sesaat bersamamu terasa begitu indah, takan kulupa selamanya,Djogja 5/03/2007

» Virus Shortcut eksploitasi celah keamanan

Netskyvista, W32/Suspicious_Gen2.CAHWJ 27 September 2010

Harimau dan Singa memiliki kesamaan, galak (kalau ngga percaya coba ajah ajak kenalan :p), kuat, cepat dan karnivora (alias pemakan daging). Jadi makhluk2 lain yang merasa dirinya berdaging berusaha menjauh dari dua binatang ini (di alam bebas). Kalau Lion (singa) dan Tiger (harimau) sendirian saja sudah galak, bagaimana kalau dua makhluk ini digabungkan ? Jawabannya adalah Liger, alias Lion Tiger. Persilangan antara dua spesies galak yang berhasil dilakukan oleh manusia. Kalau hal tersebut terjadi di dunia nyata, sekarang di dunia komputer juga kita jumpai satu virus yang mengusung dua nama ngetop, Netsky dan Vista. Kalau Netsky jelas kita tahu pernah merajalela di belantara internet sebagai virus yang paling perkasa dan sebaliknya Vista adalah OS besutan Microsoft kakaknya Windows XP. Sayangnya netskyvista ini murni virus dan tidak ada sedikitpun mewarisi sifat-sifat ke”vista”an :p.

Anda tentu masih ingat dengan virus Stuxnet aka Winsta yang akan menyebabkan ruang HDD menjadi penuh berapapun sisa HDD Anda sehingga user tidak dapat menyimpan file. Berkurangnya sisa HDD yang ada diakibatkan karena membengkaknya file winsta.exe yang berada di direktori [C:\Windows\system32] sesuai dengan sisa HDD tersebut dan “untungnya” virus ini hanya akan menghabiskan sisa HDD yang ada di Drive master [C:\] saja.

Untuk lebih mengenal virus Stuknet ini, silahkan kunjungi website di bawah ini

http://vaksin.com/2010/0710/Stuxnet%20winsta%20virus/Stuxnet%20winsta%20virus.htm

Selain virus Stuxnet tersebut, ada jenis virus Stuxnet made in lokal yang akan mengakibatkan HDD menjadi penuh, tetapi dengan metode yang berbeda. Untuk menghabiskan sisa HDD ia akan membuat file virus dalam jumlah mencapai ratusan di setiap folder yang sudah ditentukan dan “untungnya” virus ini hanya akan menyerang drive master [C:\] saja.

Untuk mempermudah penyebarannya, ia akan memanfaatkan fitur “autorun” windows serta menyebar dengan memanfaatkan media UFD dan jaringan (full access] .

Dengan update terbaru, Norman Security Suite mendeteksi virus ini sebagai W32/Suspicious-Gen2.CAHWJ sedangkan Dr.Web anti-virus mendeteksi virus ini sebagai Backdoor.Trojan (lihat gambar 1 dan 2)

Gambar 1, Hasil deteksi Norman Security Suite

Gambar 2, Hasil deteksi Dr.Web Anti-virus

Dalam upaya penyebarannya virus ini akan menggunakan rekayasa sosial dengan memanfaatkan program kompresi file (WINRAR) dengan ciri-ciri:

Menggunakan icon Winrar
Ukuran file 60 KB
Ekstensi file EXE (lihat gambar 3)

Gambar 3, Contoh file virus

Teknik yang digunakan bukan sekedar mendompleng icon program Winrar tetapi lebih dari itu, ia akan mengaktifkan dirinya secara otomatis pada saat user menjalankan program Winrar atau file yang sudah di kompresi dengan menggunakan Winrar. Jika pada komputer target tidak terinstall program Winrar, ia sudah mempersiapkan metode lain agar dirinya dapat aktif secara otomatis yakni dengan melakukan “pengalihan” pada saat user menjalankan file dengan ekstensi yang sudah ditentukan.

File induk

Pada saat virus menginfeksi komputer, ia akan membuat file induk yang akan di aktifkan secara otomatis pada saat komputer booting.

