virus Deadlock
Virus Itu hampir saja Menghancurkan semua isi PC gue, Untung aja Ada Vaksin.com, Huh Coba Bayangin Serem banget Dampaknya.
Ok, Langsung saja Kita bahas Virus Deadlock ini
Jika komputer anda menampilkan pesan seperti pada gambar 1
Gambar 1, Pesan yang ditampilkan oleh Deadlock
Maka Vaksincom menyarankan anda untuk berhati-hati dan ingat selalu untuk membackup data anda karena pada tanggal 12 dan 13 nanti Deadlock akan membuat komputer anda “deadlock” alias di hancurkan semua datanya, baik data di seluruh harddisk, Flashdisk dan O/S Windows sehingga menampilkan pesan NTLDR is Missing (lihat gambar 7).
Dengan mengesampingkan kesalahan ejaan seperti kata “prostitusi” yang ditulis “portitusi” (sudah terbalik menaruh huruf “r” dan “o”, ehh huruf “s” juga ketinggalan, kayanya pembuat virus ini pelajaran Bahasa Indonesianya jeblok). Dari sisi penyampaian pesan patut diacungi jempol bahwa pembuat virus ini masih memiliki kepedulian sosial dan rasa kebangsaan yang tinggi. Tetapi tingkah virus ini merusak data dengan mendelete semua data di harddisk ini yang membuat pesan yang disampaikan kontra produktif. Wong pesannya suruh jadi orang baik, pembela kebenaran, jangan korupsi, berantas prostitusi …. eeh dirinya sendiri malah menghancurkan data orang lain. Mungkin jika pembuat virus ini menyampaikan dengan cara yang lebih simpatik dan tidak menghancurkan data (EG menghidden data) akan lebih relevan dengan pesan yang disampaikan. Tetapi terlepas dari itu semua PT. Vaksincom ingin mengucapkan Dirgahayu Kemerdekaan RI ke 64, mari kita bangun Indonesia. MERDEKAAAA !!! …….
Salah satu virus yang akan mencoba untuk menghapus data adalah Deadlock, kenapa dikatakan demikian hal ini tentunya mempunyai makna tersendiri dan semoga saja virus ini tidak membawa unsur politis sesuai dengan pesan yang akan ditampilkan dalam gambar 1. Virus ini sebenarnya masih masuk ke dalam keluarga Visual Basic yang di kompresi dengan menggunakan program Petite 2.x dengan ukuran sekitar 80 KB. Icon yang digunakan juga tidak disamarkan tetap menggunakan icon aplikasi (lihat gambar 2) dan kemunginan berasal dari salah satu kota di Kalimantan (Samarinda).
Gambar 2, File induk Deadlock
Ciri utama dari virus ini adalah akan merubah desktop dengan pesan sosial dari sang pembuat virus, biasanya pesan ini hanya akan muncul pada waktu yang ditentukan, seiring dengan munculnya pesan ini maka semua file yang ada di semua drive akan di hapus termasuk program dan file system Windows (lihat gambar 3). Jadi kalau anda melihat pesan ini pada komputer anda, kemungkinan sudah terlambat karena sebentar lagi data di komputer anda akan dihancurkan.
Gambar 3, Pesan sang pembuat virus
Jika virus ini aktif di komputer ia akan membuat beberapa file yang aka dijalankan pada saat komputer di nyalakan.
C:\Windows\system32\apache.exe
C:\Windows\system32\mysql.exe
Pemilihan nama apache dan mysql kemungkinan bertujuan menyamarkan dirinya sebagai program populer Apache dan Mysql.
Agar file tersebut dapat aktif secara otomatis pada saat komputer dinyalakan, ia akan membuat beberapa string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
mysql = C:\Windows\system32\mysql.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
apache = C:\Windows\system32\apache.exe
Virus ini cukup cerdik dalam mengelabui user, user tidak akan curiga jika sebenarnya komputer tersebut telah terinfeksi karena tidak ada tanda-tanda yang biasa dilakukan oleh virus lokal lainnya seperti disable Task Manager / MSConfig / Regedit atau Folder Options, selain itu file yang dibuat juga tidak mencurigakan karena seolah-olah merupakan program Apache dan MySql. User baru sadar bahwa komputer telah terinfeksi virus pada saat telah terlambat dimana muncul pesan dari pembuat virus yang kemudian diikuti dengan munculnya pesan error “Windows file Protection” yang menandakan ada suatu program yang berusaha untuk menghapus file system windows. (lihat gambar 4)
Gambar 4, Pesan error saat file system di hapus oleh virus
Seperti peribahasa “air tenang menghanyutkan”, rupanya di dalam bisunya Virus ini menyimpan Bom waktu di komputer korbannya yang akan di aktifkan sesuai dengan waktu yang telah ditentukan..
