logo       
<prev   next>

Terusan: [vaksin.com] W32/Emmareg.A 23 Agustus 2006, Kenalan dengan E: msg#00334

culture.religion.healer.mayapada

Subject: Terusan: [vaksin.com] W32/Emmareg.A 23 Agustus 2006, Kenalan dengan Emma, Nova dan Alisa



Perhatikan: pesan yang diteruskan sudah dilampirkan.

Apakah Anda Yahoo!?
Kunjungi halaman depan Yahoo! Indonesia yang baru! __._,_.___

Quotes :
" Spirituality is essentially a journey within. You need no preparations, no luggage to carry - nothing absolutely. What you need is just : LOVE ! And this Love, can only come as an after effect of self-actualization, achieved through the practice of meditative way of life."
- Anand Krishna -





Yahoo! Groups Links

__,_._,___
--- Begin Message ---
Subject: [vaksin.com] W32/Emmareg.A 23 Agustus 2006, Kenalan dengan Emma, Nova dan Alisa

 

http://www.vaksin.com/emmareg.htm

 

W32/Emmareg.A       23 Agustus 2006

Kenalan dengan Emma, Nova dan Alisa

 

Hati-hati jika tiba-tiba computer anda menjadi lambat atau ada seseorang yang  tiba-tiba ?menuduh?  anda karena mereka menerima email dari anda yang ternyata email tersebut telah disisipi virus, sebelum mengadakan counter attack menanggapi hal tersebut sebaiknya anda pastikan apakah komputer anda memang terinfeksi virus. Coba scan dengan antivirus yang up-to-date atau meminta bantuan pihak ke tiga  yang mengerti mengenai virus dan antivirus.

 

Jika sebelumnya virus lokal hanya mampu menyebar melalui media UFD / Disket, Rontokbro dan Mybro merupakan salah satu ?pelopor? yang mencoba menyebar melalui email dan kemudian bermunculan berbagai virus yang mulai bermain dengan SMTP yakni menyebar melalui email salah satunya adalah virus W32/Emmareg.A

 

Virus ini mempunyai ukuran 42 KB, untuk mempermudah penyebarannya virus ini akan menggunakan icon Folder. Dengan up-date terakhir Norman sudah dapat mengenali virus ini dengan baik. Lihat gambar 1)

 

Gambar 1, Norman Virus Control sudah dapat mengenali virus W32/Emmareg.A

 

Jika virus ini aktif maka ia akan membuat beberapa file induk untuk dijalankan pertama kali setiap kali komputer di nyalakan, diantaranya:

 

  • C:\Windows\Mstry.exe
  • C:\Windows\system32
    • regedit.exe
    • nova.exe
    • msconfig.exe
    • Emma.exe
    • Alisa.exe
  • C:\Windows\system\msconfig.exe
  • C:\Program Files\Common Files\renova.exe

 

Sebagai penunjang Emmareg.A akan membuat beberapa string pada registry, diantaranya:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • shell = C:\Program files\common files\renova.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • renova = nova.exe

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • shell = explorer.exe "C:\Program Files\Common Files\Renova.exe"           
    • Userinit = explorer.exe "C:\Program Files\Common Files\Renova.exe"

 

Blok Fungsi Windows

Emmareg.A berusaha untuk melakukan bloking terhadap beberapa fungsi Windows Diantaranya :

  • Msconfig
  • Registry editor
  • Taks manager
  • Run
  • CMD

 

  • Dengan membuat string pada registry editor:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    • DisableRegistryTools=1
    • DisabletaskMgr = 1

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • NoFind =1

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

o        NoFind=1

 

Merename dirinya sebagai regedit dan msconfig

Emmareg.A juga mempunyai trik lain untuk blok fungsi registry editor atau msconfig yakni dengan membuat file dengan nama regedit.exe dan msconfig.exe pada direktori [C:\Windows\system32] sehingga jika anda menjalankan fungi registry editor dan msconfig maka secara tidak langsung akan menjalankan virus tersebut.

