Menghapus Virus W32.SillyFDC.BDP (myporno.AVI / setup50045.font)

Memang yang namanya virus (komputer) itu ga' ada yang ga' mengganggu. Sempat kejadian di sebuah warnet di tempatku kerja terserang virus ini. Alhasil koneksi internet jadi lemot, begitu juga performa kompie yang terinfeksi juga lemot abish. Virus yang satu ini ga' seperti kebanyakan virus laen. Registry, super hidden, dan safe mode masih bisa diakses. Pada tiap flashdisk yang dicolokin ke kompie tersebut ga' ada file exe yang tercopy ke flashdisk, yang tampak hanyalah font, se-olah² cuma install-an font tapi sebenernya itulah induknya.

Virus ini ditemukan 10 Maret 2011. Tipenya Worm. Sistem yang bisa terjangkit antara lain Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000. Lagi² sistem operasi Windows yang diserang. Di kalangan programer, virus ini disebut W32.SillyFDC.BDP. Tapi tenang aja serangan dari virus ini masih tergolong enteng (menurut para ahli juga lho).

Berikut tanda² dari reaksi virus ini :

1. Membuat / meng-copy-kan diri menjadi 5 file ke flashdisk / removable disk lain yang terhubung ke kompie yang terinfeksi. 5 File yang bisa menjadi jebakan betmen seorang desainer dan miyabi fans club antara lain :
- setup<4 nomor acak>.fon (contoh, "setup50045.fon") – Menyalin induk worm. Atributnya Super Hidden.
- setup<4 nomor acak>.lnk (contoh, "setup50045.lnk") – terdeteksi sebagai Exploit:Win32/CplLnk.A. Atributnya Super Hidden.
- myporno.avi - Link / jalan pintas ke "setup<random number>.fon". Atributnya Archive.
- pornmovs.lnk - Link / jalan pintas ke "setup<random number>.fon". Atributnya Archive.
- autorun.inf – Terdeteksi sebagai VirTool:INF/Autorun.gen. Atributnya Hidden

2. Membuat parameter baru di Registry (Regedit) sebagai berikut :
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv<3 nomor acak>\"DisplayName" = "srv<3 nomor acak>"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv<3 nomor acak>\"ErrorControl" = "1"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv<3 nomor acak>\"ImagePath" = "%systemroot%\system32\svchost.exe -k netsvcs"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv<3 nomor acak>\"ObjectName" = "LocalSystem"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv<3 nomor acak>\"Start" = "2"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv<3 nomor acak>\"Type" = "32"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv<3 nomor acak>\Security\"Security" = "[BINARY DATA]"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv<3 nomor acak>\parameters\"servicedll" = "\\?\globalroot\Device\HarddiskVolume1\Documents and Settings\[CURRENT USER]\Local Settings\Temp\srv<3 nomor acak>.tmp". Ini adalah tempat file induk bersembunyi. "srv<3 nomor acak>.tmp" lah induknya.
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyEnable" = "0"
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\"DefaultConnectionSettings" = "[BINARY DATA]"
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\"SavedLegacySettings" = "[BINARY DATA]"
- HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\srv<3 nomor acak>\"default" = "service"

3. Memodifikasi 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\"netsvcs" = "srv<3 nomor acak>,6to4,AppMgmt,AudioSrv,Browser,CryptSvc,DMServer,DHCP,ERSvc,EventSystem,FastUserSwitchingCompatibility,HidServ,Ias,Iprip,Irmon,LanmanServer,LanmanWorkstation,Messenger,Netman,Nla,Ntmssvc,NWCWorkstation,Nwsapagent,Rasauto,Rasman,Remoteaccess,Schedule,Seclogon,SENS,Sharedaccess,SRService,Tapisrv,Themes,TrkWks,W32Time,WZCSVC,Wmi,WmdmPmSp,winmgmt,wscsvc,xmlprov,BITS,wuauserv,ShellHWDetection,helpsvc,WmdmPmSN"

4. Secara diam² selalu mengakses alamat :
- http://<domain>//srv
- http://<domain>/service/listerner.php?affid=<number>
- http://<domain>//dll
- http://<domain>/service/scripts/files/aff_<number>.dll

Pembersihannya cukup mudah :

1. Masuk Safe Mode dengan menekan tombol F8 saat booting pertama kali komputer / laptop dinyalain. Pilih "Safe Mode".
2. Tekan Ctrl + Alt + Del.
3. Masuk ke tab Processes. Pilih "svchost.exe" kemudian klik tombol End Process. Lakukan pada "svchost.exe" yang lain hingga keluar peringatan bahwa Windows akan mati / restart setelah beberapa detik. Diamkan hingga restart / mati.
4. Kembali masuk ke Safe mode. Kali ini pilih "Safe Mode with Command Prompt".
5. Setelah masuk ke Command Prompt pada Safe Mode. Masuk ke tempat persembunyian induk virus ini. Letaknya lihat kembali pada parameter registry yang dibuat virus ini. Di atas udah dijelasin kalo virus ini bersembunyi di "C:\Documents and Settings\[CURRENT USER]\Local Settings\Temp\" dengan nama srv<3 nomor acak>.tmp.
6. Biasanya pertama masuk ke Command Prompt, user berada di "C:\Documents and Settings\[CURRENT USER]". Untuk menuju sasaran ketik "cd local settings <enter>", kemudian ketik " cd temp <enter>".
7. Pastikan induk virus berada di sana. Ketik "dir <enter>". Tapi kadang induknya ga; terlihat karenan atribut filenya adalah Super Hidden. Hilangkan dulu atribut tersebut dengan mengetikkan "attrib -s -h /s /d <enter>". Kemudian lihat lagi dengan perintah "dir <enter>".
8. Setelah menampakkan diri, buru² delete aja. Ketik "del *.* <enter>". Kalo muncul konfirmasi yang kalimat terakhirnya "( Y/N )", ketik Y trus enter aja.
9. Pastikan induknya udah ilang. Ketik "dir <enter>".
10. Kalo udah lenyap, keluar dari Command Prompt dan masuk ke Registry / Regedit. Ketik "exit <enter>". Biasanya tool bar / start menu ga' langsung keluar. Tekan Ctrl + Alt + Del - File - New Task (Run), pada kolom Open ketik C:\WINDOWS\explorer.exe kemudian enter.
11. Saatnya masuk ke Registry / Regedit. Start Menu - Run - ketik "regedit" <enter>.
12. Cari dan hapus key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv<3 nomor acak>.
13. Cari dan hapus key HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\srv<3 nomor acak>.
14. Modifikasi key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\. Double klik String Value "svchost", hapus data srv<3 nomor acak> yang terdapat di dalamnya.
15. Hapus Binary Value "ProxyEnable" pada key HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\.
16. Hapus key HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\.

Setelah melakukan 16 langkah proses pembersihan, restart Windows dan masuk ke mode normal. Coba colokin flashdisk untuk mengecek apakah virus udah bener² ko'it ato belom, sebelomnya pastikan dulu komputer kamu bisa menampilkan file supper hidden dulu. Kalo bisa flashdisk yang digunain buat ngetest dalam keadaan kosong ato ga' ada copy-an file virus tadi. Kalo di flash masih ada 5 virus hasil copy-an otomatis dari virus tadi, coba bersihkan. Cabut flashdisk dan masukkan lagi flash yang udah dibersihin tadi, kalo udah ga' ada 5 file copy-an tadi, berarti pembasmian virus udah berhasil.

Antisipasi (rekomendasi dari Symantec dan Microsoft):

1. Gunakan firewall untuk memblokir semua koneksi yang masuk dari Internet ke layanan yang seharusnya tidak tersedia untuk umum. Secara default, Anda harus menolak semua koneksi masuk dan hanya mengizinkan layanan Anda secara eksplisit ingin menawarkan ke dunia luar.
2. Gunakan password dengan tingkat keamanan yang tinggi. Gunakan password serumit mungkin, seperti kombinasi antara huruf dan angka.
3. Pastikan pengguna lain tidak berada di level administrator.
4. Nonaktifkan AutoPlay untuk mencegah file executable berjalan secara otomatis pada jaringan dan removable drive, dan lepaskan drive bila tidak diperlukan. Aktifkan mode read only jika hanya ingin membaca file.
5. Matikan file sharing jika tidak dibutuhkan. Jika file sharing diperlukan, menggunakan ACL dan proteksi password untuk membatasi akses. Nonaktifkan user anonim mengakses ke folder yang di sharing. Memberikan akses hanya untuk account pengguna dengan password yang kuat untuk folder yang harus disharing.
6. Matikan dan menghapus layanan yang tidak perlu. Secara default, sistem operasi banyak menginstal layanan tambahan yang tidak begitu penting. Layanan ini merupakan jalan yang mudah disusupi serangan. Jika dihapus, ancaman serangan akan berkurang.
7. Selalu menjaga kadar patch Anda up-to-date, terutama pada komputer yang menyediakan layanan publik dan dapat diakses melalui firewall, seperti HTTP, FTP, mail, dan layanan DNS.
8. Mengkonfigurasi server email Anda untuk memblokir atau menghapus email yang berisi lampiran file yang biasa digunakan untuk menyebarkan ancaman / virus, seperti *.vbs, *.bat, *.Exe, *.PIF dan *.scr file.
9. Lakukan analisis forensik dan mengembalikan komputer menggunakan media terpercaya.
10. Melatih karyawan untuk tidak membuka lampiran kecuali mereka mengharapkannya. 
11. Jangan menjalankan software yang di-download dari Internet kecuali telah discan untuk mendeteksi virus.
12. Matikan Bluetooth jika tidak diperlukan untuk perangkat mobile. Jika Anda memerlukan penggunaannya, pastikan bahwa visibilitas perangkat diatur ke "Tersembunyi" sehingga tidak dapat ditemukan oleh perangkat Bluetooth lain. Jika pasangan perangkat harus digunakan, pastikan bahwa semua perangkat diset ke "Unauthorized", yang membutuhkan otorisasi untuk setiap permintaan sambungan. Jangan menerima aplikasi yang tidak terdaftar atau dikirim dari sumber yang tidak diketahui.



Loading...

8 komentar :

Anonim mengatakan... Balas Komentar

Up UP UP

bimasakti mengatakan... Balas Komentar

thanks... sangat membantu sekali om :D

MustBhagoezt mengatakan... Balas Komentar

@ bimasakti
sama², makasih atas kunjungannya..

Shinigamisenn mengatakan... Balas Komentar

bang, kalo pas safe mode, svchost.exe nya ga mau di matiin "access denied" trus apa yg harus di lakuin?

MustBhagoezt mengatakan... Balas Komentar

@Shinigamisenn : Seharusnya bisa kalo posisinya di save mode. Biasanya ada beberapa file svchost.exe yang sedang berjalan. Coba matikan yang lainnya hingga muncul peringatan bahwa windows akan melakukan restart otomatis.

gavee mengatakan... Balas Komentar

Thanks ya.

MustBhagoezt mengatakan... Balas Komentar

@gavee: Sama² :D

Fahmi Setiawan mengatakan... Balas Komentar

wah mantep caranya :-)

Poskan Komentar



 
Powered by Blogger