dampak dari virus ini tidak main-main,
Virus ini akan membuat koneksi internet atau jaringan menjadi lambat karena setelah ia aktif, ia akan selalu mencoba untuk melakukan koneksi internet dan mencoba untuk mendownload file gambar dengan format GIF dan file EXE kesejumlah situs yang telah ditentukan seperti :
-
http://root.51113.com/root.gif
-
http://hk.www404.cn:53/ads.js
-
http://err.www404.cn:443/014.html
Menurut pengamatan Vaksincom, situs yang mengandung file virus ini sangat banyak dan bervariasi dan rata-rata merupakan domain yang berasal dari Cina sehingga disinyalir kuat virus ini berasal dari Cina. Karena kemampuannya mendownload file update, maka secara teknis virus ini memiliki kemampuan mengupdate dirinya seperti antivirus sehingga termasuk dalam virus dengan resiko tinggi. Walaupun varian awal sudah terdeteksi sejak akhir 2007, tetpai varian yang ditemukan ini terlihat berbeda dengan varian awal dan terbukti berhasil mengecoh banyak program antivirus yang seblumnya berhasil mendeteksinya.
oleh sebab itu hati - hatilah dengan file yang berada pada sistem anda. silahkan anda periksa jika anda memaikai OS Xp. C:\Windows\AppPatch dan cari file-file dengan nama :
-
AcXtrnel.dll
File ini merupakan file palsu yang mirip dengan file dll OS Microsoft Windows “AcXtrnal.dll”
-
AcSpecf.dll
File ini juga merupakan file palsu yang mirip dengan file dll OS Microsoft Windows “AcSpecfc.dll”
-
AcPlugin.dll
File ini adalah benar file dll Microsoft Windows (Microsoft Plus), TETAPI file ini seharusnya ada di C:\Program Files\Microsoft Plus dan bukan di c:\Windows\AppPatch. Microsoft Plus adalah add on untuk Windows XP yang saat ini sudah tidak dilanjutkan produksinya.
-
Jview.dll
Jview sebenarnya adalah file Java, tetapi virus ini dengan cerdik melakukan delay / menunda aktivasi Jview yang asli (jika ada) dengan mengubah setting registry sehingga yang dijalankan adalah Jview yang bervirus.
Begitu virus ini aktif ia akan membuat beberapa file induk yakni :
-
C:\Windows\AppPatch\Jview.dll
-
C:\Windows\AppPatch\AcXtrnel.dll
-
C:\Windows\AppPatch\AcPlugin.dll
-
C:\Windows\appPatch\ AcSpecf.dll
disini kita memakai antivirus Norman untuk medeteksi file-file yang buat oleh virus ini sendiri.
bagimana cara mengatasinya :
- cari indikasi ada beberapa PC client yang kemungkinan bisa terkena juga
- pc yang sudah terinditfikasi harap bisa di beriskan virusnya secara total, tentu dengan
menginstal ulang sitem anda.
jika alternatif pertama tidak anda gunakan maka sabaiknya sebelun memberiskan komputer anda :
- Sebaiknya putuskan hubungan jaringan / internet komputer yang akan dibersihkan
- Lakukan pembersihan pada mode “safe mode”.
- Patch OS anda dengan patch terakhir.
- Download tools Combofix di alamat berikut kemudian jalankan
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
- Hapus file temporary dan temporary internet file, untuk mempercepat proses penghapusan silahkan download tools
berikut
http://majorgeeks.com/ATF_Cleaner_d4949.html
- Hapus registry yang sudah dibuat oleh virus. Untuk mempercepat proses penghapusan silahkan salin script
dibawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara:
-
-
Klik kanan repair.inf
-
Klik Install
-
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs,0, ""
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, ThunderAdvise
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, JavaView
- Untuk pembersihan optimal dan mencegah infeksi ulang gunakan antivirus yang dapat mendeteksi dan membasmi
virus ini dengan baik.
referensi : vasksin.com
editor : abdullah al muzammi
Tidak ada komentar:
Posting Komentar