Virus Amburadul, Hokage Killer 22 April 2008
Pembasmi Ninja Sampit yang bahasa Ingggrisnya Amburadul
Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places, Wanna start a War
Salah satu cara yang salah dalam mempromosikan wisata adalah dengan membuat virus. Hal ini dilakukan oleh pembuat virus Hokage Killer yang menggunakan nama-nama populer id Palangkaraya seperti Jembatan Kahayan, Palma yang sangat berpotensi memicu perang virus yang akhirnya merugikan komunitas IT Indonesia, khususnya komunitas IT Palangkaraya. Memang jelas bahwa pembuat virus adalah programmer-programmer muda yang cerdas dan rasa ingin tahunya besar, tetapi memiliki satu masalah besar yaitu kedewasaan sangat kurang dan tidak perduli (tidak sadar) akan akibat perbuatannya membuat dan menyebarkan virus dapat menyebabkan kerugian bagi pengguna komputer lain. Kemampuan pembuat virus Amburadul dapat dikatakan memadai, tetapi kemampuan Bahasa Inggrisnya sih kayanya sesuai namanya, Amburadul. Kalau ingin menyamaikan tantangan ke Hokage harusnya :
Hey, Hokage, This is my place, Wanna Start a War ??
(Hey Hokage, ini rumah gua, mau menggali kapak peperangan ?)
Tetapi mungkin karena terlalu banyak belajar coding sehingga jarang belajar Inggris dengan baik menjadi :
Hey, Hokage, Is this My places, Wanna start a war**
(Hey Hokage, Apakah ini rumah saya ? Mau menggali kapak peperangan ?)
** Moga-moga pembuat virus amburadul ini tidak mengeluarkan varian baru khusus memperbaiki kesalahan grammar.
Bagi anda yang sering ke Kalimantan Tengah, kemungkinan besar tahu dengan Jembatan Kahayan, yaitu jembatan yang membelah Sungai Kahayan di Kota Palangkaraya, Kalimantan Tengah, Indonesia. Jembatan ini memiliki panjang 640 meter dan lebar 9 meter, terdiri dari 12 bentang dengan bentang khusus sepanjang 150 meter pada alur pelayaran sungai. Jembatan ini pertama kali dibangun pada tahun 1995 dan selesai dibangun pada tahun 2001, serta diresmikan oleh Presiden Megawati Soekarnoputri pada tanggal 13 Januari 2002. Jembatan Kahayan menghubungkan Palangkaraya dengan dengan kabupaten Barito Selatan dan tembus ke kabupaten Barito Utara. Lalu apa hubungannya?
Setelah sebelumnya muncul virus VBWorm.NUJ (http://vaksin.com/2007/1107/moontox-bro.htm), baru-baru ini telah ditemukan salah satu virus hasil modifikasi VM Palangkaraya (kemungkinan) ini dapat dilihat dari script dan file induk yang akan di usung oleh virus ini.
Untuk saat ini sudah ada 3 varian dimana untuk masing-masing varian tersebut mempunyai ciri-ciri yang sama, virus ini lebih dikenal dengan nama W32/Amburadul.
Untuk varian pertama Norman mendeteksi sebagai W32/Agent.XQXM (54 KB)
Untuk varian ke dua mempunyai nama sebagai W32/Agent.ETOR (56 KB)
Untuk varian ke tiga mempunyai nama sebagai W32/Autorun.CQJ (52 KB)
Untuk varian ke empat mempunyai nama sebagai W32/Autorun.CIA (51 KB) (lihat gambar 1)
Gambar 1, Norman Virus Control menscan virus Amburadul
Secara garis besar virus ini sama dengan kebanyakan virus lokal yang menyebar. Membuat file duplikat, blok beberapa fungsi windows seperti Regedit/MSconfig/Search/Folder Option atau Task Manager bahkan blok software security khususnya antivirus lokal seperti PC MAV, SMP dan ANSAV. Ia juga akan mencoba untuk mematikan proses virus Hokage/VBWorm.gen16 (http://vaksin.com/2008/0408/hokage/hokage.html) yang sama-sama berasal dari Kalimantan Tengah tepatnya di daerah Sampit, hal ini dapat dilihat dari script yang ada, dimana script ini berusaha untuk blok file induk yang dari virus Hokage/VBWorm.Gen16 ini.
