Virus yang avsoft kenalkan ini adalah sebuah virus yang dibuat dengan script autoit yang cukup unik. Virus ini dikenal dengan nama virus cinta/ folder cinta (vaksin.com), Autorun.QBP(Norman), AutoIt:Balero-A2 (Avast), DR/Autoit.TC.151 (Antivir/ Avira), Gen:Trojan.Heur.AutoIT.Vq3@byy8gtcO (BitDefender), Worm.Win32.AutoIt.tc (Kaspersky), W32/Autorun.worm.zf.gen (McAfee), dan Bloodhound.Malautoit.2 (Symantec). Autouit ini sudah cukup banyak antivirus yang dapat mengenalnya, namun apakah akan selalu dapat mendeteksinya.Hal ini yang av-soft katakan unik, beberapa file virus dari hasil penyebarannya dapat lolos dari antivirus yang disebutkan di atas. Mengapa bisa demikian ?. Hal ini dikarenakan virus menyebar dengan cara memberikan nama pada file virus (file virus hasil turunan induknya) diberi nama secara acak serta icon virus ini dapat berganti disaat beberapa virus turunannya telah mencapai angka yang telah ditentukan oleh pembuat. Selain memberi nama dan icon yang acak virus ini membuat sebuat autorun.inf pada setiap drive usb yang dicolokkan, yang didalamnya terdapat huruf dan angka yang acak untuk menutupi code autorunnya. Berikut isi dalam autorunnya :
;YODnBZrbLWxApqOIMjEAzqYBYaBCDsckYAQOGLNSAjjAnfzeePpFbroIHuWJTiTUHEJUReJzYewuuad [dibuat acak]
;zMiHSEnHpmUaYBzlOOAyebjTN [dibuat acak]
;goGKfEvYcoHLCJyzZBlFYKfWYURAehMtIxyhlT [dibuat acak]
[AutoRun]
;HSYFOxwvqtqffTvAfuiKVBFcTUxaKBIdyruyLOMeNwFXFPmMOaMTr [dibuat acak]
;yQXzHMbdaRKxD[dibuat acak]
;IiZPcATDh[dibuat acak]
;ePzkRwMakunzYXhmTMpTwnJ[dibuat acak]
;45F27A231FCBBAE1D96D015E0847BDA98FFF0E9CB727D2C7BFC81571[dibuat acak]
;myXKoYrCVzpelox [dibuat acak]
open=myrwsx.exe
;RmtFaysbOoqqYAhCTpIkYrTDuAsmHpoeKOXVxusnLZwumITUaZEXOkvgWgrLuiFfBladNPy [dibuat acak]
;gkwqJHBdNYQJ [dibuat acak]
Icon=%system%\shell32.dll,7
UseAutoPlay=1
action=Open Drive
action= @myrwsx.exe
shell\open\Command=myrwsx.exe
;HZcCEbkpKemnqwICGBaHIsiYExgklPGfOAmC [dibuat acak]
;cQNBzWurtuDPJweBtouEGXDPFdiTllfXpOBszLOtUUkjteFFZQvtWiVuAe [dibuat acak]
shell\open\Default=1
;VpRszTMSktFKL [dibuat acak]
;dBVkbqEbtvMgMwPUFIMQrcExRukujiFXsEfbkB [dibuat acak]
;ukCDuliITiLKEsbxFsLsPgQJ[dibuat acak]
;BEtYovYKJDsEalWnsGeMxTNUhccgYldLRggdadnCYbaVmMlPvzQJhIdoyCnrBvUHGDEyKBjwpYU [dibuat acak]
;cdKBTJIvPUuiCuIwlIZddMLSUbArIFWtp [dibuat acak]
shell\explore\Command=myrwsx.exe
;RkGSpbyKAIgwWmxcAVktIog [dibuat acak]
Dimana script yang berfungsi untuk menjalankan virus tersebut adalah sebagai berikut :
[AutoRun]
open=myrwsx.exe
Icon=%system%\shell32.dll,7
UseAutoPlay=1
action=Open Drive
action= @myrwsx.exe
shell\open\Command=myrwsx.exe
shell\open\Default=1
shell\explore\Command=myrwsx.exe
myrwsx.exe adalah file virus hasil turunan yang namanya dibuat acak dan nama serta iconnya akan terus berbeda dangan nama-nama file virus turunan berikutnya.
Autoit ini cukup banyak menggunakan icon vista. Jika dilihat dari induk pertama yang saya temukan virus ini mengambil icon-iconnya dari vistaicon.com.
