Monday, October 02, 2006

Hasil Analisa Virus Kode Nama W32/Leena


Tanggal ditemukannya sample : 30 September 2006
Tanggal mulainya perlindungan terhadap infeksi : -
Terdeteksi oleh Anti Virus: - *
Kode nama : W32/Leena **
Jenis: Virus
Ukuran: 76 KB
Bahasa pemrograman yang digunakan: Microsoft Visual Basic 6
Metode kompilasi: Native Code
Aplikasi diserang: -
File diserang: Word Document, *.doc
Media Penyebaran: Media penyimpanan, ex.: Disket, Flash Disk
Platform potensial terinfeksi: Microsoft Windows
Asal (Kemungkinan): Magelang, Jawa Tengah
Tanggal pembuatan(perkiraan): 16 Juli 2006
Tingkat kerusakan yang ditimbulkan: 2 (max. 10)
Tersedia sample: Ya, Download? Password: As12345^&*()
Tersedia versi terdecompile: Ya, Donwload?

Tujuan
Mengungkapkan perasaan si pembuat kepada Leena (dibaca 'lina'), dengan mengeluarkan pesan Leena I love you.
Ciri-ciri
1. File applikasi (*.exe) ukuran 76 KB dengan icon word.
File Virus
Berikut ini adalah tampilan yang akan anda peroleh saat file virus tersebut dibuka:
ISI File virus
File leena.ini yang berada di folder Windows ini mengandung catata mulai kapan komputer terinfeksi dan kapan virus tersebut aktif:
Isi Leena.ini
Efek yang terjadi
· Semua file word akan disembunyikan oleh virus ini, dan memunculkanduplikat namanya dalam file executable bericon word berukuran 76 KB.· Menularkan diri melalui media penyimpanan portable dengan menambahkan username+ReadMe.exe.
Tampilan file asli dan virus
· Jika membuka regedit computer akan Restart.· Jika membuka folder option kemudian diklik ok akan restart juga.· Jika melakukan end proses melalui Task Manager tidak akan keluar konfirmasi karena langsung dijawab oleh virus secara otomatis dengan Jawaban tidak.· Mengeluarkan pesan Leena (baca: Leena) I love you.
Cara pembersihan/Disinfeksion (Pastikan setiap langkah sudah dilakukan secara benar):
1. Matikan terlebih dahulu semua proses virus yang berjalan anda dapat mengunakan task manager maupun program sejenis task menager lainnya, dan pastikan semuanya sudah dimatikan sebelum melangkah lebih lanjut. Terdapat dua proses yang agak membandel yaitu : lsass.exe dan services.exe dari semua proses(file induk) yang dibuat oleh si virus:· Normal.exe > Documents and Settings\All user\Application data· 3D Soccer.scr > \Windows· Control.exe > \Windows\system32· Ex-plorer.exe > \Windows\system32· Lsasss.exe > Temp· Av-prev.exe > \Windows\system32· Services.exe > Documentsandsettings\$Username$\localsetting\apllicatondata\
$username$.task\services.exe
End Task
3D Soccer.scr
2. Ubah MSVBVM60.dll menjadi MSVBVM60.dl_ (ini hanya misalnya saja, anda dapat mengganti sesuai selera yang jelas anda ingat) dan hal ini hanya dapat anda lakukan jika anda sudah mematikan semua proses yang menggunakan MSVBVM60.dll Jika anda sudah merename file tersebut restartlah komputer anda.
3. Semua program yang menggunakan memanfaatkan MSVBVM60.dlluntuk sementara tidak akan dapat dijakankan sehingga virus tersebutpun tidak akan aktif. Karena virus tidak aktif anda tidak akan dapat menjalankan aplikasi/program yang bukan bawaan windows bahkan Command prompt pun tidak bisa, jika anda masih tetap ngotot membuka virus tersbut anda akan menjumpai contoh tampilan seperti di bawah ini. Manfaatkan kesempatan ini untuk meremove semua file virus yang bercokol di komputer anda, dengan melakukan pencarian file *.exe ukuran 76 KB modif 16/07/2006, setelah semuanya tampil hapus semua file yang ditemukan. Hapus juga semua file induk virus yang telah disebutkan diatas, dan pastikan sudah benar-benar bersih sebelum melangkah lebih lanjut. Untuk mempermudah meremove semuanya kami sedang menggodok removernya yang dapat anda download secara gratis mulai 9 Oktober 2006.
Open With
4. Jalankan file untuk mempatch registry yang dapat anda download disini. Patch ini digunakan untuk dapat kembali menjalankan semua file executable, karena sebelum anda patch anda tidak akan dapat menjalankan file exe. Pastikan anda sudah menjalankan langkah ini sebelum anda melangkah lebih lanjut, karena jika terjadi keteledoran dalam meremove semua file virus, virus ini akan kembali aktif dalam langkah selanjutnya atau meningkatnya kemungkinan untuk terjadi infeksi ulang. Jika anda sudah yakin kembalikan nama MSVBVM60.dl_ menjadi MSVBVM60.dll dan restart komputer anda.
5. Mulai langkah ini sebenarnya jika anda sudah menjalankan semua langkah sebelumnya dengan teliti dan benar maka anda akan terbebas dari virus ini mulai langkah ini.
6. Jalankan file yang dapat anda gunakan untuk mengembalikan semua file yang disembunyikan oleh virus (Download?) namun virus juga membuat salinannya di Document and settings\$user$\localsetting\ISI. (Download) berikut adalah tampilan jika tools yang anda download untuk mengembalikan semua file dijalankan tetapi sebelumnya file virus belum dihapus
Tampilan file asli dan virus
7. Insya Allah komputer anda sudah bersih dari virus ini, namun tentunya tidak kembali sebelum terinfeksi oleh virus ini. Saya mengingatkan anda untuk selalu mengupdate definisi virus yang dimiliki oleh antivirus anda mencegah lebih baik daripada mengobati. Semua antivirus menurut saya tidak akan dapat meremove virus komputer jika sudah terinfeksi dan jika ada orang ataupun pihak yang mengaku anti virusnya bisa menghapus virus yang menginfeksinya maka itu semua bohong belaka. Kalau anda mau menghilangkan virus anda harus menggunakan tools yang memang dikhususkan untuk tujuan itu dan anda dapat anda peroleh di blog ini/yang sejenis ataupun web site yang dimiliki oleh setiap anti virus. Semua anri virus mempunyai kwalitas relatif sama, dan relatif tidak ada saling mengungguli, namun kalau soal kemampuannya mungkin berbeda-beda anda dapat membaca artikelnya dimajalah yang melakukan pengujian terhadap anti virus.
Saya sangat berharap atas komentar, kritik, maupun saran anda guna lebih majunya blog ini yang dapat anda sampaikan dengan memberikan komentar pada setiap akhir artikel maupun melalui e-mail di [email protected], dan tentunya saya mengharap pula anda memberikan donasi dengan meng-klik iklan yang ada di blog ini.
* Sample virus ini diuji pada Komputer dengan sistem operasi Microsoft Windows XP Service Pack 2 yang dijalankan pada INTEL Pentium IV 2,8 GHz 1MB L2 Cache RAM 768 MB Harddisk 40 GB, dan Norton Antivirus 2006 definiton virus 25/09/2006.** Ini adalah nama yang kami berikan kepada virus ini karena masih belum terdeteksinya oleh anti virus, nama ini dapat berbeda-beda antara satu pihak-dengan pihak yang lainnya.

No comments: