basmi virus win32oyoborus (virus google)
TRANSCRIPT
Virus Terbaru W32/oyoborus.a
(1/1)
choerul:Virus lokal yang banyak menyebar selama ini dapat dikatakan mempunyai karekteristik yang sama, walaupun ada beberapa aksi yang berbeda untuk masing-masing virus tapi yang pasti mereka mempunyai tekad yang kuat untuk menjadi yang terbaik.
Jika sebelumnya virus lokal hanya sebatas “numpang lewat dan tidak mengganggu” tetapi kini pada perkembangannya bukan saja sekedar unjuk muka tetapi juga mencoba untuk melakukan hal-hal lain yang dapat merugikan seperti menyerang dokumen [khususnya MS.Word] dan terakhir kini muncul virus yang cukup merepotkan. Virus ini memang tidak sampai mennyembunyikan atau menghancurkan dokumen akan tetapi virus ini akan mencoba untuk blok Desktop / tampilan windows sehingga komputer yang sudah terinfeksi virus ini tidak dapat digunakan kecuali virus tersebut sudah di bersihkan.
Dengan update terbaru Norman Virus Control sudah dapat mengenali virus ini dengan nama W32/Oyoborus.A, jika anda ingin tahu mengapa namanya Oyoborus, silahkan anda baca secara terbalik kata tersebut (kata yang terdapat pada file virus). Berdasarkan hal ini, diperkirakan virus ini berasal dari kota Pahlawan [Surabaya]Untuk mempermudah penyebarnnya ia akan menggunakan icon Flash Player, sehingga user tidak menyadari bahwa file tersebut sebenarnya virus karena biasanya virus hanya menggunakan icon Folder, JPG atau MS Word, jadi jika anda sering “berurusan” dengan animasi jangan sampai terkecoh dengan virus ini, file buatan Oyoborus akan mempunyai ukuran 26 KB atau 71 KB dan virus ini dibuat menggunakan bahasa Borland Delphi.
Jika file tersebut dijalankan, Oyoborus akan membuat cukup banyak file induk yang akan dijalankan diantaranya:
C:\Windows
§ lucunya.exe
§ win_klr32.exe
§ repair.bat
§ help.pif
§ GameHouse.exe
§ _userinit32.cmd
C:\Windows\inf\command.com
C:\Windows\PCHealth\4th floor.bat
C:\Windows\system32
§ _dos_16.cmd
§ Orra Aristo.bat
§ syswin32.com
§ win32dll.cmd
§ Sol.exe
§ _Support.exe
C:\WINDOWS\system32\DirectX\Dinput\ViVat Elka!.bat
C:\WINDOWS\system32\Macromed\Flash\build.bat
C:\WINDOWS\system32\mui\045V\drv32-t-start.com
C:\Windows\java\classes\java.pif
C:\Windows\security\templates\winlogon.pif
C:\Documents and Settings\%user%\Start Menu\Programs\Startup\FlashPlayer7.exe
C:\Documents and Settings\%user%\My Documents\[email protected]
C:\WINDOWS\Macromedia Flash Player\FlashPlayer.exe
Sebagai penunjang Oyoborus akan membuat string pada registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
o Game House = C:\WINDOWS\GameHouse.exe
o Service = C:\WINDOWS\java\classes\java.pif"
o System Check = C:\WINDOWS\win_klr32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o Shockwave Support = C:\WINDOWS\Macromedia Flash Player\FlashPlayer.exe
o System = C:\WINDOWS\System32\mui\045V\drv32-t-start.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
o Shell = Explorer.exe, C:\WINDOWS\System32\dllcache\csrss.exe
o Userinit = C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\_userinit32.cmd,C:\WINDOWS\System32\_dos_16.cmd,
Menyerang virus VB (Visual Basic)
Sebagai benteng pertahanan agar tidak ada virus lain yang aktif di komputer yang telah terinfeksi, maka Oyoborus akan mencoba untuk merubah file MSVBVM60.dll yang berada di direktori [C:\Windows\System32] menjadi DMSV_BVM60.die, hal ini
dilakukan agar program atau virus yang dibuat dengan menggunakan VB tidak dapat aktif sehingga virus ini akan bebas menginfeksi komputer tersebut, celakanya jika anda menggunakan aplikasi yang dibangun dengan VB, aplikasi tersebut juga akan tidak berfungsi.