 

Sebenarnya Emmareg.A juga berusaha untuk melakukan bloking menu Search/Control Panel atau Folder Option tetapi hal ini tidak berhasil dilakukan karena value pada string tersebut adalah 0 yang berarti = tidak

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • NoControlPanel = 0
    • NoFind = 1
    • NoFolderOptions = 0
    • NoRun = 0
    • NoSaveSettings=0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
    • NoControlPanel = 0
    • NoFind = 1
    • NoFolderOptions = 0

o        NoRun = 0

o        NoSaveSettings=0

 

Walaupun Emmareg.A tidak sampai menyembunyikan Folder Option, tetapi ia akan tetap bermain-main dengan option ini yakni dengan cara menghilangkan option [Hide extension for known type files] serta menambahkan option [RENOVA] pada menu Folder option, perhatikan gambar 2 dan 3 di bawah ini:

 

Gambar 2, Emmareg.A menghilangkan option [Hide extension for known type files]

 

Gambar 3, Emmareg.A menambahkan option [RENOVA] pada Folder Option

 

Untuk melakukan hal tersebut ia akan membuat string pada regsitry editor:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
    • type =
  • HKCU, Software\Microsoft\Windows\ShellNoRoam\MUICache,@shell32.dll,-30503
    • RENOVA

 

Selain itu Emmareg.A juga akan membuat string berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msrun.exe
    • Debugger = Debugger

 

Lalu, Emmareg.A juga akan mencoba untuk blok program/file  [dengan cara minimize program tersebut] yang dijalankan dengan membaca salah satu caption berikut :

    • System
    • Tools
    • Virus
    • Anti
    • Control
    • Virus
    • My music
    • Norman Virus Control
    • Internet Explorer
    • Internet Connection

 

Aktif pada mode safe mode dan safe mode with command prompt

Untuk mempertahankan eksistensinya, Emmareg.A akan mencoba untuk membuat beberapa string pada registry editor dengan harapan agar ia dapat tetap aktif walau dalam mode ?safe mode? maupun ?safe mode with command prompt?, yakni dengan membuat string berikut:

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

-          shell = explorer.exe "C:\Program Files\Common Files\Renova.exe"           

-          Userinit = explorer.exe "C:\Program Files\Common Files\Renova.exe

 

  •  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

-     AlternateShell = C:\Program Files\Common Files\Renova.exe

 

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

-     AlternateShell = C:\Program Files\Common Files\Renova.exe

 

Merubah Product ID pemilik Windows

Emmerag.A juga akan mencoba untuk merubah nama pemilik windows dengan membuat string pada registry editor:

 

*       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion

-          ProductId = Renova

-          ProductName = RENOVA

-          RegisteredOrganization = Xenova

-          RegisteredOwner = Renova

 

Media penyebaran

Dalam rangka menyebarkan dirinya, Emmerag.A akan menggunakan media Disket, UFD dan File Sharing, disamping itu ia juga akan mecoba menyebar melalui email dengan mengirimkan [reply] semua email yang ada di INBOX dengan menyertakan attachment  NOVA.SCR

 

Email yang akan dikirimkan akan mempunyai ciri-ciri (lihat gambar 4) :

 

To                    : alamat email pemilik komputer yang telah terinfeksi Emmareg.A

From                : random [alamat email yang terdapat pada INBOX]

Subject            : RE:subject asli [random]

Attachment      : nova.scr, dengan ukuran file 43,1 KB

Body                : Sorry, Saya lupa nih :)

Gambar 4, Emmareg.A berusaha membalas email yang ada di INBOX dengan menyertakan lampiran yang sudah mengandung virus.


