Amburadul pembasmi Hokage
Share

Worm: VBWorm.Gen22             23 Maret 2010

Amburadul part 2 yang membackup MSVBVM60.DLL

++++ Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places,

Wanna start a War ++++

(7 Langkah membasmi Amburadul dan Antisipasinya)

Anda masih ingat dengan virus amburadul ? http://www.vaksin.com/2008/0408/amburadul/amburadul.html, sampai sekarang ternyata virus ini masih banyak berkeliaran di dunia maya yang siap untuk menginfeksi komputer target dengan memanfaatkan media Flash Disk. Dari hasil pantauan Vaksicom saat ini sudah lebih dari 6 varian yang dikeluarkan. Dari ke enam varian tersebut sebenarnya tidak mempunyai perbedaan yang mencolok mulai dari penamaan file induk virus, media penyebaran dan aksi yang dilakukan. Yang membedakan adalah dari ukuran file dan file security yang akan diblok oleh virus ini. Dalam artikel ini, selain memberikan cara membasmi virus Amburadul, Vaksincom juga memberikan bonus bagaimana mencegah satu virus tertentu aktif di komputer anda menggunakan Tools standar yang dimiliki Windows, Secpol dan Hash Rule.

Virus buatan Palangkaraya ini dibuat menggunakan bahasa Visual Basic yang akan mempunyai ukuran berbeda-beda untuk masing-masing varian dan untuk mengantisipasi bilamana user merubah file MSVBVM60.DLL yang merupakan file pendukung dari aplikasi VB dengan cerdik ia akan menyertakan file MSVBVM60.DLL di direktori dimana file induk tersebut di simpan dengan atribut Hidden, System dan Read Only sehingga virus ini akan tetap aktif di dalam memory komputer target.

Virus yang merupakan modifikasi dari virus W32/MoontoxBro ini mempunyai tujuan utama akan menyerang semua type file gambar yang berada di media Flash Disk atau Removable Disk (external disk) dengan cara menyembunyikan file tersebut dan membuat file duplikat dengan nama file dan ekstensi file yang sama di ikuti tanda petik (contoh : Foto.bmp.

Bagaimana mengenali komputer terinfeksi Amburadul?

  1. Muncul file folder IMAGE disetiap drive yang berisi file gambar (JPG) padahal sebenarnya adalah virus dengan ciri-ciri :
    1. Icon JPG
    2. Ukuran bervariasi sesuai dengan varian virus
    3. Type File Application
    4. Ekstensi file EXE

  2. Muncul file duplikat terutama di media flash disk, file duplikat yang dibuat mempunyai format %nama file%.%ekstensi file%, lihat gambar 1 :

    Gambar 1, Contoh file duplikat yang dibuat oleh virus Amburadul

  3. Merubah Header Internet Explorer menjadi ++++ Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places, Wanna start a War ++++ (lihat gambar 2)

    Gambar 2, Header Internet Explorer yang diubah oleh virus Amburadul

  4. Muncul file FoToKu %tanggal%.exe, %tanggal% menunjukkan tanggal file tersebut dibuat oleh virus (contohnya : FoToKu 29-7-2008.exe) atau muncul file lain yang merupakan nama jembatan yang ada di kota Palangkaraya yakni J3MbataN K4HaYan.exe

Norman Security Suite mendeteksi virus ini sebagai Woem:VBWorm.gen22 (lihat gambar 3)

Gambar 3, Norman Security Suite mendeteksi varian Amburadul barusebagai Worm: VBWorm.gen22

File Induk Amburadul

File induk yang akan dibuat oleh masing-masing varian mempunyai nama yang tidak jauh berbeda begitupun dengan lokasi penyimpanannya. Agar tidak mudah diketahui dan dihapus oleh user, file induk tersebut akan di sembunyikan. File induk yang akan aktif di memori biasanya akan lebih dari satu dengan tujuan untuk saling melindungi sehingga tidak mudah untuk dimatikan.

