h1

Worm:PIF/Starter.A Virus Shortcut

June 15, 2009

Pusing kena serangan dari conficker kemaren aku berhadapan dengan virus lagi kali ini virus local yang banyak membuat csortcut dimana-mana. Norman Virus Control mendeteksi virus ini sebagai Worm:PIF/Starter.A.

Ciri-ciri komputer yang terkena virus ini kurang lebih sebagai berikut :

  1. Disetiap folder sampai subfoldernya terdapat file microsoft.Ink, autorun.inf, dan Thumb.db
  2. Di dalam MyDocuments terdapat sebuah file yang bernama database.mdb, dan ternyata ini adalah file induknya.
  3. Membuat File Duplikat setiap folder dengan extensi .lnk, maksimal 5 nama folder pertama, misalnya kalau di C:\Windows ada banyak maka hanya akan diambil 5 nama pertama saja. Dan berlaku sampai sub folder yang ke-2
  4. Mendisable registry
  5. Menambahkan value di registry :

[HKEY_CURRENT_USER\software\microsoft\windows  \currentversion\run]

“Explorer”=”Wscript.exe //e:VBScript \”C:\Documents and Settings\Administrator\My Documents\database.mdb\””

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

“WinUpdate”=”Wscript.exe /e:VBScript \”C:\WINDOWS\:Microsoft Office

Update for Windows XP.sys\””

Untuk script yang terakhir mungkin sekali ini hanya script untuk mengecoh saja, tetapi

dalam prakteknya kita harus mendeletenya. Jika pada saat kita LogOn komputer, maka

akan didapat message error seperti di bawah ini

Pesan error tersebut keluar karena saat logon gagal loading sciptimage008

Virus cukup menyebalkan karena dia akan kembali lagi saat pembersihan tidak tuntas.

Cara penanganan :

  1. matikan proses virus yang berjalan melalui task manager.
  2. buka registry, untuk membersihkan script yang disisipkan biasanya akan keluar tampilan seperti gambar dibawah iniimage006
  3. hal tersebut dapat diatasi dengan menggunakan tool cav-094 antivirus, atau dengan tool lainnya. Lalu hapus [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]”Explorer”=”Wscript.exe //e:VBScript \”C:\Documents and Settings\Administrator\My Documents\database.mdb\””[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]”WinUpdate”=”Wscript.exe /e:VBScript \”C:\WINDOWS\:Microsoft Office Update for Windows XP.sys\””uraian sudah disampaikan di atas.
  4. buka msconfig pilih tab startup hilangkan semua ceklist yang ada.
  5. logoff user kemudian login kembali.
  6. mulai dengan scaning menggunakan norman malware dapat didownload di situsnya.
  7. untuk file yang dihidden dapat dicari dengan hidden tools dapat di download disini. scan drive yang diinginkan dengan filter kita isi dengan nama autorun.inf, setelah itu akan keluar autorun yang ada di beberapa folder atau subfolder seleck semuanya dan ganti attribut nya dengan tidak menceklist option setelah itu delete files.untitled

lakukan hal yang sama dengan mengganti filter dengan Thumb.db.  semoga tips ini bermanfaat walaupun penulis sendiri sedang belajar

Referensi : http://vaksin.com/2009/0209/shortcut/virus%20shortcut.htm

Terimakasih

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

  • islamic calender

  • Recent Posts

  • Tulisan Teratas

  • arsip

  • Meta

  • install libreoffice komputer libreoffice office backtrack 5 pengetahuan uncatagorized uneg-uneg
  • RSS chip home

  • %d bloggers like this: