Awas Worm D-WAR

Waktu mau jalan ke kamar mandi aku lewat kamar temen kos. Disana ada temen2ku sedang nongkrong (walah nongkrong dikamar). Salah satu temanku ada yang sibuk otak atik laptop. Lalu dia bertanya ke aku “mas bisa perbaiki laptop ini?”.”emangnya kenapa?” jawabku. “kena virus mas”. Lalu aku mulai beraksi untuk analisa (sok bisa). Oh iya laptop dia pake Avira sebagai anti virus dan update juga. Seperti biasa aku selalu cek regdit, task manager, folder option. Ternyata bisa dibuka hihihi....

Kemudian waktu di scan pake avira terdeteksi 2 aplikasi yang terdeteksi sebagai trojan. Ctfm0n.exe dan apa gitu cos aku lupa. Kemudian ku pilih kill process eh malah laptopnya mati. Nyalain lagi. Kemudian ku analisa bagian processes task manager. Ada program yang ku curigai yaitu ctfm0n.exe dan Sidimpuan Worm Maker Community.exe. Ga mungkin windows ada ctfm0n.exe, dan yang benar adalah ctfmon.exe. Kemudian kucari letak folder ctfm0n.exe dan ternyata terletak di C:\WINDOWS\system32\1986\ tapi folder 1986 kehidden dan aku ga bisa masuk. Kemudian aku logon menjadi administrator dan bisa kubuka folder tersebut dan berisi 2 file msvbvm60.dll dan ctfm0n.exe lalu aku mendelete file tersebut tapi ga bisa. Ku kill process lewat task manager tetap ga bisa (laptop malah mati).

Lalu program yang kedua yaitu Sidimpuan Worm Maker Community.exe yang terletak di C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Sidimpuan Worm Maker Community.exe. Biar ga bisa bekerja saat startup maka ku buka msconfig lewat run walah kok ga bisa ke buka nih. Kemudian ku siapin HijackThis untuk mendelete file tersebut saat booting tapi hasilnya nihil.

Analisa lagi di drive windows dan aku mendapatkan file aneh lagi yaitu D-WAR.html yang ada di C:\D-WAR.html maupun di semua Partisi termasuk Flashdiskku dan isinya seperti pada gambar dibawah ini.

jadi hasil analisaku worm/virus ini membuat file :

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Sidimpuan Worm Maker Community.exe

C:\WINDOWS\system32\1986\ctfm0n.exe

C:\WINDOWS\system32\1986\msvbvm60.dll

C:\WINDOWS\system32\Micros0ft\msvbvm60.dll

C:\WINDOWS\system32\Micros0ft\winserv.exe

C:\WINDOWS\system32\3003\smsvr.exe

C:\WINDOWS\system32\3003\msvbvm60.dll

Drive Flashdisk:\GhostBuster.exe

[Drive]:\D-WAR.html

file lain yang aku dapatkan dari codenesia adalah :

C:\WINDOWS\system32\pasid.ico

C:\WINDOWS\system32\pasids.ico

C:\WINDOWS\system32\rambe.dll

C:\WINDOWS\system32\dog.bat (tidak ada di laptop yang ku tangani)

C:\hantu.exe (tidak ada di laptop yang ku tangani)

Aku bingung ini virus apa ea? Aku berpikiran ini trojan cos bagian C:\WINDOWS\system32\drivers\etc\HOSTS terdeteksi sebagai trojan padahal file asli windows yaitu hosts (huruf kecil).

Langkah terakhir yaitu browsing dengan kata kunci ctfm0n.exe dan aku menemukan artikel menarik dari codenesia.com yang membahas tentang D-WAR.ia dan kusamakan hasil analisaku dengan analisa artikel ternyata tidak jauh beda. Aku berkesimpulan ini sama.

Artikel yang lain di codenesia juga membahas D-KILLER yaitu program untuk membersihkan D-WAR. Tanpa pikir panjang kusedot tuh program lalu kujalankan di laptop. Hasilnya? Tetap nihil dan worm kembali lagi. Aku teringat UBUNTU tapi dari kemarin aku belum mendapatkan DVDnya karena aku juga butuh untuk di install di komputerku hehhehe...

Iseng2 aku buka bungkusan CD yang dibawa temen, dan disana aku mendapatkan DVD UBUNTU hore....hore....UBUNTU dijalankan lalu ku delete file-file induk dari worm D-WAR. Bismillahhirohmannirohim....tereng....Windows kembali normal dan worn D-WAR hilang dengan tuntas. Alhamdulillah.

