Serangan Virus dari Vietnam « Maz Poetz Personal Blog

Serangan Virus dari Vietnam

Mei 17, 2008 in Anti virus
Tags: antivirus, vietnam, virus

Di awal tahun 2008 ini pengguna komputer di Indonesia cukup direpotkan oleh serangan virus Vietnam yang masih merupakan varian Sohanad, virus ini juga mempunyai karakteristik yang sama dengan kebanyakan virus local buatan Indonesia, yaitu melakukan blok atas beberapa fungsi utility windows seperti TaskManager, Registry Editor, Folder Option, MS Config dan Command Prompt. Jika dalam computer korban terinstall YM (Yahoo Messenger) makan dia akan menggunakan YM ini sebagai media penyerangannya, yaitu dengan cara secara otomatis mengaktifkan YM anda, dan kemudian mengirimkan pesan-pesan dalam bahasa Vietnam untuk mengklik link yang akan diarahkan untuk mendownload dan menjalankan virus (link ditujukan ke sebuah URL dari sebuah hostingan gratis 0catch.com), alamat linknya adalah http://nhatquanglan1.0catch.com. Tapi sekarang link tersebut sudah dinonaktifkan oleh 0catch.

Varian virus Sohanad sebenarnya sudah muncul sejak tahun 2006, tetapi seperti halnya varian-varian virus yang lain yang hoby bermetamorfosis, sampai sekarang varian-varian Sohanad baru dan cukup merepotkan para vendor antivirus karena sulit terdeteksi.

Dibawah ini adalah salah satu varian Sohanad yang terdeteksi Norman Security Suite, sebagai Dloader.HDZD

Ciridari File Virus ini diantaranya adalah:

Menggunakan icon folder
Memiliki ukuran file 249 KB (254.464 Byte)
Type file “application”
Ekstensi “.exe”

Efek yang ditimbulkan dari virus Dloader.HDZD antara lain:

Melakukan blok beberapa fungsi windows (Task Manager, Registry Editor, Folder Option)
Mematikan fungsi windows seperti System Configuration Utility / MS Config, dan Command Prompt.
Membuat Schedule tasks pada Windows, dengan membuat 2 file job (at1.job & at2.job), yang kemudian akan mengeksekusi file virus setiap jam 9 pagi setiap hari.
Mengirimkan pesan dalam bahasa Vietnam dengan link untuk mendownload virus (saat ini link sudah tidak aktif)

Dibawah ini beberapa bentuk pesan yang dikirimkan :

E may, vao day coi co con nho nay ngon lam http://nhatquanglan1.0catch.com
Vao day nghe bai nay di ban http://nhatquanglan1.0catch.com
Biet tin gi chua, vao day coi di http://nhatquanglan1.0catch.com
Trang Web nay coi cung hay, vao coi thu di http://nhatquanglan1.0catch.com
Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan… Ve dau toi biet di ve dau? http://nhatquanglan1.0catch.com
Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa… http://nhatquanglan1.0catch.com
Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi… http://nhatquanglan1.0catch.com
Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo… http://nhatquanglan1.0catch.com
Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon… http://nhatquanglan1.0catch.com

Walaupun saat ini link virus tersebut sudah dibanned, namun bukan berarti penyebaran virus tersebut sudah berakhir, karena bisa saja si pembuat virus mengupload varian virus baru ke website lain dan mengarahkan korbannya untuk mendownload ke link tersebut. Karena itu bagi pengguna YM harus lebih berhati-hati, jangan mudah mengklik link apapun yang dikirimkan oleh teman anda, atau orang lain, apalagi orang yang belum anda kenal. Dan perlu dicatat virus ini juga mempunyai kemampuan lebih, jika dalam computer korban tidak terinstall YM, maka dia akan melakukan copy paste link pesan tersebut pada program aplikasi Office yang sedang aktif.

Berikut dibawah ini file virus yang dibuat oleh virus Dloader.HDZD

· C:\WINDOWS\SSCVIIHOST.exe

· C:\WINDOWS\system32\autorun.ini

· C:\WINDOWS\system32\setting.ini

· C:\WINDOWS\system32\blastclnnn.exe

· C:\WINDOWS\system32\SSCVIIHOST.exe

· \autorun.inf (pada usb/removable drive)

· \New Folder.exe (pada usb/removable drive)

Berikut string registry yang dibuat oleh virus Dloader.HDZD

Agar dapat aktif saat komputer dijalankan, virus akan membuat string registry sebagai berikut :

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Yahoo Messengger = C:\WINDOWS\system32\ SSCVIIHOST.exe

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon

Shell = Explorer.exe SSCVIIHOST.exe

· HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

Yahoo Messengger = C:\WINDOWS\system32\ SSCVIIHOST.exe

Untuk melakukan blok terhadap fungsi windows, virus membuat string sebagai berikut :

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer

NoFolderOptions = 1

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System

DisableTaskMgr = 1

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System

DisableRegistryTools = 1

Agar dapat aktif dan memanfaatkan schedule task, virus membuat string berikut :

· HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule

AtTaskMaxHour = 0

Untuk mempermudah proses penyebaran dalam jaringan, virus membuat string berikut :

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ WorkgroupCrawler\Shares

Shares = \New Folder.exe

Selain menggunakan media YM, virus ini juga memanfaatkan media “flashdisk” ataupun “disket”, serta memanfaatkan system autoplay windows agar dirinya dapat aktif secara otomatis ketika sebuah flashdisk dicolokan ke computer. Dan file yang dibuat adalah:

· autorun.inf

· New Folder.exe

Selain itu dalam jaringan intranet virus ini juga memanfaatkan file sharing, dan menyebarkan diri dengan membuat file virus “New Folder.Exe”, kemungkinan ini yang menyebabkan virus ini memberikan efek yang cukup besar karena di Indonesia penggunaan Flash disk termasuk paling tinggi di dunia.

Cara membersihkan virus Dloader.HDZD:

· Sebaiknya lakukan pembersihan melalui mode safe mode.

· Matikan proses virus. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager

Lakukan kill process, pada beberapa file virus yang aktif yaitu :

· C:\WINDOWS\system32\SSCVIIHOST.exe

· C:\WINDOWS\SSCVIIHOST.exe (jika aktif)

· C:\WINDOWS\system32\blastclnnn.exe (jika aktif)

· New Folder.exe (jika aktif)

· Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “”%1″”"

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares, Shared

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, SYSTEM\CurrentControlSet\Services\Schedule, AtTaskMaskHour

HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger

Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

Berikut link “Repair.inf” untuk Dloader.HDZD :

http://www.4shared.com/file/47525698/d650cf29/Repair_Dloader-HDZD.html?dirPwdVerified=90ad42df

Sumber : www.vaksin.com

One Reply

didin

Juni 20, 2008 at 3:06 pm

thank’s banget yach….
tipsnya oc

trackback address

Bikin Blog Penghasil Rupiah

Dengan script ini anda bisa menghasilkan income tambahan yang fantastis melalui website atau blog anda
Menu Utama
- Anti Virus
- Islami
- Kaos Komputer
- Nena Craft
- Novel & Ebook
- Rumah Desain
Software Gratis
- Internet Kiosk Pro 6.23
- Password Recovery .MDB 2.1.0
- E.M. Total Video Converter Command Line 2.41
- Boom Voyage 1.1.5
- PhotoPDF Photo to PDF Convertor 2.3.6
- Sound Normalizer 2.70
- Advanced Encryption Package Professional 5.0.5
- Xilisoft Video Converter Platinum 5.1.26.0703
- Windows Live Mail Attachment Extractor 1.03
- SPAMfighter Standard 6.6.47
Home
Get free website for your blog
Kategori
- Anti virus
- Ekonomi
- Hardware
- iklan
- internet
- Islami
- Kesehatan
- Novel & Buku
- Online Earning
- pekerjaan
- Serba-serbi
- Sosial & Politik
- Sport
- Tips & Trik
- Uncategorized
- Wordpress
Y!M Roemahku
poepoets@gmail.com
Powered by Lintas Berita
Tulisan Terakhir
- Hasil Otopsi Michael Jackson
- Pemprov Bali Melarang Boediono Memakai Layanan VIP Bandara
- Kontrak Politik Dan Black Campaign
- Pemilu Satu Putaran, Kenapa Takut?
- 100 Malware Terganas Bulan Ini

Sponsor
User Online
Status Blog
- 85,064 Pengunjung
Sebarkan budaya ngeblog
Kontak Cepat Y!m
My blog is worth $564.54.
How much is your blog worth?
Yang lagi nyasar:

Join Ngeblog Dapet Duit
Search Engine Optimization and SEO Tools Depacco.com
Artikele Maz Cosa
- Ukuran Kesuksesan SEO
- Pengen Baca Artikel-Artikel CosaAranda.Com Yang Lama?
- Blog Gak Diapa-apain Bisa Dapet Duit, Trafik, dan Banyak Terindex di Mesin Pencari?
- Community Gathering “Instant Internet Business Ideas” edisi Jakarta
- eBiz Mastermind Seminar edisi Juni 2009 - UPDATED
- Polling Cover Buku Panduan 28 Hari Menguasai SEO
- SEO Complete Guide for Wordpress Released
- Even More Twitter Followers With ViralFollowers
- Maen PPC di Twitter
- (Bukan) e-Book ‘Breaking The SEO Myths volume 1′
Pojok Sepakbola
- Tom Cruise Menginspirasi Beckham Namai Anak
- Madrid: Tak Masalah Tak Juara Liga Champions
- Aurelio Cuma Dua Bulan
- Del Bosque Dukung Galactico II
- Schmeichel Terbaik di Bawah Mistar Gawang
- Rafa: Gareth Barry Hanya Pikirkan Uang
- Pippo Belum Mau Akhiri Cerita di Milan
Mei 2008

