Aduhh kenapa ini? Kok Flash disk atau drive eksternal (USBa tau
card)yang saya masukan gak kedetect Smartp? Tapi bisa dibaca sistem operasi
Kok ketika baru masuk dan memasuki mode on muncul blue
screen?
Kenapa ada bunyi aneh ketika mengoprasikan komputer?
Sama
gan itu juga adalah sebagian hal dan tragedi yang saya alami... Kemungkinan
komputer agan kemasukan virus “Sality”... Dan sebagian efeknya adalah masalah
yang saya sebutkan diatas... Smartp yang
ngawur dan gak bisa diclose itu menandakan bawa antivirus agan (ditekankan pada
Smadav) telah terinfeksi virus Sality.. Dan dirasuki blue screen dan bunyi beep
ane adalah akibat System registry agan terjangkit Saltly..
Untuk memahami lebih lengkap tentang virus dan penyebab
pastinya ,berikut ini saya Windar Josua akan membirikan ulasannya.
Sality
merupakan virus berjenis PE Infector (Polymorphic) yang menginfeksi file-file
Executabe “exe”. Virus yang memiliki nama asli w32.Hllp.KukuJoker ini banyak
dikeluhkan pengguna computer diseluruh dunia, terutama di indonesia banyak
sekali pengguna komputer yang melaporkan telah terinfeksi oleh virus ini.
(termasuk saya)
Virus ini
masih belum jelas asal usulnya, dugaan sementara virus ini berasal dari cina,
selain mempunyai kemampuan untuk menginfeksi file-file executable virus ini
juga memilki kemampuan rootkit (dalam OS
Linux ini mempunyai karekteristik seperti virus.. karena Linux tidak mengenal
adanya Virus), sehingga selain sulit untuk dibersihkan dari system,
file-file yang terinfeksi juga cukup sulit untuk diperbaiki, menggunakan
beberapa tools remover dan antivirus juga terkadang
malah bisa menimbulkan kerusakan pada file yang terinfeksi
bahkan bisa menghapusnya pus pupus.
Beberapa
Antivirus Luar mendeteksi Virus ini sebagai :
- Malware.Sality [PCTools] (nah lho)
- W32.Sality!dr [Symantec]
- Virus.Win32.Sality.bh [Kaspersky Lab]
- W32/Sality.dr [McAfee]
- Troj/SalLoad-C [Sophos] (Nah Lho)
- Virus:Win32/Sality.AT [Microsoft]
- Win32.SuspectCrc [Ikarus]
- Win32/Kashu.E [AhnLab]
Jika kita
lihat memang tidak terlalu banyak perbedaan antara file yang terinfeksi dengan
file yang belum terinfeksi, yang membedakan hanyalah ukuran yang bertambah
lebih besar dari ukuran sebelum terinfeksi, biasanya ukuran yang bertambah
hanya beberapa KB saja. Kecil banget tapi kita Bisa dilihat perbedaanya dari
gambar dibawah ini.
Jika file
terinfeksi tersebut dijalankan, maka file tersebut dapat berjalan seperti
biasanya, sehingga Saya tidak mengira bahwa file yang windar jalankan tersebut
telah terinfeksi virus, padahal dibalik itu virus sudah menetap di systemya.
kwkwkwkww
Teknik yang
digunakan virus sality adalah dengan membelokan EntryPoint asli file ke
EntryPoint-nya virus, maka saat dijalankan virus yang terlebih dahulu aktif,
baru kemudian virus meneruskan nya ke EntryPoint asli file yang terinfeksi,
sehingga file yang dijalankan akan aktif seperti biasa nya.
Saat aktif
virus akan membuat beberapa file induknya di system :
- %Windir%\system32\drivers\<acak>.sys
Virus akan
mengektrak file driver dari dalam tubuhnya dan menaruhnya disystem dengan nama
acak, driver ini digunakan untuk bersembunyi di system. Contoh : amsint32.sys
dan iirktn.sys
- %Windir%\System.ini
Virus akan
menambahkan key baru diregistry dengan nama acak contoh “HKCU\Software\Avcgr”,
key yang dibuat ini juga mempunyai rutin-rutin tertentu.
- Mutext
Virus akan
membuat mutext pada setiap proses yang berjalan ini digunakan untuk menandakan
bahwa thread virus sudah aktif pada setiap proses yang berjalan, mutext yang
akan dibuatnya menyerupai nama proses yang di tumpangi nya :
<Nama
Proses>M_<PID Proses>_
- Firewall
Pada
komputer terinfeksi virus menambahkan rule baru dalam daftar port yang di
ijinkan, ini digunakan virus agar firewall windows tidak memblok koneksi yang
akan dibuat oleh virus
- Download Komponent virus lainya
Infeksi file
Executable & Screen Saver
Virus akan
mencari semua file berektensi ”.exe” & ”.scr” yang ada di seluruh drive
computer korban nya, jika virus menemukanya virus akan menginfeksinya
dengan membelokan EntryPoint asli ke EntryPoint nya virus.