Seperti biasa aku buka isi laptop, disana ada beberapa software dan game lalu ku copi ke FD dan sebagian game portable (Age Of Empires2) ku jalanin. Apa yang terjadi?lho kok ga bisa jalan?kenapa nie?apa mungkin worm/virus ini menyebar?lalu ku cek seperti biasa dimana file worm/virus dibuat,ternyata memang benar disana ada file worm/virum D-WAR. Aduh aduh....ternyata file exe masih ke infeksi D-WAR.

Kesimpulan :

1. Jika FD kalian ada file D-WAR.html berarti file exe terinfeksi. Untuk mengetahuinya coba liat ukurannya. Jika ukurannya 65kb berarti sudah direplace dan itu bisa menyebar dikomputer

2. Cek processes task manager, bila ada ctfm0n.exe dan Sidimpuan Worm Maker Community.exe berarti komputer anda sudah terinfeksi

3. Waspadai aplikasi exe ukuran 65 kb

4. Belum ada antivirus atau vaksin untuk memperbaiki file yang terinfeksi virus

5. Virus/worm D-WAR sebagai perusak file exe (untuk file lain belum ditemukan)

6. Virus/worm D-WAR tidak menggunakan autorun untuk menyebarkan dirinya

7. Untuk pembersihan bisa menggunakan LINUX atau D-KILLER dan cek aplikasi yang berekstensi .exe bahwa ukurannya tidak 65 kb

8. Worm perusak terganas yang pernah ku temui seumur hidup (di atas sality)

9. Contoh / sample D-WAR bisa didownload di link dibawah

Tambahan dari referensi codenesia.com :

Registry yang dbuat untuk StartUp

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Windows server=C:\WINDOWS\system32\3003\smsvr.exe

Windows file monitor=C:\WINDOWS\system32\1986\ctfm0n.ex

Windows services controler=C:\WINDOWS\system32\Micros0ft\winserv.exe

Web yang coba di Blok

www.symantec.com

symantec.com

securityresponse.symantec.com

sarc.com

www.sarc.com

www.sophos.com

sophos.com

www.mcafee.com

mcafee.com

liveupdate.symantecliveupdate.com

www.wormlist.com

wormlist.com

f-secure.com

www.f-secure.com

f-prot.com

www.f-prot.com

kaspersky.com

kaspersky-labs.com

www.avp.com

avp.com

www.kaspersky.com

www.networkassociates.com

networkassociates.com

www.ca.com

ca.com

mast.mcafee.com

my-etrust.com

www.my-etrust.com

download.mcafee.com

dispatch.mcafee.com

secure.nai.comnai.com

www.nai.com

vil.nai.com

LINK DOWNLOAD 1 (Empires2.exe size:65kb)

LINK DOWNLOAD 2 (GhostBuster.exe size:65kb)

password : chaironi

Read More..

[+/-] Selengkapnya...

[+/-] Ringkasan saja...

Error message: Phone book can not be created. Error 624

Waktu aku mau membuat New Connection Wizard pernah mengalami kejadian yaitu “Error message: Phone book can not be created. Error 624”. wah apa yang terjadi dengan wondowsku hik hik...padahal sehari sebelumnya baru aja ku install. Kemudian aku merenung apa aja yang pernah ku lakuin pada windowsku ini. Apa mungkin gara2 read only sehingga ga bisa menulis pada file yang dimaksud. Kemudian ku hapus read only pada folder windows dan program file. Lalu ku coba lagi tetap aja ga bisa. Wah dari pada bingung mending aku browsing via HP dan aku menemukan jawaban dari microsoft.

Permasalahan :

file rasphone.pbk rusak atau read only

Letak file :

“Drive:\Documents And Settings\All Users\Aplication Data\Microsoft\Network\Connection\Pbk

jika file ga kelihatan atau hidden silahkan tampilkan file yang hidden lewat “folder option”

Mengatasinya :

1. Coba di properties file rasphone.pbk apakah read only? kalo read only hilangkan centang pada read only

2. jika masih aja ga bisa maka minta file tersebut pada temen kamu yang punya

Moga Bermanfaat

Read More..

[+/-] Selengkapnya...

[+/-] Ringkasan saja...