Selain itu ia juga akan mencoba untuk mematikan beberapa virus lokal seperti Runitis (Siti Nurhaliza) dan Kangen serta beberapa program security dan antivirus dengan mematikan proses yang mempunyai nama sebagai berikut:
Dlhost.exe
Lodctr32.exe
Ogie.exe
Animasi.exe
Kangen.exe
Lexplorer.exe
Sitinurhaliza.exe
updaterUi.exe
mcshield.exe
nod32krn.exe
nod32kui.exe
rtvscan.exe
vptray.exe
nipsvc.exe
zanda.exe
nvsched.exe
zlh.exe
njeeves.exe
cclaw.exe
nvcoas.exe
avgwb.dat
avgcc.exe
nvcsheduler.exe
killbox.exe
hijackthis.exe
taskman.exe
spyprotector.exe
tskmgr.exe
command.exe
cmd.exe
regedit.exe
cav.exe
procexp.exe
mcafeeframework
Spider
Freecell
Mspaint
Calc
Seperti yang sudah dijelaskan sebelumnya bahwa Oyoborus akan mencoba untuk mematikan beberapa program salah satunya berupa program permainan seperti Spider / freecell.exe dan juga program berhitung [calc.exe] dengan cara merubah nama file tersebut menjadi :
spider.exe menjadi laba-laba.die
calc.exe menjadi kalkulatore_MakYem.die
Freecell.exe menjadi free_cell.die
Blok Fungsi Windows
Sama seperti kebanyakan virus lokal yang menyebar, dimana ia akan melakukan blok terhadap beberapa fungsi windows dengan tujuan agar user mengalami kesulitan untuk membasmi virus tersebut, beberapa fungsi windows yang di blok oleh Oyoborus diantaranya adalah:
Menu Search
Menu Run
Folder Options
Registry editor
CMD
Task Manager
Untuk melakukan hal tersebut ia akan membuat string pada registry editor:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFind
- NoRun
- NoFolderOptions
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD
- DisableRegistryTools
- DisableTaskMgr
Bukan hanya itu saja, Oyoborus juga akan mencoba menyembunyikan folder [WINDOWS] serta mencoba untuk memodifikasi file HOST [C:\Windows\system32\drivers\etc], dengan tujuan memblok akses ke website security termasuk antivirus dengan menambahkan beberapa alamat url berikut :
# Hosts File Infected By [email protected]
#=============Suroboyo@2006============
127.0.0.7 www.vaksin.com
127.0.0.7 vaksin.com
127.0.0.7 www.sysinternals.com
127.0.0.7 sysinternals.com
127.0.0.7 www.mcafee.com
127.0.0.7 mcafee.com
127.0.0.7 mcafeesecurity.com
127.0.0.7 www.mcafeesecurity.com
127.0.0.7 www.grisoft.com
127.0.0.7 grisoft.com
127.0.0.7 update.grisoft.com
127.0.0.7 backup.grisoft.com
127.0.0.7 free.grisoft.com
127.0.0.7 www.eset.com
127.0.0.7 www.symantec.com
127.0.0.7 liveupdate.symantecliveupdate.com
127.0.0.7 www.liveupdate.symantecliveupdate.com
127.0.0.7 liveupdate.symantec.com
127.0.0.7 www.liveupdate.symantec.com
127.0.0.7 update.symantec.com
127.0.0.7 securityresponse.symantec.com
127.0.0.7 www.securityresponse.symantec.com
127.0.0.7 www.norman.com
127.0.0.7 norman.com
127.0.0.7 www.trendmicro.com
127.0.0.7 trendmicro.com
127.0.0.7 secunia.com
127.0.0.7 www.secunia.com
127.0.0.7 pandasoftware.com
127.0.0.7 www.pandasoftware.com
127.0.0.7 www.f-secure.com
127.0.0.7 f-secure.com
127.0.0.7 sophos.com
127.0.0.7 www.free-av.com
127.0.0.7 free-av.com
127.0.0.7 fajarweb.com
127.0.0.7 www.fajarweb.com
127.0.0.7 www.astalavista.com
127.0.0.7 astalavista.com
127.0.0.7 macancrew.20m.com
127.0.0.7 www.macancrew.20m.com
127.0.0.7 www.jasakom.com
127.0.0.7 jasakom.com
127.0.0.7 www.infokomputer.com
127.0.0.7 www.kaskus.com
127.0.0.7 kaskus.com
127.0.0.7 www.compactbyte.com
127.0.0.7 www.neuber.com
127.0.0.7 neuber.com
127.0.0.7 www.bleepingcomputer.com
127.0.0.7 bleepingcomputer.com
127.0.0.7 www.download.com
127.0.0.7 download.com
127.0.0.7 www.bukuweb.com
127.0.0.7 www.rapidshare.com
127.0.0.7 rapidshare.com
127.0.0.7 www.rapidshare.de
127.0.0.7 rapidshare.de
127.0.0.7 iknowprocess.com
#===========[Virtual][MuTeX]=============
\.......................................
