Monday, April 19, 2010
Virus Virut || Virus yang paling berbahaya
Artikel Komputer kali ini membahas masalah Virus yang paling berbahaya dalam merusak Sistem Komputer.
Virus Virut merupakan virus paling berbahaya ketimbang Virus Conficker. Walaupun penyebarannya tidak secepat Conficker, namun virus ini masuk ke dalam tingkatan virus sangat berbahaya, bahkan hingga saat ini tidak ada tools yang mampu mendeteksi dan membasmi virus ini dengan tuntas.
Berikut ciri-ciri virus Virut menurut Vaksin.com :
1. Disable Windows File Protection
2. Menyebar melalui halaman web berbasis HTML, ASP dan PHP
3. Infeksi host file Windows, dan remote control ke IRC server, jika komputer terhubung ke Internet
4. Membuat komputer menjadi biang update virus dan penyebar spam ke alamat tertentu
5. Membuat komputer menjadi server spam dengan memanfaatkan IP publik yang dimiliki router komputer sehingga mengakibatkan IP tersebut di-blacklist
6. Membuat lumpuh jaringan karena langsung ke drive network, yakni pengubahan file ndis.sys, dan TCPIP.sys
7. Melakukan kontak remote ke IRC server atau file sharing
8. Dapat menyebar melalui removable drive seperti USB, Card Reader.
9. Menginjeksi file Winlogon.exe di system dan dan men-disable Windows File Protection (System File Checker) dengan mengubah file sfc.dll dan sfc_os.dll.
10. File yang dieksekusi file .exe tipe Application dan .scr tipe Screen Saver, masing-masing berukuran 22Kb
11. Saat terkoneksi internet, virus melakukan kontak ke remote server/IRC (Internet Relay Chat) menggunakan port 65520. Beberapa IP yang digunakan yaitu 91.212.220.156:65520, 91.121.221.157:65520, atau domain dns2.zief.pl, nss2.ircgalaxy.pl, proxim.ircgalaxy.pl, proxima.ircgalaxy.pl, sys.zief.pl, gidromash.cn, core.ircgalaxy.pl, jl.chura.pl
Cara membersihkan virus :
1. Matikan System Restore (XP/ME) komputer
2. Download Norman Malware Cleaner (http://normanasa.vo.llnwd.net/o29/public/Norman_Malwar e_Cleaner.exe)
untuk menghapus virus dari komputer yang masih bersih, lalu simpan file dengan ekstensi .com atau cmd, atau compress menjadi zip, lalu jalankan.
3. Setelah selesai proses pembersihan, restart komputer.
4. Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature=”$Chicago$”
Provider=Artikel tentang Komputer | ErhaesCom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Adva nced\Folder\Hidden\SHOWALL, CheckedValue, 0×00010001, 1
HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Paramete rs\FirewallPolicy\StandardProfile, EnableFirewall, 0×00010001, 1
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, servises
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Expl orer\Run
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, load
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, servises
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 22951
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Regedit32
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Expl orer\Run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Adva nced\Folder\Hidden\NOHIDORSYS
HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Paramete rs\FirewallPolicy\StandarProfile\AuthorizedApplications \List, \??\C:\WINDOWS\system32\winlogon.exe
HKLM, SOFTWARE\Policies\Microsoft\WindowsFirewall
5. Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
6. Untuk antisipasi jika drive network masih belum tersambung, replace drive network file “ndis.sys” (berukuran 179 kb) dan “TCPIP.SYS” (berukuran 351 kb) dari komputer yang belum terinfeksi. Biasanya file tersebut berada pada C:\WINDOWS\system32\driver dan C:\WINDOWS\system32\dllcache
7. Kembalikan hosts file yang sudah terinfeksi dengan replace file “hosts” (berukuran 1 kb) dari komputer yang belum terinfeksi. Biasanya berada pada C:\WINDOWS\system32\driver\etc.
8. Gunakan antivirus yang ter-update dan dapat mendeteksi dan membasmi virus ini dengan baik.
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment