Basmi tuntas Virus Sality

Posted in Virus Asing on Jan 31, 2012

Sality merupakan virus berjenis PE Infector (Polymorphic) yang menginfeksi file-file Executabe “exe”. Virus yang memiliki nama asli w32.Hllp.KukuJoker ini banyak dikeluhkan pengguna computer diseluruh dunia, terutama di indonesia banyak sekali pengguna komputer yang melaporkan telah terinfeksi oleh virus ini.

Virus ini masih belum jelas asal usulnya, dugaan sementara virus ini berasal dari cina, selain mempunyai kemampuan untuk menginfeksi file-file executable virus ini juga memilki kemampuan rootkit, sehingga selain sulit untuk dibersihkan dari system, file-file yang terinfeksi juga cukup sulit untuk diperbaiki,  menggunakan  beberapa tools  remover  dan antivirus  juga terkadang  malah  bisa  menimbulkan kerusakan pada file yang terinfeksi bahkan  bisa menghapusnya.

Beberapa Antivirus Luar mendeteksi Virus ini sebagai :

  • Malware.Sality [PCTools]
  • W32.Sality!dr [Symantec]
  • Virus.Win32.Sality.bh [Kaspersky Lab]
  • W32/Sality.dr [McAfee]
  • Troj/SalLoad-C [Sophos]
  • Virus:Win32/Sality.AT [Microsoft]
  • Win32.SuspectCrc [Ikarus]
  • Win32/Kashu.E [AhnLab]

 

Karakteristik Virus 

Jika kita lihat memang tidak terlalu banyak perbedaan antara file yang terinfeksi dengan file yang belum terinfeksi, yang membedakan hanyalah ukuran yang bertambah lebih besar dari ukuran sebelum terinfeksi, biasanya ukuran yang bertambah hanya beberapa KB saja. Bisa dilihat perbedaanya dari gambar dibawah ini.

Jika file terinfeksi tersebut dijalankan, maka file tersebut dapat berjalan seperti biasanya, sehingga user tidak mengira bahwa file yang ia jalankan tersebut telah terinfeksi virus, padahal dibalik itu virus sudah menetap di system.

Teknik yang digunakan virus sality adalah dengan membelokan EntryPoint asli file ke EntryPoint-nya virus, maka saat dijalankan virus yang terlebih dahulu aktif, baru kemudian virus meneruskan nya ke EntryPoint asli file yang terinfeksi, sehingga file yang dijalankan akan aktif seperti biasa nya.

 

Saat aktif virus akan membuat beberapa file induknya di system :

  • %Windir%\system32\drivers\<acak>.sys

Virus akan mengektrak file driver dari dalam tubuhnya dan menaruhnya disystem dengan nama acak, driver ini digunakan untuk bersembunyi di system. Contoh : amsint32.sys dan  iirktn.sys

 

  • %Windir%\System.ini

[MCIDRV_VER]

DEVICEMB=<random number>

 

  • HKCU\Software\<Acak>

Virus akan menambahkan key baru diregistry dengan nama acak contoh “HKCU\Software\Avcgr”, key yang dibuat ini juga mempunyai rutin-rutin tertentu.

 

  • Mutext

Virus akan membuat mutext pada setiap proses yang berjalan ini digunakan untuk menandakan bahwa thread virus sudah aktif pada setiap proses yang berjalan, mutext yang akan dibuatnya menyerupai nama proses yang di tumpangi nya :

<Nama Proses>M_<PID Proses>_

contoh nya : svchost.exeM_2168_

 

  • Firewall

Pada komputer terinfeksi virus menambahkan rule baru dalam daftar port yang di ijinkan, ini digunakan virus agar firewall windows tidak memblok koneksi yang akan dibuat oleh virus

 

  • Download Komponent virus lainya

Jika komputer korban terhubung dengan koenksi internet, virus akan berusaha mendownload komponen-komponen virus lainya, di beberapa situs yang sudah ditentukan oleh pembuatnya

 

Infeksi file Executable & Screen Saver

Virus akan mencari semua file berektensi ”.exe” & ”.scr” yang ada di seluruh drive computer korban  nya, jika virus menemukanya virus akan menginfeksinya dengan membelokan EntryPoint asli ke EntryPoint nya virus.

