Malam kawan.. udah pernah coba kena virus yang satu ini? wkwk
kalo udah selamat yak.. :D
Kemaren baru aja aku kena virus bejat ini susah juga basminya AVG kujuga gk berdaya melawan virus 1 ini untung aku ketemu artikel di google
Beberapa Antivirus Luar mendeteksi Virus ini sebagai :
Karakteristik Virus
Jika kita lihat memang tidak terlalu banyak perbedaan antara file yang terinfeksi dengan file yang belum terinfeksi, yang membedakan hanyalah ukuran yang bertambah lebih besar dari ukuran sebelum terinfeksi, biasanya ukuran yang bertambah hanya beberapa KB saja. Bisa dilihat perbedaanya dari gambar dibawah ini.
Jika file terinfeksi tersebut dijalankan, maka file tersebut dapat berjalan seperti biasanya, sehingga user tidak mengira bahwa file yang ia jalankan tersebut telah terinfeksi virus, padahal dibalik itu virus sudah menetap di system.
Teknik yang digunakan virus sality adalah dengan membelokan EntryPoint asli file ke EntryPoint-nya virus, maka saat dijalankan virus yang terlebih dahulu aktif, baru kemudian virus meneruskan nya ke EntryPoint asli file yang terinfeksi, sehingga file yang dijalankan akan aktif seperti biasa nya.
Saat aktif virus akan membuat beberapa file induknya di system :
DEVICEMB=<random number>
<Nama Proses>M_<PID Proses>_
contoh nya : svchost.exeM_2168_
Infeksi file Executable & Screen Saver
Virus akan mencari semua file berektensi ”.exe” & ”.scr” yang ada di seluruh drive computer korban nya, jika virus menemukanya virus akan menginfeksinya dengan membelokan EntryPoint asli ke EntryPoint nya virus.
Sality mempunyai kemampuan untuk mengecek apakah file yang akan diinfeksi dilindungi oleh system atau tidak, jika file tersebut dilindungi oleh system maka sality tidak akan menginfeksinya, seperti file-file yang dilindungi oleh Windows File Protection (WFP) atau System File Checker (SFC).
Infeksi Removeable Drive & Jaringan
Berbeda dengan teknik infeksi variant sebelumnya, variant sality kali ini memanfaatkan fitur Autorun untuk mempercepat penyebaranya. File Autorun yang digunakan virus memiliki nama dan ektensi acak (exe dan pif) . Seperti : xvftea.exe atau xvftea.pif, dan ukuranya sekitar 100 – 101 KB
Di jaringan virus juga akan menginfeksi setiap folder yang memiliki FULL ACCESS Read & Write, dengan membuat sebuah shortcut exploit yang akan langsung aktif apabila user memasuki folder yang sudah terdapat shortcut exploit tersebut.
Menghapus File
Sality akan mencari file berektensi “.VDB” dan “.AVC” jika ditemukan akan langsung dihapus. Ektensi file ini biasanya digunakan oleh beberapa antivirus untuk menyimpan database virus.
Block Website
Sality akan memblock website atau domain yang mengandung kata seperti :
Menghapus Registry Key
Untuk mempertahankan dirinya virus menghapus beberapa key di registry yang dianggap mebahayakan kehidupan virus.
Sality 101 menurut saya merupakan virus yang tidak bisa di anggap remeh juga, bayangkan Jika folder-folder di komputer kamu mempunyai ekstensi .exe, .com. .scr kemungkinan besar computer kamu telah terserang virus sality. Untuk membasmi virus sality ini tidak mudah, selain mendupilkasi folder, virus sality juga menyerang file dengan ekstensi .exe juga men-disable task manager dan registry editor.
Hal ini tentunya akan sangat menggangu kinerja komputer karena aplikasi-aplikasi yang sudah terinstal akan bekerja tidak normal. Dan celakanya semua master aplikasi yang ada dalam drive tidak bisa dijalankan termasuk antivirus. Ketika kamu akan melakukan scanning online melalui internet, semua situs penyedia free online scanning antivirus juga tidak dapat diakses. Lantas bagaimana cara menghapus/membasmi virus sality yang merepotkan ini?
Virus Sality akan menyebar dengan cepat melalui jaringan dengan memanfaatkan default share Windows atau share folder yang mempunyai akses full dengan cara menginfeksi file yang mempunyai ekstensi exe/com/scr.
Untuk itu, perusahaan sekuriti Vaksincom menyarankan pengguna komputer untuk menonaktifkan Default Share (C$, D$ .. dst) dan hindari full sharing folder Anda di jaringan.
Berikut cara singkat membersihkan virus W32/Sality.AE yang dikutip dari Vaksincom :
1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan dan internet.
2. Matikan System Restore selama proses pembersihan berlangsung.
3. Matikan Autorun dan Default Share.
4. Matikan program aplikasi yang aktif di memori agar proses pembersihan lebih cepat terutama program yang ada dalam daftar startup.