Pesan Pembuat virus
Deadlock juga akan meningggal kan pesan sosial kepada semua orang, agar pesan ini selalu di ingat terutama bagi pengguna komputer yang terinfeksi, ia akan mengganti desktop windows seperti yang terlihat pada gambar dibawah ini. Kalau ingin meninggalkan pesan moral boleh-boleh saja. Tetapi kalau meninggalkan pesan moral dan menghancurkan data komputer korbannya, bukannya simpati yang di dapat tetapi kejengkelan atau bahkan kebencian sehingga mengakibatkan pesan yang dikirimkan malah kontra produktif. Wong, katanya mau memberantas korupsi dan perjudian, tapi diri sendiri menghancurkan data orang lain. (lihat gambar 1)
Menyebar secara otomatis
Virus ini akan aktif secara otomatis setiap kali user mengakses suatu drive / flash disk dengan memanfaatkan “autorun windows” dengan membuat 3 buah file yakni : (lihat gambar 5 dan 6)
o [Desktop.ini] yang berisi script untuk menjalankan file [folder.htt]
o [Folder.htt], berisi script untuk menjalankan file utama yakni [flashguard.exe]
o [Flashguard.exe] merupakan file induk yang akan di jalankan
Gambar 5, Script yang terdapat pada file [desktop.ini]
Gambar 6, Script yang terdapat pada file [folder.htt]
Media penyebaran
Flash Disk merupakan salah satu media yang paling banyak digunakan oleh user, hal inilah yang akan dimanfaatkan oleh sebagian bahkan boleh dibilang semua virus untuk menyebarkan dirinya, hal ini juga akan dilakukan oleh virus Deadlock dengan cara membuat beberapa file berikut : (lihat gambar 2)
o Desktop.ini
o Folder.htt
o Flashguard.exe
BOM Waktu
Virus Deadlock laksana bom waktu yang akan menghancurkan komputer target pada waktu yang telah ditentukan, virus ini akan menjalankan aksinya setiap tanggal 12 - 13 sekitar jam 08.00 - 09.00 setiap bulan dengan cara MENGHAPUS SEMUA FILE/DATA TERMASUK FILE SYSTEM WINDOWS yang ada di semua drive termasuk di media Flash Disk dengan menggunakan perintah cmd.exe /c del /f /s /q /a dan cmd.exe /c rd /s /q, sehingga jika komputer tersebut di restart maka akan muncul pesan error berikut (lihat gambar 7)
SHAPE \* MERGEFORMAT
NTLDR IS MISSING
Press CTRL + Alt + Del to restart
[if mso & !supportInlineShapes & supportFields]>
Gambar 7, NT Loader tidak dapat diakses karena semua data di harddisk termasuk Windows di hapus oleh virus
Untuk mencegah terinfeksi virus ini, Vaksincom menyarankan anda menggunakan program antivirus yang dapat mendeteksi virus ini dengan baik. Menurut pengetesan Lab Vaksincom, saat ini virus yang terdeteksi oleh Norman sebagai Deadlock belum terdeteksi oleh mayoritas antivirus yang ada di Indonesia, baik antivirus lokal maupun antivirus mancanegara. Norman Endpoint Protection mendeteksi virus Deadlock sebagai Tibs.DKKR. (lihat gambar)
Gambar 8, Deadlock di deteksi Norman sebagai W32/Tibs.DKKR
Jika anda menginginkan data anda yang menjadi korban Deadlock ini kembali, JANGAN sekali-kali menginstal ulang OS anda ke harddisk yang mengandung data anda yang hilang tersebut. Lakukan proses recovery data penting dengan menggunakan aplikasi data recovery dan metode yang benar. Jika anda menginstal ulang OS anda ke harddisk yang mengandung data yang ingin anda recover, kemungkinan keberhasilan recovery akan sangat rendah. Jika anda tidak berpengalaman akan data recovery dan ingin mendapatkan bantuan Data Recovery profesional dengan harga yang reasonable, silahkan hubungi divisi Data Recovery Vaksincom di email info@vaksin.com.