Sality mempunyai kemampuan untuk mengecek apakah file yang akan diinfeksi dilindungi oleh system atau tidak, jika file tersebut dilindungi oleh system maka sality tidak akan menginfeksinya,  seperti file-file yang dilindungi oleh Windows File Protection (WFP) atau System File Checker (SFC).

 

Infeksi Removeable Drive & Jaringan

Berbeda dengan teknik infeksi variant sebelumnya, variant sality kali ini memanfaatkan fitur Autorun untuk mempercepat penyebaranya. File Autorun yang digunakan virus memiliki nama dan ektensi acak (exe dan pif) . Seperti : xvftea.exe atau xvftea.pif, dan ukuranya sekitar 100 – 101 KB

Di jaringan virus juga akan menginfeksi setiap folder yang memiliki FULL ACCESS Read & Write, dengan membuat sebuah shortcut exploit yang akan langsung aktif apabila user memasuki folder yang sudah terdapat shortcut exploit tersebut.

 

Menghapus File

Sality akan mencari file berektensi “.VDB” dan “.AVC” jika ditemukan akan langsung dihapus. Ektensi file ini biasanya digunakan oleh beberapa antivirus untuk menyimpan database virus.

 

Block Website

Sality akan memblock website atau domain yang mengandung kata seperti :

upload_virus , sality-remov, virusinfo.  cureit. drweb. onlinescan. spywareinfo. ewido. virusscan. windowsecurity.  spywareguide. bitdefender. pandasoftware. agnmitum.  virustotal.sophos.  trendmicro.  etrust.com symantec.  mcafee. f-secure. eset.com, kaspersky. dll

 

Menghapus Registry Key

Untuk mempertahankan dirinya virus menghapus beberapa key di registry yang dianggap mebahayakan kehidupan virus.

  • HKCU\System\CurrentControlSet\Control\SafeBoot
  • HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
  • HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Effek dari beberapa key yang dihapus diatas membuat user tidak dapat memasuki modus SAFE MODE

Blue Screen saat mengakses SAFE MODE

Mensetting registry agar tidak menampilkan file yang dihidden

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2

Selain itu sality mengunci akses ke Task Manager & Registry Tools

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr =dword:00000001

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools =dword:00000001

Cara Pembersihan

1. Untuk membersihkan virus ini secara tuntas, download tool removal sality dari kaspersky dibawah ini :

Isi dari file download Sality Killer

 2. Kemudian ektrak lah semua file yang ada didalam ZIP tersebut ke dalam folder baru, kemudian jalankan file SalityCure.bat

 

 

3. Setelah dijalankan proses scanning akan langsung tampil, harap diperhatikan SELAMA PROSES PEMBERSIHAN SEDANG BERLANGSUNG, JANGAN PERNAH MENJALANKAN APLIKASI SEBELUM PROSES PEMBERSIHAN SELESAI, untuk mencegah virus kembali aktif, saat menjalankan file terinfeksi yang belum sempat dibersihkan.

Proses pembersihan sedang berjalan

4. Terakhir gunakan Smadav Revisi terbaru untuk memperbaiki Registry yang telah dirusak oleh virus sality.

 

Centang folder dan drive yang akan di scan, dan juga jangan lupa berikan centang pada bagian Syatem Area Deep (Over 1500 registry value), untuk memperbaiki registry yang telah rusak oleh virus, selanjutnya tekan tombol SCAN

Tunggu hingga proses perbaikan selesai, jika dialog pesan seperti diatas muncul tekan tombol OK dan terakhir tekan tombol Bersihkan

 

Kemudian Restart komputer

 

!!! Ok Selamat mencoba !!!

 

109 Responses to “Basmi tuntas Virus Sality”


  1. Excellent post. I used to be checking continuously this blog and
    I am impressed! Extremely useful information specifically the closikng section :) I cwre for such information much.
    I was seeking this certain info for a very lengthy time.
    Thanks and best oof luck.

  2. windar says:

    wahh. terima kasi bang.. izin memperluaskan ya bang untuk di share juga sama teman2

  3. Hafidz says:

    Postingan yang sangat bermanfaat, Terimakasih infonya.. Komputer ku sudah bersih dari virus sality :D

  4. Sufyan says:

    autorun masih nempel di widows xp

  5. Yoga says:

    cukup membantu, trims ya. Saya lebih suka basmi virus cara cepat dan mudah gak berbelit-belit, fyuuughh kalo harus teknis banget sampe ngutak-ngatik registry, gak cukup waktu saya, habis dikerjaan.

