Background

Rincian dari Virus yang bernama "tak gendong"

Awalnya ngecek koneksi internet untuk PC di ruang Teknik yang gak bisa konek karena ada IP yang konflik. Iseng buka command prompt, eh gak bisa,buka regedit juga gak bisa,NOD32 scan terus-terusan, wah kenapa nih PC. Liat-liat folder,kok ada folder ALBUM BOKEP disetiap drive??? Tanya ma Mbah Google,eh ternyata itu karena PC tersebut terinfeksi virus MBAH SURIP atau dikenal dengan sebutan : Virus VBS/Cryf.A. Berikut artikel mengenai Virus Mbah Surip, dan cara penanggulangannya yang diambil dari www.vaksin.com
Ciri komputer yang “Tak Gendong” oleh VBS/Cryf.A
Komputer yang terinfeksi VBS/Cryf.A mudah dikenali dengan beberapa jejak yang ditinggalkannya, diantaranya:
  • Pada saat komputer pertama kali dinyalakan, akan muncul program [Internet Explorer] yang menampilkan sosok yang cukup “menyeramkan”, tetapi kelihatannya bukan gambar Mbah Surip :P (lihat gambar 3)
Gambar 3, Jendela Internet Explorer yang akan ditampilkan saat komputer dinyalakan
  • Merubah halaman utama [start page] program [Internet Explorer] untuk menjalankan file yang berada didirektori [C:\WINDOWS\windows.html] yang berisi pesan dari pembuat virus. (lihat gambar 4)
Gambar 4, Halaman utama yang sudah diubah oleh virus
  • Ada folder “Album BOKEP” di setiap drive dan Flash Disk yang isinya seakan-akan file movie porno yang sebenarnya merupakan file virus yang siap “menggendong” komputer anda bila anda jalankan.
  • Merubah nama organisasi dan nama pemilik Windows menjadi Registered to CRY Shemale (lihat gambar 5)
Gambar 5, Nama organisasi dan nama pemilik windows yang sudah diubah oleh virus
  • Merubah type file Shortcut” [.lnk] mejadi “Movie Clip” yang sebenarnya adalah suatu rekayasa sosial yang cukup cerdik sehingga korbannya akan mengira file virus “.lnk” adalah file film. (lihat gambar 6)
Gambar 6, Type file [lnk] diubah menjadi “Movie Clip

Ciri-ciri File Virus
File induk VBS/Cryf.A ini mempunyai nama [drvconfg.drv] dengan ukuran file sebesar 218 KB, file ini mempunyai ekstensi [.drv] dan mempunyai type file sebagai “device driver”, file ini akan di enkipsi sehingga kode virusnya tidak mudah di baca.

Pada saat file virus di jalankan, pertama kali yang akan di lakukan adalah memanggil file [svchost.vbs] yang sudah di ekript yang berada di direktori [%Driver%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db]. Kemudian file [svchost.vbs] ini akan menjalankan file utama virus yakni file [drvconfg.drv], file inilah yang berisi runtime untuk menginfeksi dan menanamkan aksi-aksi lain nya di dalam komputer target. (lihat gambar 6 dan 7)

Gambar 6, File shortcut virus yang akan mengaktifkan file [svchost.vbs]

Gambar 7, File induk virus

Pada saat user menjalankan dirinya, VBS/Cryf.A akan memanggil program [Windows Media Player] seperti yang terlihat pada gambar 8 dibawah ini :

