Virus “JeNGKol”
Bagaimana menghilangkan bau habis makan Pete ? Seperti anda ketahui, jika makan pete di ibaratkan merokok, maka yang menjadi korban paling parah adalah “perokok pasif” alias yang tidak makan pete tetapi dapat baunya saja. Ada lagi saran yang tidak kalah “maut” nya, kalau mau menghilangkan bau pete...... caranya ?
Makan Jengkol :P. Ini ibarat mengusir pak Ogah pakai jasa preman. Sebenarnya ada cara yang efektif untuk menghilangkan bau pete, benar manjur dan bukan pakai jengkol atau parfum CK. Caranya adalah menkonsumsi tablet vitamin B Kompleks. :) (Trims untuk JSer atas informasinya).
Tetapi vitamin B Kompleks hanya bermanfaat untuk menghadapi masalah yang timbul karena Jengkol / Pete beneran, kalau JeNGKol yang satu ini harus di hilangkan pakai Norman Security Suite.
Setelah sebelumnya digencarkan oleh virus arp spoofing dan virus Anjelina Jolie (Agent.GPKB) dengan dampak yang cukup besar khususnya untuk kalangan corporate .
Sampai saat ini kemunculan virus lokal masih terus berlanjut seperti tak mau surut di makan waktu selama masih ada komputer dan perangkatnya mereka (red.virus marker) tidak akan berhenti berkreasi untuk meluangkan sedikit bahkan banyak waktu untuk membuat program yang bernama virus.
Berikut ciri-ciri jika terinfeksi virus JeNGKol
-
Munculnya file dengan icon JPEG dengan ukuran 14 KB
-
Munculnya nama file JeNGKol.vb di setiap folder dan subfolder dengan ukuran file sekitar 14 KB
-
Komputer akan Logoff jika user menjalankan file yang mempunyai ekstensi .INF [Klik kanan file .inf | Install]
-
Komputer akan Logoff jika user edit file VBS
Target yang akan di incar oleh JeNGKol ini adalah file yang mempunyai ekstensi .DOC yakni dengan menyembunyikan file tersebut, selain itu ia juga akan membuat file duplikat di setiap folder/subfolder sesuai dengan nama file yang ada di folder/subfolder.
Jika komputer sudah terinfeksi, ia akan membuat beberapa file induk berikut:
-
%Drive%:\>JeNGKol.vbs
-
%DRive%:\>Autorun.inf
-
%Allfolder%:\>JeNGKol.vbs
-
C:\Documents and Settings\%user%\Favorites\JeNGKol.vbs
-
C:\Documents and Settings\%user%\Favorites\JeNGKol.lnk
-
C:\Windows\JeNGKol.vbs
Catatan:
%Drive% ini menunjukan Drive Hardisk (c:\ atau d:\)
%Allfolder% ini menunjukan folder/subfolder
%user% ini menunjukan user account yang sedang menggunakan komputer
Agar virus tersebut dapat aktif secara otomatis, ia akan membuat string pada registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
-
JeNGKol = C:\Documents and Settings\%user%\Favorites\JeNGKol.lnk
Untuk mempertahankan diri, JeNGKol akan mencoba untuk memblok beberapa fungsi windows seperti : Run, Folder Options, Regedit, Search dan Task Manager. Untuk blok fungsi windows tersebut JeNGKol akan membuat string pada registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer
- NoFileAssociate
- NOFInd
- NOFolderOptions
- NoRun
- NoDrives
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD
- DisableRegedit
- RunLogonScriptSync
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- NoDriveAutoRun = 03FFFFFF (hex)
- NoDrives
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- DisableTaskMgr
- DisableRegedit
- RunLogonScriptSync
- EnableLUA
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp
- Disabled
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- attrib.exe --> debugger = notepad.exe
- cmd.exe --> debugger = notepad.exe
- Install.exe --> debugger = notepad.exe
- msconfig.exe --> debugger = notepad.exe
- regedit.exe --> debugger = notepad.exe
- regedit32.exe --> debugger = notepad.exe
- setup.exe --> debugger = notepad.exe
- taskMgr.exe --> debugger = notepad.exe
Duplikat File
Virus ini akan mencoba untuk membuat file duplikat disetiap folder / subfolder dengan nama file sesuai dengan nama file yang ada pada folder / subfolder tersebut. Berikut ciri-ciri file duplikat yang akan dibuat oleh JeNGKol. (lihat gambar 5)
-
Icon JPEG
-
Ukuran 14 KB
-
Type File “JPEG Image”
