VirusLokal.com » Virus Asing

Basmi tuntas Virus Sality

ridzky — Tue, 31 Jan 2012 04:25:07 +0000

Sality merupakan virus berjenis PE Infector (Polymorphic) yang menginfeksi file-file Executabe “exe”. Virus yang memiliki nama asli w32.Hllp.KukuJoker ini banyak dikeluhkan pengguna computer diseluruh dunia, terutama di indonesia banyak sekali pengguna komputer yang melaporkan telah terinfeksi oleh virus ini.

Virus ini masih belum jelas asal usulnya, dugaan sementara virus ini berasal dari cina, selain mempunyai kemampuan untuk menginfeksi file-file executable virus ini juga memilki kemampuan rootkit, sehingga selain sulit untuk dibersihkan dari system, file-file yang terinfeksi juga cukup sulit untuk diperbaiki, menggunakan beberapa tools remover dan antivirus juga terkadang malah bisa menimbulkan kerusakan pada file yang terinfeksi bahkan bisa menghapusnya.

Beberapa Antivirus Luar mendeteksi Virus ini sebagai :

Malware.Sality [PCTools]
W32.Sality!dr [Symantec]
Virus.Win32.Sality.bh [Kaspersky Lab]
W32/Sality.dr [McAfee]
Troj/SalLoad-C [Sophos]
Virus:Win32/Sality.AT [Microsoft]
Win32.SuspectCrc [Ikarus]
Win32/Kashu.E [AhnLab]

Karakteristik Virus

Jika kita lihat memang tidak terlalu banyak perbedaan antara file yang terinfeksi dengan file yang belum terinfeksi, yang membedakan hanyalah ukuran yang bertambah lebih besar dari ukuran sebelum terinfeksi, biasanya ukuran yang bertambah hanya beberapa KB saja. Bisa dilihat perbedaanya dari gambar dibawah ini.

Jika file terinfeksi tersebut dijalankan, maka file tersebut dapat berjalan seperti biasanya, sehingga user tidak mengira bahwa file yang ia jalankan tersebut telah terinfeksi virus, padahal dibalik itu virus sudah menetap di system.

Teknik yang digunakan virus sality adalah dengan membelokan EntryPoint asli file ke EntryPoint-nya virus, maka saat dijalankan virus yang terlebih dahulu aktif, baru kemudian virus meneruskan nya ke EntryPoint asli file yang terinfeksi, sehingga file yang dijalankan akan aktif seperti biasa nya.

Saat aktif virus akan membuat beberapa file induknya di system :

%Windir%\system32\drivers\.sys

Virus akan mengektrak file driver dari dalam tubuhnya dan menaruhnya disystem dengan nama acak, driver ini digunakan untuk bersembunyi di system. Contoh : amsint32.sys dan iirktn.sys

%Windir%\System.ini

[MCIDRV_VER]

DEVICEMB=

HKCU\Software\

Virus akan menambahkan key baru diregistry dengan nama acak contoh “HKCU\Software\Avcgr”, key yang dibuat ini juga mempunyai rutin-rutin tertentu.

Mutext

Virus akan membuat mutext pada setiap proses yang berjalan ini digunakan untuk menandakan bahwa thread virus sudah aktif pada setiap proses yang berjalan, mutext yang akan dibuatnya menyerupai nama proses yang di tumpangi nya :

M__

contoh nya : svchost.exeM_2168_

Firewall

Pada komputer terinfeksi virus menambahkan rule baru dalam daftar port yang di ijinkan, ini digunakan virus agar firewall windows tidak memblok koneksi yang akan dibuat oleh virus

Download Komponent virus lainya

Jika komputer korban terhubung dengan koenksi internet, virus akan berusaha mendownload komponen-komponen virus lainya, di beberapa situs yang sudah ditentukan oleh pembuatnya

Infeksi file Executable & Screen Saver

Virus akan mencari semua file berektensi ”.exe” & ”.scr” yang ada di seluruh drive computer korban nya, jika virus menemukanya virus akan menginfeksinya dengan membelokan EntryPoint asli ke EntryPoint nya virus.

Sality mempunyai kemampuan untuk mengecek apakah file yang akan diinfeksi dilindungi oleh system atau tidak, jika file tersebut dilindungi oleh system maka sality tidak akan menginfeksinya, seperti file-file yang dilindungi oleh Windows File Protection (WFP) atau System File Checker (SFC).

Infeksi Removeable Drive & Jaringan

Berbeda dengan teknik infeksi variant sebelumnya, variant sality kali ini memanfaatkan fitur Autorun untuk mempercepat penyebaranya. File Autorun yang digunakan virus memiliki nama dan ektensi acak (exe dan pif) . Seperti : xvftea.exe atau xvftea.pif, dan ukuranya sekitar 100 – 101 KB

Di jaringan virus juga akan menginfeksi setiap folder yang memiliki FULL ACCESS Read & Write, dengan membuat sebuah shortcut exploit yang akan langsung aktif apabila user memasuki folder yang sudah terdapat shortcut exploit tersebut.

Menghapus File

Sality akan mencari file berektensi “.VDB” dan “.AVC” jika ditemukan akan langsung dihapus. Ektensi file ini biasanya digunakan oleh beberapa antivirus untuk menyimpan database virus.

Block Website

Sality akan memblock website atau domain yang mengandung kata seperti :

upload_virus , sality-remov, virusinfo. cureit. drweb. onlinescan. spywareinfo. ewido. virusscan. windowsecurity. spywareguide. bitdefender. pandasoftware. agnmitum. virustotal.sophos. trendmicro. etrust.com symantec. mcafee. f-secure. eset.com, kaspersky. dll

Menghapus Registry Key

Untuk mempertahankan dirinya virus menghapus beberapa key di registry yang dianggap mebahayakan kehidupan virus.

HKCU\System\CurrentControlSet\Control\SafeBoot
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList
HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Effek dari beberapa key yang dihapus diatas membuat user tidak dapat memasuki modus SAFE MODE

Blue Screen saat mengakses SAFE MODE

Mensetting registry agar tidak menampilkan file yang dihidden

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2

Selain itu sality mengunci akses ke Task Manager & Registry Tools

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr =dword:00000001

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools =dword:00000001

Cara Pembersihan

1. Untuk membersihkan virus ini secara tuntas, download tool removal sality dari kaspersky dibawah ini :

Sality Killer : http://dl.dropbox.com/u/56065140/Salitykiller2012.zip

Isi dari file download Sality Killer

2. Kemudian ektrak lah semua file yang ada didalam ZIP tersebut ke dalam folder baru, kemudian jalankan file SalityCure.bat

3. Setelah dijalankan proses scanning akan langsung tampil, harap diperhatikan SELAMA PROSES PEMBERSIHAN SEDANG BERLANGSUNG, JANGAN PERNAH MENJALANKAN APLIKASI SEBELUM PROSES PEMBERSIHAN SELESAI, untuk mencegah virus kembali aktif, saat menjalankan file terinfeksi yang belum sempat dibersihkan.

Proses pembersihan sedang berjalan

4. Terakhir gunakan Smadav Revisi terbaru untuk memperbaiki Registry yang telah dirusak oleh virus sality.

Centang folder dan drive yang akan di scan, dan juga jangan lupa berikan centang pada bagian Syatem Area Deep (Over 1500 registry value), untuk memperbaiki registry yang telah rusak oleh virus, selanjutnya tekan tombol SCAN

Tunggu hingga proses perbaikan selesai, jika dialog pesan seperti diatas muncul tekan tombol OK dan terakhir tekan tombol Bersihkan

Kemudian Restart komputer

!!! Ok Selamat mencoba !!!

Deteksi dan Pembersihan Conficker/Recycler/Kido

admin — Tue, 17 Mar 2009 19:25:00 +0000

Virus Conficker/Recycler/Kido ini (selanjutnya disebut virus Conficker) adalah virus yang sudah menyebar ke lebih dari 10 juta komputer di dunia. Di Indonesia sendiri diperkirakan sudah puluhan ribu komputer terinfeksi virus ini. Penyebarannya sangat canggih lewat internet, jaringan, dan Autorun di USB Flashdisk. Virus ini juga memanfaatkan sebuah bug di Microsoft Windows untuk menginfeksi sebagian besar jaringan perusahaan. Microsoft mengecam pembuat virus ini dan bahkan Microsoft berjanji akan memberikan $250.000 (Rp3 Milyar) bagi siapa saja yang bisa menangkap pelaku pembuatan virusnya.