Gambar 8, VBS/Cryf.A membuka program Windows Media Player saat dijalankan

Kemudian akan membuat beberapa file induk yang salah satunya akan dijalankan saat komputer dinyalakan:
  • %Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db
  •  
    • svchost.vbs
    • desktop.ini
    • drvconfg.drv
    • SHELL32.dll
  • C:\windows
    • appsys.exe
    • Winupdt.scx
    • appopen.scx
    • Windowsopen.mht
    • Windows.html
    • Regedit.exe.lnk
    • Help.htm
  • C:\Windows\system\svchost.exe
  • C:\WINDOWS\system32
    • Svchost.dls
    • Corelsetup.scx
    • Appsys.dls
    • Kernel32.dls
    • Taskmgr.exe.lnk
  • C:\WINDOWS\system32\
    • Winupdtsys.exe
    • ssmarque.scr
  • C:\Program Files\FarStone\qbtask.exe
  • C:\Program Files\ACDsee\Launcher.exe
  • C:\Program Files\Common Files\NeroChkup.exe
  • C:\Program Files\ExeLauncher
  • %ProgramFiles%\drivers\VGA\VGAdrv.lnk
  • C:\Documents and Settings\Elvina\Desktop\Local Disk (C).dls
Catatan:
%Drive% adalah lokasi Drive (contoh: C:\ atau D:\]
%Program Files adalah [C:\Program Files]
Agar file tesebut dapat dijalankan secara otomatis pada saat komputer aktif, ia akan membuat beberapa string pada registry berikut:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • ACDsee = c:\Program Files\ACDsee\Launcher.exe
    • CorelSetup = C:\WINDOWS\system32\Corelsetup.scx
    • updtsystem = C:\WINDOWS\system32\Winupdtsys.exe
    • VGAdriver = %ProgramFiles%\drivers\VGA\VGAdrv.lnk
    • VirtualCD Task = c:\Program Files\FarStone\qbtask.exe
    • WinSystem = c:\Windows\Windowsopen.mht
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • Shell = explorer.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx
    • Userinit = C:\WINDOWS\system32\userinit.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • NeroFilterCheck = c:\Program Files\Common Files\NeroChkup.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    • Start Page = C:\WINDOWS\windows.html
Untuk file induk virus yang mempunyai ekstensi [SCX] dan [DLS], agar file tersebut dapat dijalankan, ia akan membuat registry di bawah ini. Agar file tersebut dapat dijalankan ia akan memanfaatkan file [C:\Windows\System32\wscript.exe]
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scxfile
  •  
    • [Default] = VBScript Script File
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scxfile\shell\open\command
  •  
    • [Default] = %SystemRoot%\System32\wscript.exe %1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dlsfile
    • [Default] = VBScript Script File
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dlsfile\shell\open\command
    • [Default] = %SystemRoot%\System32\wscript.exe %1
Untuk mempertahankan eksistensinya ia akan mencoba untuk blok beberapa fungsi windows seperti :
  • Task Manager
  • Regedit
  • CMD
  • MSCONFIG
  • Tidak dapat merubah Wallpaper
Untuk melakukan hal tersebut, ia akan membuat beberapa string pada registry berikut:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
  • NoChangingWallpaper
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  • nobandcustomize
  • nochangestartmenu
  • NoDriveAutoRun
  • NoDrivetypeautorun
  • NoFileAssociate
  • nosavesettings
  • NOTOOLBARCUSTOMIZE
  • NoRecycleFiles
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • DisableCMD
  • DisableRegistryTools
  • DisableTaskMgr
  • NoDispScrSavPage
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
  • NoDriveAutoRun
  • NoDriveTypeAutoRun = 95
Selain dengan membuat registry di atas, agar user tidak dapat menjalankan fungsi Regadit/Task Manager/CMD atau MSConfig, ia akan menyembunyikan file tersebut [regedit.exe, tskmgr.exe. cmd.exe dan MSConfig.exe] dan sebagai gantinya ia akan membuat file yang sama bedanya ia akan mempunyai dua ekstensi yakni [.exe.lnk], antara file “gadungan” dan file asli akan mempunyai icon yang sama. Jika user mencoba untuk memanggil salah satu fungsi Windows tersebut maka akan muncul pesan error berikut (lihat gambar 9 dan 10) :

Gambar 9, Pesan error saat menjalankan salah satu fungsi Windows
Gambar 10, File gadungan [regedit.exe.lnk] yang dibuat oleh virus

Tetapi jika user mencoba untuk langsung menjalankan file “gadungan” yang telah dibuat oleh virus sebagai pengganti file asli yang telah disembunyikan [contoh: regedit.exe.lnk] maka secara otomatis akan menjalankan file virus yang berada di direktori [C:\WINDOWS\system32\svchost.dls].