Selain melakukan modifikasi terhadap Host file, Oyoborus juga akan melakukan modifikasi Start Page Internet Explorer dengan cara merubah string pada registry editor, dimana Oyoborus akan mengganti alamat Start Page Internet Explorer dengan alamat [C:\
Documents and Settings\%user%\My Documents\[email protected]] berikut string yang akan dibuat oleh Oyoborus untuk merubah Start Page Internet Explorer:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Start Page =C:\Documents and Settings\v%user%\My Documents\[email protected]
Menyembunyikan ekstensi .EXE
Oyoborus akan mencoba untuk menyembunyikan ekstensi EXE walaupun option [Hide extension for known file types] diaktifkan, sehingga setiap file yang mempunyai ekstensi. .EXE hanya akan terlihat nama filenya saja.Untuk melakukan hal tersebut Oyorobus akan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
o NeverShowExt = 1
Tujuan aksi ini adalah untuk memuluskan jalannya penyebaran virus ini jika memalsukan dirinya dalam bentuk icon folder, karena icon folder yang asli tentunya tidak memiliki ekstensi .EXE, tanpa aksi ini, semua folder yang dipalsukan virus ini akan memiliki ekstensi .EXE.
Blok Akses Windows
Hal terparah yang dilakukan oleh virus ini adalah mencoba untuk blok akses Windows [di monitor hanya muncul layar biru], sehingga komputer yang sudah terinfeksi virus ini tidak dapat digunakan sebelum virus tersebut berhasil dibasmiAktif pada “Safe Mode” dan “Safe Mode with Command Prompt”
Untuk mempertahankan keberadaannya Oyoborus tidak saja aktif pada mode Normal, tetapi ia juga akan tetap aktif walaupun komputer di boot pada mode “safe mode” atau “safe mode with command prompt” dengan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = Explorer.exe, C:\WINDOWS\System32\dllcache\csrss.exe
- Userinit = C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\_userinit32.cmd,C:\WINDOWS\System32\_dos_16.cmd,
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
- AlternateShell = win32dll.cmd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
- AlternateShell = win32dll.cmd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
- AlternateShell = win32dll.cmd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
- AlternateShell = win32dll.cmd
Cara membersihkan Oyoborus
1. Matikan proses virus di memori, karena Oyoborus memblok akses windows sehingga komputer tersebut tidak dapat digunakan baik melalui Windows Normal, safe mode atau safe mode with command prompt, maka untuk pembersihan dapat dilakukan dengan menggunakan 2 cara yaitu:
Cara pertama
§ Scan harddisk komputer yang terinfeksi Oyoborus di komputer yang tidak terinfeksi dengan menggunakan Norman Virus Control yang sudah mengenali virus ini dengan baik atau dengan cara menghapus file induk yang dibuat oleh Oyorobus
§ Setelah semua file induk yang di buat oleh Oyoborus berhasil di bersihkan, pasang kembali di komputer terinfeksi setelah itu booting komputer seperti biasa, kemudian hapus semua string registry yang dibuat oleh virus, untuk mempercepat proses penghapusan registry copy script berikut [copy script yang ada di nomor 2] pada notepad kemudian simpan dengan nama repair.inf dan jalankan file tersebut dengan cara:
§ klik kanan repair.inf lalu klik Install
Cara Kedua
§ Lakukan pembersihan melalui DOS, sebenarnya cara ini sama dengan cara pertama, tujuannya adalah untuk menghapus file induk yang dibuat oleh Oyoborus, untuk booting ke DOS Prompt anda dapat menggunakan CD Startup atau anda dapat menggunakan software lain seperti NTFS 4 Dos [untuk membuat startup Disk], tools tersebut dapat di download di alamat:
http://www.wsdownload.de/download/ntfs4dos...os/ntfsinst.exe.
§ Setelah berhasil download tools tersebut, install software tersebut di komputer yang bersih dari virus setelah itu buat Startup Disk dengan menggunakan tools tersebut dimana untuk membuat Startup Disk anda hanya membutuhkan 1 Disket [untuk cara penggunaan tools ini, baca manual yang di sertakan] setelah anda berhasil membuat startup disk, boot komputer yang terinfeksi Oyorobus melalui Disket, kemudian hapus file induk yang dibuat oleh virus.
