Home.Beranda                     Download.AdC Hotspot                    Situs               HUBUNGI.Sugiyarto                                         

31 Juli 2009

Virus Bikin Down Jaringan

Diposting oleh Sugyarto di 04.29
Virus Bikin Down Jaringan
Sudah sekian kali server kadang down, banyak client yang complain bahkan grudel-grudel jika mister koneksi terganggu. setelah di telisik oleh tim ahli (ceritanya) ternyata ada komputer client diduga yang memang terkena salah satu virus Microsoft.pif.
 dampak dari virus ini tidak main-main,

Virus ini akan membuat koneksi internet atau jaringan menjadi lambat karena setelah ia aktif, ia akan selalu mencoba untuk melakukan koneksi internet dan mencoba untuk mendownload file gambar dengan format GIF dan file EXE kesejumlah situs yang telah ditentukan seperti :

  • http://root.51113.com/root.gif

  • http://hk.www404.cn:53/ads.js

  • http://err.www404.cn:443/014.html

Menurut pengamatan Vaksincom, situs yang mengandung file virus ini sangat banyak dan bervariasi dan rata-rata merupakan domain yang berasal dari Cina sehingga disinyalir kuat virus ini berasal dari Cina. Karena kemampuannya mendownload file update, maka secara teknis virus ini memiliki kemampuan mengupdate dirinya seperti antivirus sehingga termasuk dalam virus dengan resiko tinggi. Walaupun varian awal sudah terdeteksi sejak akhir 2007, tetpai varian yang ditemukan ini terlihat berbeda dengan varian awal dan terbukti berhasil mengecoh banyak program antivirus yang seblumnya berhasil mendeteksinya.

oleh sebab itu hati - hatilah dengan file yang berada pada sistem anda. silahkan anda periksa jika anda memaikai OS Xp. C:\Windows\AppPatch dan cari file-file dengan nama :

  • AcXtrnel.dll

File ini merupakan file palsu yang mirip dengan file dll OS Microsoft Windows “AcXtrnal.dll”

  • AcSpecf.dll

File ini juga merupakan file palsu yang mirip dengan file dll OS Microsoft Windows “AcSpecfc.dll”

  • AcPlugin.dll

File ini adalah benar file dll Microsoft Windows (Microsoft Plus), TETAPI file ini seharusnya ada di C:\Program Files\Microsoft Plus dan bukan di c:\Windows\AppPatch. Microsoft Plus adalah add on untuk Windows XP yang saat ini sudah tidak dilanjutkan produksinya.

  • Jview.dll

Jview sebenarnya adalah file Java, tetapi virus ini dengan cerdik melakukan delay / menunda aktivasi Jview yang asli (jika ada) dengan mengubah setting registry sehingga yang dijalankan adalah Jview yang bervirus.



Begitu virus ini aktif ia akan membuat beberapa file induk yakni :

  • C:\Windows\AppPatch\Jview.dll

  • C:\Windows\AppPatch\AcXtrnel.dll

  • C:\Windows\AppPatch\AcPlugin.dll

  • C:\Windows\appPatch\ AcSpecf.dll

Virus ini juga akan mengobarak abrik bebrapa sistem dalam register yang mendapatarkan dirinya untuk di jalankan, serta merubah bebrapa string dalam register. menggunakan anti virus yang akan memperlihatkan beberapa file yang di bentuk oleh virus ini sendiri.
disini kita memakai antivirus Norman untuk medeteksi file-file yang buat oleh virus ini sendiri.

bagimana cara mengatasinya :
- cari indikasi ada beberapa PC client yang kemungkinan bisa terkena juga
- pc yang sudah terinditfikasi harap bisa di beriskan virusnya secara total, tentu dengan
menginstal ulang sitem anda.
jika alternatif pertama tidak anda gunakan maka sabaiknya sebelun memberiskan komputer anda :
- Sebaiknya putuskan hubungan jaringan / internet komputer yang akan dibersihkan
- Lakukan pembersihan pada mode “safe mode”.
- Patch OS anda dengan patch terakhir.
- Download tools Combofix di alamat berikut kemudian jalankan
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
- Hapus file temporary dan temporary internet file, untuk mempercepat proses penghapusan silahkan download tools
berikut


http://majorgeeks.com/ATF_Cleaner_d4949.html


- Hapus registry yang sudah dibuat oleh virus. Untuk mempercepat proses penghapusan silahkan salin script

dibawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara:

    • Klik kanan repair.inf

    • Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs,0, ""

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, ThunderAdvise

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, JavaView


- Untuk pembersihan optimal dan mencegah infeksi ulang gunakan antivirus yang dapat mendeteksi dan membasmi
virus ini dengan baik.

referensi : vasksin.com
editor : abdullah al muzammi

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)