File induk ini akan dijalankan secara otomatis setiap kali komputer tersebut di start/direstart. Berikut beberapa file induk yang akan dibuat :

  • C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
    • Csrcc.exe
    • Smss.exe
    • Lsass.exe
    • Services.exe
    • Winlogon.exe
    • Paraysutki_VM_Community.sys
    • Msvbvm60.dll
  • C:\Windows\Syem32\Windows 3D.scr
  • C:\Autorun.inf
  • C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
  • C:\Friendster Community.exe
  • C:\J3MbataN K4HaYan.exe
  • C:\MyImages.exe (hidden file)
  • C:\PaLMa.exe
  • C:\Images
    • Ce_Pen9God4.exe
    • J34
    • M0D3L_P4ray_ 2008.exe
    • MalAm MinGGuan.exe
    • NonKroNG DJem8ataN K4H4yan.exe
    • Ph0to Ber5ama.exe
    • PiKnIk dT4ngKilin9.exe
    • RAja Nge5ex.exe
    • TrenD 9aya RAm8ut 2008.exe
  • C:\Images\_PalbTN
    • (V.4.9)_D053n^908L0K.exe
    • ~ G0YanG Ranjang ~.exe
    • GePaCar4an Neh!!!.exe
    • GuE... BgT!.exe
    • Ke.. TaUan N90C0k.exe
    • Ma5tURbas1 XL1M4xs.exe
    • PraPtih G4diEs PuJAAnku.exe
    • SirKuit BaLi SmunZa.exe
  • C:\Documents and Settings\%user%\My Documents
    • MalAm MinGGuan.exe
    • Ma5turbas1 Xlim4xs.exe
    • Raja Nge5ex.exe

Registri Windows

Agar file tersebut dapat di aktifkan secara otomatis tanpa bantuan manusia, ia akan membuat string di beberapa lokasi yakni:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • PaRaY_VM=C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\winlogon.exe
    • ConfigVir = C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\services.exe
    • NviDiaGT = C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\lsass.exe
    • NormanVirusAnti=C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\smss.exe
    • AVManager = C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\csrss.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • shell = Explorer.exe,

C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\winlogon.exe

Metode Pertahanan Virus

Metode pertahanan yang akan dilakukan oleh virus Amburadul ini cukup banyak dengan blok beberapa fungsi Windows seperti :

  • Disable Task Manager
  • Disable CMD
  • Disable Registry Tools
  • Disable Search
  • Disable System Restore
  • Disable MSI Files
  • Pembatasan restore point system restore
  • Disable instal/setup program
  • Disbable Msconfig
  • Script file (vbs)

Selain blok fungsi Windows di atas, ia juga akan blok beberapa software security termasuk program antivirus lokal dengan cara menghapus file tersebut jika dijalankan.

Berikut beberapa registry yang akan dibuat dengan tujuan untuk blok akses ke sejumlah fungsi windows serta blok beberapa software antivirus lokal.

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • EnableLUA =0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
    • DisableConfig
    • DisableSR
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
    • DisableMSI
    • LimitSystemRestoreCheckpointing
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    • DisableRegistryTools
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • NoFind
  • HKEY_CLASSES_ROOT\exefile
    • NeverShowExt
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
    • UncheckedValue = 1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
    • DefaultValue = 1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
    • UncheckedValue = 0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
    • Debugger = rundll32.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Acha.exe
    • Debugger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Amy Mastura.exe
    • Debugger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
    • Debugger = rundll32.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
    • Debugger = crundll32.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
    • Debugger = rundll32.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe
    • Debugger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe
    • Debugger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe
    • Debugger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smsss.exe
    • Debugger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
    • Debugger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
    • Debugger = rundll32.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
    • Debuger = rundll32.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
    • debugger = rundll32.ex
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\registry.exe
    • debugger = rundll32.ex
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
    • debugger = rundll32.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
    • debugger = rundll32.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
    • debugger = rundll32.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
    • Debugger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
    • Debugger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe
    • Debugger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe
    • Debuger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe
    • Debugger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe
    • Debugger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
    • Debugger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
    • Debugger = cmd.exe /c del

Membasmi Virus Hokage

Walaupun bersal dari daerah yang sama, tidak menjamin akan Worm.Gen16) dengan menghapus semua file induk dari virus tersebut dengan cara membuat string pada

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BabyRina.exe
    • Debugger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
    • Debugger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
    • Debugger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Hokage4.exe
    • Debugger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Hokagefile.exe
    • Debugger = cmd.exe /c del
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
    • Debugger = cmd.exe /c del

