W32/Agent.DRUU          6 Maret 2008

Perang Bintang dengan Stargate

Pesan dari Stargate

Jika ingin menggapai mimpi yang lebih indah

laksanakan dan kerjakan

Gambaran Umum

Virus dengan icon Folder ini “cukup” sulit untuk dibersihkan. Kemampuan untuk redirect file eksekusi (exe/com/bat/pif/VBS/REG dan lnk) ke file virus merupakan salah satu penyebab virus ini mampu bertahan. Antivirus lokal dan antivirus manca negara khususnya Norman Virus Control tak luput dari incaran virus ini dengan membuat debugger untuk menjalankan file virus yang menyebabkan program asli tersebut tidak dapat dijalankan, bukan cuma itu saja virus ini juga akan blok hampir semua aplikasi yang terinstal sehingga tidak dapat di jalankan begitupun saat anda menjalankan secpol.msc atau gpedit.msc maka akan muncul pesan error seperti terlihat pada gambar 1 dibawah ini :

Gambar 1, Pesan error pada saat menjalankan gpedit.msc atau secpol.msc

Walapun demikian bukan berarti virus ini tidak dapat dibersihkan. Dengan sedikit trik dan kesabaran virus ini dapat dilumpuhkan. Setelah di analisa ternyata ada satu celah yang dapat kita manfaatkan untuk membunuh virus tersebut dimana virus ini tidak akan blok file yang mempunyai ekstensi SCR (contohnya dengan mengganti ekstensi tools process explorer.exe menjadi process explorer.scr )

Untuk membunuh virus ini anda hanya membutuhkan beberapa tools seperti tools kill process (killvb.scr), registry viewer (regAlizer.scr) dan script untuk menghapus sisa string registry yang dibuat oleh virus (repair.vbs).

Dengan update terbaru, Norman Virus Control sudah dapat mendeteksi virus ini sebagai W32/Agent.DRRU (lihat gambar 2).

Gambar 2, Noman Virus Control mendeteksi Stargate sebagai Trojan: W32/Agent.DRRU

Ciri-ciri file virus (lihat gambar 3)

• Mengunakan icon “Folder”

• Ukuran file 46 KB

• Type File “Application”

• Ekstensi EXE

Gambar 3, File virus Stargate

Gejala

• Tidak dapat menjalankan aplikasi yang telah terinstall

• Menambahkan type file pada setiap Direktori / folder menjadi “Stargate” (lihat gambar 4)

Gambar 4, Stargate merubah type file “Folder” menjadi “Stargate”

• Merubah icon TXT/INI File/INF File/MP3/JPEG/MPEG/DLL file (lihat gambar 5)

Gambar 5, Stargate merubah icon menjadi icon Folder

• Tidak dapat membuka properties My Computer

• Menampilkan file startgt.html setiap kali menjalankan aplikasi Internet Explorer. (lihat gambar 6)

Gambar 6, Stargate akan menampilkan stargt.html setiap kali user menjalankan Internet Explorer

• Jika membuka “Foldder Option”, komputer langsung restart

File Induk Virus

Stargate ini dibuat dengan program bahasa Visual Basic dengan ukuran file sebesar 46 KB dengan menggunakan icon Folder untuk mengelabui user. Jika file tersebut dijalankan maka ia akan membuat file induk yang akan dijalankan setiap kali komputer dinyalakan.

• C:\DCIM.exe (disetiap drive)

• C:\Dirlist .exe (disetiap drive)

• C:\Desktop.ini (all)

• C:\Autorun.inf (all)

• C:\msvbvm60.dll (disetiap drive)

• C:\Systems (folder.htt dan New Folder.exe)

• C:\Windows\syskeys.com

• C:\Windows\st4rg4tE.exe

• C:\Windows\ St4rgt.html

• C:\Windows\system32

  • 4st4rg4tE.exe

  • materia .exe

  • msload .exe

  • winlop.scr

• C:\Documents and Settings\%user%\Local Settings\Application Data\Desktop

  • Deva.exe

  • dlllhost.com

  • Kure.exe

  • Yu2n.exe

  • Znov.exe

• C:\Windows\ime\bt.x.exe

• C:\Documents and Settings\All Users\Start Menu\Programs\Startup\start.exe

Registri Windows

Untuk memastikan agar file tersebut dapat dijalankan, ia akan membuat string pada regsitry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

• Logon%USER% = C:\Documents and Settings\Ga Teknisi banget\Local Settings\Application Data\Desktop\znov.exe

• LogonNetworkService = C:\Documents and Settings\NetworkService\Local Settings\Application Data\Desktop\znov.exe

• System Monitoring = C:\Documents and Settings\Ga Teknisi banget\Local Settings\Application Data\Desktop\dlllhost.com

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

• Shell = Explorer.exe "C:\WINDOWS\system32\msload .exe"

• Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\msload .exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

• st4rg4tE = C:\WINDOWS\st4rg4tE.exe

• sys%USER% = C:\Documents and Settings\Ga Teknisi banget\Local Settings\Application Data\Desktop\Kure.EXE

Blok Fungsi Windows

Stargate cukup banyak membuat string registry untuk blok beberapa fungsi Windows (taskmanager / regedit / msconfig / folder option) dan beberapa program security termasuk antivirus baik dengan cara blok langsung / redirect ke file virus atau debugger ke program notepad. Berikut beberapa string registry yang akan dibuat oleh Stargate :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

• DisallowRun = 1

• NoFind =1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowRun

• 1 = PCMAV

• 2 = PCMAV-CLN.exe

• 3 = PCMAV-RTP.exe

• 4 = killvb.exe

• 5 = ccApp.exe

• 6 = ANSAV.exe

• 7 = mcshield.exe

• 8 = mcafeeframework.exe

• 9 = nod32krn.exe

• 10 = ashSimpl.exe

• 11 = setup.exe

• 12 = nvcoas.exe

• 13 = taskkill.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

• DisableRegistryTools

• DisableTaskMgr

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

• DisableMSI = 1

• EnableAdminTSRemote = 1

• LimitSystemRestoreCheckpointing = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

• DisableConfig =1

• DisableSR = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ANSAV32.exe

• debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe

• debugger = notepad

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe

• debugger = notepad

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avguard.exe

• debugger = notepad

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe

• debugger = notepad

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgw.exe

• debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CClaw.exe

• debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\killvb.exe

• debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

• debugger = notepad

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nip.exe

• debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nipsvc.exe

• debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Niu.exe

Debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Njeeves.exe

• debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe

• Debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nvccf.exe

• Debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nvcoas.exe

• Debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nvccf.exe

• Debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nvcod.exe

• Debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV.exe

• Debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe

• Debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe

• Debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\URemovalCRC32.exe

• debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\viremoval.exe

• debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winrar.exe

• debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wintoolspro.exe

• debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winzip.exe

debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Zanda.exe

debugger = c:\windows\ime\bt.x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Zlh.exe

debugger = c:\windows\ime\bt.x.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

DisallowRun = 1

NOFind = 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

• 1 = PCMAV

• 2 = PCMAV-CLN.exe

• 3 = PCMAV-RTP.exe

• 4 = killvb.exe

• 5 = ccApp.exe

• 6 = ANSAV.exe

• 7 = mcshield.exe

• 8 = mcafeeframework.exe

• 9 = nod32krn.exe

• 10 = ashSimpl.exe

• 11 = setup.exe

• 12 = nvcoas.exe

• 13 = taskkill.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

• DisableCMD = 1

• DisableRegistryTools =1

• DisableTaskMgr = 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

• hidden = 0

• HideFileExt = 1

• ShowSuperHidden = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug

• Debugger = "C:\WINDOWS\system32\winlop.scr"

Aktif pada mode “Safe mode” dan “Safe mode with command prompt”

Untuk mempertahankan dirinya selain melakukan blok beberapa fungsi Windows dan program security di atas, ia juga akan aktif pada mode “safe mode” atau “safe mode with command prompt” sehingga semakin sulit untuk membersihkan virus ini. Untuk melakukan hal tersebut ia akan merubah string berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

• Shell = Explorer.exe "C:\WINDOWS\system32\msload .exe"

• Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\msload .exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

• AlternateShell = C:\WINDOWS\st4rg4tE.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