  6. Adin Makassar says:

    thanx gan atas helpful info nya. It worked …

  7. fachrul says:

    alhamdulilah virus sality berhasil hilang..thanks ya..
    tapi sekarang muncul runtime error..ada solusinya kah??mohon bantuannya..

  8. vrentho says:

    makasih infonya, udah 3 hari aku stress dengan virus ini. patut dicoba. makasih ya.. smoga anda diberkati

  9. mas'al says:

    semuanya sich sukses
    tapi ram ane jadi soak

  10. agung says:

    mas udh ngelakuin cra di atas tpi ko saat d scan menggunakan smadav tulisannya komputer anda baik2 saja
    padahal saat d scan menggunakan sality killer ada 47 file terdekteksi

  11. Karashi says:

    Mas , file” yang diinfeksi emang bersih , tapi regedit ama beberapa file lain ga bisa di bersihin gimana ya ?

  12. Rizka says:

    :( udah ngikutin cara di atas .. virus nya ilang tapi -.- drive C sam drive D ga bisa dibukaa :( gimanaa donk ? pleaseee bantuuu

  13. Emerald says:

    Makasih mas bro, ane udah pusing karna nih virus..
    Semoga jadi amal jariah buat ente..
    Amin

  14. sofa says:

    wlopun terlmbat lihat info ini, tetap thanks yea untuk infonya,,, :)
    pertamanya gara” virus ini laptop smpe diformat ulang dan data” yg pnting rusak smua…
    flasdish pun sm jg terserang virus ini, tp setelah baca info ini, flasdish jd bersih dari virus dan bisa digunakan kembali,,,
    skali lagi thanks yea,,, semoga besok’ virus ini tidak muncul lg,,

  15. sality killer cmd ini lama banget bro :D kira2 selesainya berapa hari yak?terus di CMD itu kl udh selesai pencet apa tuh? :/

    • nocrime says:

      bentar kok gak nyampe se jam
      tpi tergantung sih klo banyak aplikasinya makin lama
      klo udah beres pencet apa aja bebas nanti juga lsg kluar dari CMD nya
      :D

  16. eko says:

    KAlangkong mas bro…. matur Nuwunnnnnnnnnnnnnnnnnnnnnnnnnnn

  17. mia says:

    wah… keren nih infonya, tadinya sih sempat ragu, habis pada saat scan virus tiba2 pemberitahuan adanya virus sering muncul berkali-kali di AVG, tp diikutin aja sarannya sampai selesai…sampai 2 x scan smadav, pertama sih muncul “maaf komputer anda sedang dalam keadaan jelek 2 file virus”, habis itu saya restart komputernya, lalu begitu nyala kembali saya scan smadav ulang dan hasilnya bersih dari virus….
    terimasih yah atas infonya semoga besok2 nih virus gak nongol-nongol lagi…thanks.

  18. Aan Jogja says:

    Makasih..Makasih..Makasih Banyak Mas Bro..!!
    Awalnya Sempat Frustasi Gara2 Komputer Terinfeksi Virus Sality..!!
    Berkali-kali Instal Ulang.., Eh Tetap Aja Sama.., Si Saly Gak Ilang2..!!
    Berkat Tips Artikel ini.., Alhamdulillah Akhirnya Saly Go To Hell..!!
    Mantap Keren..!!
    Matur Suwun Mas Bro..!! Sukses Selalu..!!

  19. NaueN says:

    Walaupun saya pakai Linux, tapi saya download nih antivirus, buat temen2 yg pakai Windows, agar mereka terhindar dari virus,

    Dan, nice info, jd tmbh ilmu nih,
    Maju terus smadav,

  20. yoga putra says:

    kapan nih smadav 9.1 terbit dah lamanih…………………………………………….cepetan terbit ya…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

  21. antosuko says:

    ni posting menurut gue paling membantu
    tengkyu gan mau berbagi

  22. Candra says:

    Thanks gan, kesel banget ni sama virus sality.. Hmmm
    ane coba dulu deh siapa tau bisa membasmi :)

  23. anto says:

    Mas Bro klo pas scaning trus antivirusnya ngedetect virus mulu gmn?? g selesai2 jadinya scan salitynya…. Mohon infonya tq…

  24. iwan says:

    ini dia yg mematikan win7 ku…sialan kao…sekarang gw tau cara matiinya…
    jangan harap lo dateng ke PC gw….

