Mengenal dan Menghapus Virus QVOD
Meski
bukan jenis virus baru, tetapi kemunculannya kembali di awal 2012
ternyata cukup merepotkan. Sebab pada bagian sistem operasi (registry)
banyak sekali mengalami perubahan, termasuk key registry baru yang dibuat oleh virus Qvod ini.
Beberapa software antivirus mengidentifikasi dengan nama berbeda, dibawah ini beberapa nama-alias virus Qvod :
- Malware.Wapomi - W32.Wapomi!inf - Virus.Win32.Qvod.a - W32/Fujacks.be - PE_PIKOR.A - W32/Jadtre-B - Virus:Win32/Jadtre.F - Virus.Win32.Jadtre - Win32/Dellboy.BF.
Infeksi virus Qvod
Sasaran utama adalah file *.exe, tetapi juga menginfeksi file *.htm dan *.html.
Jika kita meng-klik file-file dengan ekstensi diatas, maka kita akan
di-arahkan ke file kode virus Qvod tsb. pada beberapa kasus juga
menginfeksi file *.asp dan *.aspx.
Jika virus lain membentuk folder Recycler (hidden) pada flash disk, maka virus Qvod akan membuat folder dengan nama yang mirip folder folder khusus dalam sistem Windows sebagai tempat bersembunyi.
Virus Qvod juga bisa menyebar melalui jaringan komputer. Jika jaringan tsb. terhubung ke internet, maka virus Qvod juga akan berusaha meng akses beberapa website.
Resiko Sekuriti
- Sebagai Worm yang berusaha menduplikasi diri dalam suatu jaringan (network)
- Sebagai kode-rootkit untuk menyembunyikan suatu software dalam sistem
- Sebagai tool-hacking yang bisa dimanfaatkan hacker untuk menembus sebuah sistem
- Sebagai modifikator terhadap file terinfeksi, atau mengganti file menjadi file virus.
Muncul File dan Folder Baru
File baru yang muncul dalam sistem
- %CommonAppData%\Microsoft\Network\Downloader\qmgr0.dat , dan
- %CommonAppData%\Microsoft\Network\Downloader\qmgr1.dat = 4KB
- %CommonAppData%\Microsoft\Provisioning\store.xml = 21 bytes
- %Profiles%\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll = 25KB
- %System%\6to4.dll -- terdeteksi sebagai virus
- %System%\pchsvc.dll = 85KB -- terdeteksi sebagai virus
- %System%\drivers\530A19F5.sys = 6,5KB -- terdeteksi sebagai virus
- [nama-file dan path file terinfeksi] = 1 MB -- terdeteksi sebagai virus
Note :
- %CommonAppData% -- adalah variabel yang menunjuk pada direktori aplikasi data untuk AllUser, biasanya : C:\Documents and Settings\All Users\Application Data.
- %Profiles% -- adalah variabel yang menunjuk pada direktori UserProfile, biasanya : C:\Documents and Settings.
- %System% -- adalah variabel yang menunjuk pada direktori System, biasanya : C:\Windows\System32 (Windows XP).
- %ProgramFiles% -- adalah variabel yang menunjuk pada direktori ProgramFiles, biasanya : C:\Program Files.
Folder baru yang dibuat dalam sistem
- %CommonAppData%\Microsoft\Network\Downloader
- %CommonAppData%\Microsoft\Provisioning
- %Profiles%\LocalService\Application Data\Microsoft\UPnP Device Host
- %Profiles%\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost
Perubahan dalam registry
Didalam registry Windows akan banyak sekali muncul key-registry baru, dan juga value-registry baru. Semuanya berada bada key-HKLM (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft). Akan butuh waktu lama sekali jika harus membersihkan secara manual.
Daftar Key & Value Registry
Jika diperlukan, bisa dilihat Daftar Key & Value Registry yang ditinggalkan (dibuat) oleh virus Qvod. Keberadaan "sampah" ini sangat memperlambat kinerja sistem komputer.
Muncul System Processes dan Services Baru
| Process Name | Process Filename | Size | |
| svchost.exe | %System%\svchost.exe | 11 MB | |
| Service Name | Display Name | Status | Service Filename |
| 6to4 | 6to4 | Stopped | %System%\svchost.exe -k netsvcs |
| Service Name | Display Name | New Status | Service Filename |
| AppMgmt | Application Management | Running | %System%\svchost.exe -k netsvcs |
| CryptSvc | Cryptographic Services | Stopped | -sda- |
| helpsvc | Help and Support | Stopped | -sda- |
| Schedule | Task Scheduler | Stopped | -sda- |
| xmlprov | Network Provisioning Service | Running | -sda- |
Menghapus Virus Qvod
Banyak anti virus terkenal yang sudah mampu mendeteksi virus Qvod ini. Atau bisa menggunakan removal dari PCMAV-Express for Qvod : Qvod-Killer.
- Saran saya, lakukan scan dari Safe Mode atau dari MsDos (Command Prompt) pada seluruh drive. Untuk hal ini saya biasa menggunakan AVG.
- Setelah scan selesai, bersihkan semua sampah sisa virus menggunakan AML Cleaner v4.22.
- Setelah semua selesai, restart pc anda. Apabila semua sudah berjalan normal, lakukan reset System Restore.
Tidak ada komentar:
Posting Komentar