Mungkin di situs lain sudah sangat banyak analisis dan cara pembersihan virus Conficker ini misalnya vaksin, kaspersky, microsoft, dan ribuan situs/blog lainnya. Tapi hampir semuanya memberikan solusi yang tidak begitu jelas dan kebanyakan malah membahas hal teknis yang membingungkan user pemula. Akibatnya, masih banyak user pemula yang kebingungan dan masih menanyakan bagaimana pembersihan virus ini. Tulisan ini hanya bertujuan untuk membahas cara mudah untuk mendeteksi dan membersihkan virus Conficker ini. Berikut

Pendeteksian, apakah komputer Anda terinfeksi virus Conficker?

1. Tidak bisa mengakses situs security

Komputer Anda sepertinya terinfeksi jika komputer Anda tidak dapat mengakses situs seperti microsoft.com, kaspersky.com, atau situs-situs lainnya yang berhubungan dengan kata-kata berikut :

nai, ca, avp, avg, vet, bit9, sans, cert , windowsupdate, wilderssecurity, threatexpert, castlecops, spamhaus, cpsecure, arcabit, emsisoft, sunbelt, securecomputing, rising, prevx, pctools, norman, k7computing, ikarus, hauri, hacksoft, gdata, fortinet, ewido, clamav, comodo, quickheal, avira, avast, esafe, ahnlab, centralcommand, drweb, grisoft, eset, nod32, f-prot, jotti, kaspersky, f-secure, computerassociates, networkassociates, etrust, panda, sophos, trendmicro, mcafee, norton, symantec, microsoft, defender, rootkit, malware, spyware, virus

2. File hidden tidak bisa ditampilkan

Anda tidak dapat menampilkan file hidden di komputer walaupun sudah mengubah setting “show hidden” di folder options atau di Smadav.

Pada saat melakukan scanning menggunakan Smadav, Smadav akan mendeteksi 1 value registry yang rusak disebabkan oleh virus conficker :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

3. SmaRT-Protection Smadav menampilkan Alert
SmaRT-Protection (SmaRTP) Smadav menampilkan Alert ketika Flashdisk yang terinfeksi dicolok ke komputer. Ada 2 file yang terdeteksi, Alamat File yang dideteksi akan berbentuk seperti ini :
[x]:\autorun.inf
[x]:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

*[x] adalah Drive flashdisk misalnya F, G, atau H

Andaikan komputer yang terinfeksi sudah terpasang Smadav sebelumnya, pasti tidak akan terinfeksi virus Conficker ini karena SmaRTP akan langsung mendeteksi dan menghapusnya segera setelah USB Flashdisk dicolok. Lihat screenshoot SmaRTP berikut :

Pembersihan, bagaimana cara mudahnya?

Pembersihan Conficker cukup mudah hanya dengan menggunakan tools yang sudah dibuat beberapa antivirus. Sebenarnya hampir semua Antivirus Impor dapat membersihkan virus ini, asalkan sudah di-update. Saya disini menyarankan 2 tools khusus untuk membersihkan Conficker, yaitu PCMAV Express Conficker atau Kidokiller Kaspersky.

1. Gunakan salah satu dari PCMAV Express Conficker atau Kidokiller Kaspersky.

Download PCMAV Express Conficker
cara penggunaan buka di halaman ini : pcmav-express-for-conficker

Download Kidokiller Kaspersky
cara penggunaan buka di halaman ini : Kidokiller Kaspersky

2. Update Patch Windows
Untuk menambal bug Microsoft dan mencegah infeksi ulang Conficker, Silakan Update Patch Windows di halaman Microsoft : MS08-067

3. Pasang SmaRTP Smadav
Sudah dikatakan sebelumnya, Andaikan komputer yang terinfeksi sudah terpasang Smadav sebelumnya, pasti tidak akan terinfeksi virus Conficker ini karena SmaRTP akan langsung mendeteksi dan menghapusnya segera setelah USB Flashdisk dicolok. Jadi, baik bagi komputer yang sudah pernah terinfeksi Conficker ataupun belum, pasanglah Smadav di komputer sehingga aman dari infeksinya.

Bagi blogger/situs lain diharapkan untuk mempublikasikan tulisan ini untuk membantu user yang terinfeksi Conficker. Mohon ditulis sumbernya.
Bagi pembaca yang sudah mencoba langkah-langkah diatas mohon mem-posting-kan hasilnya disini. Terima kasih

Regards,

Zainuddin Nafarin
(Smadav Founder)