S S R K J S M

« Apr Jun »

1 2 3 4

5 6 7 8 9 10 11

12 13 14 15 16 17 18

19 20 21 22 23 24 25

26 27 28 29 30 31
Arsip
- Juni 2009
- Mei 2009
- April 2009
- Maret 2009
- Februari 2009
- Januari 2009
- Desember 2008
- Nopember 2008
- Oktober 2008
- September 2008
- Agustus 2008
- Juli 2008
- Juni 2008
- Mei 2008
- April 2008
Meta
- Masuk log
- RSS Entri
- RSS Komentar
- WordPress.com

Mei 2008
S	S	R	K	J	S	M
« Apr		Jun »
	1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

Thingpositive.com

Who Marries and When
Life’s Stress May Lead to Weight Gain
Michael Jackson’s Medicine Cabinet
Swine Flu: 10 Things Not to Do
Your Guide to Hysterectomy
Protect Your Fertility
Dunkin’ Donuts Suspends Certain Drinks
8 Early Signs of Pregnancy
Daily sex ‘best for good sperm’
Swine flu parties ‘a bad idea’

Link

Daftar Account Paypal

Domain Gratis Co.cc

Hosting dan Domain Gratis

Mobil & Truk

Review Kamera Digital

Review Notebook & Mobile PC Terbaru

Rumah Desain

Tips Menangani Kerusakan Notebook

WordPress.com

Pembaca Terakhir

Lihat Komunitasku
Gabung di MyBlogLog

Lowongan Kerja

PT Bank Commonwealth; LOWONGAN KERJA RECEPTIONIST
PT.SUZUKI INDOMOBIL MOTOR; LOWONGAN KERJA TERBARU
PT Astra Otoparts Tbk; 3 lowongan kerja fresh graduate
PT.YAMAHA INDONESIA MOTOR MANUFACTURING; 3 LOWOGAN KERJA TERBARU
PT.BANK MANDIRI (PERSERO) Tbk; 2 LOWONGAN KERJA BANK 2009
PT.NESTLE INDONESIA; LOWONGAN KERJA FRESH GRADUATE 2009
PT.BTMU – BRI FINANCE; 2 LOWONGAN KERJA BRI
PT BANK DANAMON INDONESIA Tbk; LOWONGAN KERJA BANK 2009
PT.INFOMEDIA NUSANTARA; LOWONGAN KERJA JULY 2009
ConocoPhillips; LOWONGAN KERJA MIGAS 2009

Tulisan Teratas

Mengganti themes Facebook dengan Yontoo Layers
Download Novel Twilight (Full Version / Indonesia Version)
Nama-Nama Indah untuk Si Buah Hati
Membuat flashdisk menjadi bootable
Nama - Nama Terbaik Untuk Bayi Kita (Putera)
Prediksi Capres-Cawapres Pemilu 2009 Versi Saya
Netbook Advan A1N70T
Rumah Desain
27 Kosmetik mengandung bahan berbahaya dan zat warna yang dilarang
Langkah-langkah mendaftar di www.000webhost.com

	roemahku di Download Novel Twilight (Full …
	aromakopiluwak di Kotoran termahal dan bisa dimi…
	@CHO di Profil Pasangan Capres dan Caw…
	wawan di Download Novel Twilight (Full …
	kiki di Download Novel Twilight (Full …
	Riki Pratamasari di Download Novel Twilight (Full …
	ichuell di Mengenal Twitter dan Beberapa…
	putri di Download Novel Twilight (Full …
	Syamsuri Nur di Membuat flashdisk menjadi…
	milchior di Instalasi Windows XP menggunak…

Maz Poetz Personal Blog

Serangan Virus dari Vietnam

One Reply

Leave a Comment

Bikin Blog Penghasil Rupiah

Menu Utama

Software Gratis

Kategori

Tulisan Terakhir

10 Coment Terakhir

Sponsor

Status Blog

Artikele Maz Cosa

Pojok Sepakbola

Arsip

Meta

Mau Ebook ini?

IndoMP3 Gratis

Thingpositive.com

Link

Pembaca Terakhir

Lowongan Kerja

Tulisan Teratas