Selain itu ia juga akan melakukan Debugger terhadap ketiga fungsi windows tersebut untuk menjalankan file virus [C:\WINDOWS\appsys.exe] dengan membuat string pada registry berikut:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMD.exe
    •  
      • Debugger = C:\WINDOWS\appsys.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
    •  
      • Debugger = C:\WINDOWS\appsys.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
    •  
      • Debugger = C:\WINDOWS\appsys.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe
    •  
      • Debugger = C:\WINDOWS\appsys.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe
    •  
      • Debugger = ntsd –d
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment
    •  
      • ComSpec = %SystemRoot%\system32\cmd.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\Environment
    •  
      • ComSpec = %SystemRoot%\system32\cmd.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
    •  
      • ComSpec = %SystemRoot%\system32\cmd.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

Selain blok fungsi windows, ia juga akan blok beberapa tools security khususnya antivirus lokal seperti PCMAV atau ANSAV. VBS/Cryf.A juga akan melakukan Debugger terhadap program yang telah ditentukan dengan membuat string pada registry berikut :
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\viremoval.exe
  •  
    •  
      • Debugger = C:\WINDOWS\appsys.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winupdtsys.exe
  •  
    •  
      • Debugger = C:\windows\system\svchost.exe “c:\windows\system32\kernel32.dls”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
  •  
    •  
      • Debugger =
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe
  •  
    •  
      • Debugger = ntsd –d
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NeroChkup.exe
  •  
    •  
      • Debugger = C:\windows\system\svchost.exe “c:\windows\system32\svchost.dls”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV.exe
  •  
    •  
      • Debugger = C:\WINDOWS\appsys.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
  •  
    •  
      • Debugger = C:\WINDOWS\appsys.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
  •  
    •  
      • Debugger = C:\WINDOWS\appsys.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-SE.exe
  •  
    •  
      • Debugger = C:\WINDOWS\appsys.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qbtask.exe
  •  
    •  
      • Debugger = C:\windows\system\svchost.exe “c:\windows\system32\Corelsetup.scx
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe
  •  
    •  
      • Debugger = ntsd -d
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Integrator.exe
  •  
    •  
      • Debugger = C:\WINDOWS\appsys.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ise32.exe
  •  
    •  
      • Debugger = C:\WINDOWS\appsys.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Launcher.exe
  •  
    •  
      • Debugger = C:\windows\system\svchost.exe”c:\windows\appopen.scx”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\a.exe
  •  
    •  
      • Debugger = C:\WINDOWS\appsys.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe
  •  
    •  
      • Debugger = C:\WINDOWS\appsys.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansavgd.exe
  •  
    •  
      • Debugger = C:\WINDOWS\appsys.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\appsys.exe
  •  
    •  
      • Debugger = C:\WINDOWS\system32\wscript.exe “c:\windows\system32\appsys.dls”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe
  •  
    •  
      • Debugger = ntsd -d

Aktif otomatis memanfaatkan file [.reg/.vbs/.inf]
Virus ini juga akan mecoba untuk mengaktifkan dirinya secara otomatis dengan menjalankan file [C:\windows\system\svchost.exe atau C:\windows\WinUpdt.scx] setiap kali user menjalankan file yang mempunyai ekstensi berikut:
  • .reg
  • .vbs
  • .inf
Untuk melakukan hal ini, ia akan membuat string pada registry berikut:
  •  
    • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\comman
  • [Default] = C:\Program Files\ExeLauncher\Launcher.exe
    • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Edit\Command
  • [Default] = C:\Program Files\ExeLauncher\Launcher.exe
    • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regedit\shell\open
  • Command = C:\windows\system\svchost.exec:\windows\WinUpdt.scx
    • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regedit\shell\open\command
  • [Defalut] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx
    • HKEY_CLASSES_ROOT\regfile\shell\edit\command
  • [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx
    • HKEY_CLASSES_ROOT\regfile\shell\open\command
  • [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx
    • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command
  • [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx
    • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command
  • [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx
Rekayasa sosial “Album BOKEP”
Untuk mempermudah dalam mengelabui user, ia akan menggunakan rekayasa sosial dengan membuat sebuah folder dengan nama [Album BOKEP] disetiap Drive termasuk di Flash Disk. Dengan nama folder tersebut di harapkan dapat menarik user untuk menjalankan salah satu dari 3 file shortcut yang berada di dalam nya. File dengan icon “Windows Media Player” ini seolah-olah merupakan file Video “Mesum” yang jika dijalankan maka akan mengaktifkan file [%Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db\svchost.vbs] (lihat gambar 11)

Gambar 11, File shortcut virus yang akan mengaktifkan file [svchost.vbs]

Selain itu agar penyamarannya lebih sempurna ia akan merubah type file dari file LNK (shortcut) tersebut menjadi “Movie Clip” sehingga seolah-olah merupakan file Video dan untuk lebih meyakinkan ia akan menyembunyikan ekstensi yang kedua dari file tersebut [.LNK] dengan membuat string pada registry berikut
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile
  • [Default] = Movie Clip
  • NeverShowExt
VBS/Cryf.A juga akan merubah type file dari “VBScript Script File” menjadi “Application” serta merubah icon VBS menjadi icon Application serta menyembunyikan ekstensi dari file tersebut dengan merubah string registry berikut:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile
  • FriendlyTypeName = Application
  • NeverShowExt
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\DefaultIcon (lihat gambar 12)
  • [Default] = %SystemRoot%\system32\SHELL32.dll,2
Gambar 12, File VBS yang telah diubah oleh virus

Aktif pad mode “safe mode” dan “safe mode with command prompt”
Virus ini tidak hanya aktif pada mode Normal, tetapi akan aktf pada mode “safe mode” dan “safe mode” with command prompt dengan membuat string pada registry berikut
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • Shell = explorer.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx
    • Userinit = C:\WINDOWS\system32\userinit.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
  •  
    • AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt.scx
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
  •  
    • AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt.scx
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
  •  
    • AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt.scx
Registry lain
VBS/Cryf.A juga akan membuat registry berikut:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
    • Logon User Name = Shemale
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    • AltDefaultUserName = Shemale
    • DefaultUserName = Shemale
  • HKEY_CURRENT_USER\Control Panel\International
    • s1159 = [kosong]
    • s2359 = [kosong]
Jejak virus
Sperti kebanyakan virus lokal, salah satu aksi yang dilakukan adalah meninggalkan jejak berupa pesan di komputer target. VBS/Cryf.A juga akan meningalkan beberepa pesan yang dikemas dalam sejumlah file diantara pesan terebut akan di tampilan secara otomatis saat komputer di nyalakan dan saat menjalankan program Internet Explorer atau saat screen saver Windows aktif.

Berikut beberapa pesan yang dibuat oleh VBS/Cryf.A
  • Merubah nama pemilik Windows dengan merubah string registry berikut (lihat gambar 5)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
      • RegisteredOrganization = Shemale
      • RegisteredOwner = CRY
  • Menampilkan jendela Internet Explorer yang berisi gambar berikut , gambar ini akan di tampilkan secara otomatis saat menghidupkan komputer sebagai salam pembuka. (lihat gambar 3)
Untuk melakukan hal ini ia akan merubah string pada registry berikut:
  •  
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      • WinSystem = c:\Windows\Windowsopen.mht
  • Menampilkan pesan “King of The World” saat membuka jendela Internet Explorer (lihat gambar 4)
Untuk melakukan hal ini ia akan merubah string pada registry berikut:
  •  
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
      • Start Page = C:\WINDOWS\windows.html
  • Menampilkan pesan SHEMALE By CRY” saat screen saver Windows aktif dengan terlebih dahulu merubah string pada registry berikut (lihat gambar 12)
    • HKEY_CURRENT_USER\Control Panel\Desktop
      • SCRNSAVE.EXE = C:\WINDOWS\system32\ssmarque.scr
Gambar 12, Screen saver yang akan ditampilkan oleh VBS/Cryf.A