5. Sebaiknya scan dengan menggunakan removal tools dengan terlebih dahulu merubah ekstensi dari removal tools tersebut dengan ekstensi lain [contoh: CMD] agar tidak diinfeksi ulang oleh W32/Sality.AE.
6. Agar komputer yang sudah terinfeksi W32/Sality.AE dapat booting safe mode, silahkan restore registry yang sudah diubah oleh virus.
7. Perbaiki registry yang diubah oleh virus, silahkan download software berikut kemudian jalankan software tersebut dan kemudian scan registry. Perbaiki registry yang rusak karena virus sality tersebut.
8. Restart komputer dan scan ulang dengan menggunakan removal tools untuk memastikan komputer telah bersih dari virus.
9. Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya install dan scan dengan antivirus yang dapat mendeteksi Sality dengan baik.
Updated*
Untuk cara membasmi Virus Sality dengan mudah silahkan download tool berikut:
Norman Sality Cleaner
Downlaod file tersebut dengan komputer yang terbebas dari virus sality. Ubah file Norman_Malware_Cleaner.exe menjadi Norman_Malware_Cleaner.cmd untuk mencegah terinfeksi virus sality. Jalankan tool tersebut dan scan semua removable disk. Setelah selesai, restart komputer.
kalo udah selamat yak.. :D
Kemaren baru aja aku kena virus bejat ini susah juga basminya AVG kujuga gk berdaya melawan virus 1 ini untung aku ketemu artikel di google
Virus Sality merupakan virus berjenis PE Infector (Polymorphic) yang menginfeksi file-file Executabe “exe”. Virus yang memiliki nama asli w32.Hllp.KukuJoker ini banyak dikeluhkan pengguna computer diseluruh dunia, terutama di indonesia banyak sekali pengguna komputer yang melaporkan telah terinfeksi oleh virus ini.Virus ini masih belum jelas asal usulnya, dugaan sementara virus ini berasal dari cina, selain mempunyai kemampuan untuk menginfeksi file-file executable virus ini juga memilki kemampuan rootkit, sehingga selain sulit untuk dibersihkan dari system, file-file yang terinfeksi juga cukup sulit untuk diperbaiki, menggunakan beberapa tools remover dan antivirus juga terkadang malah bisa menimbulkan kerusakan pada file yang terinfeksi bahkan bisa menghapusnya.
Beberapa Antivirus Luar mendeteksi Virus ini sebagai :
- Malware.Sality [PCTools]
- W32.Sality!dr [Symantec]
- Virus.Win32.Sality.bh [Kaspersky Lab]
- W32/Sality.dr [McAfee]
- Troj/SalLoad-C [Sophos]
- Virus:Win32/Sality.AT [Microsoft]
- Win32.SuspectCrc [Ikarus]
- Win32/Kashu.E [AhnLab]
Karakteristik Virus
Jika kita lihat memang tidak terlalu banyak perbedaan antara file yang terinfeksi dengan file yang belum terinfeksi, yang membedakan hanyalah ukuran yang bertambah lebih besar dari ukuran sebelum terinfeksi, biasanya ukuran yang bertambah hanya beberapa KB saja. Bisa dilihat perbedaanya dari gambar dibawah ini.
Jika file terinfeksi tersebut dijalankan, maka file tersebut dapat berjalan seperti biasanya, sehingga user tidak mengira bahwa file yang ia jalankan tersebut telah terinfeksi virus, padahal dibalik itu virus sudah menetap di system.
Teknik yang digunakan virus sality adalah dengan membelokan EntryPoint asli file ke EntryPoint-nya virus, maka saat dijalankan virus yang terlebih dahulu aktif, baru kemudian virus meneruskan nya ke EntryPoint asli file yang terinfeksi, sehingga file yang dijalankan akan aktif seperti biasa nya.
Saat aktif virus akan membuat beberapa file induknya di system :
- %Windir%\system32\drivers\<acak>.sys
- %Windir%\System.ini
DEVICEMB=<random number>
- HKCU\Software\<Acak>
- Mutext
<Nama Proses>M_<PID Proses>_
contoh nya : svchost.exeM_2168_
- Firewall
- Download Komponent virus lainya
Infeksi file Executable & Screen Saver
Virus akan mencari semua file berektensi ”.exe” & ”.scr” yang ada di seluruh drive computer korban nya, jika virus menemukanya virus akan menginfeksinya dengan membelokan EntryPoint asli ke EntryPoint nya virus.
Sality mempunyai kemampuan untuk mengecek apakah file yang akan diinfeksi dilindungi oleh system atau tidak, jika file tersebut dilindungi oleh system maka sality tidak akan menginfeksinya, seperti file-file yang dilindungi oleh Windows File Protection (WFP) atau System File Checker (SFC).
