Basmi tuntas Virus Sality
Sality merupakan virus berjenis PE Infector (Polymorphic) yang menginfeksi file-file Executabe “exe”. Virus yang memiliki nama asli w32.Hllp.KukuJoker ini banyak dikeluhkan pengguna computer diseluruh dunia, terutama di indonesia banyak sekali pengguna komputer yang melaporkan telah terinfeksi oleh virus ini.
Virus ini masih belum jelas asal usulnya, dugaan sementara virus ini berasal dari cina, selain mempunyai kemampuan untuk menginfeksi file-file executable virus ini juga memilki kemampuan rootkit, sehingga selain sulit untuk dibersihkan dari system, file-file yang terinfeksi juga cukup sulit untuk diperbaiki, menggunakan beberapa tools remover dan antivirus juga terkadang malah bisa menimbulkan kerusakan pada file yang terinfeksi bahkan bisa menghapusnya.
Beberapa Antivirus Luar mendeteksi Virus ini sebagai :
- Malware.Sality [PCTools]
- W32.Sality!dr [Symantec]
- Virus.Win32.Sality.bh [Kaspersky Lab]
- W32/Sality.dr [McAfee]
- Troj/SalLoad-C [Sophos]
- Virus:Win32/Sality.AT [Microsoft]
- Win32.SuspectCrc [Ikarus]
- Win32/Kashu.E [AhnLab]
Karakteristik Virus
Jika kita lihat memang tidak terlalu banyak perbedaan antara file yang terinfeksi dengan file yang belum terinfeksi, yang membedakan hanyalah ukuran yang bertambah lebih besar dari ukuran sebelum terinfeksi, biasanya ukuran yang bertambah hanya beberapa KB saja. Bisa dilihat perbedaanya dari gambar dibawah ini.
Jika file terinfeksi tersebut dijalankan, maka file tersebut dapat berjalan seperti biasanya, sehingga user tidak mengira bahwa file yang ia jalankan tersebut telah terinfeksi virus, padahal dibalik itu virus sudah menetap di system.
Teknik yang digunakan virus sality adalah dengan membelokan EntryPoint asli file ke EntryPoint-nya virus, maka saat dijalankan virus yang terlebih dahulu aktif, baru kemudian virus meneruskan nya ke EntryPoint asli file yang terinfeksi, sehingga file yang dijalankan akan aktif seperti biasa nya.
Saat aktif virus akan membuat beberapa file induknya di system :
- %Windir%\system32\drivers\<acak>.sys
Virus akan mengektrak file driver dari dalam tubuhnya dan menaruhnya disystem dengan nama acak, driver ini digunakan untuk bersembunyi di system. Contoh : amsint32.sys dan iirktn.sys
- %Windir%\System.ini
[MCIDRV_VER]
DEVICEMB=<random number>
- HKCU\Software\<Acak>
Virus akan menambahkan key baru diregistry dengan nama acak contoh “HKCU\Software\Avcgr”, key yang dibuat ini juga mempunyai rutin-rutin tertentu.
- Mutext
Virus akan membuat mutext pada setiap proses yang berjalan ini digunakan untuk menandakan bahwa thread virus sudah aktif pada setiap proses yang berjalan, mutext yang akan dibuatnya menyerupai nama proses yang di tumpangi nya :
<Nama Proses>M_<PID Proses>_
contoh nya : svchost.exeM_2168_
- Firewall
Pada komputer terinfeksi virus menambahkan rule baru dalam daftar port yang di ijinkan, ini digunakan virus agar firewall windows tidak memblok koneksi yang akan dibuat oleh virus
- Download Komponent virus lainya
Jika komputer korban terhubung dengan koenksi internet, virus akan berusaha mendownload komponen-komponen virus lainya, di beberapa situs yang sudah ditentukan oleh pembuatnya
Infeksi file Executable & Screen Saver
Virus akan mencari semua file berektensi ”.exe” & ”.scr” yang ada di seluruh drive computer korban nya, jika virus menemukanya virus akan menginfeksinya dengan membelokan EntryPoint asli ke EntryPoint nya virus.
