Virus Cetix dari BALI

Ternyata orang-orang di Bali juga tidak mau kalah dengan kota-kota lainnya dalam hal urusan virus. Karena saat ini juga sudah ada virus yang berasal dari bali yaitu VIRUS CETIX. Virus cetix cukup berbahaya karena mengahapus berbagai type file yang berada di komputer dan menggantinya dengan file duplikat yang sudah dibuat oleh virus. Type file yang diserang adalah :

  • MS OFFICE dengan ekstensi *.doc, *.xls, *.ppt, *.mdb, *.pdf, *.xml
  • Multimedia dengan ekstensi *.mp3, *.3gp, *.dat, *.mov, *.wav
  • File Kompresi dengan ekstensi *.zip, *.rar
  • File gambar dengan ekstensi *.jpg, *.bmp, *.gif
  • File eksekusi dengan ekstensi *.bat, *.com, *.scr

dilihat dengan pilihan list/detail maka icon yang digunakan APPLICATION

cetix icon word
dilihat dengan pilihan icon maka icon yang digunakan WORD

cetix word

Jika dilihat dengan pilihan Thumbnails maka icon yang diguanakan FOLDER

cetix folder

Selain itu ciri yang lainnya adalah :

  • ukuran file 45 KB
  • menggunakan ekstensi .exe
  • type file application

Gejala komputer yang terkena virus cetix selain mematikan beberapa fungsi windows seperti taskmanager, regedit dll juga sebagai berikut :

  • Melakukan blok beberapa program aplikasi yang dikenal virus tsb (seperti WinRAR, MSN Explorer, Total Commander, dll).
  • Tidak bisa melakukan copy file (menu paste akan di-disable).
  • Tidak bisa melakukan copy isi file ke dalam file yang lain, setiap melakukan paste isi file kedalam isi file yang lain akan muncul tulisan “Hello ! My Name is CETiX, nice to meet you…”
  • Menghapus program aplikasi security yang dikenal oleh virus tsb (seperti program antivirus, program pengganti task manager), dan menggantinya dengan file duplikat virus pada setiap folder / drive yang diakses
  • Memunculkan pesan jika ada program aplikasi security yang berusaha mematikan virus tsb

    • Dont Kill Me

  • Membuat schedule task dengan subject ctxwarrior, pada saat kita menggunakan MS Outlook.
  • Membatalkan proses instalasi program yang kita lakukan (seandainya kita ingin melakukan proses instalasi suatu program).
  • Membuat file pesan pada root drive C:\, yaitu “infoBali.txt”.

    • infobali.txt

  • Membuat file pesan “aboutCetix.html”, pada desktop dan root drive C:\

    • about cetix

File induk virus yang dibuat :

  • C:\autorun.inf (pada semua root drive)
  • C:\%User%’s Files.exe (pada semua root drive)
  • C:\Untitled.exe (pada semua root drive)
  • C:\xz.exe (pada semua root drive)
  • C:\Documents and Settings\%User%\Start Menu\Programs\Startup\vserve.exe
  • C:\WINDOWS\cetix.exe
  • C:\WINDOWS\racun.exe
  • C:\WINDOWS\system32\poison.exe
  • C:\WINDOWS\system32\toxic.exe
  • Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb

Registry windows yang dirubah/ditambah :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Cetix = C:\WINDOWS\cetix.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Poison=C:\WINDOWS\system32\poison.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe “C:\WINDOWS\system32\poison.exe”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\poison.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell = C:\WINDOWS\cetix.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell = C:\WINDOWS\cetix.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell = C:\WINDOWS\cetix.exe

HKEY_CURRENT_USER\Control Panel\International\s1159 = AM | CETiX

HKEY_CURRENT_USER\Control Panel\International\s2359 = AM | CETiX

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization = CETiX BALi

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner = xz

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue = 0

HKEY_CLASSES_ROOT\batfile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\comfile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\exefile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\lnkfile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\piffile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

This entry was posted on Wednesday, June 18th, 2008 at 12:46 pm and is filed under virus indonesia. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Leave a Reply

You must be logged in to post a comment.