C:\Windows\Config\WinRAR.exe
C:\Windows\System32\WInRAR.exe

Registri Windows

Agar file induk tersebut dapat diaktifkan secara otomatis pada saat komputer booting, ia akan membuat perubahan pada registri berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- WinRAR.exe = WinRAR.exe

Virus ini juga akan aktif secara otomatis setiap user manjalankan program WinRAR, saat menjalankan file aplikasi yang mempunyai ekstensi [exe, bat, pif] serta pada saat user memutar lagu [mp3] ataupun pada saat user membuka file gambar [jpeg].

Untuk melakukan hal tersebut, ia akan membuat perubahan registri berikut

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WinRAR.exe
- Default = C:\Windows\Config\WinRAR.exe

HKEY_CLASSES_ROOT\batfile\shell\open\command
- [Default] = WinRAR.exe

HKEY_CLASSES_ROOT\piffile\shell\open\command
- [Default] = WinRAR.exe

HKEY_CLASSES_ROOT\jpegfile\shell\open\command
- [Default] = WinRAR.exe

HKEY_CLASSES_ROOT\mp3file\shell\open\command
- [Default] = WinRAR.exe

HKEY_CLASSES_ROOT\exefile\shell\open\command
- [Default] = WinRAR.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
- Default = WinRAR.exe %1

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
- [Default] = WinRAR.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
- [Default] = WinRAR.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\jpegfile\shell\open\command
- [Default] = WinRAR.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp3file\shell\open\command
- [Default] = WinRAR.exe

Blok Fungsi Windows

Untuk mempersulit proses penghapusan, ia akan blok beberapa fitur windows seperti Search, Folder Options dan Run, ia juga akan melakukan blok terhadap tools security atau pada saat user mengakses folder dengan nama yang telah ditentukan dengan membaca caption text atau nama dari aplikasi tersebut dengan cara menutup kembali setiap kali user menjalankan tools security atau saat mengakses folder tersebut. Selain itu ia juga akan blok pada saat user menginstal program/aplikasi dengan membuka aplikasi NOTEPAD.

Berikut beberapa nama yang akan di blok oleh virus pada saat user mengakses file / folder tersebut:

Vir, av, safe, start, process, spy, autoruns, hijack, patrol, alarm, task, config, folder option, system, properties, watson, remov, scan, kill, zlh, dr, doctor, spider, dr, vm, vb, reg, combo, proce, norman, security, image, dark, attribut, PIC, fix, clean, tweaker, sniff, trace, logon, scan, wireshark, nmap, win, net, ice, hack, unlocker, list, nbam, folder, search, find.

Untuk blok fungsi Windows, ia akan membuat string pada registri berikut

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFind
- NoFolderOptions
- NoRun

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- HideFileExt = 1
- ShowSuperHidden = 0
- ClassicViewState = 0
- FullPath = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe
- debugger= notepad.exe (lihat gambar 4)

Gambar 4, Program yang muncul pada saat menginstall aplikasi

Jejak Petualangan Virus

Sebagai identitas dirinya, ia akan meninggalkan beberapa jejak dengan merubah nama organisasi dan owner pada komputer yang terinfeksi serta menampilkan pesan pada waktu yang telah ditentukan (19 Februari, 5 Maret dan 14 Desember)

Untuk merubah nama organisasi dan owner pada komputer target, ia akan merubah string pada registry berikut

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

RegisteredOrganization = Hacked by WV9
RegisteredOwner = NETSKY-VISTA (lihat gambar 5)

Gambar 5, Jejak Petualangan Virus

Sedangkan untuk menampilkan pesan dari sang pembuat virus, ia akan memanfaatkan waktu penanggalan yang tertera pada system komputer dengan menampilkan pesan “sesaat bersamamu terasa begitu indah, takan kulupa selamanya,Djogja 5/03/2007” (lihat gambar 6)

Gambar 6, Pesan netskyvista

Rakus memakan Space HDD Master

Komputer yang sudah terinfeksi virus ini akan menyebabkan ruang HDD master [Drive C:\] menjadi berkurang secara drastis dalam hitungan menit dan menyebabkan HDD akan penuh dengan membuat ratusan file virus yang akan di simpan dalam direktori yang sudah ditentukan sebelumnya sehingga user tidak dapat menyimpan file atau menginstall program. Karena sisa ruang harddisk yang kosong, tentunya akan menimbulkan notifikasi dari system windows yang menginformasikan bahwa sisa ruang harddisk komputer sudah tidak ada. (lihat gambar 7 dan 8)