Cara menangani Deadlock secara manual
Disable [System Restore] selama proses pembersihan
Matikan proses virus yang aktif di memori, gunakan tools pengganti Task Manager seperti “Process Explorer” kemudian matikan proses yang mempunyai nama “mysql.exe dan apache.exe”
Silahkan download tools tersebut di url berikut:
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx (lihat gambar 9)
Gambar 9, Matikan proses virus dengan Process Explorer
Agar virus ini tidak dapat aktif kembali sebaiknya blok file tersebut agar tidak dapat di eksekusi dengan mendaftarkan pada “Software Restriction Policies”. Fitur ini hanya ada pada komputer dengan sistem operasi “Windows XP Professional/Windows Server 2003/Windows Vista dan Windows Server 2008”, dengan cara : (lihat gambar 10)
Klik menu [Start]
Klik menu [Run]
Pada kotak dialog RUN, ketik perintah SECPOL.MSC kemudian klik tombol [OK]
Setelah muncul layar “Local Security Settings”, klik kanan pada menu “Software Restriction Policies” lalu klik “Create New Policies”
Pada menu “Software Restriction Policies”, klik “Additional Rules”
Gambar 10 - 12
Klik kanan pada “Additional Rules”, kemudian pilih “New Hash Rule…”, kemudian akan muncul layar “New Hash Rule”
Pada kolom “File hash” klik tombol “Browse” kemudian arahkan ke direktori [C:\Windows\system32\apache.exe]
Gambar 11
Gambar 12, Menentukan file virus yang akan di blok
Kemudian klik tombol [Open]
Pada kolom “Security level” pilih [Disallowed] (lihat gambar 13)
Gambar 13
Pada kolom “description” boleh di isi atau dikosongkan saja
Klik tombol [Apply]
Klik tombol [Ok]
Catatan:
Jika komputer Anda tidak terinstall Windows XP Professional/2003 Server/Vista/2008 lewati langkah ini.
Hapus string registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara
Klik kanan file repair.inf
Klik [Install]
[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, apache
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, mysql
Hapus file induk virus yang ada di direktori
C:\Windows\system32\apache.exe
C:\Windows\system32\mysql.exe
Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan dengan menggunakan antivirus yang up-to-date.
Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut di alamat berikut : (lihat gambar 14)
http://www.norman.com/support/support_tools/58732/en-us
Gambar 14, Deteksi Norman Malware Cleaner
Catatan:
Jika komputer yang terinfeksi Deadlock ini tidak dapat melakukan booting Windows dengan muncul pesan error “NTLDR Is Missing” sebaiknya lakukan install ulang, sedangkan untuk data yang telah dihapus silahkan Anda recovery dengan menggunakan software recovery seperti GetData Back/Easy Recovery/Recovery my Files, tetapi hal ini tidak akan menjamin semua data akan dapat diselamatkan.
Oh, iya Satu lagi !
Nih Juga !
http://maleosite.blogspot.com/2008/01/servicesexew32trafox-worms-pintar-nan.html
Ada satu worms yang ngendon di C:\Windows\System32\2B170239 (tergantung komputer yang dijangkitnya) , nama file wormsnya Services.exe. Malware ini (Trafox) selain menggandakan diri juga meng-infeksi file-file .EXE, juga mampu menjadi parasit dalam tubuh program lainnya.
Malware ini tergolong sudah maju dibanding sebelumnya karena sudah menggunakan beberapa teknik yang tergolong maju seperti Encryption, Polymorphic, Antidebug dan yang tidak kalah pentingnya adalah PE Infector.
informasi string berikut pada tubuh raw via dump menggunakan Ansav Advanced :
W32.TR4F0X.A
- Say War To #VM Community (Jowoboot)
- Kill all AV
- Destroy all fuckin company.
[ IVS * INDONESIAN WORMS SOCIETY ]
String tersebut berada di dalam tubuhnya yang dienkripsi sekaligus dipack dimana packernya menggunakan ASpack, dan tidak terlihat apabila dibuka file rawnya menggunakan hexa editor, dan hanya bisa dibaca dengan cara men-dump memori prosesnya. String tersebut apabila dibuat dan dibuka pada file dengan ekstensi .HTM atau .HTML.
Kata-kata yang tidak mengenakkan ada pada pesan diatas pada baris kedua yaitu “Say War To #VM Community (Jowoboot)”, mengapa hal ini mengkhawatirkan?, karena kata-kata tersebut bisa memancing atau istilahnya memprovokasi para Vxer-vxer lain untuk berlomba-lomba membuat worms baru dan dapat berakibat Cyber War, seperti yang pernah terjadi sebelumnya yaitu pertarungan antara Gang Antibrontok yang diwakili RomanticDevil + NoBron melawan Gang Jowoboot yang diwakili Brontok + Rontokbro
Ciri-cirinya sebagai berikut.
Akan menyamar sebagai Services.exe pada proses manager. Task manager tidak dapat menghentikan prosesnya karena mempunyai nama sesuai dengan critical proses.
Ukuran file sekitar 17-18kb.
menuliskan perintah eksekusi pada startup dikedua Root Key registry, bila kita buka startup pada msconfig kemudian menghapus services.exe maka akan muncul kembali.
Akan menghapus antiworms anda, saat worms merasa terancam maka antiworms yang anda jalankan akan dihapus. Saat anda mencoba menginstall maka file master antiworms anda akan ikut dihapus juga.
Akan menginfeksi file berekstensi *.exe yang dijalankan. Menempel pada file tersebut dan merubah date modified serta menambah ukuran file sekitar 20kb. Beberapa file yang terinfeksi masih dapat dijalankan tapi beberapa file menjadi error. Bila kita mengeksekusi file tersebut sama saja kita mengeksekusi / mengaktifkan worms kembali.
AVG sudah mendeteksi file worms aslinya “Services.exe”, tapi tidak dapat mendeteksi worms yang menginfeksi file *.exe lainnya.
AVG mengenalinya sebagai Trojan Horse Generic8.EGR.
BitDefender mengenalnya sebagai W32.Trafox.A dan dapat mendeteksi worms yang meninfeksi file *.exe dengan menghapus berikut file inangnya.
Sampai update akhir desember 2007 AVG belum mampu memisahkan worms dengan file inangnya, ini penting karena beberapa file master driver saya terinfeksi.
Autorun pada media yang dijangkitinya(flashdisk). Dengan menuliskan windows host script pada file autorun.ini ia akan mengeksekusi file dekstop.exe yang merupakan file worms awal bencana.
Untuk mengatasi penyebarannya dapat dilakukan dengan cara :
Matikan prosesnya, dengan menggunakan fasiilitas proses manager pada beberapa program utility (TuneUp Utilities2006, Tweak Accelerator XP) kita dapat mematikan seluruh proses meski bernama sama dengan critical proses. Dengan melihat pemilik proses(Author) jika “system” maka services.exe asli windows(“s” kecil). Jika pemiliknya nama user komputer (“S” besar) maka inilah proses sang worms. Segera kill proses tersebut.
Kemudian cari dan hapus file Services.exe yang ada pada
C:\Windows\System32\2B170239(2B170239 bs berbeda tiap PC)
C:\Windows\
directory
Jangan lupa untuk mengeset folder options agar hidden files dan system files ditampilkan pada windows explorer.
Hapus item Services.exe pada startup program, kemudian restart komputer anda.
Ada baiknya anda menginstall ulang antiworms anda dan melakukan upadate terbaru, jangan lupa aktifkan selalu resident shield karena dapat memblokir worms jika terjadi pengaktifan secara tidak sengaja atau autorun pada flasdisk. Gunakan master yang steril, dari CD misalnya untuk menghidari jika master pada hardisk telah terinfeksi.
Kemungkinan besar file-file ekstensi *.exe pada hard disk anda telah terinfeksi. Maka patut dicurigai bila terjadi modified pada date time files tersebut sesuai tanggal mulai terinfeksi padahal files tersebut usianya cukup lama. Hapus saja jika anda merasa file tersebut tidak penting. Bila file tersebut penting maka anda harus bersabar mencari program atau anti worms yang dapat memisahkan worms dengan file inangnya.
Virus Itu hampir saja Menghancurkan semua isi PC gue, Untung aja Ada Vaksin.com, Huh Coba Bayangin Serem banget Dampaknya.
Ok, Langsung saja Kita bahas Virus Deadlock ini
Virus kampanye Pemilu yang anti KKN dan teroris
Bebaskan Negeri kami Indonesia dari Terorisme, Anarkis, dan KKN(Kolusi, Korupsi & Nepotisme)
pada Kubu Pemerintahan Republik Indonesia (Sipil, TNI & Polisi) serta Tangkap, Berantas dan Penjarakan – Tanpa Kecuali.
Bersihkan Negeri kami dari Portitusi, Perjudian dan Kejahatan Sosial. Merdekakan diri kami dari Kemiskinan, Kesengsaraan dan Ketidakadilan! Bersama Partai Demokrat – SBY & BOEDIONO, Bersama Membangun Indonesia Adil, Makmur & Sejahtera
Atas Nama Bangsa Indonesia
Pangeran DEADLOCK
I’m Everyone, but NoOne
I’m Everything, but NoThing
I’m Everywhere, but NoWhere
Bebaskan Negeri kami Indonesia dari Terorisme, Anarkis, dan KKN(Kolusi, Korupsi & Nepotisme)
pada Kubu Pemerintahan Republik Indonesia (Sipil, TNI & Polisi) serta Tangkap, Berantas dan Penjarakan – Tanpa Kecuali.
Bersihkan Negeri kami dari Portitusi, Perjudian dan Kejahatan Sosial. Merdekakan diri kami dari Kemiskinan, Kesengsaraan dan Ketidakadilan! Bersama Partai Demokrat – SBY & BOEDIONO, Bersama Membangun Indonesia Adil, Makmur & Sejahtera
Atas Nama Bangsa Indonesia
Pangeran DEADLOCK
I’m Everyone, but NoOne
I’m Everything, but NoThing
I’m Everywhere, but NoWhere
Jika komputer anda menampilkan pesan seperti pada gambar 1
Gambar 1, Pesan yang ditampilkan oleh Deadlock
Maka Vaksincom menyarankan anda untuk berhati-hati dan ingat selalu untuk membackup data anda karena pada tanggal 12 dan 13 nanti Deadlock akan membuat komputer anda “deadlock” alias di hancurkan semua datanya, baik data di seluruh harddisk, Flashdisk dan O/S Windows sehingga menampilkan pesan NTLDR is Missing (lihat gambar 7).
Dengan mengesampingkan kesalahan ejaan seperti kata “prostitusi” yang ditulis “portitusi” (sudah terbalik menaruh huruf “r” dan “o”, ehh huruf “s” juga ketinggalan, kayanya pembuat virus ini pelajaran Bahasa Indonesianya jeblok). Dari sisi penyampaian pesan patut diacungi jempol bahwa pembuat virus ini masih memiliki kepedulian sosial dan rasa kebangsaan yang tinggi. Tetapi tingkah virus ini merusak data dengan mendelete semua data di harddisk ini yang membuat pesan yang disampaikan kontra produktif. Wong pesannya suruh jadi orang baik, pembela kebenaran, jangan korupsi, berantas prostitusi …. eeh dirinya sendiri malah menghancurkan data orang lain. Mungkin jika pembuat virus ini menyampaikan dengan cara yang lebih simpatik dan tidak menghancurkan data (EG menghidden data) akan lebih relevan dengan pesan yang disampaikan. Tetapi terlepas dari itu semua PT. Vaksincom ingin mengucapkan Dirgahayu Kemerdekaan RI ke 64, mari kita bangun Indonesia. MERDEKAAAA !!! …….
Salah satu virus yang akan mencoba untuk menghapus data adalah Deadlock, kenapa dikatakan demikian hal ini tentunya mempunyai makna tersendiri dan semoga saja virus ini tidak membawa unsur politis sesuai dengan pesan yang akan ditampilkan dalam gambar 1. Virus ini sebenarnya masih masuk ke dalam keluarga Visual Basic yang di kompresi dengan menggunakan program Petite 2.x dengan ukuran sekitar 80 KB. Icon yang digunakan juga tidak disamarkan tetap menggunakan icon aplikasi (lihat gambar 2) dan kemunginan berasal dari salah satu kota di Kalimantan (Samarinda).
Gambar 2, File induk Deadlock
Ciri utama dari virus ini adalah akan merubah desktop dengan pesan sosial dari sang pembuat virus, biasanya pesan ini hanya akan muncul pada waktu yang ditentukan, seiring dengan munculnya pesan ini maka semua file yang ada di semua drive akan di hapus termasuk program dan file system Windows (lihat gambar 3). Jadi kalau anda melihat pesan ini pada komputer anda, kemungkinan sudah terlambat karena sebentar lagi data di komputer anda akan dihancurkan.
Gambar 3, Pesan sang pembuat virus
Jika virus ini aktif di komputer ia akan membuat beberapa file yang aka dijalankan pada saat komputer di nyalakan.
C:\Windows\system32\apache.exe
C:\Windows\system32\mysql.exe
Pemilihan nama apache dan mysql kemungkinan bertujuan menyamarkan dirinya sebagai program populer Apache dan Mysql.
Agar file tersebut dapat aktif secara otomatis pada saat komputer dinyalakan, ia akan membuat beberapa string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
mysql = C:\Windows\system32\mysql.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
apache = C:\Windows\system32\apache.exe
Virus ini cukup cerdik dalam mengelabui user, user tidak akan curiga jika sebenarnya komputer tersebut telah terinfeksi karena tidak ada tanda-tanda yang biasa dilakukan oleh virus lokal lainnya seperti disable Task Manager / MSConfig / Regedit atau Folder Options, selain itu file yang dibuat juga tidak mencurigakan karena seolah-olah merupakan program Apache dan MySql. User baru sadar bahwa komputer telah terinfeksi virus pada saat telah terlambat dimana muncul pesan dari pembuat virus yang kemudian diikuti dengan munculnya pesan error “Windows file Protection” yang menandakan ada suatu program yang berusaha untuk menghapus file system windows. (lihat gambar 4)
Gambar 4, Pesan error saat file system di hapus oleh virus
Seperti peribahasa “air tenang menghanyutkan”, rupanya di dalam bisunya Virus ini menyimpan Bom waktu di komputer korbannya yang akan di aktifkan sesuai dengan waktu yang telah ditentukan..