Catatan jika Anda menggunakan tools NTFS 4 Dos:
§ Jika anda menggunakan Tools NTFS 4 Dos, partisi C:\ akan berubah manjadi D:\ dan sebaliknya [D:\ menjadi C:\]
§ Untuk melihat file/folder yang disembunyikan [jika menggunakan NTFS 4 DOS] gunakan command DIR /AH kemudian tekan enter dan jika anda akan menghapus file/folder yang disembunyikan, tampilkan file/folder yang disembunyikan tersebut terlebih dahulu sebelum dihapus dengan menjalankan perintah DIR /AH.
§ Setelah file induk tersebut berhasil di hapus, boot komputer pada mode Normal kemudian pastikan kembali virus Oyoborus sudah tidak aktif di memori, untuk melihat proses virus di memori anda dapat menggunakan tools Procexp, setelah itu matikan proses yang mempunyai nama berikut [jika anda menemukan] :
Ø Win_klr32.exe
Ø Lucunya.exe
Ø Java.pif
Ø Command.com
Ø Csrss.exe
Ø Syswin32.exe
Ø FlashPlayer.exe
Ø GameHouse.exe
Setelah mematikan proses Oyoborus yang aktif dimemori [jika ditemukan], pastikan kembali file induk yang dibuat oleh Oyoborus sudah terhapus secara sempurna, kami sarankan anda menginstal antivirus Norman dengan update terakhir pada komputer anda untuk menghindari infeksi ulang.
Berikut file induk yang dihapus :
- C:\Windows
§ lucunya.exe
§ win_klr32.exe
§ repair.bat
§ help.pif
§ GameHouse.exe
§ _userinit32.cmd
- C:\Windows\inf\command.com
- C:\Windows\PCHealth\4th floor.bat
- C:\Windows\system32
§ _dos_16.cmd
§ Orra Aristo.bat
§ syswin32.com
§ win32dll.cmd
§ Sol.exe
§ _Support.exe
- C:\WINDOWS\system32\DirectX\Dinput\ViVat Elka!.bat
- C:\WINDOWS\system32\Macromed\Flash\build.bat
- C:\WINDOWS\system32\mui\045V\drv32-t-start.com
- C:\Windows\java\classes\java.pif
- C:\Windows\security\templates\winlogon.pif
- C:\Documents and Settings\%user%\Start Menu\Programs\Startup\FlashPlayer7.exe
- C:\Documents and Settings\%user%\My Documents\[email protected]
- C:\WINDOWS\Macromedia Flash Player\FlashPlayer.exe
- C:\Documents and settings\%user%\Local Settings\Temp\*.*
2. Setelah semua file induk Oyoborus berhadil di hapus, langkah selanjutnya adalah membersihkan string registry yang sudah dibuat oleh Oyoborus, untuk mempercepat proses penghapusan copy script berikut pada notepad kemudian simpan dengan nama repair.inf dan jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Classes\exefile,,,application
HKCU, Software\Microsoft\Internet Explorer\Main,start Page,0, "About:blank"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Game House
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Service
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,System Check
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Shockwave Support
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,System
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoFind
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoRun
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableRegistryTools
HKLM, SOFTWARE\Classes\exefile,NeverShowExt
3. Modifikasi ulang file Host yang sudah di modifikasi oleh virus dengan menghapus semua URL [alamat web site] yang sudah ditambahkan oleh virus, file Host tersebut berada pada direktori :
- C:\Windows\System32\Drivers\Etc
4. Ubah kembali file-file berikut yang sudah di ubah oleh Oyoborus
- Laba_laba.die menjadi Spider.exe
- Kalkulatore_MakYem.die menjadi calc.exe
- Free_cell.die menjadi Freecell.exe
5. Untuk mencegah infeksi ulang, kami sarankan anda menggunakan Norman Virus Control dengan update terakhir.
ANDA INGIN JADI TEHNSI KOMPUTER YANG ANDAL TANPA PERLU KURSUS DENGAN BIAYA MAHAL SILAHKAN KE http://www.smarteknologi.info/?id=Mustaking=======================================================
Software Resetter utk Printer Canon & Epson Kerusakan blinking, reset counter, cleaning head, nozzle check, dll Cara menghidupkan Canon BJC1000 / S200spx yg mati total Ada panduan cara memakai software Harga Rp 45rb
hubungi saja choirul lewat Emailnya :D :D :D
[!--EDIT|choerul|Sep 23 2006, 12:27 AM--]
-Tiara-:Quote
Virus lokal yang banyak menyebar selama ini dapat dikatakan mempunyai karekteristik yang sama, walaupun ada beberapa aksi yang berbeda untuk masing-masing virus tapi yang pasti mereka mempunyai tekad yang kuat untuk menjadi yang terbaik.