• AlternateShell = C:\WINDOWS\st4rg4tE.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot

• AlternateShell = C:\WINDOWS\st4rg4tE.exe

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

• AlternateShell = C:\WINDOWS\st4rg4tE.exe

Merubah Startpage IE

Tidak ketinggalan aplikasi Internet Explorer Windows menjadi sasaran virus ini dengan merubah starpage untuk menjalankan file html yang sudah dibuat oleh virus tersebut. (lihat gambar 6 di atas)

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

• Start Page = c:\windows\St4rgt.html

Virus ini juga akan aktif secara otomatis saat screen saver Windows aktif dengan merubah screen saver Windows yang sudah disetting sebelumnya. Untuk melakukan hal tersebut ia akan membuat string pada registri berikut :

HKEY_CURRENT_USER\Control Panel\Desktop

• SCRNSAVE.EXE = C:\WINDOWS\system32\winlop.scr

Redirect ekstensi exe / com / bat / pif / lnk / vbs dan reg

Sebaiknya Anda berhati-hati jangan sering menjalankan apalikasi dengan ekstensi di atas karena virus ini akan direct ke file virus jika user mencoba menjalankan file dengan ekstensi tersebut sehingga aplikasi tersebut tidak akan dapat dijalankan sehingga user beranggapan bahwa program tersebut telah rusak .

Untuk melakukan hal tersebut, ia akan membuat string pada registry berikut

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command

• Default = "C:\WINDOWS\system32\msload .exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command

• Default = "C:\WINDOWS\system32\winlop.scr" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command

• Default = "C:\WINDOWS\system32\materia .exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command

• Default = "C:\WINDOWS\system32\materia .exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command

• Default = "c:\windows\ime\bt.x.exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command

• Default = "C:\WINDOWS\system32\materia .exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command

- Default = "C:\WINDOWS\system32\materia .exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open\Command

• Default = "C:\WINDOWS\system32\materia .exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile

• Default = File Folder

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\DefaultIcon

• Default = system32\shell32.dll,3

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\open\command

• Default = "C:\WINDOWS\system32\4st4rg4tE.exe" "%1" %*

Merubah icon mp3 / ini / inf / jpeg / mpeg / txt / dll

Stargate juga akan merubah icon sejumlah file menjadi icon Folder. Ini merupakan salah satu rekayasa sosial yang akan digunakan untuk mengelabui user agar user beranggapan bahwa file tersebut merupakan file duplikat yang dibuat oleh virus atau file yang sudah di injeksi oleh virus dengan harapan user akan menghapus file tersebut. (lihat gambar 7)

Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

• Default = File Folder

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\DefaultIcon

• Default = system32\shell32.dll,3

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp3file\DefaultIcon

- Default = system32\shell32.dll,3

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mpegfile\DefaultIcon

- Default = system32\shell32.dll,3

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\jpegfile\DefaultIcon

- Default = system32\shell32.dll,3

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\DefaultIcon

• Default = system32\shell32.dll,3

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dllfile\DefaultIcon

• Default = system32\shell32.dll,3

Gambar 7, Stargate merubah icon menjadi icon Folder

Jika komputer anda sudah terinfeksi Stargate maka pada saat anda membukan folder / drive maka akan muncul layar “Search Windows” agar drive / folder tersebut dapat dibuka Anda harus klik kanan pada folder / drive tersebut klik “Open” atau “Explore” (lihat gambar 8)

Gambar 8, Stargate Blok open Drive Windows

Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\%key (acak) \Shell\AutoRun\command

  • Default = DCIM.exe

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\auto\command

  • Default = DCIM

Catatan:
C ini menunjukan lokasi Drive

Blok MMC file (GPEDIT.MSC / SECPOL.MSC)

Stargate juga akan mencoba untuk blok akses ke MMC file dengan memunculkan pesan error seolah-olah user tidak mendapat akses untuk membuka file tersebut, contohnya gpedit.msc atau secpol.msc.

Pada saat user membuka salah satu file MMC maka akan muncul pesan error berikut : (lihat gambar 9)

Gambar 9, Pesan error saat mejalankan gpedit.msc

Untuk melakukan hal di atas, ia akan merubah attribut file C:\%Windir%\System32\GroupPolicy\GPT.INI menjadi atribut System, Hidden dan Read Only.