Pesan Pembuat virus
Deadlock juga akan meningggal kan pesan sosial kepada semua orang, agar pesan ini selalu di ingat terutama bagi pengguna komputer yang terinfeksi, ia akan mengganti desktop windows seperti yang terlihat pada gambar dibawah ini. Kalau ingin meninggalkan pesan moral boleh-boleh saja. Tetapi kalau meninggalkan pesan moral dan menghancurkan data komputer korbannya, bukannya simpati yang di dapat tetapi kejengkelan atau bahkan kebencian sehingga mengakibatkan pesan yang dikirimkan malah kontra produktif. Wong, katanya mau memberantas korupsi dan perjudian, tapi diri sendiri menghancurkan data orang lain. (lihat gambar 1)
Menyebar secara otomatis
Virus ini akan aktif secara otomatis setiap kali user mengakses suatu drive / flash disk dengan memanfaatkan “autorun windows” dengan membuat 3 buah file yakni : (lihat gambar 5 dan 6)
o [Desktop.ini] yang berisi script untuk menjalankan file [folder.htt]
o [Folder.htt], berisi script untuk menjalankan file utama yakni [flashguard.exe]
o [Flashguard.exe] merupakan file induk yang akan di jalankan
Gambar 5, Script yang terdapat pada file [desktop.ini]
Gambar 6, Script yang terdapat pada file [folder.htt]
Media penyebaran
Flash Disk merupakan salah satu media yang paling banyak digunakan oleh user, hal inilah yang akan dimanfaatkan oleh sebagian bahkan boleh dibilang semua virus untuk menyebarkan dirinya, hal ini juga akan dilakukan oleh virus Deadlock dengan cara membuat beberapa file berikut : (lihat gambar 2)
o Desktop.ini
o Folder.htt
o Flashguard.exe
BOM Waktu
Virus Deadlock laksana bom waktu yang akan menghancurkan komputer target pada waktu yang telah ditentukan, virus ini akan menjalankan aksinya setiap tanggal 12 - 13 sekitar jam 08.00 - 09.00 setiap bulan dengan cara MENGHAPUS SEMUA FILE/DATA TERMASUK FILE SYSTEM WINDOWS yang ada di semua drive termasuk di media Flash Disk dengan menggunakan perintah cmd.exe /c del /f /s /q /a dan cmd.exe /c rd /s /q, sehingga jika komputer tersebut di restart maka akan muncul pesan error berikut (lihat gambar 7)
SHAPE \* MERGEFORMAT
NTLDR IS MISSING
Press CTRL + Alt + Del to restart
[if mso & !supportInlineShapes & supportFields]>
Gambar 7, NT Loader tidak dapat diakses karena semua data di harddisk termasuk Windows di hapus oleh virus
Untuk mencegah terinfeksi virus ini, Vaksincom menyarankan anda menggunakan program antivirus yang dapat mendeteksi virus ini dengan baik. Menurut pengetesan Lab Vaksincom, saat ini virus yang terdeteksi oleh Norman sebagai Deadlock belum terdeteksi oleh mayoritas antivirus yang ada di Indonesia, baik antivirus lokal maupun antivirus mancanegara. Norman Endpoint Protection mendeteksi virus Deadlock sebagai Tibs.DKKR. (lihat gambar)
Gambar 8, Deadlock di deteksi Norman sebagai W32/Tibs.DKKR
Jika anda menginginkan data anda yang menjadi korban Deadlock ini kembali, JANGAN sekali-kali menginstal ulang OS anda ke harddisk yang mengandung data anda yang hilang tersebut. Lakukan proses recovery data penting dengan menggunakan aplikasi data recovery dan metode yang benar. Jika anda menginstal ulang OS anda ke harddisk yang mengandung data yang ingin anda recover, kemungkinan keberhasilan recovery akan sangat rendah. Jika anda tidak berpengalaman akan data recovery dan ingin mendapatkan bantuan Data Recovery profesional dengan harga yang reasonable, silahkan hubungi divisi Data Recovery Vaksincom di email info@vaksin.com.
