Sabtu, 02 Januari 2010

Virus Recycler

Berikut adalah script virus recycle yang dituliskan pada notepad :
[autorun]
open=RECYLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe
icon=%SystemRoot\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe
shell\open\default=1





Diantara Virus yang menggunakan Folder recycler adalah Virus yang dideteksi oleh pcmav sebagai Virus ISE32 , malingsi , Virus recycler …,atau kalau oleh NOD 32 stand alone sebagai Autorun.ks.Dan ketambahan 1 lagi (1 april 2009)  varian virus terheboh (conficker , kido ) juga telah memanfaatkan folder recycler untuk menaruh file berekstensi .vmx yang sebenarnya berextension dll sebagai infektor.
Untuk virus conficker gunakan anti conficker dan kido killer…baca >disini<
1. Seperti Virus UFD pada umumnya, dia (virus) akan membuat Autorun.inf sebagai tumpangannya ( pelontar ) ,agar masuk (tereksekusi) oleh system secara otomatis bila Autorun windows posisi on.
2.Dia (virus) akan meng-copy folder recycler ke dalam UFD yang ter tancap di komputer yang terinfeksi virus atau sebaliknya.
3.Di dalam folder recycler tersebut sudah ada file virus yang bernama: ise32.exe dan / atau 3ise32.exe ukuran sekitar 8 kb, dan spoolsv.exe
yang ukurannya sekitar 14 kb.Itu semua bisa kita lihat bila kita setting folder option posisi show hidden file system…
4. Virus akan menjaga file ise32.exe agar tidak bisa dihapus , dengan cara spoolsv.exe yang stand by di task manager,disinilah sebabnya kenapa folder recycler di UFD bila dihapus akan tumbuh kembali (muncul lagi).
Cara membersihkannya:
1. Copy (download) NOD stand alone atau PCMAV . Dalam bentuk di-RAR tempatkan di harddisk atau ufd.
2.Dengan task manager endtask semua file yang berjalan di processes termasuk explorer.exe ,spoolsv.exe dan svchost.exe ,Atau bisa juga pakai process Explorer Biasanya bila svchost ditutup akan shutdown dalam waktu 1menit , jangan panik ! ketik saja shutdown -a di task manager>file>new task (run) untuk membatalkannya.maka Otomatis jendela shutdown akan menghilang..
3. Gunakan new task untuk membuka file anti virus kita, dengan cara task manager (crtl+Alt+del) >file>run>find>file of type pilih all files>pilih file kita.Double click dan scan semua disk termasuk ufd (flash disk).
4.Bila ditemukan file virus murni , seperti ise32.exe , 3ise32.exe , atau spoolsv.exe (yang ada di folder recycler) hapus aja.
Karena ada juga spoolsv.exe yang ada di folder system32
yang digunakan printer (printer spooler).
Mungkin itu dulu, sudah cukup untuk menghilangkan virus recycler.Mungkin untuk effect-nya dia akan meng-hidden folder Windows , Program files , Documents and settings.
Kita tinggal membuka explorer>tools>folder options>View>click show hidden files and folder dan hilangkan checklist pada hide protected operating system file. Setelah folder yang terhiden terlihat>click kanan properties>hilangkan checklist pada attribute hidden>pilh apply changes to this folder only lalu OK. Atau langsung gunakan cara mengembalikan settingan windows
Kalau ingin kembali default view pilih>tools>folder options>view click restore default >dan hilangkan checklist pada hide extension for known file types. Untuk mengenali ekstensi file guna menghindari virus documents berextension  exe atau scr.

Karena saya ingin mengetahui , virus itu dari flash disk atau dari komputer , lalu flashdisk   saya  remove dan saya tancapkan lagi.Ternyata ansav mendeteksi lagi adanya Conficker lagi.Berarti saya bisa menyimpulkan kalau komputernya yang terinfeksi Virus Conficker.
Lalu saya ambil langkah-langkah sbb:

1.       Matikan System Restore ,         Lepas ( disconnect ) jaringan ataupun internet.Karena selama  jaringan belum terputus ,  Virus ini akan kembali lagi menginfeksi komputer lain dalam suatu jaringan.
2.              Siapkan kido killer atau baca disini   http://support.kaspersky.com/faq/?qid=208279973
3.              Install ansav anti virus , karena bagaimanapun kita orang indonesia ,  kita harus bangga dengan produksi dalam negeri. Dan juga jalankan pcmav Express.Bila Error langsung aja Scan dengan kidokiller :)
Setelah dijalankan pcmav Express ,  Ansav guard akan mendeteksi Virus Conficker  >  delete . !!
4.               Jalankan kido Killer sampai selesai…..
5.      Coba masukkan flash disk , ansav (anti virus ) deteksi virus lagi apa tidak , coba remove dan pasang lagi.Kalau ansav sudah tidak deteksi berarti sudah bersih.
5.       Gunakan patch windows dari microsoft , untuk menutup lubang Vurnability sesuai windows anda. download MS08-067 , ms08-068 , ms09-001 ingat install patch tsb sesuai versi Windows anda.
Untuk effect dan cirinya Virus ini sudah pernah saya tulis >disini< dan virus recycler >disini<
Tapi Virus ini kalau tidak online atau Connect internet / jaringan. Bahayanya hanya bila ada flash disk dia akan membuat autorun.inf dan folder recycler yang didalamnya ada file ber-extension vmx yang sebenarnya dll. Mirip yuyun jaga mengelabuhi kita dengan membuat scriptnya berextension db.

Tidak ada komentar:

Speed Test