Posting ini tak ada kaitannya sama sekali dengan
unsur religius yang sangat erat di bulan Ramadhan ini, namun virus juga
bisa menjadi ‘sok religius’, seperti virus SmallTroj.BEPS, yang dibuat
dengan menggunakan bahasa pemrograman VBScript. Berikut tulisan dalam
isi virus :
EXTR3M3
Selamat Datang !
Perhatian ! b-(
Kapan
manusia akan sadar ? Insaf kembali kepada jalan yang benar. Gempa,
banjir, Tsunami, bukankah pertanda kiamat? Tapi selain itu, sekarang
banyak tanda-tanda kiamat lain yang sudah terlihat, bahkan akan
terjadi. Jika Anda seorang muslim yang beriman dan bertaqwa kepada
Allah SWT. Kenapa harus takut mencegah perbuatan tercela? Satu orang
berbuat maksiat, semua akan mendapat malapetaka!
Apabila bumi
diguncangkan dengan goncangan (yang dashyat), dan bumi telah
mengeluarkan beban-beban berat (yang dikandung)nya, dan manusia
bertanya: Mengapa bumi (menjadi begini)?, pada hari itu bumi
menceritakan beritanya, karena sesungguhnya Tuhanmu telah memerintahkan
(yang sedemikian itu) kepadanya. Pada hari itu manusia ke luar dari
kuburnya dalam keadaan bermacam-macam, supaya diperlihatkan kepada
mereka (belasan) pekerjaan mereka. Barangsiapa yang mengerjakan
kebaikan seberat dzarrahpun, niscaya dia akan melihat (balasan)nya. Dan
barangsiapa yang mengerjakan kejahatan dzarrahpun, niscaya dia akan
melihat (balasan)nya pula (QS. Al Zalzalah: 1 -
Ciri-ciri komputer terinfeksi virus SmallTroj.BEPS menurut Vaksin.com:
* Halaman utama [Intenet Explorer] menjadi bentuk file C:WindowsHelpLog.html
* Judul [Internet Explorer] menjadi “Kiamat Sudah Dekat ! by – EXTR3M3-
* Menampilkan program kalkulator pada saat menjalankan “notepad.exe” “rstrui.exe”
[system restore]
*
Beberapa file bawaan Windows seperti regedit.exe, msconfig.exe,
rstrui.exe [System Restore] dan program Notepad akan dihapus, dan
diganti dengan CALC.exe, kecuali file TaskMgr.exe dan Regedit.exe.
* Semua file yang ada di [C:Wndowstemp] akan dihapus, dan jika diakses akan
muncul aplikasi MS DOS.
*
Menampilkan pesan di file [C:Windowsquery.log], dan dalam bentuk file
HTML, yang di simpan di direktori [C:WindowsHelplog.HTML]
* Membuat Task Scheduler yang akan menjalankan file virus di direktori [C:Windowssystem32log.wri].
*
Terdapat 2 buah file dengan nama [Autorun.inf] dan [CewekGirls.exe] di
flashdisk atau drive lain yang berukuran 151 KB, yang akan di aktifkan
secara otomatis setiap kali user mengakses Flash Disk tersebut
* Trik memberisihkan virus SmallTroj.BEPS ini :
* Putuskan jaringan ke komputer yang terinfeksi
* Matikan WSCRIPT.exe di Task Manager atau tool pengganti Task Manager, yang
dapat di-download di alamat
*
http://download.sysinternals.com/Files/Process
Explorer.zip
* Copy script berikut pada program [Wordpad], lalu simpan dengan nama file REPAIR.INF
* Klik kanan Repair.INF, lalu install file tersebut
Berikut script yang harus di-copy :
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SoftwareCLASSESbatfileshellopencommand,,,"&qu ot;"%1"" %*"
HKLM, SoftwareCLASSEScomfileshellopencommand,,,"&qu ot;"%1"" %*"
HKLM, SoftwareCLASSESexefileshellopencommand,,,"&qu ot;"%1"" %*"
HKLM, SoftwareCLASSESpiffileshellopencommand,,,"&qu ot;"%1"" %*"
HKLM, SoftwareCLASSESregfileshellopencommand,,,"reg edit.exe "%1""
HKLM, SoftwareCLASSESscrfileshellopencommand,,,"&qu ot;"%1"" %*"
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, Shell,0, "Explorer.exe"
HKCU, SoftwareMicrosoftInternet ExplorerMain, Start Page,0, "about:blank"
HKLM, SYSTEMControlSet001ControlSafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEMCurrentControlSetControlSafeBoot, AlternateShell,0, "cmd.exe"
HKCU, SoftwareMicrosoftWindowsCurrentVersionExplorerAdva nced, HideFileExt,0x00010001,0
HKLM,
SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdva
ncedFolderHiddenNOHIDDEN, text,0, "Do not show hidden files and
folders"
HKLM,
SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdva
ncedFolderHiddenSHOWALL, Text,0, "Show hidden files and folders"
HKCU, Control PanelDesktop, MenuShowDelay,0, "400"
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExpl orerAdvanced,
Hidden ,0x00010001,1
HKCU, SoftwareMicrosoftWindowsCurrentVersionExplorerAdva nced, FolderContentsInfoTip,
0x00010001,1
HKCU, SoftwareMicrosoftWindowsCurrentVersionExplorerAdva nced, ShowSuperHidden,
0x00010001,1
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExpl orer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionpoliciesExpl orer, NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesSyst em,DisableRegistryTools
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesSyst em,DisableCMD
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesSyst em,DisableTaskMgr
HKLM, SoftwareMicrosoftWindowsCurrentVersionPoliciesSyst em,DisableTaskMgr
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExpl orer,NoFolderOptions
HKLM, SoftwareMicrosoftWindowsCurrentVersionPoliciesExpl orer,NoFolderOptions
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExpl orer,NoRun
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExpl orer,NoFind
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExpl orer,NoControlPanel
HKCU, SoftwareMicrosoftInternet ExplorerMain, Window Title
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesWinO ldApp, Disabled
Hapus File virus berikut :
C:Documents and Settings%user%My DocumentsCeweGirls.exe
C:Windowssystem32ulib.dll
C:Windowssystem32atrun.dll
C:Windowssystem32pconfig.EXE
C:Windowssystem32illegal.vbs
C:Windowssystem32SetupAdmin.dll
C:Windowssystem32cewek.dll
C:Windowssystem32girl.dll
C:Windowssystem32log.wri
C:WindowsHelplog.HTML
C:Windowsquery.log
C:WindowstaskAT%1% (catatan : %1% menunjukan angka [AT1 – AT7]
Hapus juga file [Autorun.inf] dan [CewekGirls.exe] yang ada di drive lain termasuk
Flash Disk
Copy ulang file yang telah dihapus oleh virus dari komputer dengan OS yang sama
yang tidak terinfeksi.
C:WindowsRegedit.exe
C:WindowsSystem32Notepad.exe
C:WindowsSystem32TaskMgr.exe
C:WIndowsPCHealthHelpCtrBinariesmsconfig.exe
C:Windowssystem32restorerstrui.exe
Untuk
pencegahan infeksi ulang, update antivirus secara berkala atau download
Norman_Malware_Cleaner
(normanasa.vo.llnwd.net/o29/public/Norman_Malware_C leaner.exe).
Sumber :
http://purworejoforum.friendhood.net