Jika sebelumnya virus lokal hanya sebatas “numpang lewat dan tidak mengganggu” tetapi kini pada perkembangannya bukan saja sekedar unjuk muka tetapi juga mencoba untuk melakukan hal-hal lain yang dapat merugikan seperti menyerang dokumen [khususnya MS.Word] dan terakhir kini muncul virus yang cukup merepotkan. Virus ini
memang tidak sampai mennyembunyikan atau menghancurkan dokumen akan tetapi virus ini akan mencoba untuk blok Desktop / tampilan windows sehingga komputer yang sudah terinfeksi virus ini tidak dapat digunakan kecuali virus tersebut sudah di bersihkan.
Dengan update terbaru Norman Virus Control sudah dapat mengenali virus ini dengan nama W32/Oyoborus.A, jika anda ingin tahu mengapa namanya Oyoborus, silahkan anda baca secara terbalik kata tersebut (kata yang terdapat pada file virus). Berdasarkan hal ini, diperkirakan virus ini berasal dari kota Pahlawan [Surabaya]Untuk mempermudah penyebarnnya ia akan menggunakan icon Flash Player, sehingga user tidak menyadari bahwa file tersebut sebenarnya virus karena biasanya virus hanya menggunakan icon Folder, JPG atau MS Word, jadi jika anda sering “berurusan” dengan animasi jangan sampai terkecoh dengan virus ini, file buatan Oyoborus akan mempunyai ukuran 26 KB atau 71 KB dan virus ini dibuat menggunakan bahasa Borland Delphi.
Jika file tersebut dijalankan, Oyoborus akan membuat cukup banyak file induk yang akan dijalankan diantaranya:
C:\Windows
§ lucunya.exe
§ win_klr32.exe
§ repair.bat
§ help.pif
§ GameHouse.exe
§ _userinit32.cmd
C:\Windows\inf\command.com
C:\Windows\PCHealth\4th floor.bat
C:\Windows\system32
§ _dos_16.cmd
§ Orra Aristo.bat
§ syswin32.com
§ win32dll.cmd
§ Sol.exe
§ _Support.exe
C:\WINDOWS\system32\DirectX\Dinput\ViVat Elka!.bat
C:\WINDOWS\system32\Macromed\Flash\build.bat
C:\WINDOWS\system32\mui\045V\drv32-t-start.com
C:\Windows\java\classes\java.pif
C:\Windows\security\templates\winlogon.pif
C:\Documents and Settings\%user%\Start Menu\Programs\Startup\FlashPlayer7.exe
C:\Documents and Settings\%user%\My Documents\[email protected]
C:\WINDOWS\Macromedia Flash Player\FlashPlayer.exe
Sebagai penunjang Oyoborus akan membuat string pada registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
o Game House = C:\WINDOWS\GameHouse.exe
o Service = C:\WINDOWS\java\classes\java.pif"
o System Check = C:\WINDOWS\win_klr32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o Shockwave Support = C:\WINDOWS\Macromedia Flash Player\FlashPlayer.exe
o System = C:\WINDOWS\System32\mui\045V\drv32-t-start.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
o Shell = Explorer.exe, C:\WINDOWS\System32\dllcache\csrss.exe
o Userinit = C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\_userinit32.cmd,C:\WINDOWS\System32\_dos_16.cmd,
Menyerang virus VB (Visual Basic)
Sebagai benteng pertahanan agar tidak ada virus lain yang aktif di komputer yang telah terinfeksi, maka Oyoborus akan mencoba untuk merubah file MSVBVM60.dll yang berada di direktori [C:\Windows\System32] menjadi DMSV_BVM60.die, hal ini dilakukan agar program atau virus yang dibuat dengan menggunakan VB tidak dapat aktif sehingga virus ini akan bebas menginfeksi komputer tersebut, celakanya jika anda menggunakan aplikasi yang dibangun dengan VB, aplikasi tersebut juga akan tidak berfungsi.