Gambar 7, Peringatan low space yang disebabkan oleh ulah netskyvista, yang menghabiskan sisa ruang HDD

Gambar 8, Error saat instalasi program akibat tidak adanya ruang HDD

Berikut beberapa ciri –ciri file yang akan di drop oleh W32/Suspicious_Gen2.CAHWJ

Menggunakan icon Winrar
Nama file Acak
Mempunyai ukuran 60 KB
Ekstensi EXE

Berikut beberapa direktori target yang akan di jadikan sebagai persinggahan virus

C:\Documents and Settings\
C:\Documents and Settings\Administrator\
C:\Documents and Settings\Administrator\Application Data\
C:\Documents and Settings\Administrator\Local Settings\
C:\Documents and Settings\Administrator\Local Settings\Application Data\
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\
C:\Documents and Settings\Administrator\Templates\
C:\Documents and Settings\All Users\
C:\Documents and Settings\All Users\Application Data\
C:\Documents and Settings\All Users\Application Data\Applications\
C:\Documents and Settings\All Users\Application Data\Applications\Cache\
C:\Documents and Settings\All Users\Application Data\Microsoft\
C:\Documents and Settings\All Users\Application Data\Microsoft Help\
C:\Documents and Settings\All Users\Favorites\
C:\Documents and Settings\All Users\Documents\
C:\Documents and Settings\All Users\Documents\My Music\
C:\Documents and Settings\All Users\Documents\My Pictures\
C:\Documents and Settings\All Users\Documents\My Videos\
C:\Documents and Settings\All Users\Start Menu\
C:\Program Files\
C:\Program Files\MSN\
C:\Program Files\Messenger\
C:\Program Files\Movie Maker\
C:\Program Files\Common Files\
C:\Program Files\ComPlus Applications\
C:\Program Files\Internet Explorer\
C:\Program Files\MSN Gaming Zone\
C:\Program Files\NetMeeting\
C:\Program Files\Online Services\
C:\Program Files\Outlook Express\
C:\Program Files\Windows Media Player\
C:\Program Files\Windows NT\
C:\Program Files\BearShare\Shared
C:\Program Files\Edonkey200\Incoming
C:\Program Files\Grokster\My Grokster
C:\Program Files\KMD\My Shared Folder
C:\Program Files\Kazaa\My Shared Folder
C:\Program Files\Kazaa Lite\My Shared Folder
C:\Program Files\Morpheus\My Shared Folder
C:\WINDOWS\system32\
C:\WINDOWS\system32\dllcache\
C:\WINDOWS\system32\spool\
C:\WINDOWS\system32\Microsoft\
C:\WINDOWS\system32\DirectX\
C:\WINDOWS\system32\Setup\
C:\WINDOWS\system32\Restore\
C:\WINDOWS\system32\dhcp\
C:\WINDOWS\system32\config\
C:\WINDOWS\system32\spool\drivers\
C:\WINDOWS\system32\ShellExt\
C:\WINDOWS\system32\drivers\etc\
C:\WINDOWS\system32\msmq\
C:\WINDOWS\Connection Wizard\
C:\Windows
C:\WINDOWS\Driver Cache\
C:\WINDOWS\WinSxS\
C:\WINDOWS\Web\
C:\WINDOWS\twain_32\
C:\WINDOWS\system\
C:\WINDOWS\srchasst\
C:\WINDOWS\SoftwareDistribution\SelfUpdate\
C:\WINDOWS\SoftwareDistribution\EventCache\
C:\WINDOWS\SoftwareDistribution\Download\
C:\WINDOWS\SoftwareDistribution\DataStore\
C:\WINDOWS\SoftwareDistribution\AuthCabs\
C:\WINDOWS\SoftwareDistribution\
C:\WINDOWS\security\
C:\WINDOWS\Resources\
C:\WINDOWS\repair\
C:\WINDOWS\Registration\
C:\WINDOWS\Provisioning\
C:\WINDOWS\Prefetch\
C:\WINDOWS\PeerNet\
C:\WINDOWS\pchealth\
C:\WINDOWS\mui\
C:\WINDOWS\msapps\msinfo\
C:\WINDOWS\msapps\
C:\WINDOWS\msagent\
C:\WINDOWS\Media\
C:\WINDOWS\java\classes\
C:\WINDOWS\java\trustlib\
C:\WINDOWS\java\
C:\WINDOWS\ime\CHTIME\
C:\WINDOWS\ime\
C:\WINDOWS\Help\Tours\
C:\WINDOWS\Help\
C:\WINDOWS\ehome\
C:\WINDOWS\Debug\UserMode\
C:\WINDOWS\Debug\
C:\WINDOWS\Cursors\
C:\WINDOWS\Temp\
C:\WINDOWS\Config\
C:\WINDOWS\AppPatch\
C:\WINDOWS\addins\
C:\Autorun.inf\
D:\Autorun.inf\
E:\Autorun.inf\
F:\Autorun.inf\