Cara menangani Deadlock secara manual
Disable [System Restore] selama proses pembersihan
Matikan proses virus yang aktif di memori, gunakan tools pengganti Task Manager seperti “Process Explorer” kemudian matikan proses yang mempunyai nama “mysql.exe dan apache.exe”
Silahkan download tools tersebut di url berikut:
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx (lihat gambar 9)
Gambar 9, Matikan proses virus dengan Process Explorer
Agar virus ini tidak dapat aktif kembali sebaiknya blok file tersebut agar tidak dapat di eksekusi dengan mendaftarkan pada “Software Restriction Policies”. Fitur ini hanya ada pada komputer dengan sistem operasi “Windows XP Professional/Windows Server 2003/Windows Vista dan Windows Server 2008”, dengan cara : (lihat gambar 10)
Klik menu [Start]
Klik menu [Run]
Pada kotak dialog RUN, ketik perintah SECPOL.MSC kemudian klik tombol [OK]
Setelah muncul layar “Local Security Settings”, klik kanan pada menu “Software Restriction Policies” lalu klik “Create New Policies”
Pada menu “Software Restriction Policies”, klik “Additional Rules”
Gambar 10 - 12
Klik kanan pada “Additional Rules”, kemudian pilih “New Hash Rule…”, kemudian akan muncul layar “New Hash Rule”
Pada kolom “File hash” klik tombol “Browse” kemudian arahkan ke direktori [C:\Windows\system32\apache.exe]
Gambar 11
Gambar 12, Menentukan file virus yang akan di blok
Kemudian klik tombol [Open]
Pada kolom “Security level” pilih [Disallowed] (lihat gambar 13)
Gambar 13
Pada kolom “description” boleh di isi atau dikosongkan saja
Klik tombol [Apply]
Klik tombol [Ok]
Catatan:
Jika komputer Anda tidak terinstall Windows XP Professional/2003 Server/Vista/2008 lewati langkah ini.
Hapus string registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara
Klik kanan file repair.inf
Klik [Install]
[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, apache
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, mysql
Hapus file induk virus yang ada di direktori
C:\Windows\system32\apache.exe
C:\Windows\system32\mysql.exe
Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan dengan menggunakan antivirus yang up-to-date.
Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut di alamat berikut : (lihat gambar 14)
http://www.norman.com/support/support_tools/58732/en-us
Gambar 14, Deteksi Norman Malware Cleaner
Catatan:
Jika komputer yang terinfeksi Deadlock ini tidak dapat melakukan booting Windows dengan muncul pesan error “NTLDR Is Missing” sebaiknya lakukan install ulang, sedangkan untuk data yang telah dihapus silahkan Anda recovery dengan menggunakan software recovery seperti GetData Back/Easy Recovery/Recovery my Files, tetapi hal ini tidak akan menjamin semua data akan dapat diselamatkan.
Oh, iya Satu lagi !
Nih Juga !
http://maleosite.blogspot.com/2008/01/servicesexew32trafox-worms-pintar-nan.html
Ada satu worms yang ngendon di C:\Windows\System32\2B170239 (tergantung komputer yang dijangkitnya) , nama file wormsnya Services.exe. Malware ini (Trafox) selain menggandakan diri juga meng-infeksi file-file .EXE, juga mampu menjadi parasit dalam tubuh program lainnya.
Malware ini tergolong sudah maju dibanding sebelumnya karena sudah menggunakan beberapa teknik yang tergolong maju seperti Encryption, Polymorphic, Antidebug dan yang tidak kalah pentingnya adalah PE Infector.
informasi string berikut pada tubuh raw via dump menggunakan Ansav Advanced :
W32.TR4F0X.A
- Say War To #VM Community (Jowoboot)
- Kill all AV
- Destroy all fuckin company.
[ IVS * INDONESIAN WORMS SOCIETY ]
String tersebut berada di dalam tubuhnya yang dienkripsi sekaligus dipack dimana packernya menggunakan ASpack, dan tidak terlihat apabila dibuka file rawnya menggunakan hexa editor, dan hanya bisa dibaca dengan cara men-dump memori prosesnya. String tersebut apabila dibuat dan dibuka pada file dengan ekstensi .HTM atau .HTML.
Kata-kata yang tidak mengenakkan ada pada pesan diatas pada baris kedua yaitu “Say War To #VM Community (Jowoboot)”, mengapa hal ini mengkhawatirkan?, karena kata-kata tersebut bisa memancing atau istilahnya memprovokasi para Vxer-vxer lain untuk berlomba-lomba membuat worms baru dan dapat berakibat Cyber War, seperti yang pernah terjadi sebelumnya yaitu pertarungan antara Gang Antibrontok yang diwakili RomanticDevil + NoBron melawan Gang Jowoboot yang diwakili Brontok + Rontokbro
Ciri-cirinya sebagai berikut.