Selain itu ia juga akan mencoba untuk mematikan beberapa virus lokal seperti Runitis (Siti Nurhaliza) dan Kangen serta beberapa program security dan antivirus dengan mematikan proses yang mempunyai nama sebagai berikut:
Dlhost.exe
Lodctr32.exe
Ogie.exe
Animasi.exe
Kangen.exe
Lexplorer.exe
Sitinurhaliza.exe
updaterUi.exe
mcshield.exe
nod32krn.exe
nod32kui.exe
rtvscan.exe
vptray.exe
nipsvc.exe
zanda.exe
nvsched.exe
zlh.exe
njeeves.exe
cclaw.exe
nvcoas.exe
avgwb.dat
avgcc.exe
nvcsheduler.exe
killbox.exe
hijackthis.exe
taskman.exe
spyprotector.exe
tskmgr.exe
command.exe
cmd.exe
regedit.exe
cav.exe
procexp.exe
mcafeeframework
Spider
Freecell
Mspaint
Calc
Seperti yang sudah dijelaskan sebelumnya bahwa Oyoborus akan mencoba untuk mematikan beberapa program salah satunya berupa program permainan seperti Spider / freecell.exe dan juga program berhitung [calc.exe] dengan cara merubah nama file tersebut menjadi :
spider.exe menjadi laba-laba.die
calc.exe menjadi kalkulatore_MakYem.die
Freecell.exe menjadi free_cell.die
Blok Fungsi Windows
Sama seperti kebanyakan virus lokal yang menyebar, dimana ia akan melakukan blok terhadap beberapa fungsi windows dengan tujuan agar user mengalami kesulitan untuk membasmi virus tersebut, beberapa fungsi windows yang di blok oleh Oyoborus diantaranya adalah:
Menu Search
Menu Run
Folder Options
Registry editor
CMD
Task Manager
Untuk melakukan hal tersebut ia akan membuat string pada registry editor:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFind
- NoRun
- NoFolderOptions
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD
- DisableRegistryTools
- DisableTaskMgr
Bukan hanya itu saja, Oyoborus juga akan mencoba menyembunyikan folder [WINDOWS] serta mencoba untuk memodifikasi file HOST [C:\Windows\system32\drivers\etc], dengan tujuan memblok akses ke website security termasuk antivirus dengan menambahkan beberapa alamat url berikut :
# Hosts File Infected By [email protected]
#=============Suroboyo@2006============
127.0.0.7 www.vaksin.com
127.0.0.7 vaksin.com
127.0.0.7 www.sysinternals.com
127.0.0.7 sysinternals.com
127.0.0.7 www.mcafee.com
127.0.0.7 mcafee.com
127.0.0.7 mcafeesecurity.com
127.0.0.7 www.mcafeesecurity.com
127.0.0.7 www.grisoft.com
127.0.0.7 grisoft.com
127.0.0.7 update.grisoft.com
127.0.0.7 backup.grisoft.com
127.0.0.7 free.grisoft.com
127.0.0.7 www.eset.com
127.0.0.7 www.symantec.com
127.0.0.7 liveupdate.symantecliveupdate.com
127.0.0.7 www.liveupdate.symantecliveupdate.com
127.0.0.7 liveupdate.symantec.com
127.0.0.7 www.liveupdate.symantec.com
127.0.0.7 update.symantec.com
127.0.0.7 securityresponse.symantec.com
127.0.0.7 www.securityresponse.symantec.com
127.0.0.7 www.norman.com
127.0.0.7 norman.com
127.0.0.7 www.trendmicro.com
127.0.0.7 trendmicro.com
127.0.0.7 secunia.com
127.0.0.7 www.secunia.com
127.0.0.7 pandasoftware.com
127.0.0.7 www.pandasoftware.com
127.0.0.7 www.f-secure.com
127.0.0.7 f-secure.com
127.0.0.7 sophos.com
127.0.0.7 www.free-av.com
127.0.0.7 free-av.com
127.0.0.7 fajarweb.com
127.0.0.7 www.fajarweb.com
127.0.0.7 www.astalavista.com
127.0.0.7 astalavista.com
127.0.0.7 macancrew.20m.com
127.0.0.7 www.macancrew.20m.com
127.0.0.7 www.jasakom.com
127.0.0.7 jasakom.com
127.0.0.7 www.infokomputer.com
127.0.0.7 www.kaskus.com
127.0.0.7 kaskus.com
127.0.0.7 www.compactbyte.com
127.0.0.7 www.neuber.com
127.0.0.7 neuber.com
127.0.0.7 www.bleepingcomputer.com
127.0.0.7 bleepingcomputer.com
127.0.0.7 www.download.com
127.0.0.7 download.com
127.0.0.7 www.bukuweb.com
127.0.0.7 www.rapidshare.com
127.0.0.7 rapidshare.com
127.0.0.7 www.rapidshare.de
127.0.0.7 rapidshare.de
127.0.0.7 iknowprocess.com
#===========[Virtual][MuTeX]=============
\.......................................