Berikut beberapa nama file yang akan di buat oleh virus (dengan menggabungkan string pertama dan kedua)

String pertama

Plug-In, Serial, full-crack, tutorial, software, e-book, keygen, adobe, update, trik, tips-trik, crack, tips, key, free-tiral, full-version, free, lisensi, crack-lisensi, trik-, tips-trik-, crack-, tips-, free-tiral-, free, lisensi-, crack-lisensi-, Plug-In-, serial-, serial-, full-crack-, tutor, tutorial-, software-, e-bok-, keygen, adobe-, update-.

String kedua

Phothoshop CS2.exe
Acrobat Reader 5.0.exe
Reader 8.1.2.exe
After Effects Pro 6.5.exe
Phothoshop CS3.exe
Phothoshop CS4.exe
Phothoshop extended CS5.exe
Flash Player 9.0.exe
Illustrator 10
Solutions Network.exe
AfterEffects 5.0.exe
Dimnsions 3.0.exe
InDesign 1.5.2.exe
Streamline 4.0.exe
Image Ready CS2.exe
PostScript Drivers.exe
Phothoshop Lightroom v2.5.exe
Premiere Pro.exe
Phothoshop 3D Efect.exe
AfterEffects 6.5.exe
AfterEffects 7.0.exe
Phothoshop CS.exe
Acobat Reader 6.0.exe
Reader 8.1.2.exe
After Effects Pro 8.0
Phothoshop 7.0
Phothoshop 5.0
Phothoshop extended CS4.exe
Flash Player 9.5.exe
Illustrator 12.exe
Solutions Network 6.0.exe
AfterEffects 9.0.exe
Dimnsions 4.9.exe
InDesign 1.5.3.exe
Streamlise 5.0.exe
Image Ready CS.exe
PhostScript Drivers 2.0.exe
Phothoshop Lightroom v3.0.exe
Premiere Pro 3.0.exe
Phothoshop 3D Efect 2.0.exe
Solution Network 7.0.exe
AfterEffects 5.0.exe
Dimnsions 7.0.exe
InDesign 2.0.exe
Streamline 7.0.exe
Image Ready CS3.exe
PostScript Drivers 3.0.exe
Phothoshop Lightroom v4.0.exe
Premiere Pro 4.0.exe
Phothoshop 3D Efects 5.0.exe
Solutions Network 7.0.exe
AfterEffects CS.exe
Dimnisions 5.0.exe
InDesign 3.0.exe
Streamline 6.0.exe
Image Ready CS2.exe
PostScrip Drivers 4.0.exe
Phothoshop Lightroom v4.5.0.exe
Premiere Pro 5.0.exe
Phothoshop 3D Efect 6.0.exe (lihat gambar 9)

Gambar 9, Contoh file yang di drop oleh virus

Menyembunyikan file MS Office (MS.Word)

Tidak Cuma itu saja yang akan dilakukan oleh virus ini, ia juga akan menyembunyikan file MS office (MS Word) yang berada di direktori [C:\Documents and Settings\%user%\My Documents] dan membuat file pengganti [berupa file virus] sesuai dengan nama file MS Word yang di sembunyikan dengan membaca string pada registry berikut

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

Personal = C:\Documents and Settings\%user%\My Documents

Catatan:

