cara membersihkan virus mahadewa
DESCRIPTION
Membersihkan Virus MaHaDeWaTRANSCRIPT
Cara membersihkan Virus MaHaDeWa Penyebaran virus saat ini tidak selalu made in Visual Basic tetapi dengan bahasa sederhana setingkat VBScript [VBS] sang VM sudah dapat membuat sebuah virus yang mempuyai daya serang yang tak kalah dengan virus yang dibuat dengan VB.
Munculnya virus yang dibuat dengan VBS pertama kali ditemukan pada virus W32/Solow [r4n694-24y], yang akan menampilkan pesan Hacked By Godzilla pada jendela Internet Explorer anda serta merubah nama pemilik Windows. (lihat gambar 1)
Gambar 1, Header Internet Explorer yang sudah diubah oleh W32/Solow
Sama seperti virus yang dibuat dengan bahasa VB yang tidak akan berkutik jika file C:\Windows\system32\msvbvm60.dll di hapus, begitupun dengan virus yang dibuat dengan bahasa VBS yang juga tidak akan berkutik jika file C:\Windows\system32\WSCript.exe dan C:\WINDOWS\system32\dllcache\WsCript.exe dihapus. Bedanya jika virus yang dibuat dengan VB masih dapat dijalankan jika file msvbvm60.dll dicopy ke tempat dimana file virus tersebut berada sedangkan file virus yang dibuat dengan VBS tidak akan dapat dijalankan meskipun file WSCript.exe di copy ke lokasi dimana file virus tersebut berada.
MaHaDeWa muncul ramaikan pertempuran
Untuk meramaikan kancah pertempuran di dunia maya, kini telah muncul satu jenis virus hasil rakitan anak bangsa yang dibuat dengan bahasa VBScript. Kali ini file yang di usung cukup besar dan tidak wajar untuk ukuran virus yakni sekitar 30,426 KB alias 30 MB. Mungkin inilah salah satu sebabnya virus ini menamakan dirinya MaHaDeWa, karena ukurannya yang Maha / Jumbo. (lihat gambar 2)
Biasanya virus yang menyebar saat ini mempunyai ukuran yang lebih ramping sekitar 22 kb - 1 MB, semakin kecil ukuran file virus maka waktu dan tempat yang dibutuhkan oleh virus untuk berkembang biak menjadi semakin kecil sehingga secara otomatis penyebarannya akan lebih mudah dan meluas. Anda bisa membayangkan jika virus tersebut mempunyai ukuran lebih dari 1 MB maka membutuhkan waktu yang lama untuk mengkopikan dirinya kedalam system komputer yang menjadi target sehingga proses penyebarannya pun akan terhambat. Karena itu, memang memerlukan orang yang memiliki pemikiran "agak" berbeda dan berani menerobos pakem biasa dimana daripada menerapkan pakem yang sama bahwa small is wonderful, pembuat virus yang satu ini lebih memilih Big is beautiful :P. Hebatnya, menurut pengamatan Vaksincom, virus MaHaDeWa juga sempat menyebar dengan tingkat infeksi cukup tinggi, walaupun belum sampai menjadi virus Top 10 di Indonesia.
Gambar 2, File induk MaHaDeWa atau VBS/AutoRun.AM yang memiliki ukuran "maha".
Virus ini di sinyalir dibuat oleh salah seorang mahasiswa dari UBL, hal ini bisa dilihat dari script dan jejak yang ditinggalkan oleh virus tersebut.
Ciri-Ciri MaHaDeWa1. Merubah Judul internet Explorer menjadi MaHaDeWa Labkom UBL (lihat gambar 3)
Gambar 3, MaHaDewa merubah Header Internet Explorer
2. Merubah start page Internet Explorer menjadi http://webkom3. Merubah nama komputer dan nama pemilik Windows (lihat gambar 4)
RegisteredOrganization = Your pc has been clean from Nita Virus by MaHaDeWa
RegisteredOwner = MaHaDeWa
Gambar 4, MaHaDewa merubah nama pemilik komputer
4. Merubah Walpaper Windows dengan terlebih dahulu membuat string pada registry berikut : (lihat gambar 5)
o HKEY_CURRENT_USER\Control Panel\Desktop ConvertedWallpaper = C:\WINDOWS\Web\Wallpaper\Bliss.jpg"
o HKEY_CURRENT_USER\Control Panel\Desktop OriginalWallpaper = C:\WINDOWS\Web\Wallpaper\Bliss.jpg
o HKEY_CURRENT_USER\Control Panel\Desktop\ Wallpaper = C:\WINDOWS\Web\Wallpaper\Bliss.jpg
Gambar 5, Wallpaper yang sudah diubah oleh MaHaDeWa
Norman Security Suite mendeteksi virus MaHaDeWa sebagai VBS.Autorun.AM (lihat gambar 6)
Gambar 6, Virus MaHaDeWa di deteksi Norman Security Suite sebagai Trojan:VBS/AutoRun.AM
File induk MaHaDeWa
Sama seperti file yang dibuat dengan menggunakan program bahasa Visual Basic, agar dirinya dapat di aktifkan ia membutuhkan file pendukung yakni wscript.exe.