Akan menyamar sebagai Services.exe pada proses manager. Task manager tidak dapat menghentikan prosesnya karena mempunyai nama sesuai dengan critical proses.
Ukuran file sekitar 17-18kb.
menuliskan perintah eksekusi pada startup dikedua Root Key registry, bila kita buka startup pada msconfig kemudian menghapus services.exe maka akan muncul kembali.
Akan menghapus antiworms anda, saat worms merasa terancam maka antiworms yang anda jalankan akan dihapus. Saat anda mencoba menginstall maka file master antiworms anda akan ikut dihapus juga.
Akan menginfeksi file berekstensi *.exe yang dijalankan. Menempel pada file tersebut dan merubah date modified serta menambah ukuran file sekitar 20kb. Beberapa file yang terinfeksi masih dapat dijalankan tapi beberapa file menjadi error. Bila kita mengeksekusi file tersebut sama saja kita mengeksekusi / mengaktifkan worms kembali.
AVG sudah mendeteksi file worms aslinya “Services.exe”, tapi tidak dapat mendeteksi worms yang menginfeksi file *.exe lainnya.
AVG mengenalinya sebagai Trojan Horse Generic8.EGR.
BitDefender mengenalnya sebagai W32.Trafox.A dan dapat mendeteksi worms yang meninfeksi file *.exe dengan menghapus berikut file inangnya.
Sampai update akhir desember 2007 AVG belum mampu memisahkan worms dengan file inangnya, ini penting karena beberapa file master driver saya terinfeksi.
Autorun pada media yang dijangkitinya(flashdisk). Dengan menuliskan windows host script pada file autorun.ini ia akan mengeksekusi file dekstop.exe yang merupakan file worms awal bencana.
Untuk mengatasi penyebarannya dapat dilakukan dengan cara :
Matikan prosesnya, dengan menggunakan fasiilitas proses manager pada beberapa program utility (TuneUp Utilities2006, Tweak Accelerator XP) kita dapat mematikan seluruh proses meski bernama sama dengan critical proses. Dengan melihat pemilik proses(Author) jika “system” maka services.exe asli windows(“s” kecil). Jika pemiliknya nama user komputer (“S” besar) maka inilah proses sang worms. Segera kill proses tersebut.
Kemudian cari dan hapus file Services.exe yang ada pada
C:\Windows\System32\2B170239(2B170239 bs berbeda tiap PC)
C:\Windows\
directory
Jangan lupa untuk mengeset folder options agar hidden files dan system files ditampilkan pada windows explorer.
Hapus item Services.exe pada startup program, kemudian restart komputer anda.
Ada baiknya anda menginstall ulang antiworms anda dan melakukan upadate terbaru, jangan lupa aktifkan selalu resident shield karena dapat memblokir worms jika terjadi pengaktifan secara tidak sengaja atau autorun pada flasdisk. Gunakan master yang steril, dari CD misalnya untuk menghidari jika master pada hardisk telah terinfeksi.
Kemungkinan besar file-file ekstensi *.exe pada hard disk anda telah terinfeksi. Maka patut dicurigai bila terjadi modified pada date time files tersebut sesuai tanggal mulai terinfeksi padahal files tersebut usianya cukup lama. Hapus saja jika anda merasa file tersebut tidak penting. Bila file tersebut penting maka anda harus bersabar mencari program atau anti worms yang dapat memisahkan worms dengan file inangnya.
Mon Nov 23, 2020 5:23 am by y3hoo
» Tentang Tisu Magic
Wed Jul 17, 2019 7:29 am by jakarta
» Ini 5 Tata Cara Makan Gaya China yang Penting Ditaati
Tue Sep 11, 2018 11:37 am by jakarta
» Cara Mengetahui IP address Internet
Fri Aug 03, 2018 11:31 am by alia
» Angleng dan Wajit
Mon Jul 23, 2018 10:40 am by jakarta
» Penginapan-penginapan Unik dan Recommended di Cikole, Lembang
Mon Jul 09, 2018 11:59 am by flade
» Tips Bercinta dari Wanita yang Sudah Survei ke Lebih dari 10 Ribu Pria
Thu Jun 21, 2018 2:57 pm by flade
» Cara Menghilangkan Activate Windows 10
Fri Jun 15, 2018 2:08 pm by y3hoo
» Selamat Hari Raya Idul fitri 1439 H /2018 M
Thu Jun 14, 2018 9:40 am by y3hoo