Selasa, 23 Januari 2007

Ancaman Bagi Keberadaan File ZIP


Penyebaran virus local saat ini sudah sangat pesat, varian yang dihasilkan juga semakin banyak untuk kasi yang dilakukan semakin hari semakin ganas dari hanya sebatas membuat file duplikat hingga menghancurkan data. Penyebarannya bukan hanya melalui disket / flashdisk, namun dapat merambah ke jaringan / email dan media chatting [MiRC]. Virus ini juga disebut GROGOTIX. Grogotix atau yang biasanya disebut Naki.G dibuat dengan memakai bahasa Visual Basic dan mempunyai file induk acak. Keberadaan virus ini berbeda-beda [biasanya di C:\Windows atau C:\Windows\System32], file inilah yang akan dijalankan pertama kali setiap kali computer dinyalakan agar W32\Naki.G dapat secara otomatis dan W32\Naki.G ini juga berjalan pada “SafeMode”. Untuk mengelabui user, virus ini menggunakan icaon “Folder”.

W32\Naki.G akan mencoba mengeblok beberapa file windows & tools security sehingga akan mempersulit proses pembersihan, berikut beberapa fungsi windows dan security tools yang akan di blok : Registry editor, Task Manager, CMD, FoldermOption, Fungsi klik kanan, Search, Control Panel, Documents Recent, Hijack This, Kill Box, Proceexp. Harap hati-hati… jika computer kamu terinfeksi virus ini sebaiknya jangan coba-coba akses ke directory C:\ Windows atau C:\ Windows\System32 karena W32\Naki.G akan memblok akses Dekstop sehingga computer tidak bisa digunakan dan harus restar sendiri secara manual, selain itu W32/Naki.G akan mengeblok dialog box confirmasi penghapusan suatu file/folder. Disket/Flash disk masih menjadi tempat penyebaran andalan dengan membuat file duplikat . selain itu W32/Naki.G juga akan menyebar melalui media chatting [MiRC] dengan melakukan koneksi ke server IRC dan join di beberapa alamat yang sudah ditentukan contohnya Bandung, Medan, Jakarta, Surabaya serta mengirimkan sejumlah link ke sejumlah ID yang ditemukan contohnya : plasa.id.allnetwork.org, haarlem.nl.eu.undernet.org, mozilla.se.eu.dal.net, rumble.fl.us.dal.net, punch.va.us.dal.net.

W32/Naki.G akan mencoba untuk menghapus file .exe dan membuat file duplikat sesuai dengan nama file yang dihapus tersebut, file tersebut mempunyai ukuran : 221KB,264 Kb, 302 KB, 442 KB, 516 KB, 520 KB.W32/Naki.G akan mencoba untuk membuang file eksekusi yang biasa dijalankan di ke dalam directory [C:\Windows\temp] dengan nama %fileasli.grogotix.A%.Contohnya : jika kamu menjalankan file internet explorer maka Naki.G AKAN MENGHAPUS FILE TERSEBUT DARI LOKASI ASAL [c:\Program Files\internet explorer] dan membuang file asli tersebut ke dalam folder [C:Windows\Temp] dengan nama iexplorer.grogotix.A.

CARA MENGATASINYA :
1. Putuskan hubungan computer yang akan dibersihkan dari jaringan
2. Matikan “System Restore” selama proses pembersihan [jika menggunakan Windows ME/ XP]
 3. Matikan proses yang aktif dimemori, untuk mempermudah dalam mematikan proses virus ini sebaiknya lakukan pembersihan pada mode “safe mode with command prompt” karena pada mode ini W32/Naki.G tidak akan aktif di memory sehingga pembersihan mudah dilakukan. Jika computer booting pada mode “safe mode with command prompt” maka setelah kamu masukkan user name dan password maka akan muncul layer Dos Prompt, pada layer Dos Prompt tersebut ketik perintah EXPLORER kemudian tekan [enter]
 4. Hapus string registry yg dibuat oleh virus. Untuk mengembalikan fungsi klik kanan salin script ini pada Notepad dan simpan dengan nama repair.vbs kemudian jalankan file tersebut.
Dim oWSH: Set oWSH =
CreateObject( WScript.Shell )
On error resume Next
oWSH.RegDelete(HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools)
oWSH.RegDelete(HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu)
oWSH.RegDelete(HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoTrayCOntextMenu)

Setelah menjalankan script di atas, log off windows dan ketik kembali perintah explorer pada dos prompt untuk memanggilDekstop Windows, setelah fungsi klik kanan dapat digunakan hapus sisa string registry yang sudah dibuat oleh virus dengan terlebih dahulu menyalin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf dan jalankan file tersebut dengan cara klik kanan repair.inf kemudian klik Install

[Version]
Signature=$Chicago$
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command… %1 %*
HKLM, Software\CLASSES\comfile\shell\open\command… %1 %*
HKLM, Software\CLASSES\exefile\shell\open\command… %1 %*
HKLM, Software\CLASSES\piffile\shell\open\command… %1 %*
HKLM, Software\CLASSES\regfile\shell\open\command… regedit.exe %1
HKLM, Software\CLASSES\scrfile\shell\open\command… %1 %*
HKLM, SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogo, Shell,0, Explorer.exe
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, checkbox
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, Text,0, Hide Extensions nfor known file types
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hiden, type,0, group
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, Checkbox

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOption
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRecentDocsMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoSetFolder
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoTrayContextMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoViewContextMenu
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Grogotix
HKLM, SOFTWARE\Grogotix.A

5. Hapus file induk yang dibuat oleh virus. Sebagai informasi Naki.G akan membuat file induk dengan nama yang random tetapi biasanya akan dibuat directory [C:\Windows\System32] dengan ukuran file yang random pula [contohnya : 221 KB atau 1,273 KB]. Sebelum menghapus file tersebut pastikan kamu sudah menampilkan semua file yang disembunyikan.

6. Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri
­ - ukuran acak [contoh : 221 KB, 264 KB, 302 KB, 442 KB, 516 KB atau 520 KB]
­ - menggunakan icon folder
­ - extensi .EXE­
- Type file Application

7. Hapus file yang kompresi [ZIP/RAR] yang mempunyai ukuran 206 atau 760. untuk menghindari kesalahan tersebut, sebaiknya kamu extract dulu file ZIP/RAR itu, file yang sudah di ekstrak biasanya akan mempunyai ciri-ciri
 a. Menggunakan icon folder
 b. Ukuran acak [221 Kb, atau 1,273 KB]
 c. Ext. EXE
 d. Type file Application

 8. Modifikasi kembali file HOST Windows yang ada didirectory [C:\Windows\system32\drivers\etc\host] dengan menghapus alamat URL yang sudah disisipkan oleh W32/Naki.G

9. Untuk pembersihan optimal dan mencegah infeksi ulang gunakan Norman Virus Control yang sudah dapat mengenali virus ini dengan baik.

- -VaD- -

Created by di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)