Sality
mempunyai kemampuan untuk mengecek apakah file yang akan diinfeksi dilindungi
oleh system atau tidak, memang pinter banget ni virus, jika file tersebut
dilindungi oleh system maka sality tidak akan menginfeksinya, seperti
file-file yang dilindungi oleh Windows File Protection (WFP) atau System File
Checker (SFC). Very Genius !!
Infeksi
Removeable Drive & Jaringan
Berbeda
dengan teknik infeksi variant sebelumnya, variant sality kali ini memanfaatkan
fitur Autorun untuk mempercepat penyebaranya. File Autorun yang digunakan virus
memiliki nama dan ektensi acak (exe dan pif) . Seperti : xvftea.exe atau
xvftea.pif, dan ukuranya sekitar 100 – 101 KB
Di jaringan
virus juga akan menginfeksi setiap folder yang memiliki FULL ACCESS Read &
Write, dengan membuat sebuah shortcut exploit yang akan langsung aktif apabila
user memasuki folder yang sudah terdapat shortcut exploit tersebut. Saya sarankan
jika agan memang seorang progamer, virus sality sangat cocok untuk agan,, sama
bahayanya kaya trojan
DEVICEMB=<random
number>
- HKCU\Software\<Acak>
Virus akan menambahkan key baru diregistry dengan nama
acak contoh “HKCU\Software\Avcgr”, key yang dibuat ini juga mempunyai
rutin-rutin tertentu
Menghapus
File
Ini yang
paling aku benci, virus Sality akan mencari file berektensi “.VDB” dan “.AVC”
jika ditemukan akan langsung dihapus. Ektensi file ini biasanya digunakan oleh
beberapa antivirus untuk menyimpan database virus.
Block
Website
Sality akan
memblock website atau domain yang mengandung kata seperti :
upload_virus
, sality-remov, virusinfo. cureit. drweb. onlinescan. spywareinfo. ewido.
virusscan. windowsecurity. spywareguide. bitdefender. pandasoftware.
agnmitum. virustotal.sophos. trendmicro. etrust.com
symantec. mcafee. f-secure. eset.com, kaspersky. Dll
canggih bangetkan???
Menghapus
Registry Key
Untuk
mempertahankan dirinya virus menghapus beberapa key di registry yang dianggap
mebahayakan kehidupan virus.
- HKCU\System\CurrentControlSet\Control\SafeBoot
- HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
- HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList
- HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
- HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
- HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Inila yang
mas windar sebutkan tadi,, effek dari beberapa key yang dihapus diatas membuat
user tidak dapat memasuki modus SAFE MODE
Blue Screen saat mengakses SAFE MODE
Mensetting
registry agar tidak menampilkan file yang dihidden
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2
Sality juga melakukan hal yang nakal seperti berikut:
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr =dword:00000001
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools =dword:00000001
Cara
Pembersihan
1. Untuk
membersihkan virus ini secara tuntas, download tool removal sality dari
kaspersky dibawah ini :
Isi dari file download Sality Killer
2. Kemudian
ektrak lah semua file yang ada didalam ZIP atau rar tersebut ke dalam folder
baru, kemudian jalankan file SalityCure.bat
3. Setelah
dijalankan proses scanning akan langsung tampil, harap diperhatikan SELAMA
PROSES PEMBERSIHAN SEDANG BERLANGSUNG, JANGAN PERNAH MENJALANKAN APLIKASI
SEBELUM PROSES PEMBERSIHAN SELESAI, untuk mencegah virus kembali aktif,
saat menjalankan file terinfeksi yang belum sempat dibersihkan.
Proses pembersihan sedang berjalan
4. Terakhir
gunakan Smadav Revisi terbaru untuk memperbaiki Registry yang telah dirusak
oleh virus sality.
Centang
folder dan drive yang akan di scan, dan juga jangan lupa berikan centang pada
bagian Syatem Area Deep (Over 1500 registry value), untuk memperbaiki
registry yang telah rusak oleh virus, selanjutnya tekan tombol SCAN
Tunggu
hingga proses perbaikan selesai, jika dialog pesan seperti diatas muncul tekan
tombol OK dan terakhir tekan tombol Bersihkan
Kemudian
Restart komputer
Gampangkan?
Tidak ada komentar:
Posting Komentar