Promosi
Seolah-olah untuk menebus segala “dosa-dosa” nya, ia akan menyertakan link untuk mendownload removal tools untuk membersihkan komputer yang sudah terinfeksi. Link ini akan dibuat dalam sebuah file yang disimpan di direktori [C:\Windows\help.html] (lihat gambar 13)

Gambar 13, Link yang ditampilkan oleh virus

Jika link [ANTIVIRUS.exe] tersebut di klik maka akan diarahkan ke sebuah jendela baru dengan alamat [http://www.dinamikasolusi.co.nr], yang ternyata berisi “PROMOSI BUKU” tentang bagaimana “cara membuat antivirus dengan Visual Basic”. (lihat gambar 14)

Gambar 14, Alamat promosi yang akan ditampilkan oleh Virus

Media Penyebaran
Untuk menenyebarkan dirinya, ia akan memanfaatkan Flash Disk dengan cara membuat file folder berikut:

  • %Flash Disk%:\>Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db
    • svchost.vbs
    • desktop.ini
    • drvconfg.drv
    • SHELL32.dll
  • Autorun.inf
  • Dataku Penting Jangan Dihapus.lnk, jika di jalankan akan mengaktifkan file [%Flash Disk%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db\svchost.vbs]
  • %Flash Disk%:>Album BOKEP\Naughty America, jika di jalankan akan mengaktifkan file [%Flash Disk%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db\svchost.vbs]
    • My friends hot mom - sativa rose.wmv.lnk
    • My Sister Hot Friend - Courtney Dani.wmv.lnk
    • Naughty America 2009 - Vicky Vette.Mpeg.lnk
Agar dirinya dapat aktif secara otomatis, ia akan memanfaatkan fitur autorun dengan nama [autorun.inf] yang akan menjalankan file [Shell32.dll] kemudian file ini yang akan menjalankan file induk utama dari virus yakni [drvconfg.drv]. (lihat gambar 15)
Catatan:
%Drive%, menunjukan lokasi Drive [contohnya: C:\, D:\]
%FlashDisk, menunjukan lokasi Flash Disk

Gambar 15, Cript autorun.inf

Gambar 16, Isi script [Shell32.dll]

Cara pembersihan VBS/Cryf.A
  1. Matikan proses virus yang sedang aktif dimemori. Untuk mematikan proses virus ini silahkan gunakan tools pengganti task manager seperti [Currproses], kemudian matikan proses yang mempunyai product name “Microsoft (r) Windows Script Host” dengan cara : (lihat gambar 17)
    • Pilih [blok] proses yang mempunyai product name “Microsoft (r) Windows Script Host”
    • Klik kanan pada proses yang sudah di blok
    • Pilih [Kill Selected Processes]

Gambar 17, Gunakan Curr Process untuk mematikan proses virus
  1. Blok agar file virus tidak dapat dijalankan untuk sementara selama proses pembersihan dengan menggunakan fitur “Software Restriction Policies”, fitur ini hanya ada di Windows XP/2003/Vista/2008.
Untuk blok file tesebut lakukan langkah berikut : (lihat gambar 18)
  1.  
    1.  
      • Klik menu [Start]
      • Klik [Run]
      • Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
      • Pada layar [Local Security Policy], klik [Software restriction policies]
      • Klik kanan pada [software restriction policies] dan pilih [Create new policies]
      • Kemudian klik kanan di [Additional Rule], dan pilih [New Hash Rule].
Gambar 18, Menentukan file yang akan diblok
  1.  
    1.  
      • Di Kolom [File Hash], klik tombol [Browse] dan pilih file yang akan diblok. Pada kolom [File information] akan terisi informasi dari file tersebut secara otomatis. (lihat gambar 19)
Gambar 19, Pilih file yang akan diblok.
  1.  
    1.  
      • Pada Security Level pilih [Disallowed]
      • Pada kolom “description” isi deskripsi dari nama file tersebut (bebas),
      • Pilih [OK]
Catatan:
Pada saat user menjalankan file yang sudah di add tersebut maka akan mucul pessan peringatan berikut : (lihat gambar 20)