Berikut beberapa ciri-ciri file yang yang akan di usung oleh Amburadul beserta variannya:
-
Icon : Image (JPG)
-
Ukuran file : Bervariasi sesuai dengan varian (51 KB, 52 KB, 54 KB dan 56 KB)
-
Ekstensi file : EXE
-
Type File : Application (lihat gambar 2)
Gambar 2, File induk varian W32/Agent.EQXM
Pada saat virus aktif, ia akan membuat beberapa file induk dibawah ini yang akan dijalankan setiap kali komputer dinyalakan (file ini juga akan dibuat di semua drive termasuk di media Flash Disk)
-
C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
-
-
csrcc.exe
-
smss.exe
-
lsass.exe
-
services.exe
-
winlogon.exe
-
Paraysutki_VM_Community.sys
-
msvbvm60.dll
-
-
C:\Autorun.inf
-
C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
-
C:\Friendster Community.exe
-
C:\J3MbataN K4HaYan.exe
-
C:\MyImages.exe (hidden file)
-
C:\PaLMa.exe
-
C:\Images
-
-
Ce_Pen9God4.exe
-
J34ñNy_Mö3tZ_CuTE.exe
-
M0D3L_P4ray_ 2008.exe
-
MalAm MinGGuan.exe
-
NonKroNG DJem8ataN K4H4yan.exe
-
Ph0to Ber5ama.exe
-
PiKnIk dT4ngKilin9.exe
-
RAja Nge5ex.exe
-
TrenD 9aya RAm8ut 2008.exe
-
-
C:\Images\_PAlbTN
-
-
(V.4.9)_D053n^908L0K.exe
-
~ G0YanG Ranjang ~.exe
-
GePaCar4an Neh!!!.exe
-
GuE… BgT!.exe
-
Ke.. TaUan N90C0k.exe
-
Ma5tURbas1 XL1M4xs.exe
-
PraPtih G4diEs PuJAAnku.exe
-
SirKuit BaLi SmunZa.exe
-
Apa yang dilakukan oleh Amburadul dan variannya?
Auto start Virus
Agar virus ini dapat aktif secara otomatis setiap kali komputer aktif, ia akan membuat beberapa string pada registry berkut:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PaRaY_VM
-
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\winlogon.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ConfigVir
-
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\services.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NviDiaGT
-
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\lsass.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NarmonVirusAnti
-
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\smss.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVManager
-
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\csrss.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
-
shell = Explorer.exe,
-
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\winlogon.exe
Blok Fungsi Windows dan software security (Antivirus)
Untuk mempertahankan dirinya ia juga akan melakukan blok terhadap beberapa fungsi windows seperti Task Manager/Regedit/MSconfig/Folder Option/System Restore atau Search serta beberapa software security lainnya yang memungkinan dapat memperpendek umur virus tersebut, dengan membuat beberapa string pada registry berikut:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
-
EnableLUA =0
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
-
DisableConfig
-
DisableSR
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
-
-
DisableMSI
-
LimitSystemRestoreCheckpointing
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
-
-
Debugger = rundll32.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
-
-
Debugger = rundll32.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
-
-
Debugger = crundll32.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
-
-
Debugger = rundll32.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe
-
-
Debugger = cmd.exe /c del
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe
-
-
Debugger = cmd.exe /c del
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe
-
-
Debugger = cmd.exe /c del
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
-
-
Debugger = cmd.exe /c del
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
-
-
Debugger = rundll32.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
-
-
Debuger = rundll32.exe
-
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-
-
DisableRegistryTools
-
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-
-
NoFind
-
-
HKEY_CLASSES_ROOT\exefile
-
-
NeverShowExt
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
-
-
UncheckedValue = 1
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
-
-
DefaultValue = 1
-
-
(no)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
-
-
CheckedValue = 0
-
-
(no)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
-
-
DefaultValue = 0
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
-
-
UncheckedValue = 0
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
-
-
Type = checkbok
-
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
-
-
ShowSuperHidden = 0
-
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
-
-
SuperHidden = 0
-
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
-
-
HideFileExt = 1
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
-
debugger = rundll32.ex
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
-
debugger = rundll32.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
-
debugger = rundll32.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
-
debugger = rundll32.exe
-
W32/Agent.EQXM (serta varian nya) juga akan mencoba untuk blok beberapa antivirus lokal (termasuk yang suka ngaku-ngaku sebagai antivirus terbaik di dunia) seperti PCMAV, SMP atau ANSAV dengan membuat string pada registry berikut:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
-
-
Debugger = cmd.exe /c del
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
-
-
Debugger = cmd.exe /c del
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe
-
-
Debugger = cmd.exe /c del
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe
-
-
Debugger = cmd.exe /c del
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe
-
-
Debugger = cmd.exe /c del
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
-
-
Debugger = cmd.exe /c del
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe
-
-
Debuger = cmd.exe /c del
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
-
debugger = cmd.exe /c del
-
Untuk blok fungsi Windows dan software antivirus selain dengan membuat string pada registry di atas, ia juga akan mengunakan perintah taskkill.
