Telp : 021 345 6850 | Email : info@vaksin.com    
       
 
Berita Utama
Hati-hati !!!
 
Share on Facebook  

VBS/Cryf.A

Virus canggih yang “Tak Gendong” CD Rom selalu terbuka

 

Di dunia virus lokal, bahasa pemrograman yang menjadi “Cinta Terlarang” adalah Visual Basic. Tetapi rupanya bukan hanya Visual Basic saja yang bisa dijadikan sebagai program untuk membuat virus. Berikut ini Vaksincom memberikan satu virus lokal yang sedang mengganas di Indonesia dan selain tidak menggunakan bahasa “terlarang” Visual Basic melainkan VBS, virus ini memiliki banyak sekali kecanggihan seperti mengenkripsi kodenya, merekayasa file virus menjadi file video dan menyebabkan CD / DVD Rom anda terbuka terus dan kalau anda tutup akan terbuka lagi, sampai korbannya akan bertanya “What this is ??”. Kalau di ranah musik pop, virus yang satu ini ibaratnya lagu Tak Gendong yang lagi ngetop. Tertarik ? ... Follow me .... okay :P.

 

Virus lokal tidak selalu dibuat dengan menggunakan program Visual Basic, sudah banyak virus lokal yang dibuat dengan menggunakan program bahasa lain yang tentunya mempunyai efek yang cukup berbahaya, contohnya program VBS, walaupun virus ini “hanya” dibuat dengan menggunakan program VBS tetapi aksi yang dilakukan cukup “menegangkan” juga.

 

Harap Waspada, saat ini telah beredar salah satu virus yang dibuat dengan menggunakan VBS, saat ini penyebarannya masih di kawasan Jogjakarta [jadi bisa ditebak kira-kira asal dari virus ini). Tidak seperti kebanyakan Virus made in VBS, kali ini ia akan mengenkripsi code nya sehingga tidak mudah untuk di baca.

 

Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai VBS/Cryf.A (lihat gambar 1 dan 2)

 

Gambar 1, Hasil deteksi Norman Security Suite

 

Gambar 2, File induk VBS/Cryf.A

 

Ciri komputer yang “Tak Gendong” oleh VBS/Cryf.A

Komputer yang terinfeksi VBS/Cryf.A mudah dikenali dengan beberapa jejak yang ditinggalkannya, diantaranya:

  • Pada saat komputer pertama kali dinyalakan, akan muncul program [Internet Explorer] yang menampilkan sosok yang cukup “menyeramkan”, tetapi kelihatannya bukan gambar Mbah Surip :P (lihat gambar 3)

Gambar 3, Jendela Internet Explorer yang akan ditampilkan saat komputer dinyalakan

  • Merubah halaman utama [start page] program [Internet Explorer] untuk menjalankan file yang berada didirektori [C:\WINDOWS\windows.html] yang berisi pesan dari pembuat virus. (lihat gambar 4)

Gambar 4, Halaman utama yang sudah diubah oleh virus

  • Ada folder “Album BOKEP” di setiap drive dan Flash Disk yang isinya seakan-akan file movie porno yang sebenarnya merupakan file virus yang siap “menggendong” komputer anda bila anda jalankan.

  • Merubah nama organisasi dan nama pemilik Windows menjadi Registered to CRY Shemale (lihat gambar 5)

Gambar 5, Nama organisasi dan nama pemilik windows yang sudah diubah oleh virus

  • Merubah type file Shortcut” [.lnk] mejadi “Movie Clip” yang sebenarnya adalah suatu rekayasa sosial yang cukup cerdik sehingga korbannya akan mengira file virus “.lnk” adalah file film. (lihat gambar 6)

Gambar 6, Type file [lnk] diubah menjadi “Movie Clip

 

Ciri-ciri File Virus

File induk VBS/Cryf.A ini mempunyai nama [drvconfg.drv] dengan ukuran file sebesar 218 KB, file ini mempunyai ekstensi [.drv] dan mempunyai type file sebagai “device driver”, file ini akan di enkipsi sehingga kode virusnya tidak mudah di baca.

 

Pada saat file virus di jalankan, pertama kali yang akan di lakukan adalah memanggil file [svchost.vbs] yang sudah di ekript yang berada di direktori [%Driver%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db]. Kemudian file [svchost.vbs] ini akan menjalankan file utama virus yakni file [drvconfg.drv], file inilah yang berisi runtime untuk menginfeksi dan menanamkan aksi-aksi lain nya di dalam komputer target. (lihat gambar 6 dan 7)

 

Gambar 6, File shortcut virus yang akan mengaktifkan file [svchost.vbs]

 

Gambar 7, File induk virus

 

Pada saat user menjalankan dirinya, VBS/Cryf.A akan memanggil program [Windows Media Player] seperti yang terlihat pada gambar 8 dibawah ini :

 

Gambar 8, VBS/Cryf.A membuka program Windows Media Player saat dijalankan

 

Kemudian akan membuat beberapa file induk yang salah satunya akan dijalankan saat komputer dinyalakan:

  • %Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db

    • svchost.vbs

    • desktop.ini

    • drvconfg.drv

    • SHELL32.dll

  • C:\windows

    • appsys.exe

    • Winupdt.scx

    • appopen.scx

    • Windowsopen.mht

    • Windows.html

    • Regedit.exe.lnk

    • Help.htm

  • C:\Windows\system\svchost.exe

  • C:\WINDOWS\system32

    • Svchost.dls

    • Corelsetup.scx

    • Appsys.dls

    • Kernel32.dls

    • Taskmgr.exe.lnk

  • C:\WINDOWS\system32\

    • Winupdtsys.exe

    • ssmarque.scr

  • C:\Program Files\FarStone\qbtask.exe

  • C:\Program Files\ACDsee\Launcher.exe

  • C:\Program Files\Common Files\NeroChkup.exe

  • C:\Program Files\ExeLauncher

  • %ProgramFiles%\drivers\VGA\VGAdrv.lnk

  • C:\Documents and Settings\Elvina\Desktop\Local Disk (C).dls

Catatan:

%Drive% adalah lokasi Drive (contoh: C:\ atau D:\]

%Program Files adalah [C:\Program Files]

Agar file tesebut dapat dijalankan secara otomatis pada saat komputer aktif, ia akan membuat beberapa string pada registry berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • ACDsee = c:\Program Files\ACDsee\Launcher.exe

    • CorelSetup = C:\WINDOWS\system32\Corelsetup.scx

    • updtsystem = C:\WINDOWS\system32\Winupdtsys.exe

    • VGAdriver = %ProgramFiles%\drivers\VGA\VGAdrv.lnk

    • VirtualCD Task = c:\Program Files\FarStone\qbtask.exe

    • WinSystem = c:\Windows\Windowsopen.mht

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    • Shell = explorer.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

    • Userinit = C:\WINDOWS\system32\userinit.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • NeroFilterCheck = c:\Program Files\Common Files\NeroChkup.exe

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

    • Start Page = C:\WINDOWS\windows.html

Untuk file induk virus yang mempunyai ekstensi [SCX] dan [DLS], agar file tersebut dapat dijalankan, ia akan membuat registry di bawah ini. Agar file tersebut dapat dijalankan ia akan memanfaatkan file [C:\Windows\System32\wscript.exe]

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scxfile

    • [Default] = VBScript Script File

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scxfile\shell\open\command

    • [Default] = %SystemRoot%\System32\wscript.exe %1

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dlsfile

    • [Default] = VBScript Script File

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dlsfile\shell\open\command

    • [Default] = %SystemRoot%\System32\wscript.exe %1

Untuk mempertahankan eksistensinya ia akan mencoba untuk blok beberapa fungsi windows seperti :

  • Task Manager

  • Regedit

  • CMD

  • MSCONFIG

  • Tidak dapat merubah Wallpaper

Untuk melakukan hal tersebut, ia akan membuat beberapa string pada registry berikut:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop

  • NoChangingWallpaper

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

  • nobandcustomize

  • nochangestartmenu

  • NoDriveAutoRun

  • NoDrivetypeautorun

  • NoFileAssociate

  • nosavesettings

  • NOTOOLBARCUSTOMIZE

  • NoRecycleFiles

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

  • DisableCMD

  • DisableRegistryTools

  • DisableTaskMgr

  • NoDispScrSavPage

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

  • NoDriveAutoRun

  • NoDriveTypeAutoRun = 95

Selain dengan membuat registry di atas, agar user tidak dapat menjalankan fungsi Regadit/Task Manager/CMD atau MSConfig, ia akan menyembunyikan file tersebut [regedit.exe, tskmgr.exe. cmd.exe dan MSConfig.exe] dan sebagai gantinya ia akan membuat file yang sama bedanya ia akan mempunyai dua ekstensi yakni [.exe.lnk], antara file “gadungan” dan file asli akan mempunyai icon yang sama. Jika user mencoba untuk memanggil salah satu fungsi Windows tersebut maka akan muncul pesan error berikut (lihat gambar 9 dan 10) :


Gambar 9, Pesan error saat menjalankan salah satu fungsi Windows

Gambar 10, File gadungan [regedit.exe.lnk] yang dibuat oleh virus

 

Tetapi jika user mencoba untuk langsung menjalankan file “gadungan” yang telah dibuat oleh virus sebagai pengganti file asli yang telah disembunyikan [contoh: regedit.exe.lnk] maka secara otomatis akan menjalankan file virus yang berada di direktori [C:\WINDOWS\system32\svchost.dls].

 

Selain itu ia juga akan melakukan Debugger terhadap ketiga fungsi windows tersebut untuk menjalankan file virus [C:\WINDOWS\appsys.exe] dengan membuat string pada registry berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMD.exe

      • Debugger = C:\WINDOWS\appsys.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

      • Debugger = C:\WINDOWS\appsys.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

      • Debugger = C:\WINDOWS\appsys.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe

      • Debugger = C:\WINDOWS\appsys.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe

      • Debugger = ntsd –d

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment

      • ComSpec = %SystemRoot%\system32\cmd.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\Environment

      • ComSpec = %SystemRoot%\system32\cmd.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment

      • ComSpec = %SystemRoot%\system32\cmd.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

 

Selain blok fungsi windows, ia juga akan blok beberapa tools security khususnya antivirus lokal seperti PCMAV atau ANSAV. VBS/Cryf.A juga akan melakukan Debugger terhadap program yang telah ditentukan dengan membuat string pada registry berikut :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\viremoval.exe

      • Debugger = C:\WINDOWS\appsys.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winupdtsys.exe

      • Debugger = C:\windows\system\svchost.exe "c:\windows\system32\kernel32.dls"

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe

      • Debugger =

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe

      • Debugger = ntsd –d

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NeroChkup.exe

      • Debugger = C:\windows\system\svchost.exe "c:\windows\system32\svchost.dls"

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV.exe

      • Debugger = C:\WINDOWS\appsys.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe

      • Debugger = C:\WINDOWS\appsys.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe

      • Debugger = C:\WINDOWS\appsys.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-SE.exe

      • Debugger = C:\WINDOWS\appsys.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qbtask.exe

      • Debugger = C:\windows\system\svchost.exe "c:\windows\system32\Corelsetup.scx

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe

      • Debugger = ntsd -d

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Integrator.exe

      • Debugger = C:\WINDOWS\appsys.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ise32.exe

      • Debugger = C:\WINDOWS\appsys.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Launcher.exe

      • Debugger = C:\windows\system\svchost.exe"c:\windows\appopen.scx"

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\a.exe

      • Debugger = C:\WINDOWS\appsys.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe

      • Debugger = C:\WINDOWS\appsys.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansavgd.exe

      • Debugger = C:\WINDOWS\appsys.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\appsys.exe

      • Debugger = C:\WINDOWS\system32\wscript.exe "c:\windows\system32\appsys.dls"

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe

      • Debugger = ntsd -d

 

Aktif otomatis memanfaatkan file [.reg/.vbs/.inf]

Virus ini juga akan mecoba untuk mengaktifkan dirinya secara otomatis dengan menjalankan file [C:\windows\system\svchost.exe atau C:\windows\WinUpdt.scx] setiap kali user menjalankan file yang mempunyai ekstensi berikut:

  • .reg

  • .vbs

  • .inf

Untuk melakukan hal ini, ia akan membuat string pada registry berikut:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\comman

  • [Default] = C:\Program Files\ExeLauncher\Launcher.exe

    • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Edit\Command

  • [Default] = C:\Program Files\ExeLauncher\Launcher.exe

    • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regedit\shell\open

  • Command = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

    • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regedit\shell\open\command

  • [Defalut] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

    • HKEY_CLASSES_ROOT\regfile\shell\edit\command

  • [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

    • HKEY_CLASSES_ROOT\regfile\shell\open\command

  • [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

    • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command

  • [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

    • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command

  • [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

Rekayasa sosial “Album BOKEP”