Gambar 20, Pesan peringatan saat menjalankan file yang di blok
  1. Fix Registry dengan menjalankan file [FixRegistry.exe], silahkan download di alamat berikut : (lihat gambar 21)
http://www.4shared.com/file/117095567/3ea8e8ce/_4__FixRegistry.html
Gambar 21, Cara menjalankan tools FixRegistry
  1.  
    1. Pada kolom [Register Owner] isi sesuai dengan nama pemilik Windows
    2. Pada kolom [Register Organization] isi sesuai dengan nama organisasi pemilik Windows
    3. Pada kolom [ShellWindows] isi dengan format explorer.exe
    4. Pada kolom [Userinit Windows] isi dengan format berikut
      • Windows NT/2000 = C:\WinNT\System32\userinit.exe,
      • Windows XP/2003/Vista = C:\Windows\System32\userinit.exe,
    5. Kemudian klik tombol [Set]
    6. Kemudian lik [Pulihkan Registry] untuk memperbaiki registry lain nya
  1. Hapus file induk virus yang telah dibuat. File induk virus ini akan disembunyikan. Jika file induk tersebut tidak dapat ditampilkan silahkan gunakan tools penggganti Windows Explorer seperti “Explorer XP”. Silahkan download di alamat berikut:
http://www.explorerxp.com/explorerxpsetup.exe
Setelah software tersebut di install, cari dan hapus file berikut:
  • %Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db
  •  
    • svchost.vbs
    • desktop.ini
    • drvconfg.drv
    • SHELL32.dll
  • %Drive%:\Album BOKEP\Naughty America
  • C:\windows
    • appsys.exe
    • Winupdt.scx
    • appopen.scx
    • Windowsopen.mht
    • Windows.html
    • Regedit.exe.lnk
    • Help.htm
  • C:\Windows\system\svchost.exe
  • C:\WINDOWS\system32
    • Taskmgr.exe.lnk
    • CMD.exe.lnk
    • Svchost.dls
    • Corelsetup.scx
    • Appsys.dls
    • Kernel32.dls
    • Winupdtsys.exe
    • ssmarque.scr
  • C:\Program Files\FarStone\qbtask.exe
  • C:\Program Files\ACDsee\Launcher.exe
  • C:\Program Files\Common Files\NeroChkup.exe
  • C:\Program Files\ExeLauncher
  • %ProgramFiles%\drivers\VGA\VGAdrv.lnk
  • C:\Documents and Settings\%user%\Desktop\Local Disk (C).dls
  • %Flash Disk:\>Dataku Penting Jangan Dihapus.lnk
Catatan:
%Drive%, menunjukan lokasi Drive [C:\ atau D:\]
%Flash Disk%, menunjukan lokasi Flash Disk
  1. Tampilkan file [TaskMgr.exe/Regedt32.exe/Regedit.exe/CMD.exe/Logoff.exe] yang disembunyikan oleh virus, caranya : (lihat gambar 22)
  1.  
    1. Klik menu [Start]
    2. Klik [Run]
    3. Ketik CMD kemudian klik tombol [OK]
    4. Pada layar “Dos Prompt” pindahkan posisi kursor ke drive yang akan di periksa
    5. Ketik perintan ATTRIB –s –h –r regedit.exe kemudian klik tombol “enter”
    6. Kemudian ketik perintah saya yang membedakan hanya nama file yang akan ditampilkan yakni Taskmgr.exe, cmd.exe dan Logoff.exe
Gambar 22, Menampilkan file yang disembunyikan
  1. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan antivirus yang up-to-date.
  1. Jika komputer sudah benar-bernar bersih dari virus, hapus rule blok file [WSCript.exe] yang telah dibuat pada langkah no. (2), cara nya : (lihat gambar 23)
    1.  
      • Klik menu [Start]
      • Klik [Run]
      • Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
      • Pada layar [Local Security Policy], klik 2x [Software restriction policies]
      • Klik [Additional Rule]
      • Hapus Rule yang pernah Anda buat sebelumnya
Untuk mencegah infeksi ulang, gunakan antivirus yang sudah dapat mendeteksi dan membasmi virus ini dengan baik.
Read More 0 komentar