Virus autoit ini akan membuat beberapa file virus dan registry pada saat virus ini menginfeksi komputer. File dan registry nya adalah sebagai berikut:
- C:/Windows/System32/Csrcs.exe
- C:/Windows/System32/autorun.i
- C:/Windows/System32/autorun.in
- C:/Windows/System32/autorun.inf
- khw atau khv (berada pada semua drive berkapasitas 0 KB, av-soft baru menemukan 2 file dengan nama tersebut, bisa jadi akan berbeda pada komputer anda, hal ini dilihat dari virus tersebut yang selalu menggunakan sistem acak pada file virusnya)
File autorun.inf yang dibuat bukanlah sebuah autorun yang akan dijadikan media penyebar, isi dari file terebut adalah:
[.ShellClassInfo]
CLSID={2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}
dan isi dari file autorun.i dan autorun.in adalah file autorun yang akan dijadikan sebagai media penyebar yang didalamnya telah ada sebuah nama file virus turunannya.
Sedangkan Registry yang dibuat virus tersebut adalah sebagai berikut:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\currentVersion\Policies\Explorer\Run
- C:\windows\system32\csrcs.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- explorer.exe csrcs.exe
Virus ini akan mengubah super hidden jika diketahui pada folder option terpilih show super hidden namun virus ini tidak mengubah pada registrynya atau memblok registry tersebut.
Untuk membasminya anda dapat melakukannya tanpa antivirus, karena virus ini tidak memblok taskmanager, editor registry dan folder option. Caranya adalah sebagai berikut :
1. Matikan proses virus tersebut dengan cara membuka taskmanager (ctrl + alt + Del), carilah proses csrcs.exe
2. Menghapus semua file virus yang terdapat pada C:/windows/System32 yang antara lain csrcs.exe, autorun.i, autorun.in, dan autorun.inf (terkadang tidak ditemukan) serta khw atau khv (sebuah file berkapasitas 0KB yang merupakan jejak dari virus tersebut, berada pada semua drive yang tersuper hidden).
3. Menghapus registry yang dibuat nya, agar lebih memudahkan anda dalam melakukannya tanpa harus menggunakan editor registry (regedit) dan mencarinya, anda cukup mengcopy code registry yang av-soft blogspot buat dibawah ini dan paste pada notepad lalu simpan pada komputer anda dan menamainya dengan repair.inf. setelah itu anda cukup klik kanan pada file tersebut dan pilih instal. Berikut code registrynya :
[Version]
Signature="$Chicago$"
Provider=av-soft.blosgspot
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \comfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \exefile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \scrfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \piffile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \regfile\shell\open\command,,, "regedit.exe "%1"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0, Explorer.exe
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Bagi anda yang suka koleksi virus atau membutuhkannya sebagai data base antivirus anda silahkan download virus ini disini.
;YODnBZrbLWxApqOIMjEAzqYBYaBCDsckYAQOGLNSAjjAnfzeePpFbroIHuWJTiTUHEJUReJzYewuuad [dibuat acak]
;zMiHSEnHpmUaYBzlOOAyebjTN [dibuat acak]
;goGKfEvYcoHLCJyzZBlFYKfWYURAehMtIxyhlT [dibuat acak]
[AutoRun]
;HSYFOxwvqtqffTvAfuiKVBFcTUxaKBIdyruyLOMeNwFXFPmMOaMTr [dibuat acak]
;yQXzHMbdaRKxD[dibuat acak]
;IiZPcATDh[dibuat acak]
;ePzkRwMakunzYXhmTMpTwnJ[dibuat acak]
;45F27A231FCBBAE1D96D015E0847BDA98FFF0E9CB727D2C7BFC81571[dibuat acak]
;myXKoYrCVzpelox [dibuat acak]
open=myrwsx.exe
;RmtFaysbOoqqYAhCTpIkYrTDuAsmHpoeKOXVxusnLZwumITUaZEXOkvgWgrLuiFfBladNPy [dibuat acak]
;gkwqJHBdNYQJ [dibuat acak]
Icon=%system%\shell32.dll,7
UseAutoPlay=1
action=Open Drive
action= @myrwsx.exe
shell\open\Command=myrwsx.exe
;HZcCEbkpKemnqwICGBaHIsiYExgklPGfOAmC [dibuat acak]
;cQNBzWurtuDPJweBtouEGXDPFdiTllfXpOBszLOtUUkjteFFZQvtWiVuAe [dibuat acak]
shell\open\Default=1
;VpRszTMSktFKL [dibuat acak]
;dBVkbqEbtvMgMwPUFIMQrcExRukujiFXsEfbkB [dibuat acak]
;ukCDuliITiLKEsbxFsLsPgQJ[dibuat acak]
;BEtYovYKJDsEalWnsGeMxTNUhccgYldLRggdadnCYbaVmMlPvzQJhIdoyCnrBvUHGDEyKBjwpYU [dibuat acak]
;cdKBTJIvPUuiCuIwlIZddMLSUbArIFWtp [dibuat acak]
shell\explore\Command=myrwsx.exe
;RkGSpbyKAIgwWmxcAVktIog [dibuat acak]
Dimana script yang berfungsi untuk menjalankan virus tersebut adalah sebagai berikut :
[AutoRun]
open=myrwsx.exe
Icon=%system%\shell32.dll,7
UseAutoPlay=1
action=Open Drive
action= @myrwsx.exe
shell\open\Command=myrwsx.exe
shell\open\Default=1
shell\explore\Command=myrwsx.exe
myrwsx.exe adalah file virus hasil turunan yang namanya dibuat acak dan nama serta iconnya akan terus berbeda dangan nama-nama file virus turunan berikutnya.
Autoit ini cukup banyak menggunakan icon vista. Jika dilihat dari induk pertama yang saya temukan virus ini mengambil icon-iconnya dari vistaicon.com.
Virus autoit ini akan membuat beberapa file virus dan registry pada saat virus ini menginfeksi komputer. File dan registry nya adalah sebagai berikut:
- C:/Windows/System32/Csrcs.exe
- C:/Windows/System32/autorun.i
- C:/Windows/System32/autorun.in
- C:/Windows/System32/autorun.inf
- khw atau khv (berada pada semua drive berkapasitas 0 KB, av-soft baru menemukan 2 file dengan nama tersebut, bisa jadi akan berbeda pada komputer anda, hal ini dilihat dari virus tersebut yang selalu menggunakan sistem acak pada file virusnya)
File autorun.inf yang dibuat bukanlah sebuah autorun yang akan dijadikan media penyebar, isi dari file terebut adalah:
[.ShellClassInfo]
CLSID={2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}
dan isi dari file autorun.i dan autorun.in adalah file autorun yang akan dijadikan sebagai media penyebar yang didalamnya telah ada sebuah nama file virus turunannya.
Sedangkan Registry yang dibuat virus tersebut adalah sebagai berikut:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\currentVersion\Policies\Explorer\Run
- C:\windows\system32\csrcs.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- explorer.exe csrcs.exe
Virus ini akan mengubah super hidden jika diketahui pada folder option terpilih show super hidden namun virus ini tidak mengubah pada registrynya atau memblok registry tersebut.
Untuk membasminya anda dapat melakukannya tanpa antivirus, karena virus ini tidak memblok taskmanager, editor registry dan folder option. Caranya adalah sebagai berikut :
1. Matikan proses virus tersebut dengan cara membuka taskmanager (ctrl + alt + Del), carilah proses csrcs.exe
2. Menghapus semua file virus yang terdapat pada C:/windows/System32 yang antara lain csrcs.exe, autorun.i, autorun.in, dan autorun.inf (terkadang tidak ditemukan) serta khw atau khv (sebuah file berkapasitas 0KB yang merupakan jejak dari virus tersebut, berada pada semua drive yang tersuper hidden).
3. Menghapus registry yang dibuat nya, agar lebih memudahkan anda dalam melakukannya tanpa harus menggunakan editor registry (regedit) dan mencarinya, anda cukup mengcopy code registry yang av-soft blogspot buat dibawah ini dan paste pada notepad lalu simpan pada komputer anda dan menamainya dengan repair.inf. setelah itu anda cukup klik kanan pada file tersebut dan pilih instal. Berikut code registrynya :
[Version]
Signature="$Chicago$"
Provider=av-soft.blosgspot
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \comfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \exefile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \scrfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \piffile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \regfile\shell\open\command,,, "regedit.exe "%1"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0, Explorer.exe
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Bagi anda yang suka koleksi virus atau membutuhkannya sebagai data base antivirus anda silahkan download virus ini disini.
3 komentar:
mantabs bro..
From : Adhie
Gan, Viirusnya kalo udah di hapus bisa balik lagi gan??
tolong jawabannya
@adhie
Virus ini mudah dihapus gan.. Klo agan mengikuti cara2 diatas dan menghapus semua file virus disetiap drivenya, ane yakin ga balik lagi.. :)
Posting Komentar