penyebaran dirinya, Hampa akan menggunakan media Flash Disk dengan cara membuat file induk dan membuat file duplikat. Selain itu, virus ini juga akan memanfaatkan autorun Windows agar dirinya dapat aktif secara otomatis setiap kali user akes ke Flash Disk tersebut : · Autorun.inf · Desktop.ini · %USB%:Tugas (%usb%, menunjukan lokasi Flash Disk) o tugas.exe o folder.htt · Data kemarin.exe Berikut ciri-ciri file induk dan file duplikat yang akan dibuat di Flash Disk: · Ukuran 130 KB · Ekstensi EXE · Type "Application" · Icon "Folder" Cara membersihkan Hampa : · Putuskan hubungan komputer yang akan dibersihkan dari jaringan · Matikan proses virus yang aktif di memory. Untuk mematikan proses virus ini Anda dapat menggunakan tools IceSword. http://mail. ustc.edu. cn/%7Ejfpan/ download/ IceSword122en. zip Setelah tools tersebut dijalankan cari dan matikan proses virus yang mempunyai nama berikut (lihat gambar 6) :
12 / 15
Virus Hampa : Salam Hangat buat orang Medan Kamis, 12 Juni 2008 18:11
§ Taskman.exe --- > icon Folder § Dllhost.exe --- > icon Folder § Rundll32.com -- > icon "Application" § wmiprvse.com - > icon "Application" Catatan: Sebaiknya matikan secara bersamaan proses virus tersebut karena jika masih ada 1 proses virus yang aktif maka komputer akan "logoff" · Hapus registry yang sudah diubah oleh virus. Karena virus ini akan mencoba untuk blok file inf/vbs/reg bahkan file dengan ekstensi exe/com/bat/ com/mmc dan scr maka sebaiknya ubah terlebih dahulu file assosisasi exe agar dapat menjalankan file yang mepunyai ekstensi EXE . Setelah registry file assosiasi exe diubah untuk menghapus string registry yang lain kita akan menggunakan tools khusus dengan tujuan agar proses penghapusan lebih cepat. Untuk merubah registry file asosiasi EXE, Anda dapat menggunakan tools iceSword yang baru Anda download tadi, caranya: o Pada aplikasi IceSword, klik menu "Registry" o Kemudian telusuri registry berikut: HKLMSoftware Classesexefile shellopen command Pada string default yang ada di kolom kanan ubah value atau data yang ada menjadi "%1" %* (lihat gambar)
Setelah berhasil, untuk hapus sisa registry lainnya silahkan gunakan tools "FixRegistry" berikut :
13 / 15
Virus Hampa : Salam Hangat buat orang Medan Kamis, 12 Juni 2008 18:11
http://www.4shared. com/file/ 46098361/ 5ddfda62/ _3__FixRegistry. html?dirPwdVerif ied=7a224f27 Hapus file induk virus dengan mengunakan "Search File".Sebelum mencari file tersebut sebaiknya tampilkan file yang tersembunyi agar pencarian lebih optimal. Untuk menampilkan file yang tersebunyi lakukan langkah berikut: o Buka Windows Explorer o Klik "Tools" o Klik "Folder Options" o Klik tabulasi "View" o Pada kolom "Advanced settings" § Pilih opsi "Show hidden files and folders" § Uncheck opsi "Hide extsnsion for known file types" § Uncheck opsi "Hide protected operating system files (recommended) o Klik "Apply" o Klik "Ok" Setelah file berhasil di tampilkan, langkah selanjutnya mencari file yang induk dan file duplikat yang dibuat virus. Catatan: Jangan sampai terjadi kesalahan pada saat penghapusan, hapus file yang mempunyai ciri-ciri: § Ukuran 130 KB § Ext exe dengan icon "Folder"
14 / 15
Virus Hampa : Salam Hangat buat orang Medan Kamis, 12 Juni 2008 18:11
§ Ext. COM dengan Icon "Application" · Restore Host file Windows yang sudah di ubah oleh virus untuk merestore ke Original Host file Windows Anda dapat menggunakan tools Host's Xpert , silahkan download tools tersebut di alamat berikut: http://www.funkytoa d.com/download/ HostsXpert. zip Setelah berhasil di download, jalankan tools tersebut dan klik tombol "Restore MS Host file" (lihat gambar) ·
Tampilkan file yang disembunyikan dengan cara sebagai berikut:o
Klik "Start" o Klik "Run" o Ketik "CMD" kemudian tekan tombol enter o Pindahkan posisi kursor ke drive atau folder yang akan dicek o Kemudian ketik perintah attrib -s -h /s /d · Untuk pembersihan optimal dan mencegah infeksi ulang, gunakan antivirus seperti Norman Virus Control atau NSS( Norman Security Suite) yang dapat mendeteksi dan membasmi virus ini. Catatan: untuk mempercepat proses pembersihan silahkan gunakan tools "Agent Malware Cleaner" (tools ini berfungsi untuk mematikan proses virus, menghapus string registry dan menghapus file virus). http://www.4shared. com/file/ 46094742/ bb3ffe3e/ _2__AgentMalware Cleaner.html? dirPwdVerified= 7a224f27 Sumber : Vaksincom/Pelitasoft
15 / 15