Virus terbaru kembali menyerang dunia internet Indonesia. Virus ini diidentifikasi dengan nama W32/gent.FUVR. berikut beritanya.
Lagi-lagi pengguna internet Indonesia cukup digemparkan serangan virus asing. Peneliti dari vaksincom menyebutnya W32/gent.FUVR. Virus ini mampu membuat komputer atau server anda kehabisan nafas alias lambat beroperasi karena tiba -tiba ia akan berusaha dengan intens mendownload file dari situs web tertentu (kebanyakan di Cina) untuk "mengupdate" dirinya. "Update" ini tentu saja hanya untuk mengacaukan kerja komputer anda. "Hebatnya” virus ini juga aktif memanfaatkan YM (Yahoo Messenger). Jadi, jika YM anda tahu-tahu bertingkah aneh dalam beberapa hari ini ….Siap-siap dan Waspadalah.
Untuk memastikan W32/Agent.FUVR aktif di komputer anda (Windows XP), silahkan periksa C:\Windows\AppPatch dan cari file-file dengan nama :
· AcXtrnel.dll
File ini merupakan file palsu (file imitasi) yang mirip dengan file dll OS Microsoft Windows “AcXtrnal.dll”
· AcSpecf.dllFile ini juga merupakan file palsu yang mirip dengan file dll OS Microsoft Windows “AcSpecfc.dll”
· AcPlugin.dllFile ini adalah memang benar file dll dari Microsoft Windows (Microsoft Plus), tetapi lokasi file ini seharusnya ada di C:\Program Files\Microsoft Plus dan bukan di c:\Windows\AppPatch. Microsoft Plus adalah add on untuk Windows XP. Namun yang membingungkan Microsoft Plus adalah add on yang saat ini sudah tidak dilanjutkan produksinya.
· Jview.dllJview sebenarnya adalah file Java, tetapi virus ini dengan cerdik melakukan delay / menunda aktivasi Jview yang asli (jika ada). Dengan cerdas virus ini mengubah setting registry sehingga yang dijalankan adalah Jview yang bervirus.
Hati-hati jika Anda menjumpai sejumlah file dengan nama Microsoft.vbs, Microsoft.bat atau Microsoft.pif pada local disk (C:\). Jika kita buka file Microsoft.bat maka akan terlihat jelas bahwa file ini akan menjalankan file dengan nama Microsoft.pif begitupun dengan file Microsoft.vbs. File Microsoft.pif ini sendiri di kompres dengan menggunakn UPX.
Jika file di atas dijalankan, Microsoft.bat / Microsoft.vbs maka akan langsung mengaktifkan file Microsoft.pif yang tersembunyi / hidden. Dan jika file microsoft.pif ini anda langsung hapus, ada konsekuensinya. Jika anda lakukan penghapusan, sebagai gantinya akan ada banyak sekali file library (dll) yang aktif di memori, file ini juga akan di aktifkan setiap kali user mengakses Internet Explorer.
Virus ini akan membuat koneksi internet atau jaringan juga menjadi lambat karena setelah ia aktif, ia akan selalu mencoba untuk melakukan koneksi internet dan mencoba untuk mendownload file gambar dengan format GIF dan file EXE kesejumlah situs yang telah ditentukan seperti :
· http://root.51113.com/root.gif
· http://hk.www404.cn:53/ads.js
· http://err.www404.cn:443/014.html
Menurut pengamatan Vaksincom, situs yang mengandung file virus ini sangat banyak dan bervariasi dan rata-rata merupakan domain yang berasal dari Cina sehingga disinyalir kuat virus ini berasal dari Cina. Karena kemampuannya mendownload file update, maka secara teknis virus ini memiliki kemampuan mengupdate dirinya seperti antivirus sehingga termasuk dalam virus dengan resiko tinggi. Walaupun varian awal sudah terdeteksi sejak akhir 2007, tetapi varian yang ditemukan tersebut terlihat berbeda dengan varian awal dan terbukti berhasil mengecoh banyak program antivirus yang sebelumnya berhasil mendeteksinya.Di bawah ini adalah contoh varian program gif atau exe
File gif dan exe tersebut akan disimpan di direktori berikut
- C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files\Content.IE5\xxx (xxx ini menunjukan karakter acak)
- C:\Documents and Settings\%user%\Local Settings\Temp
Virus ini juga akan aktif bersamaan dengan Yahoo Messenger dan pada beberapa kasus menimbulkan error pada Script file.
BAGAIMANA CARA MENGATASINYA ?
- Sebaiknya putuskan hubungan jaringan / internet komputer yang akan dibersihkan.
- Lakukan pembersihan pada mode “safe mode”.
- Patch OS anda dengan patch terakhir.
- Download tools Combofix di alamat berikut kemudian jalankan
http://download.bleepingcomputer.com/sUBs/ComboFix.exe - Hapus file temporary dan temporary internet file, untuk mempercepat proses penghapusan silahkan download tools berikut
http://majorgeeks.com/ATF_Cleaner_d4949.html - Hapus registry yang sudah dibuat oleh virus. Untuk mempercepat proses penghapusan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs,0, ""
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, ThunderAdvise
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, JavaView
- Untuk pembersihan optimal dan mencegah infeksi ulang gunakan antivirus yang dapat mendeteksi dan membasmi virus ini dengan baik.
Source : pingubian.wordpress.com, vaksin.com