Untuk mempermudah dalam mengelabui user, ia akan menggunakan rekayasa sosial dengan membuat sebuah folder dengan nama [Album BOKEP] disetiap Drive termasuk di Flash Disk. Dengan nama folder tersebut di harapkan dapat menarik user untuk menjalankan salah satu dari 3 file shortcut yang berada di dalam nya. File dengan icon “Windows Media Player” ini seolah-olah merupakan file Video “Mesum” yang jika dijalankan maka akan mengaktifkan file [%Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db\svchost.vbs] (lihat gambar 11)


Gambar 11, File shortcut virus yang akan mengaktifkan file [svchost.vbs]

 

Selain itu agar penyamarannya lebih sempurna ia akan merubah type file dari file LNK (shortcut) tersebut menjadi “Movie Clip” sehingga seolah-olah merupakan file Video dan untuk lebih meyakinkan ia akan menyembunyikan ekstensi yang kedua dari file tersebut [.LNK] dengan membuat string pada registry berikut

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile

  • [Default] = Movie Clip

  • NeverShowExt

VBS/Cryf.A juga akan merubah type file dari “VBScript Script File” menjadi “Application” serta merubah icon VBS menjadi icon Application serta menyembunyikan ekstensi dari file tersebut dengan merubah string registry berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile

  • FriendlyTypeName = Application

  • NeverShowExt

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\DefaultIcon (lihat gambar 12)

  • [Default] = %SystemRoot%\system32\SHELL32.dll,2

Gambar 12, File VBS yang telah diubah oleh virus


Aktif pad mode “safe mode” dan “safe mode with command prompt”

Virus ini tidak hanya aktif pada mode Normal, tetapi akan aktf pada mode “safe mode” dan “safe mode” with command prompt dengan membuat string pada registry berikut

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    • Shell = explorer.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

    • Userinit = C:\WINDOWS\system32\userinit.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

    • AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

    • AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

    • AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

Registry lain

VBS/Cryf.A juga akan membuat registry berikut:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer

    • Logon User Name = Shemale

  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

    • AltDefaultUserName = Shemale

    • DefaultUserName = Shemale

  • HKEY_CURRENT_USER\Control Panel\International

    • s1159 = [kosong]

    • s2359 = [kosong]

Jejak virus

Sperti kebanyakan virus lokal, salah satu aksi yang dilakukan adalah meninggalkan jejak berupa pesan di komputer target. VBS/Cryf.A juga akan meningalkan beberepa pesan yang dikemas dalam sejumlah file diantara pesan terebut akan di tampilan secara otomatis saat komputer di nyalakan dan saat menjalankan program Internet Explorer atau saat screen saver Windows aktif.

 

Berikut beberapa pesan yang dibuat oleh VBS/Cryf.A

  • Merubah nama pemilik Windows dengan merubah string registry berikut (lihat gambar 5)

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

      • RegisteredOrganization = Shemale

      • RegisteredOwner = CRY

  • Menampilkan jendela Internet Explorer yang berisi gambar berikut , gambar ini akan di tampilkan secara otomatis saat menghidupkan komputer sebagai salam pembuka. (lihat gambar 3)

Untuk melakukan hal ini ia akan merubah string pada registry berikut:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      • WinSystem = c:\Windows\Windowsopen.mht

  • Menampilkan pesan “King of The World” saat membuka jendela Internet Explorer (lihat gambar 4)

Untuk melakukan hal ini ia akan merubah string pada registry berikut:

    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

      • Start Page = C:\WINDOWS\windows.html

  • Menampilkan pesan SHEMALE By CRY” saat screen saver Windows aktif dengan terlebih dahulu merubah string pada registry berikut (lihat gambar 12)

    • HKEY_CURRENT_USER\Control Panel\Desktop

      • SCRNSAVE.EXE = C:\WINDOWS\system32\ssmarque.scr

Gambar 12, Screen saver yang akan ditampilkan oleh VBS/Cryf.A

 

Promosi

Seolah-olah untuk menebus segala “dosa-dosa” nya, ia akan menyertakan link untuk mendownload removal tools untuk membersihkan komputer yang sudah terinfeksi. Link ini akan dibuat dalam sebuah file yang disimpan di direktori [C:\Windows\help.html] (lihat gambar 13)

 

Gambar 13, Link yang ditampilkan oleh virus

 

Jika link [ANTIVIRUS.exe] tersebut di klik maka akan diarahkan ke sebuah jendela baru dengan alamat [http://www.dinamikasolusi.co.nr], yang ternyata berisi “PROMOSI BUKU” tentang bagaimana “cara membuat antivirus dengan Visual Basic”. (lihat gambar 14)

 

Gambar 14, Alamat promosi yang akan ditampilkan oleh Virus

 

Media Penyebaran

Untuk menenyebarkan dirinya, ia akan memanfaatkan Flash Disk dengan cara membuat file folder berikut:


  • %Flash Disk%:\>Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db

    • svchost.vbs

    • desktop.ini

    • drvconfg.drv

    • SHELL32.dll

  • Autorun.inf

  • Dataku Penting Jangan Dihapus.lnk, jika di jalankan akan mengaktifkan file [%Flash Disk%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db\svchost.vbs]

  • %Flash Disk%:>Album BOKEP\Naughty America, jika di jalankan akan mengaktifkan file [%Flash Disk%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db\svchost.vbs]

    • My friends hot mom - sativa rose.wmv.lnk

    • My Sister Hot Friend - Courtney Dani.wmv.lnk

    • Naughty America 2009 - Vicky Vette.Mpeg.lnk

Agar dirinya dapat aktif secara otomatis, ia akan memanfaatkan fitur autorun dengan nama [autorun.inf] yang akan menjalankan file [Shell32.dll] kemudian file ini yang akan menjalankan file induk utama dari virus yakni [drvconfg.drv]. (lihat gambar 15)

Catatan:

%Drive%, menunjukan lokasi Drive [contohnya: C:\, D:\]

%FlashDisk, menunjukan lokasi Flash Disk

 

Gambar 15, Cript autorun.inf


Gambar 16, Isi script [Shell32.dll]

 

Cara pembersihan VBS/Cryf.A

  1. Matikan proses virus yang sedang aktif dimemori. Untuk mematikan proses virus ini silahkan gunakan tools pengganti task manager seperti [Currproses], kemudian matikan proses yang mempunyai product name “Microsoft (r) Windows Script Host” dengan cara : (lihat gambar 17)

    • Pilih [blok] proses yang mempunyai product name “Microsoft (r) Windows Script Host”

    • Klik kanan pada proses yang sudah di blok

    • Pilih [Kill Selected Processes]


Gambar 17, Gunakan Curr Process untuk mematikan proses virus

  1. Blok agar file virus tidak dapat dijalankan untuk sementara selama proses pembersihan dengan menggunakan fitur “Software Restriction Policies”, fitur ini hanya ada di Windows XP/2003/Vista/2008.

Untuk blok file tesebut lakukan langkah berikut : (lihat gambar 18)

      • Klik menu [Start]

      • Klik [Run]

      • Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]

      • Pada layar [Local Security Policy], klik [Software restriction policies]

      • Klik kanan pada [software restriction policies] dan pilih [Create new policies]

      • Kemudian klik kanan di [Additional Rule], dan pilih [New Hash Rule].

Gambar 18, Menentukan file yang akan diblok

      • Di Kolom [File Hash], klik tombol [Browse] dan pilih file yang akan diblok. Pada kolom [File information] akan terisi informasi dari file tersebut secara otomatis. (lihat gambar 19)

Gambar 19, Pilih file yang akan diblok.

      • Pada Security Level pilih [Disallowed]

      • Pada kolom “description” isi deskripsi dari nama file tersebut (bebas),

      • Pilih [OK]

Catatan:

Pada saat user menjalankan file yang sudah di add tersebut maka akan mucul pessan peringatan berikut : (lihat gambar 20)


Gambar 20, Pesan peringatan saat menjalankan file yang di blok

  1. Fix Registry dengan menjalankan file [FixRegistry.exe], silahkan download di alamat berikut : (lihat gambar 21)

http://www.4shared.com/file/117095567/3ea8e8ce/_4__FixRegistry.html

Gambar 21, Cara menjalankan tools FixRegistry

    1. Pada kolom [Register Owner] isi sesuai dengan nama pemilik Windows

    2. Pada kolom [Register Organization] isi sesuai dengan nama organisasi pemilik Windows

    3. Pada kolom [ShellWindows] isi dengan format explorer.exe

    4. Pada kolom [Userinit Windows] isi dengan format berikut

      • Windows NT/2000 = C:\WinNT\System32\userinit.exe,

      • Windows XP/2003/Vista = C:\Windows\System32\userinit.exe,

    5. Kemudian klik tombol [Set]

    6. Kemudian lik [Pulihkan Registry] untuk memperbaiki registry lain nya

  1. Hapus file induk virus yang telah dibuat. File induk virus ini akan disembunyikan. Jika file induk tersebut tidak dapat ditampilkan silahkan gunakan tools penggganti Windows Explorer seperti “Explorer XP”. Silahkan download di alamat berikut:

http://www.explorerxp.com/explorerxpsetup.exe

Setelah software tersebut di install, cari dan hapus file berikut:

  • %Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db

    • svchost.vbs

    • desktop.ini

    • drvconfg.drv

    • SHELL32.dll

  • %Drive%:\Album BOKEP\Naughty America

  • C:\windows

    • appsys.exe

    • Winupdt.scx

    • appopen.scx

    • Windowsopen.mht

    • Windows.html

    • Regedit.exe.lnk

    • Help.htm

  • C:\Windows\system\svchost.exe

  • C:\WINDOWS\system32

    • Taskmgr.exe.lnk

    • CMD.exe.lnk

    • Svchost.dls

    • Corelsetup.scx

    • Appsys.dls

    • Kernel32.dls

    • Winupdtsys.exe

    • ssmarque.scr

  • C:\Program Files\FarStone\qbtask.exe

  • C:\Program Files\ACDsee\Launcher.exe

  • C:\Program Files\Common Files\NeroChkup.exe

  • C:\Program Files\ExeLauncher

  • %ProgramFiles%\drivers\VGA\VGAdrv.lnk

  • C:\Documents and Settings\%user%\Desktop\Local Disk (C).dls

  • %Flash Disk:\>Dataku Penting Jangan Dihapus.lnk

Catatan:

%Drive%, menunjukan lokasi Drive [C:\ atau D:\]

%Flash Disk%, menunjukan lokasi Flash Disk

  1. Tampilkan file [TaskMgr.exe/Regedt32.exe/Regedit.exe/CMD.exe/Logoff.exe] yang disembunyikan oleh virus, caranya : (lihat gambar 22)

    1. Klik menu [Start]

    2. Klik [Run]

    3. Ketik CMD kemudian klik tombol [OK]

    4. Pada layar “Dos Prompt” pindahkan posisi kursor ke drive yang akan di periksa

    5. Ketik perintan ATTRIB –s –h –r regedit.exe kemudian klik tombol “enter”

    6. Kemudian ketik perintah saya yang membedakan hanya nama file yang akan ditampilkan yakni Taskmgr.exe, cmd.exe dan Logoff.exe

Gambar 22, Menampilkan file yang disembunyikan

  1. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan antivirus yang up-to-date.

  1. Jika komputer sudah benar-bernar bersih dari virus, hapus rule blok file [WSCript.exe] yang telah dibuat pada langkah no. (2), cara nya : (lihat gambar 23)

      • Klik menu [Start]

      • Klik [Run]

      • Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]

      • Pada layar [Local Security Policy], klik 2x [Software restriction policies]

      • Klik [Additional Rule]

      • Hapus Rule yang pernah Anda buat sebelumnya

  1. Untuk mencegah infeksi ulang, gunakan antivirus yang sudah dapat mendeteksi dan membasmi virus ini dengan baik.

Salam,

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 3456850

Fx : 021 3456851


Bagi anda yang ingin memberikan komentar atau bertanya mengenai virus Cryf atau Shemale by Cry, silahkan klik Forum khusus virus Cryf, http://www.facebook.com/topic.php?uid=44419857236&topic=8884

 
   
 
 
Reseller
 

Banda Aceh | Balikpapan | Bandung (4) | Banjarmasin | Batam | Cilacap | Cirebon | Denpasar | Gorontalo (2) | Jakarta | Lumajang
Makassar (1) | Malang | Medan | Padang | Palangka Raya (1) | Palembang (2) | Pekanbaru | Pontianak | Salatiga | Samarinda | Solo | Surabaya | Yogyakarta | Manado

 
Jika Anda pengusaha komputer dan berminat untuk bergabung menjadi reseller Vaksincom,
 silahkan emailkan profile perusahaan Anda ke info@vaksin.com
     
 Jl. Tanah Abang III / 19E - Jakarta 10160       
© 2009. Vaksincom | All right reserved