Worm VideoBangka, Worm yang Bandel
Dari sekian banyak ulah virus, seperti menyebar ke USB flashdisk dengan jumlah yang banyak melalui penggandaan sebanyak folder yang ada, merusak dokumen, dan lain sebagainya, namun beda dengan worm satu ini. Walaupun worm ini hanya membuat dua buah file indukan, tetapi kekuatan bertahannya memang kuat, bandel untuk dibersihkan dengan mudah.
Karakteristik Worm
Icon: Windows Media Player
Dibuat menggunakan: MS Visual Basic 5.0-6.0 EXE
Nama asli file: KJfiles
Ukuran: 444 KB (454,656 bytes)
Tak ada yang baru dan unik dari tampilan karakter virus ini, tapi siapa yang tau dengan aksinya?
Aksi Virus
Walau kita punya banyak drive aktif, maupun banyak flashdisk yang tertancap ke port USB, hal itu bukan menjadi santapan worm ini.
Adapun yang menjadi aksi serangan worm ini adalah pada Registry:
- Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“HKCU”=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,\
00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,00,\
69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,65,\
00,72,00,2e,00,65,00,78,00,65,00,00,00
- Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
“Policies”=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,\
72,00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,\
00,69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,\
65,00,72,00,2e,00,65,00,78,00,65,00,00,00
- Windows Registry Editor Version 5.00
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
- “HKLM”=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,\
- 00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,00,\
- 69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,65,\
- 00,72,00,2e,00,65,00,78,00,65,00,00,00
- Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
“Policies”=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,\
72,00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,\
00,69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,\
65,00,72,00,2e,00,65,00,78,00,65,00,00,00
Sedangkan untuk peletakan lokasi induk file pada harddisk yaitu pada:
- C:\directory\CyberGate\install\server.exe
- C:\Document and Settings\User\Application Data\install\server.exe
Saat virus sudah berhasil meletakkan indukannya pada lokasi yang aman (yang bahkan pada lokasi tersebut ternyata kita tidak bisa menghapus folder yang dibuat oleh virus/worm), virus akan memanggil “iexplore.exe” untuk dijalankan dan berjalan dibalik layar, entah ini semacam sistem remot kuda Trojan, tak dapat diselidiki dengan mudah. Namun entah kenapa harus ada pemanggilan Dr. Watson (yang mengakibatkan muncunya kotak pesan adanya kerusakan dari IE) dengan parameter:
- C:\WINDOWS\system32\drwtsn32 -p 320 -e 364 –g
Parameter pemanggil Dr. Watson bisa berubah-ubah.
Cobalah untuk mengkill IE! Jika IE atau Internet Explorer ini tidak dapat dikill berarti indukan virus (worm) ini memang masih aktif, belum benar-benar terhapus.
Mencoba Bersihkan dengan Smadav
Walaupun dari laporan hasil Scanning Smadav menyatalkan “Sudah dikarantina”, namun ternyata setelah dilihat pada proses, jika IE masih aktif, dan dicoba dikill, lalu IE aktif kembali, berarti worm ini memang bandel untuk dibersihkan.
Semoga kedepan hal ini sudah bisa diatasi!
Tapi untuk database, Smadav sudah mengenali worm ini, sehingga bagi komputer yang belum terkena worm ini dapat tetap aman dalam pengawasan Smadav. 🙂
Download Smadav di www.smadav.net
AUTORUN.INF bisa dihapus dari safe mode, itu ramnit loo…
Windows akan mengunci AUTORUN.INF karena file ini memang harus dimuat saat sebuah drive di load kedalam komputer. Itu sebabnya AUTORUN.INF tidak dapat dihapus.
D:\autorun inf, C:\autorun inf, suspected INF, tifak bisa dibersihkan
“Autorum INF” virus apa ini ? tidak bisa dibersihkan, virus ini ada pada setiap Driver
punya saya sudah terserang kayaknya..bandel banget (>.<)"
SAYA MENCUBA ANTI VJRUS SMADAV,.MEMANG SANGAT AMPUH.TERIMAKASIH PEREKAYASA ANTI VIRUS INDONESIA.DARI ABDULLAH SHAHMANI PATTANI SELATAN THAILAND. SEMOGA IDE IDE BERLIAN TERUS GEMILANG DI PERSADA INDONESIA SELAMAT SUKSES 2O13.
terima kasih atas info berbagai virus yang ada semoga anti virus buatan anak negeri ini mampu bersaing dengan anti virus buatan luar negeri
gunakan selalu produk dalam negeri
apakah ini juga menyerang windows media player?
mengingat windows media player pc saya sering error ketika memutar file media (music dan video)
Tidak, sepertinya mereka tidak saling berhubungan, mungkin WMPnya mau minta update. 🙂
wah, virus aneh lagi nih, musti lebih ati ati
wah terima kasih informasinya mas…. sangat bermanfaat…
wah harus hati-hati nih ,….
thanks infonya mas …
SmadAV memang mantaap… High Recommended Free Anti Virus..!! 🙂
Terimaksih pak anti virusnya sgt ringan laju dan baik salam cuma perlu ditambah definisi virusnya lagi…. tq
smadav is helping out my computer and my usb so i say keep on smadav you the best in producing antvirus
THIS IS A GOOD ANTI VIRUS
Semoga bisa segera teratasi.
Smadav 9.2 sudah dibungkus.