Sality mempunyai kemampuan untuk mengecek apakah file yang akan diinfeksi dilindungi oleh system atau tidak, jika file tersebut dilindungi oleh system maka sality tidak akan menginfeksinya, seperti file-file yang dilindungi oleh Windows File Protection (WFP) atau System File Checker (SFC).
Infeksi Removeable Drive & Jaringan
Berbeda dengan teknik infeksi variant sebelumnya, variant sality kali ini memanfaatkan fitur Autorun untuk mempercepat penyebaranya. File Autorun yang digunakan virus memiliki nama dan ektensi acak (exe dan pif) . Seperti : xvftea.exe atau xvftea.pif, dan ukuranya sekitar 100 – 101 KB
Di jaringan virus juga akan menginfeksi setiap folder yang memiliki FULL ACCESS Read & Write, dengan membuat sebuah shortcut exploit yang akan langsung aktif apabila user memasuki folder yang sudah terdapat shortcut exploit tersebut.
Menghapus File
Sality akan mencari file berektensi “.VDB” dan “.AVC” jika ditemukan akan langsung dihapus. Ektensi file ini biasanya digunakan oleh beberapa antivirus untuk menyimpan database virus.
Block Website
Sality akan memblock website atau domain yang mengandung kata seperti :
upload_virus , sality-remov, virusinfo. cureit. drweb. onlinescan. spywareinfo. ewido. virusscan. windowsecurity. spywareguide. bitdefender. pandasoftware. agnmitum. virustotal.sophos. trendmicro. etrust.com symantec. mcafee. f-secure. eset.com, kaspersky. dll
Menghapus Registry Key
Untuk mempertahankan dirinya virus menghapus beberapa key di registry yang dianggap mebahayakan kehidupan virus.
- HKCU\System\CurrentControlSet\Control\SafeBoot
- HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
- HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList
- HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
- HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
- HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Effek dari beberapa key yang dihapus diatas membuat user tidak dapat memasuki modus SAFE MODE
Blue Screen saat mengakses SAFE MODE
Mensetting registry agar tidak menampilkan file yang dihidden
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2
Selain itu sality mengunci akses ke Task Manager & Registry Tools
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr =dword:00000001
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools =dword:00000001
Cara Pembersihan
1. Untuk membersihkan virus ini secara tuntas, download tool removal sality dari kaspersky dibawah ini :
Isi dari file download Sality Killer
2. Kemudian ektrak lah semua file yang ada didalam ZIP tersebut ke dalam folder baru, kemudian jalankan file SalityCure.bat
3. Setelah dijalankan proses scanning akan langsung tampil, harap diperhatikan SELAMA PROSES PEMBERSIHAN SEDANG BERLANGSUNG, JANGAN PERNAH MENJALANKAN APLIKASI SEBELUM PROSES PEMBERSIHAN SELESAI, untuk mencegah virus kembali aktif, saat menjalankan file terinfeksi yang belum sempat dibersihkan.
Proses pembersihan sedang berjalan
4. Terakhir gunakan Smadav Revisi terbaru untuk memperbaiki Registry yang telah dirusak oleh virus sality.
Centang folder dan drive yang akan di scan, dan juga jangan lupa berikan centang pada bagian Syatem Area Deep (Over 1500 registry value), untuk memperbaiki registry yang telah rusak oleh virus, selanjutnya tekan tombol SCAN
Tunggu hingga proses perbaikan selesai, jika dialog pesan seperti diatas muncul tekan tombol OK dan terakhir tekan tombol Bersihkan
Kemudian Restart komputer
!!! Ok Selamat mencoba !!!
tanya mas autorun tu virus ato lainnya? soalnya mencurigakan e mas….
[smad_cage] tu apa ya mas soalnya saya punya file gituan. filenya di hidden.
mas tlong saya dong saya dlu kene sality saya bersihkan sama antivirus luar (microsoft security esentials) selesai di bersiin muncul kayak ginian mas ini apa ya virus ato data yg di rusak virus : $Recycle.bin , MSO cache, System Volume Information. khusus mso cache dulu g ada sekarang ada. tu kenapa ya mas?
makasih ya tips cara nya sekarang virus nya gak nongol lagi
thanks smadav
apakah tools dari kapersky ini benar2 bisa membersihkan file2 yg terinfeksi tanpa merusaknya atau menghapusnya? dulu aku pake dr.web ada yg bisa dibersihin ada juga yg rusak file exe nya setelah dibersihin
Salam kenal utk bang Zainuddin….saya pengen bnget punya smadav pro tapi gimana cara dpt kn key n password ny….uang sdah trnsfer ke rek bang Zai tgl 10 April 2012…..tapi begitu saya konfirmasi lwt almt KEY@KONFIRMASI.COM koq gk bs terkirim….terbaca almt tdk di temukan…mohon solusi ny. Mkasih n maju trus Smadav Indonesia
Makasih :*
wawwhhh… nice inpoh gan, terima kasih banyak nh, udh lama tuwwhh virus nongkrong di pc ane, semoga bisa segera disembuhkan…
terima kasih…
yang terahir lock semua drive anda dengan smad-lock. di jamin gak akan muncul lagi. coz autorun.inf nya udah di ganti ma miliknya smadav. jadi aman.
sekian masukanya seoga bermanfaaat 
satu kata untuk virus sality, lo gue end..
makasih bos akhirnya, laptopku bersih dari virus,,
saya mengucapkan banyak terima kasih atas saran dan infonya. Arigato Gozaimashu
terima kasih smadavku ternyata komputerku sekarang bersih sekali
Thank gan infox….
tolong donk sapa yang bisa bantu, gue udah coba cara diatas tapi tiap di coba aplikasinya jalan tapi setop di tengah dia minta reg key untuk continue prosesnya tolong saranya …………
thank you udah sharing.saya kewalahan gara-gara tuh virus
akhirnya aku tau cara basmi sality
akhirnya ketemu juga caranya udah hampir mo instal ulang tapi saya berpikir lagi coba cek ke smadav akhirnya bisa thanks smadav
Mantap bang… selama ini virus ini bikin jengkel aja.
koq smadav q vers 8.9 di deteksi worm ama avira premium 2012 gimana nih?
tapi koq smadav q gak bisa mendeteksi virus sality malah avira yg bisa.ama gak bisa mendeteksi virus ratmit yg bisa malah avira.kalo gini lebih bagus avira ama smadav.
SYSTEM.INI APAKAH PENYEBAB VIRUS ITU
Bang saya sudah “memelihara” sality hampir 3 bulan. Sudah capek mondar sana mandir sini mencari solusinya. Tanpa sengaja saja sewaktu membuka situs smadav saya meng-klik “forum” yg ada di situs smadav tersebut yang membahas tentang virus sality dan saya ikuti langkah-2 nya. Ternyata… bisa bang. Bener-2 hilang semua virusnya termasuk yg ada di registry juga yg ada di drive D juga F. Mudah-2 laptop sy telah benar-2 bersih. Terima kasih ya bang…..
Trus bang…
Mengenai donasi yg seperti diusulkan kawan-2 di forum ini agar tidak hanya “trima kasih bang..” ” mantap bang” tetapi mari ikut berpartisipasi mendukung pengembangan smadav berupa dukungan dana, saya ada memberi usul. Terkadang tidak semua orang punya rekening bank agar dapat melakukan transfer apalagi jumlah yg ingin di transfer tidaklah seberapa tentu akan merepotkan. Bagaimana kalau melalui transfer pulsa dengan bekerjasama dengan salah satu operator sehingga mungkin prosesnya akan praktis bagi orang yg memiliki handphone untuk memberikan bantuan. Atas perhatiannya saya ucapkan terima kasih.
misalnya virusnya udah lama masih bisa tetep dihapus gak
Weleh2….
payah neh virus…. :p tapi sekarang smadav udah bisa bunuh tuh virus…. rev 8.9
Suiippp!!!!! Q bener2 kwalahan gara2 nih virus… Bos Zain,.. waktu aq scan pake smadav (versi yg blom terupdate) virus ini terdetect jenis heur bos…komputer ayah gue ampek mabuk…. gue cobak install ulang ampek 5 kali tetep aja tuh… hahhahaha rupanya file virusx ada di dalam driver installerx…. menjangkit file exe tuh gan… aq sih udah pakek tuh Sality Killer…Apala daya… waktu aq instal driver audiox… malah trjngkit lagie….
walaupun semalam sampai pagi nunggunya scan basmi tuntas Virus Sality… bener2 hilang baik Di drive C dan D.. liar biasa hebat Bang…
wow luar biasa bener2 killer Bang hilang semua virusnya termasuk yg ada di registry nya Bang sekaligus juga yg ada di drive D. terima kasih Bang.