Catatan:

%Windir% ini berbeda-beda, C:\Windows (ME/XP/2003) dan C:\Winnt (NT/2000)

Autorun Windows

Agar dirinya dapat aktip secara otomatis tanpa harus menjalankan file virus ia akan memanfaatkan fungsi Autorun Windows dengan membuat berapa file yakni desktop.ini, folder.htt dan autorun.inf. Ketiga file ini akan dibuat disetiap Drive termasuk ke media Flash Disk sehingga dengan hanya mengakses drive tersebut secara otomatis akan mengaktifkan virus ini. (Lihat gambar 10 dan 11)

Gambar 10, Autorun.inf

Gambar 11, Desktop.ini

Menyebar melalui Flash Disk

Flash Disk masih merupakan salah satu media yang akan digunakan oleh virus ini untuk menyebarkan dirinya dengan membuat beberapa file berikut:

• Autorun.inf

• Desktop.ini

• Folder.htt

• Msvbvm60.dll

• DCIM.exe

• Dirlist.exe

Cara pembersihan secara manual

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan

2. Sebaiknya lakukan pembersihan pada “safe mode”

3. Matikan proses virus. Untuk mematikan proses virus ini anda dapat menggunakan tools KillVB. Sebelum menjalankan file tersebut sebaiknya ganti ekstensi dari exe manjadi SCR agar tidak diblok oleh virus. (lihat gambar 12)

Gambar 12, KillVB mematikan proses virus

4. Hapus registry yang dibuat oleh virus. Untuk mempermudah proses pembersihan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.vbs. Jalankan file repair.vbs dengan cara klik 2x file tersebut.

Dim oWSH: Set oWSH = CreateObject("WScript.Shell")

on error resume Next

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\lnkfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command\","regedit.exe %1"

oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools")

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\","Application"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\","Setup Information"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\Debugger",""

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page","About:Blank"

oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE",""

oWSH.Regwrite "HKEY_CLASSES_ROOT\exefile\DefaultIcon\","%1"

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetTaskbar")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Monitoring")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableCMD")

oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableCMD")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\LimitSystemRestoreCheckpointing")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\DisableMSI")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Windows Title")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Monitoring ")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\LogonNetworkService")

oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\st4rg4tE")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowRun")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFind")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowRun\")

oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowRun\")

oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowRun")

oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFind")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav32.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansavgd.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avguard.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avscan.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ClamWinPortable.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\command.com\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-SE.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe\debugger\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ViRemoval.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winamp.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winrar.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winzip.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\antv-md5-pattern.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegistriEditor.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgw.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cclaw.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\killvb.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nip.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nipsvc.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\niu.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\njeeves.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nvccf.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nvcoas.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nvcod.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zanda.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zlh.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\URemovalCRC32.exe\")

oWSH.Regwrite "HKEY_CLASSES_ROOT\mp3file\DefaultIcon\","C:\Program Files\Windows Media Player\wmplayer.exe,-120"

oWSH.Regwrite "HKEY_CLASSES_ROOT\inffile\DefaultIcon\","shell32.dll,-151"

oWSH.Regwrite "HKEY_CLASSES_ROOT\inifile\DefaultIcon\","shell32.dll,-151"

oWSH.Regwrite "HKEY_CLASSES_ROOT\mpegfile\DefaultIcon\","shell32.dll,-120"

oWSH.Regwrite "HKEY_CLASSES_ROOT\mp3file\shell\open\command\","C:\Program Files\Windows Media Player\wmplayer.exe"

oWSH.Regwrite "HKEY_CLASSES_ROOT\mpegfile\shell\open\command\","C:\Program Files\Windows Media Player\wmplayer.exe"

oWSH.Regwrite "HKEY_CLASSES_ROOT\txtfile\","Text Documents"

oWSH.Regwrite "HKEY_CLASSES_ROOT\txtfile\DefaultIcon\","shell32.dll,-152"

oWSH.Regwrite "HKEY_CLASSES_ROOT\jpegfile\","JPEG Image"

oWSH.Regwrite "HKEY_CLASSES_ROOT\jpegfile\DefaultIcon\","shimgvw.dll,3"

oWSH.Regwrite "HKEY_CLASSES_ROOT\dllfile\DefaultIcon\","shell32.dll,-154"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command\","C:\WINDOWS\System32\notepad.exe %1"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\open\command\","C:\WINDOWS\System32\notepad.exe %1"

oWSH.Regwrite "HKEY_CLASSES_ROOT\Directory\shell\","none"

oWSH.Regwrite "HKEY_CLASSES_ROOT\Folder\shell\",""