Selain itu virus ini akan mencoba untuk menyembunyikan file yang mempunyai ekstensi DOC, untuk mengelabui use ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan dengan ciri-ciri:
-
Icon JPEG
-
Ukuran 14 KB
-
Type File “JPEG Image”
Windows File Protection
JeNGKol juga akan selalu memunculkan pesan “Windows File Protection” setiap saat seolah-olah Windows error atau terdapat file System Windows yang dihapus, sehingga user akan mengira bahwa komputer mengalami kerusakan.Media Penyebaran
Untuk menyebarkan dirinya, JeNGKol masih menggunakan Flash Disk / Disket dengan membuat file JeNGKol.vbs disetiap folder dan subfolder serta membuat file duplikat disetiap folder / subfolder sesuai dengan nama file yang ada di foldeer/subfolder tersebut.
Agar file ini dapat aktif secara otomatis tanpa bantuan manusia, JeNGKol akan memanfaatkan celah autoplay / autorun dari system operasi Windows dengan membuat file autorun.inf (lihat gambar 8). Script yang ada pada file ini akan menjalankan file dengan nama JeNGKol.vbs secara otomatis setiap kali flash disk dicolokkan ke komputer.
Cara membersihkan JeNGKol :
-
Putuskan komputer yang akan dibersihkan dari jaringan (LAN)
-
Nonaktifkan "System Restore" selama proses pembersihan (Windows XP)
-
Matikan proses virus. Untuk mematikan proses virus ini dapat menggunakan tools pengganti task manager seprti "Process explorer".
Silahkan downlod tools tersebut di alamat berikut:
http://download.sysinternals.com/Files/ProcessExplorer.zip-
Hapus registri yang dibuat oleh virus. Untuk mempermudah proses penghapusan silahkan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.vbs, kemudiai Jalankan file tersebut (klik 2x)
Dim oWSH: Set oWSH = CreateObject("WScript.Shell")
on error resume Next
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Edit\Command\","C:\Windows\System32\notepad.exe %1"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\DefaultIcon\","C:\Windows\System32\WScript.exe,2"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command\","C:\windows\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\RunLogonScriptSync")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\HideLegacyLogonScripts")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\HideLogoffScripts")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\HideStartupScripts")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\RunStartupScriptSync")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run\JeNGKoL")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\NeverShowExt")
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\","VBScript Script File"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\FriendlyTypeName","VBScript Script File"
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\RunLogonScriptSync")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NOFind")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NORun")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\command.com\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe\debugger")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe\debugger")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer\DisallowRun\")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer\Run\")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\")
-
Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri:
-
Menggunakan icon JPEG atau VBS
-
ukuran 14 KB
-
Type file JPEG Image atau VbScript Script File
-
Setelah menu Search muncul kemudian cari file duplikat virus. Untuk mempermudah dalam mencari file duplikat virus lakukan setting berikut pada layar Search Results
-
All or part of the file name = *.vbs
-
Looks in = lokasi drive (C:\ atau D:\)
-
What size is it = Specify size (in KB)
-
At Most
-
15
-
Seteah semua file duplikat virus berhasil ditemukan hapus file yang mempunyai ciri-ciri seperti di atas.
-
Untuk pembersihan optimal dan mencegah infeksi ulang, lindungi komputer anda dengan Norman Security Suite yang sudah dapat mendeteksi dan membasmi virus ini.
Tidak ada komentar:
Posting Komentar