Infeksi Removeable Drive & Jaringan
Berbeda dengan teknik infeksi variant sebelumnya, variant sality kali ini memanfaatkan fitur Autorun untuk mempercepat penyebaranya. File Autorun yang digunakan virus memiliki nama dan ektensi acak (exe dan pif) . Seperti : xvftea.exe atau xvftea.pif, dan ukuranya sekitar 100 – 101 KB
Di jaringan virus juga akan menginfeksi setiap folder yang memiliki FULL ACCESS Read & Write, dengan membuat sebuah shortcut exploit yang akan langsung aktif apabila user memasuki folder yang sudah terdapat shortcut exploit tersebut.
Menghapus File
Sality akan mencari file berektensi “.VDB” dan “.AVC” jika ditemukan akan langsung dihapus. Ektensi file ini biasanya digunakan oleh beberapa antivirus untuk menyimpan database virus.
Block Website
Sality akan memblock website atau domain yang mengandung kata seperti :
upload_virus , sality-remov, virusinfo. cureit. drweb. onlinescan. spywareinfo. ewido. virusscan. windowsecurity. spywareguide. bitdefender. pandasoftware. agnmitum. virustotal.sophos. trendmicro. etrust.com symantec. mcafee. f-secure. eset.com, kaspersky. dll
Menghapus Registry Key
Untuk mempertahankan dirinya virus menghapus beberapa key di registry yang dianggap mebahayakan kehidupan virus.
- HKCU\System\CurrentControlSet\Control\SafeBoot
- HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
- HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList
- HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
- HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
- HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Blue Screen saat mengakses SAFE MODE
Mensetting registry agar tidak menampilkan file yang dihidden- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr =dword:00000001
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools =dword:00000001
Sality 101 menurut saya merupakan virus yang tidak bisa di anggap remeh juga, bayangkan Jika folder-folder di komputer kamu mempunyai ekstensi .exe, .com. .scr kemungkinan besar computer kamu telah terserang virus sality. Untuk membasmi virus sality ini tidak mudah, selain mendupilkasi folder, virus sality juga menyerang file dengan ekstensi .exe juga men-disable task manager dan registry editor.
Hal ini tentunya akan sangat menggangu kinerja komputer karena aplikasi-aplikasi yang sudah terinstal akan bekerja tidak normal. Dan celakanya semua master aplikasi yang ada dalam drive tidak bisa dijalankan termasuk antivirus. Ketika kamu akan melakukan scanning online melalui internet, semua situs penyedia free online scanning antivirus juga tidak dapat diakses. Lantas bagaimana cara menghapus/membasmi virus sality yang merepotkan ini?
Virus Sality akan menyebar dengan cepat melalui jaringan dengan memanfaatkan default share Windows atau share folder yang mempunyai akses full dengan cara menginfeksi file yang mempunyai ekstensi exe/com/scr.
Untuk itu, perusahaan sekuriti Vaksincom menyarankan pengguna komputer untuk menonaktifkan Default Share (C$, D$ .. dst) dan hindari full sharing folder Anda di jaringan.
Berikut cara singkat membersihkan virus W32/Sality.AE yang dikutip dari Vaksincom :
1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan dan internet.
2. Matikan System Restore selama proses pembersihan berlangsung.
3. Matikan Autorun dan Default Share.
4. Matikan program aplikasi yang aktif di memori agar proses pembersihan lebih cepat terutama program yang ada dalam daftar startup.
5. Sebaiknya scan dengan menggunakan removal tools dengan terlebih dahulu merubah ekstensi dari removal tools tersebut dengan ekstensi lain [contoh: CMD] agar tidak diinfeksi ulang oleh W32/Sality.AE.
6. Agar komputer yang sudah terinfeksi W32/Sality.AE dapat booting safe mode, silahkan restore registry yang sudah diubah oleh virus.
7. Perbaiki registry yang diubah oleh virus, silahkan download software berikut kemudian jalankan software tersebut dan kemudian scan registry. Perbaiki registry yang rusak karena virus sality tersebut.
http://rapidshare.com/files/406185485/RegistryFix_8.0_Full_Version.rar.htmlPilih free account dan klik tombol slow button
8. Restart komputer dan scan ulang dengan menggunakan removal tools untuk memastikan komputer telah bersih dari virus.
9. Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya install dan scan dengan antivirus yang dapat mendeteksi Sality dengan baik.
Updated*
Untuk cara membasmi Virus Sality dengan mudah silahkan download tool berikut:
Norman Sality Cleaner
Downlaod file tersebut dengan komputer yang terbebas dari virus sality. Ubah file Norman_Malware_Cleaner.exe menjadi Norman_Malware_Cleaner.cmd untuk mencegah terinfeksi virus sality. Jalankan tool tersebut dan scan semua removable disk. Setelah selesai, restart komputer.
Tidak ada komentar:
Posting Komentar