Selain melakukan modifikasi terhadap Host file, Oyoborus juga akan melakukan modifikasi Start Page Internet Explorer dengan cara merubah string pada registry editor, dimana Oyoborus akan mengganti alamat Start Page Internet Explorer dengan alamat [C:\Documents and Settings\%user%\My Documents\[email protected]] berikut string yang akan dibuat oleh Oyoborus untuk merubah Start Page Internet Explorer:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Start Page =C:\Documents and Settings\v%user%\My Documents\[email protected]
Menyembunyikan ekstensi .EXE
Oyoborus akan mencoba untuk menyembunyikan ekstensi EXE walaupun option [Hide extension for known file types] diaktifkan, sehingga setiap file yang mempunyai ekstensi.
.EXE hanya akan terlihat nama filenya saja.Untuk melakukan hal tersebut Oyorobus akan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
o NeverShowExt = 1
Tujuan aksi ini adalah untuk memuluskan jalannya penyebaran virus ini jika memalsukan dirinya dalam bentuk icon folder, karena icon folder yang asli tentunya tidak memiliki ekstensi .EXE, tanpa aksi ini, semua folder yang dipalsukan virus ini akan memiliki ekstensi .EXE.
Blok Akses Windows
Hal terparah yang dilakukan oleh virus ini adalah mencoba untuk blok akses Windows [di monitor hanya muncul layar biru], sehingga komputer yang sudah terinfeksi virus ini tidak dapat digunakan sebelum virus tersebut berhasil dibasmiAktif pada “Safe Mode” dan “Safe Mode with Command Prompt”
Untuk mempertahankan keberadaannya Oyoborus tidak saja aktif pada mode Normal, tetapi ia juga akan tetap aktif walaupun komputer di boot pada mode “safe mode” atau “safe mode with command prompt” dengan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = Explorer.exe, C:\WINDOWS\System32\dllcache\csrss.exe
- Userinit = C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\_userinit32.cmd,C:\WINDOWS\System32\_dos_16.cmd,
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
- AlternateShell = win32dll.cmd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
- AlternateShell = win32dll.cmd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
- AlternateShell = win32dll.cmd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
- AlternateShell = win32dll.cmd
Cara membersihkan Oyoborus
1. Matikan proses virus di memori, karena Oyoborus memblok akses windows sehingga komputer tersebut tidak dapat digunakan baik melalui Windows Normal, safe mode atau safe mode with command prompt, maka untuk pembersihan dapat dilakukan dengan menggunakan 2 cara yaitu:
Cara pertama
§ Scan harddisk komputer yang terinfeksi Oyoborus di komputer yang tidak terinfeksi dengan menggunakan Norman Virus Control yang sudah mengenali virus ini dengan baik atau dengan cara menghapus file induk yang dibuat oleh Oyorobus
§ Setelah semua file induk yang di buat oleh Oyoborus berhasil di bersihkan, pasang kembali di komputer terinfeksi setelah itu booting komputer seperti biasa, kemudian hapus semua string registry yang dibuat oleh virus, untuk mempercepat proses penghapusan registry copy script berikut [copy script yang ada di nomor 2] pada notepad kemudian simpan dengan nama repair.inf dan jalankan file tersebut dengan cara:
§ klik kanan repair.inf lalu klik Install
Cara Kedua
§ Lakukan pembersihan melalui DOS, sebenarnya cara ini sama dengan cara pertama, tujuannya adalah untuk menghapus file induk yang dibuat oleh Oyoborus, untuk booting ke DOS Prompt anda dapat menggunakan CD Startup atau anda dapat menggunakan software lain seperti NTFS 4 Dos [untuk membuat startup Disk], tools tersebut dapat di download di alamat:
http://www.wsdownload.de/download/ntfs4dos...os/ntfsinst.exe.
§ Setelah berhasil download tools tersebut, install software tersebut di komputer yang bersih dari virus setelah itu buat Startup Disk dengan menggunakan tools tersebut dimana untuk membuat Startup Disk anda hanya membutuhkan 1 Disket [untuk cara penggunaan tools ini, baca manual yang di sertakan] setelah anda berhasil membuat startup disk, boot komputer yang terinfeksi Oyorobus melalui Disket, kemudian hapus file induk yang dibuat oleh virus.