%user% menunjukan user name yang digunakan pada saat Login Windows

File pengganti ini mempunyai ciri-ciri

Menggunakan icon Winrar
Ukuran file 60 KB
Ekstensi .Rar .exe
Type File : Application (lihat gambar 10)

Gambar 10, File virus yang menggantikan file MS.Word yang disembunyikan

Media Penyebaran

Sebagai media penyebaran, ia akan menggunakan UFD dengan membuat file [autorun.inf] dan file [WinRAR-v3.71.exe] sebagai upaya agar virus dapat aktif secara otomatis pada saat user mengakses UFD. Isi file [autorun.inf] ini berisi script untuk mengaktifkan file [WinRAR-v3.71.exe]. Kedua file tersebut juga akan dibuat di setiap Drive.

Selain menyebar dengan menggunakan UFD, virus ini juga akan menyebaran melalui jaringan dengan memanfaatkan folder yang di share dengan membuat beberapa file virus dengan nama [readit.exe, playit.exe, launchit.exe, startit.exe, buncit.exe). Jika virus tersebut berhasil menembus Drive [C:\] yang di share, ia akan mencoba untuk membuat file tersebut di direktori berikut

..\Windows\Desktop
..\Windows\Start Menu\Progams\Startup\
..\Document and Settings\Administrator\Start Menu\Programs\Startup\
..\Document and Settings\All Users\Start Menu\Programs\Startup\
..\Document and Settings\Default Users\Start Menu\Programs\Startup\
..\Document and Settings\Admistrator\Desktop\
..\Document and Settings\All Users\Desktop\
..\Document and Settings\Default Users\Desktop\
..\Winnt\Profiles\All Users\Start Menu\Programs\Startup\
..\Winnt\Profiles\All Users\Desktop\
..\Winnt\Profiles\Administrator\Start Menu\Programs\Startup\
..\Winnt\Profiles\Administrator\Desktop\
..\Winnt\Profiles\Default Users\Start Menu\Programs\Startup\
..\Winnt\Profiles\Default Users\Desktop\

Selain itu ia juga akan menyebar melalui program P2P file sharing seperti Kazaa atau Morpheus atau program P2P lain nya dengan membuat file beberapa file berikut di direktori yang sudah ditentukan

C:\Program Files\BearShare\Shared\
C:\Program Files\EdonKey2000 \Incoming\
C:\Program Files\Grokster\My Grokster\
C:\Program Files\KMD\My Shared Folder\
C:\Program Files\Kazaa\My Shared Folder\
C:\Program Files\Kazaa Lite\My Shared Folder\
C:\Program Files\Morpheus\My Shared Folder\

Berikut beberapa file yang akan didrop di direktori tersebut dengan menggabungkan ketiga string berikut

String pertama

New Song Of
The Best Of
New Album Of
Greates Song Of

String kedua

Mariah Carey
M Jackson
Whitney
Metalicca
Elvis Presley
Kenny G
Aliyah
Bon Jovy

String ketiga (ekstensi)

.avi .exe
.mpg. exe
.mpeg .exe
.wma .exe
.mp3 .exe
.wav .exe
.mid .exe

Cara Pembersihan Virus netskyvista

1. Kill proses, menggunakan procexp (kill proses dengan nama file WINRAR.exe) atau menggunakan tools Killvb. Ubah ekstensi file “Killvb” menjadi COM agar tidak diblok oleh virus, silahkan download tools tersebut di alamat berikut (lihat gambar 11)

http://www.4shared.com/file/Yfx-0CAh/Repair_Suspicious_Gen2_CAHWJ.html

Gambar 11, mematikan proses virus dengan menggunakan tools killvb

2. Repair registry yang sudah di ubah oleh virus. Untuk mempercepat proses penghapusan registri, salin script di bawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.INF. Install file tersebut dengan cara

a. Klik kanan REPAIR.INF

b. Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Classes\mp3file\shell\open\command,,,"""C:\Program Files\Windows Media Player\wmplayer.exe"" /prefetch:6 /Open ""%L"""

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "YourOrganization"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "YourOwner"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, Software\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,SuperHidden,0x00010001,1

HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, WinRAR.exe

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, WinRAR.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistrytools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe, debugger