Virus amburadul juga akan meninggalkan jejak pada aplikasi cara merubah header dari aplikasi tersebut. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    • Window Title = ++++ Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places, Wanna start a War ++++ (lihat gambar 2 di atas)

Sikat File gambar

Misi utama dari virus ini tak lain adalah akan mengincar semua file gambar yang ada di komputer, tapi ia masih berbaik hati karena hanya mengincar file gambar yang ada di Flash Disk atau Removable Disk/External Hard Disk saja. Anda tidak perlu khawatir dengan file gambar yang anda miliki, karena virus ini tidak menghapus tetapi hanya menyembunyikan saja jadi anda masih bisa menampilkan kembali file tersebut dengan catatan komputer bersih dari virus tersebut.

Untuk mengelabui user, ia akan membuat file duplikat di direktori yang sama dengan format file %nama file.%ekstensi files% File diplikat ini biasanya akan mempunyai ukuran yang sama dengan ciri-ciri : (lihat gambar 1 di atas)

  • Icon Gambar (Jpg)
  • Ukuran file sama (tergantung dengan varian yang menginfeksi)
  • Ekstensi EXE
  • Type File

Virus ini akan mencatat log di direktori C:\Windows\Temp\Amburadul_List setiap kali menyembunyikan file gambar. (lihat gambar 4)

Gambar 4, Log file yang di sembunyikan oleh Amburadul

Media Penyebaran

Media Flash Disk masih merupakan media favorit yang akan digunakan oleh virus Amburadul sebagai media penyebaran dengan membuat beberapa file berikut:

  • Autorun.inf
  • FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 7-1-2010.exe)
  • C:\Friendster Community.exe
  • C:\J3MbataN K4HaYan.exe
  • C:\MyImages.exe (hidden)
  • C:\PaLMa.exe
  • C:\Images
    • Ce_Pen9God4.exe
    • J34
    • M0D3L_P4ray_ 2008.exe
    • MalAm MinGGuan.exe
    • NonKroNG DJem8ataN K4H4yan.exe
    • Ph0to Ber5ama.exe
    • PiKnIk dT4ngKilin9.exe
    • RAja Nge5ex.exe
    • TrenD 9aya RAm8ut 2008.exe
  • C:\Images\_PAlbTN
    • (V.4.9)_D053n^908L0K.exe
    • ~ G0YanG Ranjang ~.exe
    • GePaCar4an Neh!!!.exe
    • GuE... BgT!.exe
    • Ke.. TaUan N90C0k.exe
    • Ma5tURbas1 XL1M4xs.exe
    • PraPtih G4diEs PuJAAnku.exe
    • SirKuit BaLi SmunZa.exe

Agar virus tersebut dapat aktif secara otomatis setiap kali user akses Drive atau Flash Disk ia akan membuat script autorun.inf pada root Flash Disk atau Drive. File Autorun ini akan menjalankan file MyImage.exe. (lihat gambar 5)

Gambar 5, Autorun.inf, memungkinkan Amburadul aktif secara otomatis

7 langkah membasmi virus Amburadul

  1. Putuskan komputer yang akan dibersihkan dari internet dan intranet
  2. Matikan proses virus yang aktif di memory resident. Untuk mematikan proses tersebut dapat menggunakan tools mempunyai icon JPG, file ini akan mempunyai ekstensi EXE.

    Tools tersebut dapat di unduh di website (lihat gambar 6)

    http://www.neuber.com/taskmanager/download.html

    Gambar 6, Mematikan proses virus Amburadul dengan menggunakan

  3. Repair registry yang sudah diubah/dibuat oleh Amburadul. Untuk mempercepat proses perbaikan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf.

Jalankan file tersebut dengan cara:
  • Klik kanan repair.inf
  • Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, "checkbox"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, "checkbox"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

[del]

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableSR

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msc.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BabyRina.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Acha.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Amy Mastura.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe,debugger

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe, debugger

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe,debugger

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\registry.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smsss.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI

HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing

HKCR, exefile, NeverShowExt

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, PaRaY_VM

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ConfigVir

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NviDiaGT

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NormanVirusAnti

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AVManager

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, EnableLUA

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
  1. Disable , agar pembersihan dapat dilkakukan secara optimal
  2. Hapus file induk virus. Sebelum menghapus file tersebut sebaiknya tampilkan file yang tersembunyi caranya : (lihat gambar 7)