Berikut aplikasi yang akan dimatikan oleh Agent.EQXM (dan varian) :
taskkill /f /im winamp.exe
taskkill /f /im winampa.exe
taskkill /f /im firefox.exe
taskkill /f /im iexplorer.exe
taskkill /f /im wmplayer.exe
taskkill /f /im PCMAV
taskkill /f /im CLN.exe
taskkill /f /im Ansav.exe
taskkill /f /im ansavgd.exe
taskkill /f /im explorer.exe
Misi Membasmi Hokage
Amburadul dan variannya mempunyai misi untuk membasmi keluarga Hokage (VBWorm.Gen16) dengan blok file virus tersebut agar tidak dapat dijalankan. Hal ini dipertegas dengan merubah judul pada aplikasi Internet Explorer (perhatikan gambar dibawah). Untuk melakukan hal tersebut ia akan membuat beberapa string pada registry berikut:
-
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
-
-
Window Title = ++++ Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places, Wanna start a War ++++ (lihat gambar 3)
-
Gambar 3, Amburadul membasmi Hokage dan menyampaikan tantangan
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe
-
-
Debugger = cmd.exe /c del
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
-
-
Debugger = cmd.exe /c del
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
-
-
Debugger = cmd.exe /c del
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
-
-
Debugger = cmd.exe /c del
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
-
-
Debugger = cmd.exe /c del
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
-
-
Debugger = cmd.exe /c del
-
Ddos web site
Agent.EQXM juga akan mencoba untuk melakukan Ddos ke sejumlah alamat website yang sudah ditentukan dengan melakukan Ping request terhadap web berikut:
-
www.duniasex.com
-
www.data0.net
-
www.rasasayang.com.my
Menyembunyikan file gambar
File yang menjadi target virus ini adalah file gambar (JPG/BMP/PNG/TIFF/GIF), tetapi ia hanya akan menyembunyikan file gambar yang ada di Flash Disk. Untuk mengelabui user ia akan membuat file duplikat yang mempunyai nama yang sama dengan nama file yang disembunyikan dengan ciri-ciri:
-
Icon JPG
-
Ukuran “acak” (tergantung varian -> 51 KB / 52 KB / 54 KB / 56 KB)
-
Ekstensi .xx`.exe, dimana xx menunjukan ekstensi dari file gambar aslinya. Contohnya jika file gambar asli mempunyai nama data.bmp maka virus ini akan membuat file duplikat dengan nama data.bmp`.exe. (lihat gambar 4)
Gambar 4, Membut file duplikat
-
Type File “Application”
Setiap kali menyembunyikan file, ia cukup “baik hati” akan mencatatkan lognya dalam file C:\Windows\ Amburadul_List.txt, perhatian gambar 5 dibawah ini:
Gambar 5, Log saat virus menyembunyikan file gambar di Flash Disk
Menyebar melalui Flash Disk
Untuk menyebarkan dirinya, ia akan menggunakan media “Flash Disk” ataupun “Disket” dengan membuat beberapa file induk dan beberapa file pendukung agar dirinya dapat aktif secara otomatis setiap kali user akses ke Flash Disk tersebut.
