Ads

Sabtu, 02 April 2011

Virus / Worm Di Yahoo Messenger

Kalo saat Anda baca tulisan di atas, lalu Anda berfikir bahwa yang saya maksud adalah Hoax yang menyatakan jangan terima add dari xxx, xxx, xxx. Terus id xxx, xxx, xxx adalah virus. Sebarkan ke temen-temen anda. Maka Anda salah besar.


Yang saya maksud di sini adalah virus yang menyebar dengan cara penyebaran link melalui Yahoo Messenger, Virus ini tepatnya WORM IM-Worm.Win32.Sohanad.ar adalah sebuah worm yang menyebar dengan cara menginfeksi Yahoo Messenger Anda sehingga setiap pengguna YM tersebut berbicara dengan Anda, maka dia juga akan mengeluarkan salah satu kalimat di bawah ini:



E may, vao day coi co con nho nay ngon lam

Vao day nghe bai nay di ban

Biet tin gi chua, vao day coi di

Trang Web nay coi cung hay, vao coi thu di

Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi?
Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau?

Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong.
Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa...

Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon.
Gio nguoi lac
loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi...

Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon.
Nguoi da den nhu la
giac mo roi ra di cho anh bat ngo...

Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem,
tra lai
em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon...

Selain kata-kata tersebut, di bagian paling bawah, dia juga akan mengirimkan link menuju ke halaman web lokasi Worm tersebut.


Selain penyebaran dengan cara di atas, Worm ini juga menyebar dengan cara mengkopi file exe dirinya ke semua drive yang ada di komputer (termasuk drive flash disk) dengan nama "New Folder.exe" dan lalu worm ini membuat file "autorun.inf" yang isinya adalah memanggil file exe worm tersebut. Sehingga, saat user membuka drive tersebut (biasanya flashdisk) dengan windows explorer, maka windows explorer akan membaca file autorun.inf dan kemudian akan melakukan perintah yang ada di autorun.inf, yaitu menjalankan worm sehingga worm ini juga banyak menyebar melalui flash disk, karena Anda tidak perlu membuka file exe tersebut untuk membuat worm ini aktif di komputer Anda, worm ini akan aktif saat Anda mengecek file Anda di flashdisk (drive rootnya, misal f:, akses sub folder tidak akan mengaktifkan autorun).


Lalu apa saja yang dilakukan WORM ini saat dia pertama kali terinstall di komputer Anda.


Pertama dia akan melakukan installasi, yaitu dengan membuat Copy dirinya di:
%WinDir%\SSVICHOSST.exe

%System%\SSVICHOSST.exe

Menulis di registry:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Shell=”Explorer.exe SSVICHOSST.exe”

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

Yahoo Messengger=”%System%\SSVICHOSST.exe”

Hal di atas membuat Worm ini dijalankan setiap kali windows dinyalakan.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NofolderOptions=1

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr=1
DisableRegistryTools=1

Lalu hal diatas memastikan anda tidak bisa mengotak-atik kembali registry-nya dengan cara mematikan regedit, folder option dan Task Manager.

[HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
AtTaskMaxHours=0

Lalu hal diatas akan mematikan semua schedulu sistem Anda (termasuk scan antivirus).

Setelah Program terinstall, maka hal yang worm ini lakukan secara rutin adalah:

Mematikan proses di bawah game_y.exe dan proses-proses yang memiliki string:

  • Bkav2006

  • System Configuration

  • Registry

  • Windows Task

  • [FireLion]

  • cmd.exe



Lalu ia juga menghapus

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
BkavFw
IEProtection

Ia juga mendownload file-file di bawa ini:
%System%\setting.ini
%System%\setting.xls
%System%\setting.nql

Lalu bagaimana caranya mengatasi worm ini. Gw sendiri sebetulnya belum pernah kena worm ini, tapi beberapa temen gw pernah kena, dan setelah cek punya cek, ternyata gw ketemu solusinya di sini di http://www.totalmalwareinfo.com. Sekalian aja Gw bahas di sini solusinya.




  • Buka Notepad, buat file yang isinya adalah sebagai berikut:


[Version]
Signature="$Chicago$"
Provider=Symantec

[DefaultInstall]
AddReg=UnhookRegKey

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0


  • Save dengan nama apa saja dengan ekstension inf, contoh UnhookRegKey.inf atau download aja file na di sini

  • Setelah itu, klik kanan file-nya, terus pilih install.

  • Gunakan Task Manager untuk mematikan Proses Trojan.

  • Hapus File Trojannya ( Nama file dan lokasi tergantung bagaimana dia terinstall di komputer Anda, find saja semua file yang ada di list di atas).

  • Hapus di registry:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    Yahoo Messengger=”%System%\SSVICHOSST.exe”

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    NofolderOptions=1

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    DisableTaskMgr=1
    DisableRegistryTools=1


  • Restore parameter di registry:
    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    Shell=”Explorer.exe”

    [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
    AtTaskMaxHours=0


  • Delete files:
    %WinDir%\SSVICHOSST.exe
    %System%\SSVICHOSST.exe
    %System%\setting.ini
    %System%\setting.xls
    %System%\setting.nql


  • Delete files dengan Nama
    New Folder.exe
    аutorun.inf



Bingung, ada cara lebih gampang kok. Update aja antivirus Anda (Yang didetect AVG, Kapersky, Norton or Symantec, yang lainnya gw gak tau), tetapi tetap setelah habis scan, registry anda harus di restore, karena walaupun worm-nya dah ketangkap, registry-nya belum di balikin.

Ok gitu aja, mohon mangap (maaf) kalo ternyata gak jalan, karena gw sendiri memang belum pernah nyoba, hanya hasil dari browsing sana browsing sini.

Source:

Hu hu hu

6 Responses to “Virus / Worm Di Yahoo Messenger”

Erlangga says:
May 26, 2008 at 1:40 pm (Edit)

Saya sendiri tertular worm itu dari flashdisk. Awalnya pake kaspersky, tapi gak pernah update. ciri2nya kalo di flasdisk pasti dia bikin duplikasi dirinya dalam bentuk folder. jadi waspada aja sama folder yang berekstensi *.exe. Thanks.
admin says:
May 27, 2008 at 9:58 pm (Edit)

Iya bos, thank you atas tipsnya

selain itu file file berextension screen saver (scr), Batch file (BAT), dan com juga perlu di waspadai

huhuhuu
Firman says:
October 16, 2008 at 3:19 pm (Edit)

Hooaaemmm..Ini bahas apaan sih?? Ga’ tau aapa ni orang tau yang bikin tu virus makanya dia tau cara buat ngilangin tu virus.. ehhehhehe. Piss joo..Tapi, ternyata stelah lulus dari Sma dulu, gw kira lo bakal jadi bandar bokep, eh ternyata malah jadi pakar IT.. Saluut..
Info yang sangat berguna, terutama buat gw yang kesehariannya bukannya kerja, tapi malah chatting mulu pake YM. Hehehehehe
admin says:
October 16, 2008 at 8:51 pm (Edit)

Iya lo men, makan gaji buta, dosa lo, masuk neraka

wakakakakk
Nietz says:
May 13, 2009 at 5:19 pm (Edit)

Thanks buat masukannya…jadi nambah ilmu :-)
admin says:
May 13, 2009 at 6:57 pm (Edit)

smaa sama

Tidak ada komentar: