Beberapa hari yang lalu, teman saya ada yang mengeluhkan komputernya terkena virus yang tidak mempan diperbaiki menggunakan anti virus apapun. Lalu aku search2 di internet tentang virus yang menjangkiti nie… so aku kan mensharing dikit ilmuku cara mengatasi virus yang berbentuk shortcut ini.
virus tersebut membuat shortcut dari folder yang ada di hardisk. Namun
shortcut tersebut jika dilihat property-nya akan mengarah pada link virus yang bersarang di windows/system32.
Virus PIF/Starter/Yuyun atau yang lebih dikenal dengan virus shortcut yang termasuk dalam golongan virus vbs membuat kesal korbannya dengan banyak sekali shortcut yang dibuat oleh virus tersebut. Repotnya, kalau cara penanganan virus ini tak tepat maka ia malah akan kembali lagi, lagi dan lagi.
Adapun Ciri – Ciri Virus Shortcut tersebut adalah:
Pertama-tama, setelah menginfeksi komputer, dia akan membuat file induk
database.mdb di My Documents
Yang kedua adalah virus tersebut akan membuat file autorun.inf yang super terhidden Berukuran 8kb di setiap drive harddisk, flash disk, dan folder tanpa kecuali
Yang ketiga adalah dia akan membuat file Thumb.db Berukuran 8kb (hati-hati, perhatikan bahwa file ini tanpa huruf s sedangkan thumbnail cache yang asli di komputer memiliki tambahan huruf s alias thumbs.db) di setiap folder
Untuk memancing korban, dia akan membuat file Microsoft.lnk dan New
Harry Potter, New Folder, Aplikasi atau and Nama_Folder.lnk di setiap folder yang jika dieksekusi akan langsung mengaktifkan
viruss Seperti halnya viruss-virusmembuat duplikat setiap folder namun kali ini bukan dengan ekstensi .exe melainkan extensi .lnk alias shortcut.
Pada task manager terdapat proses services wscript.exe yang sedang
berjalan. Dalam kondisi normal, tidak ada proses seperti ini.
Sebenarnya cara kerja sederhana virus ini sudah saya berikan pada pennjelasan pembuatan virus sederhana dari notepad (Silahkan kalau mau
menganalisa klik disini)
Oleh sebab itu, simak 7 cara jitu dari analis virus Vaksincom MG Lat untuk menghentikan banjir shortcut yang diakibatkan virus ini::
1. Sebelumnya matikan dulu proses system restore. (klik kanan my
computer>properties>System restore>centang semua system restore on all drivers)
2. Matikan proses dari file Wscript yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari Windows.
3. Setelah dimatikan proses dari Wscript tersebut, kita harus men-delete atau me-rename dari file tersebut agar tidak digunakan untuk sementara oleh virus tersebut.
Sebagai catatan, kalau kita me-rename dari file Wscript.exe tersebut dengan otomatis, maka akan dikopikan lagi di folder tersebut. Oleh sebab itu, kita harus mencari di mana file Wscript.exe yang lainnya, biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386.
Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS.
Agar kelihatan file yang tersuper hidden gunakan menu Tools>Folder Option>tab View seperti pada gambar
4. Delete file induknya yang ada di C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan me-load file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.
5. Sekarang kita akan men-delete file-file Autorun.INF. Microsoft.INF dan Thumb.db. Caranya, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah:
Ketik cd C:\ untuk menuju direktori local disk C: kemudian ketik del Microsoft.inf /s, perintah ini akan men-delete semua file microsoft.inf di seluruh folder di drive C:. Sementara kalau mau pindah drive tinggal diganti nama drivenya saja contoh: cd d:\ kemudian ketikkan del Microsoft.inf /s.
Untuk file autorun.inf, ketik del autorun.inf /s /ah /f, perintah akan men-delete file autorun.inf (syntax /ah /f) digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db (del Thumb.db /s
/ah /f) lakukan juga hal yang sama.
Jadi file2 yang perlu didelet dalam langkah ini adalah:
del autorun.inf /s /ah /f
del Thumb.db /s /ah /f
del desktop.ini /s /ah /f
del Microsoft.inf /s
6. Untuk men-delete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara search file dengan ekstensi .lnk (LNK) ukurannya 1 kb. Pada ‘More advanced options’ pastikan option ‘Search system folders’ dan ‘Search hidden files and folders’ keduanya telah dicentang. (Gunakan Shift+del agar file yang terdelete gak masuk recyclebin)
Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 kb adalah virus, kita dapat membedakannya dari ikon, size dan tipenya. Untuk
shortcut yang diciptakan virus ikonnya selalu menggunakan icon ‘folder’, berukuran 1 kb dan bertipe ‘shortcut’. Sedangkan folder yang benar
harusnya tidak memiliki ‘size’ dan tipenya adalah ‘File Folder’.
7. Fix registry yang sudah diubah oleh virus. Untuk mempercepat proses
perbaikan registry salin script dibawah ini pada program ‘notepad’ kemudian simpan dengan nama ‘Repair Yuyun Shortcut.inf’. Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer
Atau kalo gak mau repot2 buat Repair Yuyun Shortcut.inf Bisa langsung di download disini
Sekedar Tambahan ajah Karakteristik yuyun yang saya analisa
thumb.db =>pengecek pengaktifan virus
autorun.inf => script startup
xxxxxx.ink =>penyalur ke induk, dan mengesekusinya yang akan menjalankan thumb.db
database.mdb, Microsoft Office Update for Windows XP.sys => File Induknya
xxxxxxx.pif =>pembandrol and pembawanya
v.doc => pesan yang disampaikan si pembawa virus
====UPDATE====
Oh yach perlu diketahui smadav versi yang terbaru sudah dapat mendeteksi virus yuyun lho…
Kalo mau download + fitur Pro smadav Bisa langsung ke TKP
http://bosgentongs.wordpress.com/2010/01/21/smadav-pro-gratis-masak-sich-y-ya-lah/
Boar lebih ampuh lagi kombinasikan dengan Avira premium securtity suite…. ada sudah saya sertakan keynya di sini
http://bosgentongs.wordpress.com/2010/01/18/gratis-key-avira-premium-security-suite-3-bulan-dengan-nama-kamu-sendiri/
. Apa sih keylogger ? Keylogger merupakan tools yang pada dasarnya memiliki sebuah fungsi untuk melakukan monitoring semua akitivitas yang dilakukan oleh user pada sebuah PC. Mulai dari merekam password yang diketikan, chatting di instant messaging, program apa saja yang dijalankan oleh user, apa yang dilakukan user pada program tersebut, dan semua yang diketikkan di keyboard hingga pergerakan mouse, bahkan beberapa keylogger yang telah lama beredar mengincludekan fasilitas pengcapture layar monitor setiap 5 menit sekali, dan outputnya adalah HTML.
