Belakangan ini banyak laptop dari daerah kokonao yang terkena virus ini, padahal virus ini sudah cukup lama dan dapat dikenali oleh berbagai antivirus. Tapi yah tetap saja masih ada yang terkena serangan virus dari surabaya ini.
81u3f4nt45y – 24.01.2007 – Surabaya
Surabaya in my birthday
Don’t kill me, i’m just send message from your computer
Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti
Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku
Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah
lamunan dalam sesal
Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0
Salah satu ciri terkena virus ini adalah adanya tampilan pesan pada saat pertama kali logon ke windows seperti yang terlihat pada gambar. Selain itu juga mempunyai ciri-ciri berikut :
- Icon Folder
- ukuran 40 KB
- extensi .SCR
- Type File “File Folder”
Supaya file-file duplikat tersebut tidak terciri oleh kasat mata maka virus ini telah merubah file screen saver menjadi file folder dan menyembunyikan extensi dari file tersebut dengan cara :
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile
-
Default = File Folder
-
InfoTip
-
NeverShowExt
-
TileInfo
-
Virus ini juga membuat beberapa file di komputer, yaitu:
- C:\Documents and Settings\%user%\Start Menu\Programs\Startup
- Adobe online.com
- Adobe update.com
- C:\Documents and Settings\%user%\Autoexec.bat
- %Drive%:> autorun.inf
- %Drive%:> Thumbs.com
- %Drive%:> thumbs .db
Virus ini tidak memblock fungsi Taskmgr, Regedit, Msconfig seperti virus-virus lainnya. Media penyebaran virus ini adalah USB Flash disk dengan menyertakan autorun.inf, Thumbs.com dan thumbs .db . Dimana ketiga file tersebut akan berjalan secara otomatis ketika USB dicolokkan ke komputer dan segera membuat duplikatnya pada setiap drive di komputer.
Cara untuk mengatasinya adalah sbb :
- Disable system restore
- matikan proses virus yang masih bekerja di memory dengan CURRProcess yang bisa download disini yaitu :
- adobe online.com
- adobe update.com
- Hapus registry yang sudah dibuat oleh virus dengan cara mengcopy script dibawah ini kedalam notepad dan simpan dengan nama repair.inf yang dijalankan dengan cara
- klik kanan repair.inf
- klik install
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oye – Blue Fantasy[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0×00010001,0
HKLM, SOFTWARE\Classes\scrfile,,,”Screen Saver”[del]
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText
HKLM, SOFTWARE\Classes\scrfile, InfoTip
HKLM, SOFTWARE\Classes\scrfile, NeverShowExt
HKLM, SOFTWARE\Classes\scrfile, TileInfo
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe - Hapus file duplikat yang sudah dibuat virus
- menggunanakan icon folder
- ukuran 40 KB
- ekstensi .SCR atau .COM
- Tampilkan kembali file yang sudah di sembunyikan oleh virus
contoh :
C:\> ATTRIB –s –h /s /d
Dikutip dari vaksin.com semoga dapat bermanfaat