Bang Zainuddin yang terhormat,
Bang saat ini saya sedang jalankan Basmi tuntas Virus Sality, tapi yang di scan terlihat cuman drive C nya punya saya yang di Drive B bagaimana Bang apa juga bisa di scan dan hilang virusnya. terima kasih Bang.
( nanti saya nyusul lagi komentar saya Bang Zainuddin )
Gan… minta tolong dunk…!!!
PC ane ngadat nih…
sering bgt keluar “Windows Explorer has Stopped Working”.
mohon solusine !!
mantapppp !! SMADAV !!
dukung terus para programer lokal, bisa bikin beginian hebat bener..
terima kasih SMADAV, berkatmu kompiku bebas virus
Jangan cuma bisa bilang thanks, makasih, hebat, mantap, sukses dll ces, tp hargailah yg bikin smadav dengan menggunakan SMADAV PRO, kan cuma donasi terserah sesuai keikhlasanji cess…, jangan cuma taunya yang gratisan…!, OKE
Sepertinya komputer saya juga terkena virus itu, sampe2x di repair lebih dari 2 kali.
Terima kasih information & free download Smadav 2012 Antivirus software-nya.
tks berat,.. big bos smadav.
tx mas, dulu pernah kena virus ini 2 kali
saya sampe install ulang 2 kali juga karena virus ini, terus file exe sama scr saya hapus semua
ckckk
thank you smadav flashdisk + komputer saya sudah bebas dari virus sality itu, maju terus smadav
Kami mengucapkan benyak terima kasih kepada Smadav Yang sangat membantu kami untuk membersihkan virus computer sekolah kami mudah mudahan anak didik kami bisa meneru jenak Anda.Lanjutkan kreasimu kutunggu karyamu.terima kasih.
Sukses selalu buat Smadav
ini dia virus paling menyebalkan di dunia…. master programku pernah rusak semua…. thanks smadav..
thank’s buat smadav dan orang yg ngebuatnya… thank’s bangeut
smadav kalo virus salitynya di flashdisk bagaimana?
Tinggal colok aja flashdisknya jd nanti kedetek otomatis wkt pembersihan
wah berhasil ,,
komputerku sekarang bersih
Thanks ya smadav
mantap bgt….
bagaimana men-download smadav versi 8.9 ya
thanks
mustafa
walaupun ribet dicoba gan, biar ga usah instal ulang.
semoga bisa gan >.<
Tanks 4 SMADAV…..Clink dah kmputerq
Tanks very much 4 SMADAF…….CLINGK dah My Comp
Kalo liat karakteristik-nya kurang lebih mirip ama virus RECYCLE pada WinXP. Saya coba hapus secara manual, dg cara menghapus kode-kodenya pake notepad, dengan terlebih dahulu menghilangkan attribut file-nya (S H R). Setelah dihapus (kodenya .. bukan filenya), saya Save dan mengembalikan attributnya ke semula. Tetap biarkan file itu. Gunanya untuk mencegah si Recycle menduplikat dirinya. Manjur banget ampe sekarang ..
Bravo Smadav =====> (lokomers unnes)
Wah.. kumpelit banget.. nais impo gan! tengs SMADAV.. go ehet!
Saya sudah mencobanya, dan berhasil.
Semoga viruz Sality ini benar2 habis dibabat!
Trimakasih atas informasi yang mendetail tentang virus ganas ini – Maju terus SMADAV untuk membuktikan bahwa karya anak bangsa Indonesia yang penuh dedikasi ini sungguh baik – tidak kalah dengan orang-orang lain di negeri yang merasa sudah kampiun
wahh… mantapp banget min tutorial.a,,, mksih bnyak yaa udah sharing,, jadi brtmbah nih ilmu.a …