Berikut beberapa file yang akan dibuat pada media Flash Disk atau Disket:
-
C:\Autorun.inf
-
C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
-
C:\Friendster Community.exe
-
C:\J3MbataN K4HaYan.exe
-
C:\MyImages.exe (hidden)
-
C:\PaLMa.exe
-
C:\Images
-
-
Ce_Pen9God4.exe
-
J34ñNy_Mö3tZ_CuTE.exe
-
M0D3L_P4ray_ 2008.exe
-
MalAm MinGGuan.exe
-
NonKroNG DJem8ataN K4H4yan.exe
-
Ph0to Ber5ama.exe
-
PiKnIk dT4ngKilin9.exe
-
RAja Nge5ex.exe
-
TrenD 9aya RAm8ut 2008.exe
-
-
C:\Images\_PAlbTN
-
-
(V.4.9)_D053n^908L0K.exe
-
~ G0YanG Ranjang ~.exe
-
GePaCar4an Neh!!!.exe
-
GuE… BgT!.exe
-
Ke.. TaUan N90C0k.exe
-
Ma5tURbas1 XL1M4xs.exe
-
PraPtih G4diEs PuJAAnku.exe
-
SirKuit BaLi SmunZa.exe
-
Agar virus tersebut dapat aktif secara otomatis setiap kali user akses Drive atau Flash Disk ia akan menggunakan fitur Autorun windows dengan membuat file autorun.inf pada root Flash Disk atau Drive. File Autorun ini akan menjalankan file MyImage.exe, dimana file ini akan disembunyikan agar tidak mudah dihapus oleh user. (lihat gambar 6)
Gambar 6, Autorun.inf, memungkinkan W32/Agent.EQXM (dn varian) aktif secara otomatis
Cara membersihkan W32/Agent.EQXM (dan Varian)
-
Putuskan hubungan komputer yang akan dibersihkan dari jaringan
-
Matikan proses virus yang aktif di memory resident. Untuk mematikan proses tersebut gunakan tools “currprocess” (http://www.nirsoft.net/utils/cprocess.zip). Kemudian matikan proses virus yang mempunyai icon JPG dengan ekstensi EXE. (lihat gambar 7)
Gambar 7, Mematikan proses virus W32/Agent.EQXM (dan varian)
-
Repair registry yang sudah di ubah oleh W32/Agent.EQXM (dan varian). Untuk mempercepat proses perbaikan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf.
Jalankan file tersebut dengan cara:
-
Klik kanan repair.inf
-
Klik Install
[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0×00010001,0
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, “about:blank”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, “checkbox”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, “checkbox”
HKCU, Control Panel\International, s1159,0, “AM”
HKCU, Control Panel\International, s2359,0, “PM”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0×00010001,0
[del]
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe, debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, PaRaY_VM
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ConfigVir
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NviDiaGT
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NarmonVirusAnti
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AVManager
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, EnableLUA
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
-
Disable “System Restore” selama proses pembersihan
-
Hapus file induk virus W32/Agent. EQXM (dan varian). Sebelum menghapus file tersebut sebaiknya tampilkan file yang tersembunyi caranya :
-
Buka Windows Explorer
-
Klik menu “Tools”
-
Klik “Folder Options”
-
Klik Tabulasi View
-
Pada kolom “Advanced settings”
-
Pilih opsi “Show hidden files and folders”
-
Unchek “Hide extensions for known file types”
-
Uncheck “Hide protected operating system files (Recommended) (lihat gambar
-
-
Gambar 8, Menampilkan file yang tersembunyi
Kemudian hapus file berikut (di semua Drive termasuk Flash Disk kecuali untuk file yang ada di direktori C:\Windows\system32\~A~m~B~u~R~a~D~u~L~)
-
C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
-
-
-
csrcc.exe
-
smss.exe
-
lsass.exe
-
services.exe
-
winlogon.exe
-
Paraysutki_VM_Community.sys
-
msvbvm60.dll
-
-
-
-
C:\Autorun.inf
-
C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
-
C:\Friendster Community.exe
-
C:\J3MbataN K4HaYan.exe
-
C:\MyImages.exe
-
C:\PaLMa.exe
-
C:\Images
-
Tampilkan file gambar yang telah disembbunyikan di Flash Disk dengan cara:
-
-
Klik “Start” menu
-
Klik “Run”
-
Ketik “CMD”
-
Pada Dos Prompt, pindahkan posisi kursor ke lokasi Flash Disk kemudian ketik perintah ATTRIB –s –h /s /d
-
-
Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan antivirus yang up-to-date dan sudah dapat mengenali virus ini dengan baik.
Aj Tau
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 345 6850
Fx : 021 345 6851