Sebelum menjalankan file repair.vbs sebaiknya anda set terlebih dahulu registry berikut dengan tujuan agar dapat mejalankan file repair.vbs tersebut karena jika tidak di ubah maka file tersebut akan diblok karena berekstensi .VBS.

Berikut key yang harus anda set:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\commandkemudian set registry pada string Default menjadi "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open\Command

kemudian set registry pada string Default menjadi %SystemRoot%\System32\WScript.exe "%1" %*

Untuk set string ini Anda dapat menggunakan tools RegAlizer. Silahkan download tools tersebut dialamat berikut :

http://www.4shared.com/file/38372624/43f177ed/RegAlyzer.html?dirPwdVerified=7a224f27

Kemudian jalankan file repair.vbs, setelah menjalankan file repair.vbs, sebaiknya cek kembali lokasi registry berikut kemudian hapus string berikut:

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run

• Sys%user% (contohnya : SysGa Teknisi banget)

5. HKLM\Software\Microsoft\Windows\CurrentVersion\Run

• Logon%user%, (contohnya : Ga Teknisi banget)

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\%key (acak) \Shell\AutoRun\command

• Default = DCIM.exe

Biasanya virus ini akan membuat string tersebut lebih dari satu key, sebaiknya cek key lain yang mempuyai lokasi file yang sama, jika ditemukan hapus key tersebut.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

• Userinit

Catatan:

Untuk string Userinit isi dengan value berikut:

• C:\Windows\System32\userinit.exe, (jika menggunakan Windows XP/Server 2003)

• C:\Winnt\System32\userinit.exe, (jika menggunakan Windows 2000)

6. Hapus file induk yang mempunyai ciri-ciri berikut (gunakan fungsi “Search Windows”)

• Icon Folder

• Ukuran 46 KB

• Type File “Application”

• Ekstensi EXE dan COM

Sebelum mencari file virus tersebut sebaiknya tampilkan terlebih dahulu file yang tersembunyi dengan melakukan set pada Folder Option, caranya:

• Buka Windows Explorer

• Klik menu “Tools”

• Klik “Folder Option”

• Klik tabulasi “View”

• Pada kolom “Advanced settings”, pada “Hiddenfiles and folders” lakukan langkah berikut:

• Pilih opsi “Show hidden files and folders”

• Uncheck opsi “Hide extenton for known file types”

• Uncheck opsi “Hide protected operating system files (Recommanded)” (lihat gambar 13)

  
  Gambar 13, Menampilkan file yang tersembunyi dan menampilkan ekstensi file

• Klik “Apply”

• Klik “OK”

Setelah itu cari file virus dengan menggunakan “Search”, kemudian hapus file induk dan file duplikat virus.

7. Ubah attribut file GPT.INI yang ada di direktori C:\Windows\system32 dengan cara (lihat gambar 14) :

• Klik “Start”

• Klik Run”

• Ketik CMD

• Pada layar Dos Prompt, ketik CD\ [enter]

• Ketik CD windows\system32\GroupPolicy [enter]

• Ketik ATTRIB –s –h –r GPT.ini [enter]

Gambar 14, Set attribut file GPT.ini

8. Untuk Pembersihan optimal dan mencegah infeksi ulang scan dengan antivirus yang up-to-date dan sudah mengenali virus ini dengan baik

Catatan:

Untuk mematikan proses virus, fix registry dan menghapus file induk virus silahkan gunakan tools berikut (lihat gambar 15)

http://www.4shared.com/file/38378389/aed9c155/_3__VRT.html?dirPwdVerified=7a224f27

Gambar 15, Tools VRT untuk membunuh virus Stargate

salam,

Aj Tau

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 6851