Pada saat dirinya aktif ia akan mencoba untuk membuat beberapa file berikut sebagai file induk yang akan dijalankan pertama kali saat komputer diaktifkan. C:\Windows\system32\WinXp.vbs C:\MaHaDeWa.dll.vbs [setiap drive]
Untuk memastikan agar dirinya dapat aktif secara otomatis setiap kali komputer dinyalakan, ia akan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Systemdir = C:\Windows\System32\MaHaDeWa.dll.vbs Ageia = C:\WINDOWS\system32\WinXp.vbs
Selain dengan membuat string registry tersebut, agar dirinya dapat aktif secara otomatis saat user akses Flash Disk atau Drive lain di komputer, ia juga akan memanfaatkan fitur autoplay Windows dengan membuat file autorun.inf dimana file ini akan secara otomatis menjalankan file MaHaDeWa.dll.vbs tanpa perlu menjalankan file tersebut. File autorun.inf ini akan dibuat disetiap Drive termasuk pada Flash Disk (lihat gambar 7)
Gambar 7, MaHaDeWa memanfaatkan fitur Autorun.inf agar virus dapat aktif secara otomatis sewaktu Flash Disk di akses
cara membersihkan virus MaHaDeWa (VBS/Autorun.MA)1. Matikan proses virus dengan nama WSCript.exe. untuk mematikan proses virus ini anda dapat menggunakan task manager atau tools pengganti task manager lainnya seperti Procee Explorer. (lihat gambar 8)
Silahkan download tools tersebut di sini
Gambar 8, Tools untuk mematikan proses virus
2. Untuk mengantsipasi agar proses virus tidak aktif kembali saat dijalankan, blok file MaHaDeWa.dll.vbs dengan menggunakan Software Restriction Policies [Jika menggunakan Windows XP Prof. Dan Windows 2003], caranya : (lihat gambar 9 - 11)
- Klik tombol Start
- Klik Run
- Ketik secpol.msc [tanpa tanda kutip)
- Kemudian pada layar Local Security Settings, klik kanan pada folder Software Restriction Policies kemudian klik Crate new policies
- Kemudian klik kanan pada folder Additional Rules
- Klik New Hash Rule
Gambar 9
- Pada kolom File hash, klik tombol Browse dan arahkan ke file MaHaDeWa.dll.vbs
Gambar 10
Gambar 11 [blok virus VBS/Autorun.AM agar tidak dapat dijalankan]
- Klik tombol open
Catatan:
Sebelum blok file tersebut sebaiknya tampilkan file yang tersembunyi terlebih dahulu dengan merubah setting pada Folder Options seperti terlihat pada gambar 12 dibawah ini:
Gambar 12, Menampilkan file yang tersembunyi pada Folder Options
3. Repair registry yang sudah dibuat oleh MaHaDeWa. Untuk mempermudah proses perbaikan tersebut, salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]Signature="$Chicago$"Provider=Vaksincom Oyee
[DefaultInstall]AddReg=UnhookRegKeyDelReg=del
[UnhookRegKey]HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "About:blank"HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner"HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x00010001,255HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x00010001,255
[del]HKCU, Software\Microsoft\Internet Explorer\Main, Window TitleHKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AgeiaHKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SystemdirHKCU, Software\Microsoft\Internet Explorer\Main, Window TitleHKLM, Software\Microsoft\Windows\CurrentVersion\Winlogon, LegalNoticeCaptionHKLM, Software\Microsoft\Windows\CurrentVersion\Winlogon, LegalNoticeTextHKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU\MRUList, aHKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU, aHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop, NoChangingWallpaperHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoCloseHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoControlPanelHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFindHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRunHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoStartMenuMoreProgramsHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoTrayContextMenuHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoViewOnDriveHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoWinKeysHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, HiddenHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableMsConfigHKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoControlPanelHKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoLogOff
4.
5. Hapus file induk virus di direktori berikut:
- C:\MaHaDeWa.dll.vbs (semua drive)
- C:\autorun.inf (semua drive)
- C:\Windows\system32\WinXP.dll.vbs
6. Untuk pembersihan optimal dan mencegah infeksi ulang, silahkan scan dengan antivirus yang up-to-date dan sudah mengenali virus ini dengan baik
SELAMAT MENCOBA :)