    Smadav keren pisan EUI….trimakasih banyak infonya…

  25. key says:

    luar biasa
    ini nih yang namanya sharing berguna :)
    Tq yeh

  26. mocha says:

    terrimakasih infonya
    bermanfaat sekali

  27. mocha says:

    makasih atas infonya
    bermanfaat sekali

  28. ali says:

    tnxsss bgt gan

  29. bima jp says:

    proses salitykiller nya slesai gmbar gmna gan,,lama banget???

  30. laudya says:

    kalau virus selain virus sality ada virus lain (autorun.inf dan ramnit),aman nggak kalau nyembuhin virus sality dgn cara diatas?thx

  31. Ikrar Waskitarana says:

    kok lama ya prosesnya???

  32. smadaver says:

    Saya scan laptop saya memakai smadav, smadav saya menemukan virus sality trus saya ingin membersihkannya tapi tidak bisa.. gimana caranya? :’(

  33. Smadaver says:

    Kapan nih update smadavnya? sudah 3 bulan tidak ada update? Semoga tambah bagus uppdatenya

  34. wtriehatmojo says:

    terimakasih smadav. sangat membantu sekali

  35. ahmad Ridwan says:

    Mantap akhirnya saya tau solusinya ok

  36. naufal nathan says:

    sangat cerdas penjelasannya,thank’s

  37. ruday says:

    terimakasih banyak ilmunya,,
    LANJUTKAN dan terus berkarya untuk tambah lebih banyak databasenya

  38. Hendra says:

    trimakasih ilmunya ^^
    Alhamdulillah bermanfaat !

  39. Muktiadi says:

    Hatur thenkyou juga a
    juga izin copas,, :D

  40. hasan basri says:

    hatur tenkyu ya kk sudah di beri tahu solusinya..:))))

  41. adityadmin says:

    sangat bermanfaat tetap semangat membantai virus kakak.. \(n.n,)/

  42. arman says:

    tehx ya kk computer aq juga kenak virus yg sama

  43. kiko says:

    waduh, komputer saya ternyata kena sality, baru aja tadi di install ulang..

  44. rahmat says:

    posting yang bermanfaat, izin copas ya..
    tengkyu


Trackbacks/Pingbacks

  1. Sality…Apa nama ini berkesan untuk anda? « share everything useful 29 08 12
  2. Basmi Tuntas Sality Virus 2012 | Wayjar' Blog 26 02 12

Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Sun, 05:54 pm

    Rahayubudi: Saya sangat mengapresiasi keberadaan Smadav yang mencerminkan nasionalisme kalangan anak muda indonesia yg diwujudkan dgn kepedulian yg luar biasa bagi perkembangan bangsanya khususnya di bidang [...]

    M. Zainudin Arif: smadav memang hebat... saya sangat terbantu dlm proses scanning usb walaupun masih menggunakan Smadav free. thanks very much

    Rector: I like they way it works

    jessie kanda: this is a best USB protection offline antivirus I have used. keep updating

    Dani Djawa, kupang-NTT: mantap, Smadav sudah bisa menolong komputer kita dari serangan virus2 lokal.... sebagai bangsa yang besar, kita harus bangga dengan karya anak bangsa sendiri

    mustapha john: i've been using smadav since 2009 and i didn't regret it.Its good and protects my PC for all the devices i connect to my system.

    Wildan Anrian: Kita harus bangga dengan produk asli indonesia, salah satunya adalah antivirus yang tokcer ini SMADAV, mampu membasmi/membunuh virus-virus lokal yang nakal-nakal, satu yang saya [...]

    musyafa: setiap ada versi terbaru,pasti saya update. SMADAV Pancen OKE

    Mapepula Breven: I have used SMADAV for 0ne year and it has protected my PC. SMADAV team please keep it we love you from Zambia

    MOHAMAD HAMIM: matur nuwun saya selalu menguptade smadav sehingga laptop saya aman dari virus lokal, sukron

    » Tuliskan komentar Anda :