Catatan jika Anda menggunakan tools NTFS 4 Dos:
§ Jika anda menggunakan Tools NTFS 4 Dos, partisi C:\ akan berubah manjadi D:\ dan sebaliknya [D:\ menjadi C:\]
§ Untuk melihat file/folder yang disembunyikan [jika menggunakan NTFS 4 DOS] gunakan command DIR /AH kemudian tekan enter dan jika anda akan menghapus file/folder yang disembunyikan, tampilkan file/folder yang disembunyikan tersebut terlebih dahulu sebelum dihapus dengan menjalankan perintah DIR /AH.
§ Setelah file induk tersebut berhasil di hapus, boot komputer pada mode Normal kemudian pastikan kembali virus Oyoborus sudah tidak aktif di memori, untuk melihat proses virus di memori anda dapat menggunakan tools Procexp, setelah itu matikan proses yang mempunyai nama berikut [jika anda menemukan] :
Ø Win_klr32.exe
Ø Lucunya.exe
Ø Java.pif
Ø Command.com
Ø Csrss.exe
Ø Syswin32.exe
Ø FlashPlayer.exe
Ø GameHouse.exe
Setelah mematikan proses Oyoborus yang aktif dimemori [jika ditemukan], pastikan kembali file induk yang dibuat oleh Oyoborus sudah terhapus secara sempurna, kami sarankan anda menginstal antivirus Norman dengan update terakhir pada komputer anda untuk menghindari infeksi ulang.
Berikut file induk yang dihapus :
- C:\Windows
§ lucunya.exe
§ win_klr32.exe
§ repair.bat
§ help.pif
§ GameHouse.exe
§ _userinit32.cmd
- C:\Windows\inf\command.com
- C:\Windows\PCHealth\4th floor.bat
- C:\Windows\system32
§ _dos_16.cmd
§ Orra Aristo.bat
§ syswin32.com
§ win32dll.cmd
§ Sol.exe
§ _Support.exe
- C:\WINDOWS\system32\DirectX\Dinput\ViVat Elka!.bat
- C:\WINDOWS\system32\Macromed\Flash\build.bat
- C:\WINDOWS\system32\mui\045V\drv32-t-start.com
- C:\Windows\java\classes\java.pif
- C:\Windows\security\templates\winlogon.pif
- C:\Documents and Settings\%user%\Start Menu\Programs\Startup\FlashPlayer7.exe
- C:\Documents and Settings\%user%\My Documents\[email protected]
- C:\WINDOWS\Macromedia Flash Player\FlashPlayer.exe
- C:\Documents and settings\%user%\Local Settings\Temp\*.*
2. Setelah semua file induk Oyoborus berhadil di hapus, langkah selanjutnya adalah membersihkan string registry yang sudah dibuat oleh Oyoborus, untuk mempercepat proses penghapusan copy script berikut pada notepad kemudian simpan dengan nama repair.inf dan jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Classes\exefile,,,application
HKCU, Software\Microsoft\Internet Explorer\Main,start Page,0, "About:blank"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Game House
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Service
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,System Check
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Shockwave Support
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,System
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoFind
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoRun
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableRegistryTools
HKLM, SOFTWARE\Classes\exefile,NeverShowExt
3. Modifikasi ulang file Host yang sudah di modifikasi oleh virus dengan menghapus semua URL [alamat web site] yang sudah ditambahkan oleh virus, file Host tersebut
berada pada direktori :
- C:\Windows\System32\Drivers\Etc
4. Ubah kembali file-file berikut yang sudah di ubah oleh Oyoborus
- Laba_laba.die menjadi Spider.exe
- Kalkulatore_MakYem.die menjadi calc.exe
- Free_cell.die menjadi Freecell.exe
5. Untuk mencegah infeksi ulang, kami sarankan anda menggunakan Norman Virus Control dengan update terakhir.
ANDA INGIN JADI TEHNSI KOMPUTER YANG ANDAL TANPA PERLU KURSUS DENGAN BIAYA MAHAL SILAHKAN KE http://www.smarteknologi.info/?id=Mustaking=======================================================
Software Resetter utk Printer Canon & Epson Kerusakan blinking, reset counter, cleaning head, nozzle check, dll Cara menghidupkan Canon BJC1000 / S200spx yg mati total Ada panduan cara memakai software Harga Rp 45rb
hubungi saja choirul lewat Emailnya :D :D :D Mas Adang..Piye nihh artikele sampeyan menuhin milist... Wah mas Choerul dah ijin sama pembuatnya,,,
Riyadhul:choerul...coba lo inget2 apa dosa dan salahmu, setiap posting banyak kritikan buat lo.....xixixixixi...kaburrrrrrrr
Navigation
[0] Message Index