Virus Hokage

Hokage adalah pemimpin ninja konoha yang terdapat pada film kartun NARUTO. Sepertinya pembuat virus ini adalah penggemar dari film kartun tersebut. Ciri yang paling mudah dikenali apabila terkena virus ini adalah berubahnya icon flashdisk menjadi icon winamp dan file dengan icon winamp berekstensi exe . Virus ini membuat beberapa file induk yaitu :

• C:\Documents and settings\%user%\My DOcuments\KakashiHatake
  • HOKAGE4.EXE
  • Hokagefile.exe
  • KakashiHatake.exe
  • Obito.exe
  • Rin.exe
• Membuat file “Hokagefile.exe” di setiap folder/subfolder yang di akses

Selain itu juga merubah nilai-nilai registry berikut :

• HKCU\Software\Microsoft\WIndows\CurrenVersion\Explorer\Advanced\Hidden = 2
• HKCU\Software\Microsoft\WIndows\CurrenVersion\Explorer\Advanced\HideFileExt = 1
• HKCU\Software\Microsoft\WIndows\CurrenVersion\Explorer\Advanced\ShowSuperHidden = 0
• HKCU\Software\Microsoft\WIndows\CurrenVersion\Explorer\Advanced\superhidden =1
• HKLM\Software\Microsoft\Windows\CurrentVersion\run\Hokage4 = C:\Documents and settings\%user%\MY Documents\KakashiHatake\Hokage4.exe
• HKLM\Software\Microsoft\Windows\CurrentVersion\run\Kakashi Hatake = C:\Documents and settings\%user%\MY Documents\KakashiHatake\KakashiHatake.exe
• HKLM\Software\Microsoft\Windows\CurrentVersion\run\Obito Uchiha = C:\DOcuments and settings\%user%\My Documents\KakashiHatake\Obito.exe
• HKLM\Software\Microsoft\Windows\CurrentVersion\run\Rin = C”\Documents and settings\%user%\My Documents\KakashiHatake\Rin.exe

Virus ini menyebar melalui media flashdisk melalui file-file berikut :

• Hokagefile.exe
• Autorun.inf
• Desktop.ini
• Folder.htt
• Anbu.txt

Cara untuk membersihkannya adalah sbb :

1. Matikan process yang sedang berjalan memakai process explorer dari sysinternal atau yang lainnya terutama yang menggunakan icon winamp ( Rin.exe, obito.exe, kakashihatake.exe, dan hokage4.exe )
2. Hapus registry-registry yang sudah dibuat oleh virus ( dapat dilihat diatas )
3. Hapus file-file yang sudah dibuat oleh virus.

Dibawah ini adalah script yang diperoleh dari vaksin.com untuk lebih memudahkan dalam memperbaiki registry yang sudah dirubah dengan cara :

1. Salin script kedalam notepad, dan simpan sebagai repair.inf
2. klik kanan repair.inf
3. klik install

SCRIPT dari vaksin.com :

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Naruto

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Hokage 4
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Kakashi Hatake
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Obito Uchiha
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Rin

Antivirus AVG palsu

Virus yang satu ini cukup unik dalam penyebarannya karena dalam usaha nya untuk menyebarkan diri virus ini menggunakan icon dari antivirus AVG dari Grisoft. Kalau dilihat sepintas memang virus ini mirip sekali dengan icon antivirus AVG hanya saja yang menjadi persoalan adalah besarnya file 101 KB.

virus ini membuat beberapa file induk yaitu :

• C:\msvbvm60.dll [Disetiap Drive]
• C:\Desktop.ini [Disetiap Drive]
• C:\AVG_update_2007.exe [Disetiap Drive]
• C:\AVG 2007.exe [Disetiap Drive]
• C:\Autorun.inf [Disetiap Drive]
• C:\update (berisi file Folder.htt)
• C:\Windows\msvbvm60.dll
• C:\windows\Resources\system.scr
• C:\windows\system32\notepad.scr
• C:\windows\system32\proposal.scr

Dan juga merubah beberapa registry :

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\EYORE = C:\WINDOWS\System32\Notepad.scr
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\EYORE = C:\WINDOWS\System32\Notepad.scr
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\EYORE = C:\WINDOWS\System32\Notepad.scr
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell = C:\WINDOWS\System32\Notepad.scr
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell = C:\WINDOWS\System32\Notepad.scr
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\AlternateShell = C:\WINDOWS\System32\Notepad.scr
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Control\SafeBoot\AlternateShell = C:\WINDOWS\System32\Notepad.scr %1 %*
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell = C:\WINDOWS\System32\Notepad.scr
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetTaskbar
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization = SMAN SURABAYA
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner = Dedy Kurniawan

Dan virus ini juga menghapus nilai registry :

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

Selain itu juga membuat beberapa file disetiap drive :

• Desktop.ini
• AVG_update_2007.exe
• AVG 2007.exe
• Autorun.inf
• update (berisi file Folder.htt)
• Autoexec.bat
• W32.Piglet II.jpg

Untuk membersihkannya adalah sebagai berikut :

1. Matikan process yang berada dimemory :
   • Notepad.scr
2. Hapus string registry yang sudah dibuat oleh virus
3. Hapus file induknya
4. Tampilkan folder C:\Windows yang diembunyikan oleh virus dengan cara:
   ATTRIB –s –h C:\Windows

Dibawah ini adalah script untuk memperbaiki registry yang sudah dirusak oleh virus, yang di kutip dari vaksin.com :

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Piglet

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, “”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0,”"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot,AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot,AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet003\Control\SafeBoot,AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentContolSet\Control\SafeBoot,AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot,AlternateShell,0, “cmd.exe”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN,type,0, “Radio”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,type,0, “Radio”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,type,0, “Checkbox”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,type,0, “Checkbox”

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetFolders
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetTaskbar
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, EYORE
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, EYORE
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstui.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, EYORE
HKLM, SYSTEM\CurrentContolSet
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Virus BlueFantasy ( 81u3f4nt45y )

Belakangan ini banyak laptop dari daerah kokonao yang terkena virus ini, padahal virus ini sudah cukup lama dan dapat dikenali oleh berbagai antivirus. Tapi yah tetap saja masih ada yang terkena serangan virus dari surabaya ini.

81u3f4nt45y – 24.01.2007 – Surabaya

Surabaya in my birthday

Don’t kill me, i’m just send message from your computer

Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti

Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku

Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah

lamunan dalam sesal

Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0

Salah satu ciri terkena virus ini adalah adanya tampilan pesan pada saat pertama kali logon ke windows seperti yang terlihat pada gambar. Selain itu juga mempunyai ciri-ciri berikut :

• Icon Folder
• ukuran 40 KB
• extensi .SCR
• Type File “File Folder”

Supaya file-file duplikat tersebut tidak terciri oleh kasat mata maka virus ini telah merubah file screen saver menjadi file folder dan menyembunyikan extensi dari file tersebut dengan cara :

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile

  • Default = File Folder

  • InfoTip

  • NeverShowExt

  • TileInfo

Virus ini juga membuat beberapa file di komputer, yaitu:

• C:\Documents and Settings\%user%\Start Menu\Programs\Startup
  • Adobe online.com
  • Adobe update.com
• C:\Documents and Settings\%user%\Autoexec.bat
• %Drive%:> autorun.inf
• %Drive%:> Thumbs.com
• %Drive%:> thumbs .db

Virus ini tidak memblock fungsi Taskmgr, Regedit, Msconfig seperti virus-virus lainnya. Media penyebaran virus ini adalah USB Flash disk dengan menyertakan autorun.inf, Thumbs.com dan thumbs .db . Dimana ketiga file tersebut akan berjalan secara otomatis ketika USB dicolokkan ke komputer dan segera membuat duplikatnya pada setiap drive di komputer.

Cara untuk mengatasinya adalah sbb :

1. Disable system restore
2. matikan proses virus yang masih bekerja di memory dengan CURRProcess yang bisa download disini yaitu :
   • adobe online.com
   • adobe update.com
3. Hapus registry yang sudah dibuat oleh virus dengan cara mengcopy script dibawah ini kedalam notepad dan simpan dengan nama repair.inf yang dijalankan dengan cara
   • klik kanan repair.inf
   • klik install

   [Version]
   Signature=”$Chicago$”
   Provider=Vaksincom Oye – Blue Fantasy

   [DefaultInstall]
   AddReg=UnhookRegKey
   DelReg=del

   [UnhookRegKey]
   HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
   HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
   HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
   HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
   HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
   HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
   HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
   HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
   HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
   HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
   HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0×00010001,0
   HKLM, SOFTWARE\Classes\scrfile,,,”Screen Saver”

   [del]
   HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption
   HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText
   HKLM, SOFTWARE\Classes\scrfile, InfoTip
   HKLM, SOFTWARE\Classes\scrfile, NeverShowExt
   HKLM, SOFTWARE\Classes\scrfile, TileInfo
   HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
   HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
   HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe
   HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
   HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

4. Hapus file duplikat yang sudah dibuat virus
   • menggunanakan icon folder
   • ukuran 40 KB
   • ekstensi .SCR atau .COM
5. Tampilkan kembali file yang sudah di sembunyikan oleh virus
   contoh :
   C:\> ATTRIB –s –h /s /d

Dikutip dari vaksin.com semoga dapat bermanfaat