Basmi tuntas Virus Sality

Posted in Virus Asing on Jan 31, 2012

Sality merupakan virus berjenis PE Infector (Polymorphic) yang menginfeksi file-file Executabe “exe”. Virus yang memiliki nama asli w32.Hllp.KukuJoker ini banyak dikeluhkan pengguna computer diseluruh dunia, terutama di indonesia banyak sekali pengguna komputer yang melaporkan telah terinfeksi oleh virus ini.

Virus ini masih belum jelas asal usulnya, dugaan sementara virus ini berasal dari cina, selain mempunyai kemampuan untuk menginfeksi file-file executable virus ini juga memilki kemampuan rootkit, sehingga selain sulit untuk dibersihkan dari system, file-file yang terinfeksi juga cukup sulit untuk diperbaiki,  menggunakan  beberapa tools  remover  dan antivirus  juga terkadang  malah  bisa  menimbulkan kerusakan pada file yang terinfeksi bahkan  bisa menghapusnya.

Beberapa Antivirus Luar mendeteksi Virus ini sebagai :

  • Malware.Sality [PCTools]
  • W32.Sality!dr [Symantec]
  • Virus.Win32.Sality.bh [Kaspersky Lab]
  • W32/Sality.dr [McAfee]
  • Troj/SalLoad-C [Sophos]
  • Virus:Win32/Sality.AT [Microsoft]
  • Win32.SuspectCrc [Ikarus]
  • Win32/Kashu.E [AhnLab]

 

Karakteristik Virus 

Jika kita lihat memang tidak terlalu banyak perbedaan antara file yang terinfeksi dengan file yang belum terinfeksi, yang membedakan hanyalah ukuran yang bertambah lebih besar dari ukuran sebelum terinfeksi, biasanya ukuran yang bertambah hanya beberapa KB saja. Bisa dilihat perbedaanya dari gambar dibawah ini.

Jika file terinfeksi tersebut dijalankan, maka file tersebut dapat berjalan seperti biasanya, sehingga user tidak mengira bahwa file yang ia jalankan tersebut telah terinfeksi virus, padahal dibalik itu virus sudah menetap di system.

Teknik yang digunakan virus sality adalah dengan membelokan EntryPoint asli file ke EntryPoint-nya virus, maka saat dijalankan virus yang terlebih dahulu aktif, baru kemudian virus meneruskan nya ke EntryPoint asli file yang terinfeksi, sehingga file yang dijalankan akan aktif seperti biasa nya.

 

Saat aktif virus akan membuat beberapa file induknya di system :

  • %Windir%\system32\drivers\<acak>.sys

Virus akan mengektrak file driver dari dalam tubuhnya dan menaruhnya disystem dengan nama acak, driver ini digunakan untuk bersembunyi di system. Contoh : amsint32.sys dan  iirktn.sys

 

  • %Windir%\System.ini

[MCIDRV_VER]

DEVICEMB=<random number>

 

  • HKCU\Software\<Acak>

Virus akan menambahkan key baru diregistry dengan nama acak contoh “HKCU\Software\Avcgr”, key yang dibuat ini juga mempunyai rutin-rutin tertentu.

 

  • Mutext

Virus akan membuat mutext pada setiap proses yang berjalan ini digunakan untuk menandakan bahwa thread virus sudah aktif pada setiap proses yang berjalan, mutext yang akan dibuatnya menyerupai nama proses yang di tumpangi nya :

<Nama Proses>M_<PID Proses>_

contoh nya : svchost.exeM_2168_

 

  • Firewall

Pada komputer terinfeksi virus menambahkan rule baru dalam daftar port yang di ijinkan, ini digunakan virus agar firewall windows tidak memblok koneksi yang akan dibuat oleh virus

 

  • Download Komponent virus lainya

Jika komputer korban terhubung dengan koenksi internet, virus akan berusaha mendownload komponen-komponen virus lainya, di beberapa situs yang sudah ditentukan oleh pembuatnya

 

Infeksi file Executable & Screen Saver

Virus akan mencari semua file berektensi ”.exe” & ”.scr” yang ada di seluruh drive computer korban  nya, jika virus menemukanya virus akan menginfeksinya dengan membelokan EntryPoint asli ke EntryPoint nya virus.

Sality mempunyai kemampuan untuk mengecek apakah file yang akan diinfeksi dilindungi oleh system atau tidak, jika file tersebut dilindungi oleh system maka sality tidak akan menginfeksinya,  seperti file-file yang dilindungi oleh Windows File Protection (WFP) atau System File Checker (SFC).

 

Infeksi Removeable Drive & Jaringan

Berbeda dengan teknik infeksi variant sebelumnya, variant sality kali ini memanfaatkan fitur Autorun untuk mempercepat penyebaranya. File Autorun yang digunakan virus memiliki nama dan ektensi acak (exe dan pif) . Seperti : xvftea.exe atau xvftea.pif, dan ukuranya sekitar 100 – 101 KB

Di jaringan virus juga akan menginfeksi setiap folder yang memiliki FULL ACCESS Read & Write, dengan membuat sebuah shortcut exploit yang akan langsung aktif apabila user memasuki folder yang sudah terdapat shortcut exploit tersebut.

 

Menghapus File

Sality akan mencari file berektensi “.VDB” dan “.AVC” jika ditemukan akan langsung dihapus. Ektensi file ini biasanya digunakan oleh beberapa antivirus untuk menyimpan database virus.

 

Block Website

Sality akan memblock website atau domain yang mengandung kata seperti :

upload_virus , sality-remov, virusinfo.  cureit. drweb. onlinescan. spywareinfo. ewido. virusscan. windowsecurity.  spywareguide. bitdefender. pandasoftware. agnmitum.  virustotal.sophos.  trendmicro.  etrust.com symantec.  mcafee. f-secure. eset.com, kaspersky. dll

 

Menghapus Registry Key

Untuk mempertahankan dirinya virus menghapus beberapa key di registry yang dianggap mebahayakan kehidupan virus.

  • HKCU\System\CurrentControlSet\Control\SafeBoot
  • HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
  • HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Effek dari beberapa key yang dihapus diatas membuat user tidak dapat memasuki modus SAFE MODE

Blue Screen saat mengakses SAFE MODE

Mensetting registry agar tidak menampilkan file yang dihidden

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2

Selain itu sality mengunci akses ke Task Manager & Registry Tools

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr =dword:00000001

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools =dword:00000001

Cara Pembersihan

1. Untuk membersihkan virus ini secara tuntas, download tool removal sality dari kaspersky dibawah ini :

Isi dari file download Sality Killer

 2. Kemudian ektrak lah semua file yang ada didalam ZIP tersebut ke dalam folder baru, kemudian jalankan file SalityCure.bat

 

 

3. Setelah dijalankan proses scanning akan langsung tampil, harap diperhatikan SELAMA PROSES PEMBERSIHAN SEDANG BERLANGSUNG, JANGAN PERNAH MENJALANKAN APLIKASI SEBELUM PROSES PEMBERSIHAN SELESAI, untuk mencegah virus kembali aktif, saat menjalankan file terinfeksi yang belum sempat dibersihkan.

Proses pembersihan sedang berjalan

4. Terakhir gunakan Smadav Revisi terbaru untuk memperbaiki Registry yang telah dirusak oleh virus sality.

 

Centang folder dan drive yang akan di scan, dan juga jangan lupa berikan centang pada bagian Syatem Area Deep (Over 1500 registry value), untuk memperbaiki registry yang telah rusak oleh virus, selanjutnya tekan tombol SCAN

Tunggu hingga proses perbaikan selesai, jika dialog pesan seperti diatas muncul tekan tombol OK dan terakhir tekan tombol Bersihkan

 

Kemudian Restart komputer

 

!!! Ok Selamat mencoba !!!

 

 

270 Responses to “Basmi tuntas Virus Sality”


  1. It’s awesome in support of me to have a site, which is good in support of my knowledge. thanks admin

     
  2. Hello everyone, it’s my first visit at this website, and piece of writing is genuinely fruitful in favor of me, keep up posting such content.

     
  3. Kenny Suttor says:

    I enjoy what you guys are usually up too. This type of clever work and coverage! Keep up the good works guys I’ve included you guys to blogroll.

     
  4. Hello there, You have done a great job. I’ll certainly digg it and personally recommend to my friends. I’m confident they’ll be benefited from this site.

     
  5. I have been exploring for a bit for any high-quality articles or blog posts in this sort of house . Exploring in Yahoo I at last stumbled upon this site. Studying this information So i am satisfied to convey that I’ve a very just right uncanny feeling I discovered exactly what I needed. I most without a doubt will make sure to don?t disregard this site and give it a look regularly.

     
  6. I am truly grateful to the owner of this website who has shared this enormous post at at this place.

     
  7. I read this paragraph completely on the topic of the resemblance of most up-to-date and preceding technologies, it’s amazing article.

     
  8. Amazing! Its in fact remarkable article, I have got much clear idea regarding from this post.

     
  9. Amy Rather says:

    Wonderful, what a web site it is! This website gives valuable information to us, keep it up.

     
  10. It’s amazing in support of me to have a site, which is helpful for my experience. thanks admin

     
  11. Joycelyn Gee says:

    Hi there, constantly i used to check weblog posts here early in the morning, as i enjoy to learn more and more.

     
  12. you’re in reality a just right webmaster. The website loading speed is amazing. It sort of feels that you are doing any distinctive trick. Moreover, The contents are masterwork. you have performed a fantastic job in this matter!

     
  13. Very good info. Lucky me I ran across your website by chance (stumbleupon). I have saved it for later!

     
  14. Please let me know if you’re looking for a writer for your blog. You have some really good articles and I feel I would be a good asset. If you ever want to take some of the load off, I’d absolutely love to write some material for your blog in exchange for a link back to mine. Please blast me an e-mail if interested. Thanks!

     
  15. I’m excited to uncover this website. I wanted to thank you for your time just for this fantastic read!! I definitely savored every part of it and i also have you saved as a favorite to look at new stuff in your site.

     
  16. Conrad Dacey says:

    Nice post. I learn something new and challenging on sites I stumbleupon every day. It will always be exciting to read through content from other writers and use a little something from other websites.

     
  17. Hey! This is my first comment here so I just wanted to give a quick shout out and tell you I truly enjoy reading your posts. Can you suggest any other blogs/websites/forums that deal with the same topics? Thank you so much!

     
  18. If some one desires expert view on the topic of blogging after that i advise him/her to visit this weblog, Keep up the nice job.

     
  19. Very good info. Lucky me I found your blog by accident (stumbleupon). I have bookmarked it for later!

     
  20. Judi Preiss says:

    Pretty great post. I just stumbled upon your blog and wished to say that I have truly loved surfing around your blog posts. After all I will be subscribing for your rss feed and I’m hoping you write once more very soon!

     
  21. Every weekend i used to pay a visit this web page, for the reason that i wish for enjoyment, for the reason that this this site conations actually good funny information too.

     
  22. Great beat ! I wish to apprentice while you amend your website, how can i subscribe for a blog website? The account helped me a acceptable deal. I had been tiny bit acquainted of this your broadcast offered bright clear idea

     
  23. Helpful info. Lucky me I discovered your web site unintentionally, and I’m shocked why this twist of fate did not happened in advance! I bookmarked it.

     
  24. Lida Coyle says:

    Hello to all, the contents existing at this web page are actually awesome for people knowledge, well, keep up the nice work fellows.

     
  25. Good blog you have here.. It’s hard to find excellent writing like yours these days. I seriously appreciate people like you! Take care!!

     
  26. Chana Dorman says:

    magnificent submit, very informative. I’m wondering why the opposite specialists of this sector don’t notice this. You must continue your writing. I’m confident, you’ve a great readers’ base already!

     
  27. Remarkable! Its actually remarkable article, I have got much clear idea on the topic of from this article.

     


Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Fri, 03:24 am

    collins ofori: not bad is very good

    araya seb: thanks I love it ur work

    samuel makiyani: I like smadav

    mosty hamoonga: excellent virus

    yoyo: it s good

    geraldine: is ok, thats what i use

    joyce: this good

    david bravo: its good

    Mrozvi: i like it wen it comes to laptop protection

    oscar: i like smadov coz it protect my laptop

    » Tuliskan komentar Anda :