Anda juga dapat download file tersebut di alamat berikut

http://www.4shared.com/file/Yfx-0CAh/Repair_Suspicious_Gen2_CAHWJ.html

3. Ubah file [C:\Windows\System32\msvbvm60.dll] menjadi nama file lain [contohnya: msvbvm60_old.dll] atau jika menggunakan Windows XP/Vista/7/2003/2008, restrict file virus dengan menggunakan “Local Security Policy” [lihat langkah nomor 7] selama proses pembersihan berlangsung agar virus tidak dapat aktif kembali, kemudian LogOff atau restart komputer

4. Hapus file induk yang berada di direktori [C:\Windows\Config\WINRAR.exe]. Sebelum melakukan penghapusan, tampilkan file yang disembunyikan dengan melakukan perubahan konfigurasi pada Folder Options seperti terlihat pada gambar 12 di bawah ini:

Gambar 12, menampilkan file yang disembunyikan

5. Hapus file yang di buat oleh virus. Untuk mempercepat proses penghapusan, Anda dapat menggunakan fungsi Find Windows (Search). dengan format pencarian seperti terlihat pada gambar di bawah ini. Jangan sampai terjadi kesalahan pada saat menghapus file tersebut, hapus file yang mempunyai ciri-ciri berikut (lihat gambar 13)

a. Icon WINRAR

b. Ukuran 60 KB

c. Ekstensi EXE

Gambar 13, Mencari dan menghapus file virus

6. Untuk pembersihan optimal scan dengan antivirus yang up-to-date. Anda juga dapat menggunakan tools Norman Malware Cleaner [NMC] atau menggunakan Dr.Web CureIT! (lihat gambar 14)

Link download NMC: [http://www.norman.com/support/support_tools/58732/en]

Link download Dr.Web CureIT! : [http://www.freedrweb.com/cureit/?lng=en]

Gambar 14, Scan dengan menggunakan Norman Malware Cleaner

7. Jika Anda mempuyai dokumen (MS Word) di direktori [C:\Documents and Settings\%user%\MY Documents], tampilkan kembali file MS Word yang sudah disembunyikan oleh virus, caranya : (lihat gambar 15)

a. Klik menu [Start]

b. Klik [Run]

c. Pada dialog box RUN, ketik CMD.EXE kemudian klik tombol [OK]

d. Setelah muncul layar “DOS Prompt”, klik perintah CD My Documents kemudian tekan tombol [Enter]

e. Kemudian ketik perintah attrib –s –h –r *.doc /s /d kemudian tekan tombol [enter]

Gambar 15, Menampilkan file MS.Word yang telah disembunyikan oleh virus

8. Untuk mencegah infeksi ulang lakukan langkah berikut

a. Install komputer dengan menggunakan antivirus yang dapat di up-to-date secara otomatis

b. Ubah file [C:\Windows\System32\msvbvm60.dll] menjadi nama file lain [contoh: msvbvm60_old.dll]. Harap di perhatikan, merubah nama file tersebut akan mengakibatkan semua program (termasuk virus) yang dibuat dengan program Visual Basic tidak dapat di jalankan. (lihat gambar 16)

Gambar 16, Pesan error saat menjalankan file virus setelah file msvbvm60.dll di ubah

c. Restrict file virus dengan menggunakan [Software restriction policies]. Fitur ini hanya dapat ditemukan pada System Operasi Windows XP Pro/Vista/7/Server 2003/Server 2008 agar file virus tidak dapat di aktifkan.

Berikut cara untuk restrict file virus : (lihat gambar 17)

· Klik menu [Start]

· Klik [Run]

· Pada dialog box RUN, ketik [secpol.msc] kemudian klik tombol [OK]

· Kemudian akan muncul layar “Local Security Settings”

· Klik kanan pada menu “Software restriction policies” dan pilih “Create New Policies”. Kemudian akan muncul 2 sub menu yakni [Security Levels dan Additional Rules]

Gambar 17, Software Restriction Policies

· Klik kanan “Additional Rule”, dan pilih “New Hash Rule.” (lihat gambar 18)

Gambar 18, “New Hash Rule....”

· Kemudian akan muncul layar “New Hash Rule”. Pada kolom “File hash”, klik tombol [Browse] kemudian tentukan salah satu file yang telah dibuat oleh virus kemudian klik tombol [Open]. (lihat gambar 19)