Facebook Virus
Share

Facebook Virus (Bredolab) 2/2

 

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

 

Thanks,

The Facebook Team

 Sambungan dari http://vaksin.com/2009/1109/facebook/facebook.html

 

Mengundang Antispyware palsu “Security Tools”

Aksi lain yang akan di lakukan oleh virus Facebook adalah akan mendownload dan menginstal sebuah program antispyware palsu dengan nama “Security Tools”. Antispyware palsu ini akan memberikan informasi palsu dengan menampilkan sederetan nama virus/trojan yang berhasil di deteksi, informasi palsu ini biasanya akan ditampilkan secara terus-menerus pada waktu yang telah ditentukan. (lihat gambar 8 dan 9)

 

Gambar 8, Peringatan palsu yang ditampilkan oleh antiwpyware “Security Tools”

 

Gambar 9, Scareware yang terinstal akan secara terus menerus memberikan peringatan palsu (Security Tool Warning) 

Jika user mencoba untuk melakukan aksi pembersihan dengan menggunakan software palsu tersebut maka ia akan menampilkan layar agar user melakukan pembelian software tersebut, jika muncul hal ini sebaiknya Anda abaikan saja karena anda tidak akan mendapatkan software antispyware tersebut.

 

File antyspyware “security tools” mempunyai ukuran sekitar 1.103 MB dengan type file sebagai “application” (lihat gambar 10)

 

Gambar 10, File induk antispyware “security tools”

 

Antispyware ini akan secara membuat beberapa file berikut agar dirinya tetap aktif:

-       C:\Documents and Settings\All Users\Application Data\47543326

-       C:\Documents and Settings\Elvina\Desktop\security tools.lnk

-       C:\Windows\temp\_ex-08.exe

-       C:\Documents and Settings\Elvina\Start Menu\Programs\security tools.lnk

 

Registry antispayware Security Tools

Sebagai pendukung agar dirinya tetap aktif, ia akan membuat beberapa string pada registry berikut:

 

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

§  47543326= C:\DOCUME~1\ALLUSE~1\APPLIC~1\47543326\47543326.exe

§  PromoReg = C:\WINDOWS\Temp\_ex-08.exe

 

-       HKEY_LOCAL_MACHINE\SOFTWARE\47543326

 

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network

§  UID = %user%_00127065

 

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

§  Rlist

 

Aksi yang dilakukan oleh antispyware “Security Tools”

·         Menampilkan pesan notifikasi bahwa komputer telah terinfeksi virus/spyware (lihat gambar 11 dan 12)

 

 

Gambar 11, Pesan pop up yang ditampilkan terus menerus oleh scareware dalam rangka menakuti korbannya 

Gambar 12, Pesan peringatan dari Antispyware Security Tools

 

·         Menampilkan konfirmasi update database Antispyware Security Tools (lihat gambar 13)

 

Gambar 13, Konfirmasi update Antispyware Security Tools

 

·         Restart komputer pada waktu yang teah ditetukan dengan menampilkan layar “Blue Sreen” seolah-olah terjadi error pada system/hardware komputer yang telah terinfeksi.

 

·         Mengganti walpaper/desktop Windows (lihat gambar 14)

 

Gambar 14, Desktop windows yang diubah oleh antispyware “security tools”

 

Cara membersihkan W32/Obfuscated.D2!genr dan Antispyware Security Tools

 

  1. Disable system restore selama proses pembersihan

 

  1. Disconect komputer dari jaringan/internet

 

  1. Sebaiknya lakukan pembersihan pada mode “safe mode”

 

  1. Install software “unlocker” [http://www.filehippo.com/download_unlocker/]

 

  1. Matikan proses virus yang aktif dimemory, gunakan tools “Security Task Manager”, silahkan download tools tersebut di alamat

http://www.neuber.com/taskmanager/download.html (lihat gambar 15)

 

Gambar 15, Mematikan proses virus dengan “security task manager”

 

  1. Fix registry, untuk mempercepat proses perbaikan registry silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama [repair.inf]. Jalankan file tersebut dengan cara:

 

    1. Klik kanan [repair.inf]
    2. Klik [install]

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, Software\Microsoft\Internet Explorer\Main, tart Page,0, "about:blank"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,userinit,0, "userinit.exe"

 

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,47543326

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,PromoReg

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,EnableProfileQuota

HKLM, SOFTWARE\AGProtect

HKLM, SOFTWARE\47543326

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network, UID

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, Rlist

HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}

HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}

 

  1. Hapus file yang dibuat oleh virus dengan terlebih dahulu menampilkan file yang tersebunyi (lihat gambar 16)

 

Lihat gambar 16, Menampilkan file yang tersembunyi

 

Kemudian hapus file berikut::

 

§  C:\Documents and Settings\All Users\Application Data\47543326

§  C:\Documents and Settings\Elvina\Start Menu\Programs\Security Tools.lnk

§  C:\Documents and Settings\Elvina\Desktop\ Security Tools.lnk

§  C:\Documents and Settings\Elvina\Application Data\ wiaservg.log

§  C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp

§  C:\WINDOWS\Temp\ wpv311256600826.exe

§  C:\WINDOWS\Temp\ wpv411256806849.exe

§  C:\Documents and Settings\%user%\reader_s.exe

§  C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe

§  C:\WINDOWS\system32\reader_s.exe

§  C:\Windows\system32\wbem\proquota.exe

§  C:\windows\system32\sdra64.exe

§  C:\Windows\system32\lowsec

o    local.ds

o    user.ds

o    user.ds.lll

 

Catatan:

Untuk menghapus folder [C:\Windows\system32\lowsec] dan [C:\windows\system32\sdra64.exe], gunakan tools “unlocker” untuk memisahkan proses tersebut dengan proses system windows (explorer.exe dan svchost.exe),  karena kedua file tersebut akan menginjeksi file [explorer.exe dan svchost.exe] caranya:

 

o    Klik kanan pada file [C:\windows\system32\sdra64.exe] atau folder [C:\Windows\system32\lowsec]

o    Kemudian klik menu “unlocker”

o    Pada layar unlocker, pilih opsi [hapus]

o    Kemudian klik tombol [OK]

o    Jika muncul pesan error, di abaikan saja (klik ok)

 

  1. Hapus file temporary dan temporary interet file, gunakan tools ATF-Cleaner [http://majorgeeks.com/download.php?det=4949] (lihat gambar 17)

 

Gambar 17, Menghapus file temporary internet dan temporary file

 

  1. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date. Anda juga dapat membersihkan dengan menggunakan tools Norman Malware Cleaner [http://www.norman.com/support/support_tools/58732/en-us] atau Malwarebytes Anti Malware (www.malwarebytes.org) (lihat gambar 18 dan 19)

 

Gambar 18, Hasil deteksi Malwarebytes Anti Malware

 

Gambar 19, Hasil deteksi Norman Malware Cleaner

 

Salam,

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 3456850

Fx : 021 3456851