Untuk menyebarkan dirinya melalui email, Emmareg.A akan menggunakan metode yang berbeda dengan apa yang dilakukan oleh Rontokbro/Mybro, dimana untuk mengirimkan dirinya melalui email  Emmareg.A tidak akan menggunakn SMTP sendiri, tetapi dengan menggunakan SMTP dari komputer yang telah di infeksinya serta untuk alamat pengirim akan menggunakan alamat email dari komputer yang telah di infeksinya, perhatikan gambar 5 dibawah ini:

 

Gambar 5, Daftar antrian email yang akan di kirim oleh Emamareg.A

 

Cara membersihkan W32/Emmareg.A

 

1.       Putuskan hubungan komputer yang akan dibersihkan dari jaringan.

2.       Jika menggunakan Windows ME/XP, matikan [system restore] untuk sementara selama proses pembersihan

3.       Matikan proses virus yang sedang aktif di memori, anda dapat menggunakan tool "currprocess"  (lihat gambar 6) kemudian matikan proses dengan nama:

  • Alisa
  • Emma

 

Tools ini dapat di download di alamat:

http://www.freedownloadmanager.org/downloads/CurrProcess_37457_p/

Gambar 6, Dengan menggunakan ?CurrProcess? Anda dapat mematikan proses virus Emmareg.A

 

4.       Hapus file induk yang dibuat oleh virus di lokasi berikut, sebelumnya pastikan anda sudah menampilkan file/folder yang disembunyikan.

Kemudian hapus file berikut:

 

  • C:\Windows\Mstry.exe
  • C:\Windows\system32
    • regedit.exe
    • nova.exe
    • msconfig.exe
    • Emma.exe
    • Alisa.exe
  • C:\Windows\system\msconfig.exe
  • C:\Program Files\Common Files\renova.exe

5.       Hapus registry key yang dibuat oleh virus dengan cara membuat file repair.inf. Copy teks dibawah ini pada Notepad, lalu safe sebagai file repair.inf (jangan .txt).

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, "checkbox"

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, Text,0, "Hide Extensions for known file types"

HKCU, Software\Microsoft\Windows\ShellNoRoam\MUICache,@shell32.dll,-30503,0, "Hide Extensions for known file types"

HKLM, Software\Microsoft\Windows NT\CurrentVersion, ProductId,0, "Your ProductID"

HKLM, Software\Microsoft\Windows NT\CurrentVersion, ProductName,0,"Your Product Name"

HKLM, Software\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0,"Your Organization"

HKLM, Software\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner

 

[del]

HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun

HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSaveSettings

HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoControlPanel

HKLM, Software\Microsoft\Windows\CurrentVersion\Run,renova

HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Shell

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoFolderOptions

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoRun

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoFind

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoControlPanel

 

Catatan:
setelah menjalankan repair.inf, sebaiknya cek kembali registry key berikut:

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

o        Userinit = explorer.exe "C:\Program Files\Common Files\Renova.exe"

 

Kemudian hapus value Explorer.exe ?C:\Program Files\Common Files\Renova.exe"  pada string Userinit, kemudian isi dengan value:

o        Jika menggunakan Windows  XP/2003

§         C:\Windows\system32\userinit.exe,

 

o        Jika menggunakan Windows 2000

§         C:\Winnt\system32\userinit.exe,

6.       Untuk mencegah infeksi ulang dan mempermudah deteksi virus baru di kemudian hari, pertimbangkan untuk menggunakan Norman Virus Control dengan update terakhir yang telah dapat mendeteksi virus Emmareg dengan baik.

 

Adang Juhar Taufik

info@vaksin.com

 

PT. Vaksincom

Tanah Abang III / 19 E

Jakarta 10160

 

021-345 6850

 
 


--- End Message ---
<Prev in Thread] Current Thread [Next in Thread>
Previous by Date:  Re: Fatwas on Vegetarianism: 00334, Johnny Lone
Next by Date:  Update Links di milis Mayapada: 00334, Eduard de Grave
Previous by Thread:  Salam Kenal.....i: 00334, rajaharahap
Next by Thread:  Update Links di milis Mayapada: 00334, Eduard de Grave
Indexes:  [Date] [Thread] [Top] [All Lists]

Google Custom Search
News | FAQ | advertise