Beberapa waktu lalu saya dipusingkan dengan adanya virus aneh...
Virus menginfeksi semua file .doc saya. Lalu saya menemukan artikel pada http://indo-pc-net.blogspot.com/2013/07/cara-menghilangkan-virus-jse-beautiful.html
Ini dia artikel tentang cara menghilangkan virus tersebut:
Virus JSE adalah sebuah virus berbasis Javascript Encoded Files yang
menyembunyikan sebuah dokumen yang berekstensi *.doc, *.docx, *.rtf dll
dan mengubahnya menjadi *.jse dengan nama yang sama, ketika file dokumen
tersebut kita klik file dokumen akan terbuka seperti biasa sekaligus
mengaktifkan script virusnya. Berikut Keterangan Lebih lanjut mengenai
virus JSE atau Beautiful Girl ini :
A. About Virus
Nama : annie.ani
Ukuran : 9,201 bytes
Info : JavaScript Encoded File
B. Companion atau File yang dibuat
Serviks-JS dalam aksinya membuat file sebagai berikut:
1.) Autorun.inf
berada pada root drive dan C:\Documents and Settings\%username%\Local Settings\Application Data\Microsoft\CD Burning.
ketika drive dibuka, maka file autorun.inf akan menjalankan file annie.ani, berikut listing file autorun.inf tersebut.
[autorun]
shellexecute=wscript.exe //e:jscript.encode annie.ani /a
shell\open\command=wscript.exe //e:jscript.encode annie.ani /a
shell\explore\command=wscript.exe //e:jscript.encode annie.ani /a
2.) Beautiful_girl_part_1 s/d part_5
ketika user menjalankan file shortcut tersebut yang sepintas terlihat seperti file Video maka akan menjalankan file windows media player atau wmplayer dan annie.ani
C:\WINDOWS\system32\wscript.exe //e:jscript.encode annie.ani /q:5
3.) Annie.sys
berada pada direktori C:\WINDOWS\system32\drivers, file ini akan aktif ketika komputer di restart dengan membuat startup pada registry sebagai berikut :
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon value=Userinit=C:\WINDOWS\system32\userinit.exe,wscript.exe //e:jscript.encode C:\WINDOWS\system32\drivers\annie.sys /e
4.) Annie.ani
berada pada root drive dan C:\Documents and Settings\%username%\Local Settings\Application Data\Microsoft\CD Burning. File annie.ani selain di aktifkan oleh file autorun.inf dan shortcut, juga aktif ketika user membuka drive dengan memanfaatkan registry.
C .Aksi
Serviks-JS menyembunyikan file dokumen dengan ekstensi *.doc , *.docx dan *.rtf. File tersebut digantikan dengan file host Serviks-JS dengan extensi *.jse dengan nama yang sama. Ketika file *.jse tersebut dijalankan, file dokumen akan terbuka seperti biasa sekaligus mengaktifkan virus. Tidak hanya itu, Serviks-JS juga menginfeksi file ber-ekstensi *.htm dan *html
A. About Virus
Nama : annie.ani
Ukuran : 9,201 bytes
Info : JavaScript Encoded File
B. Companion atau File yang dibuat
Serviks-JS dalam aksinya membuat file sebagai berikut:
1.) Autorun.inf
berada pada root drive dan C:\Documents and Settings\%username%\Local Settings\Application Data\Microsoft\CD Burning.
ketika drive dibuka, maka file autorun.inf akan menjalankan file annie.ani, berikut listing file autorun.inf tersebut.
[autorun]
shellexecute=wscript.exe //e:jscript.encode annie.ani /a
shell\open\command=wscript.exe //e:jscript.encode annie.ani /a
shell\explore\command=wscript.exe //e:jscript.encode annie.ani /a
2.) Beautiful_girl_part_1 s/d part_5
ketika user menjalankan file shortcut tersebut yang sepintas terlihat seperti file Video maka akan menjalankan file windows media player atau wmplayer dan annie.ani
C:\WINDOWS\system32\wscript.exe //e:jscript.encode annie.ani /q:5
3.) Annie.sys
berada pada direktori C:\WINDOWS\system32\drivers, file ini akan aktif ketika komputer di restart dengan membuat startup pada registry sebagai berikut :
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon value=Userinit=C:\WINDOWS\system32\userinit.exe,wscript.exe //e:jscript.encode C:\WINDOWS\system32\drivers\annie.sys /e
4.) Annie.ani
berada pada root drive dan C:\Documents and Settings\%username%\Local Settings\Application Data\Microsoft\CD Burning. File annie.ani selain di aktifkan oleh file autorun.inf dan shortcut, juga aktif ketika user membuka drive dengan memanfaatkan registry.
C .Aksi
Serviks-JS menyembunyikan file dokumen dengan ekstensi *.doc , *.docx dan *.rtf. File tersebut digantikan dengan file host Serviks-JS dengan extensi *.jse dengan nama yang sama. Ketika file *.jse tersebut dijalankan, file dokumen akan terbuka seperti biasa sekaligus mengaktifkan virus. Tidak hanya itu, Serviks-JS juga menginfeksi file ber-ekstensi *.htm dan *html
Selain itu Serviks-JS melakukan perubahan pada Registry yang
mengakibatkan Task Manager, Regedit, CMD , Menu Run ,Folder Options,
System Restore terdisable, membuat file hidden tidak bisa terlihat,
menyembunyikan ekstensi file, menghilangkan File Associate juga merubah
value pada file ber-ekstensi *.reg yaitu (Default)=cmd.exe /c del /q /f
“%1″, Serviks-JS juga membuat value pada Image File Execution Options
bernama attrib.exe, autoruns.exe, procexp.exe, reg.exe, regalyzer.exe dan taskkil.exe dengan value Debugger=cmd.exe /c del /q /f
D. PCMAV Express for Serviks-JS
PCMAV Express for Serviks-JS ini mempunyai kemampuan memblok akses ke situs antivirus dengan memodifikasi file hosts. Metode infeksi masih sama yang mebedakan adalah pada file *.htm dan *.html terinfeksi, kode Virus dalam keadaan ter-encode.
E. Pembersihan
Untuk pembersihan tuntas gunakan PCMAV Express for Serviks-JS yang dapat didownload melalui link di bawah ini.
D. PCMAV Express for Serviks-JS
PCMAV Express for Serviks-JS ini mempunyai kemampuan memblok akses ke situs antivirus dengan memodifikasi file hosts. Metode infeksi masih sama yang mebedakan adalah pada file *.htm dan *.html terinfeksi, kode Virus dalam keadaan ter-encode.
E. Pembersihan
Untuk pembersihan tuntas gunakan PCMAV Express for Serviks-JS yang dapat didownload melalui link di bawah ini.
Setelah saya hilangkan dengan PCMAV virus bersih namun banyak file .doc saya yang hilang. Pada suatu saya mencoba mencari ternyata folder kosong namun saat saya liat size nya masih utuh. Saya pikir ini pasti ke hidden. Namun ketika saya coba cek dengan total commender tetap saja tidak nampak.
Saya coba dengan smadav, file terhidden bisa muncul...
**semoga bermanfaat**
Tidak ada komentar:
Posting Komentar