    • Buka Windows Explorer
    • Klik menu [Tools]
    • Klik [Folder Options]
    • Klik Tabulasi [View]
    • Pada kolom [Advanced settings]
      • Pilih opsi
      • Unchek
      • Uncheck

Gambar 7, Menampilkan file yang tersembunyi

Kemudian hapus file berikut:
  • C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
    • Csrcc.exe
    • Smss.exe
    • Lsass.exe
    • Services.exe
    • Winlogon.exe
    • Paraysutki_VM_Community.sys
    • Msvbvm60.dll
  • C:\Windows\Syem32\Windows 3D.scr
  • C:\Autorun.inf
  • C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan

(contohnya: FoToKu 14-3-2008.exe)
  • C:\Friendster Community.exe
  • C:\J3MbataN K4HaYan.exe
  • C:\MyImages.exe (hidden file)
  • C:\PaLMa.exe
  • C:\Images
  • C:\Documents and Settings\%user%\My Documents
    • MalAm MinGGuan.exe
    • Ma5turbas1 Xlim4xs.exe
    • Raja Nge5ex.exe

  1. Tampilkan file gambar yang telah disembunyikan di Flash Disk dengan cara : (lihat gambar 8)
    • Klik Menu [Start]
    • Klik [Run]
    • Ketik [CMD]
    • Pada Dos Prompt, pindahkan posisi kursor ke lokasi Flash Disk kemudian ketik perintah ATTRIB

Gambar 8, Menampilkan file yang disembunyikan

  1. Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan antivirus yang up-to-date dan sudah dapat mengenali virus ini dengan baik. Anda juga dapat download Norman Malware Cleaner di alamat dibawah ini:

http://www.norman.com/support/support_tools/58732/en

Pencegahan Amburadul

Agar komputer Anda tidak menjadi korban virus Amburadul berikut beberapa tips dan trik yang dapat dilakukan

  1. Install antivirus yang up-to-date
  2. Rename/ubah program pendukung aplikasi Visual Basic [C:\Windows\Syetm32\MSVBVM60.DLL]. Perubahan nama file ini dapat menyebabkan semua program aplikasi yang dibuat menggunakan Visual Basic tidak dapat di jalankan, untuk mengatasi hal ini copy file tersebut di direktori dimana program aplikasi tersebut di simpan
  3. Blok akses Flash Disk dan blok akses file yang sudah terinfeksi virus Amburadul dengan menggunakan fitur . Fitur ini hanya tersedia pada Windows XP Proffesional, Windows Server 2003, Windows Vista dan Windows 7. berikut cara-caranya:

    1. Blok akses aplikasi pada Dive / Flash Disk
    • Klik menu [Start]
    • Klik [Run]
    • Ketik [secpol.msc]
    • Pada layar
    • Klik kanan pada
    • Kemudian klik kanan di (lihat gambar 9)

Gambar 9, Optimalkan Secpol untuk mencegah infeksi virus

    • Pada Kolom Path, masukkan drive dimana aplikasi di dalamnya tidak dapat dieksekusi. Karena kebanyakan malware menular dari flash disk, sebaiknya ketik drive di mana flash disk berada. Misalnya, jika flash disk ada di drive G maka ketik G:\ (lihat gambar 10)

Gambar 10, Tingkatkan keamanan dengan melarang aktivasi aplikasi otomatis dari USB Flashdisk

    • Pada kolom Security Level pilih Disallowed
    • Klik tombol
    • Klik tombol

    1. Blok akses file virus virus Amburadul
    • Klik kanan pada menu (lihat gambar 11)

Gambar 11, Gunakan Secpol untuk membatasi file dengan Hash tertentu
    • Pada kolom (lihat gambar 12)

Gambar 12, Hash Rule dapat dipakai untuk mencegah aktivasi banyak virus.

    • Pada kolom Security Level pilih
    • Pada kolom ari nama file tersebut (bebas),
    • Pilih OK
    • Restart komputer.

Catatan:

Pada saat user menjalankan file yang sudah di add tersebut maka akan mucul pesan peringatan berikut : (lihat gambar 13)

Gambar 13, Pesan peringatan saat menjalankan file aplikasi

Salam,

Aj Tau

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 3456850

Fx : 021 3456851