Gayabebas.com Kemana Dirimu

wah hari ini aku mo masuk ke situs gayabebas tapi kok ga bisa ea????
pada artikel sebelumnya aku pernah posting tentang gayabebas di blog ku ini
ada apa dengan gaya bebas sekarang ini hehehhe.....
aku sedang mencari info tentang gayabebas di google tapi ga ketemu oe...'
ada yang tau ga kenapa gayabebas sekarang ga bisa? kalo diliat dari tampilannya mungkin masa domain yang habis kontraknya hehheh...

Read More..

[+/-] Selengkapnya...

[+/-] Ringkasan saja...

Membersihkan Virus Sality Dan Almanehek Semua Varian

Kemarin aku dipanggil temen untuk membantu membersihkan virus yang ada dikomputer dia. Dia tidak memasang antivirus setelah menginstall ulang computer dia. Saatnya aku beraksi mendefini jenis virus apa yang ada dikomputer dia. Seperti biasa aku mengecek task manager, show hidden file and folder, hide protected operating system files (recommended),dan regedit. Semuanya bekerja dengan lancar dan tidak terjadi apa2. kemudian aku memutuskan tidak ada virus di computer ini karena biasanya virus mendisable task manager,dll. Langkah selanjutnya ku jalanin smadav versi 7.2. kemudian smadav mendeteksi adanya virus sality.D . saya menghendtikan proses scaning karena smadav tidak bisa menbersihkan virus dan hanya mengkarantina saja. Aku mengambil keputusan ini karena komputer temenku ada banyak software. Kalo aku pake karantina berarti aku telah merusak software itu dan kalo direstore bisa2 balik lagi tuh sality.D

Oya (sekedar tau aja ea)virus sality ini biasanya menyebarkan diri melalui flashdisk dengan file autorun.inf dan boot.exe. untuk info tentang sality bias mencari info lewat internet soalnya kalo aku menjelaskan virus disini ntar tambah bingung hehehe (ok kembali ke tanktop eh salah hehehe)
Setau aku antivirus local belum ada yang bisa membersihkan virus sality. Untuk PCMAV Cuma sebagian varian yg bisa dibersihkan. Kalo ANSAV (antivirus yang paling ku benci) mungkin cuma bisa mendelete file yang mengandung virus. Aku kemudian menginstall avira free edition tapi apa yang terjadi??? Ternyata avira ga bias di install ckckck....bingung tujuh putaran. Kemudian aku mencoba untuk masuk ke safe mode tp malah komputer ga bisa masuk alias restart sendiri. Wah safe mode udah dirusak ma sality.
Berhubung udah malam ku pending kegiatanku ini agar besok bisa perang melawan virus terkejam di Indonesia (kata vaksin.com). setelah sampai dikos aku membuka antivirus tool yang aku punya. Setelah membongkar2 aku menemukan folder sality (pernah ku pakai saat komputerku kena sality). Tool yang aku miliki bisa didownload dibawah artikel ini

Pagi ini aku mulai beraksi. Oh ya untuk temen2 silahkan download dulu file yang ada dibawah artikel ini. Ekstrack dulu file yang udah didownload. Nih langkahnya :


1. Siapkan Sality war yang bisa didownload di bawah setelah artikel ini. Minta teman Antivirus yang bisa bersihin sality (avira recommended dan di compress biar ga terinfeksi sality). Kalau kamu punya mungkin udah terinfeksi sality.
2. Berdoa menurut kepercayaan masing2
3. Putuskan hubungan komputer yang akan dibersihkan dari jaringan dan internet.
4. Matikan System Restore selama proses pembersihan berlangsung.
5. Install file repair.inf dengan cara: klik kanan repair.inf lalu install.
6. Matikan program aplikasi yang aktif di memori agar proses pembersihan lebih cepat terutama program yang ada dalam daftar startup (winamp, Aimp2, dll)
7. Jalankan file Sality_off.cmd (biar ga kena virus maka q ganti ekstensi exe ke cmd)
8. Jalankan Antivirus (install Avira Recomended) jika sality_off udah nyecan di drive windows
9. Jika langkah 6 belum bisa maka jalankan Symantec W32.Sality.cmd sampai selesai nyecan bagian drive windows lalu lanjutkan langkah 6
10. Scan pakai antivirus yang bisa memberisihkan sality (avira recomended). Tunggu sampai proses selesai
11. Agar computer bisa bekerja di safemode install file safe mode.inf atau RestoreXP.reg (untuk windows XP)
12. Restart komputer dan scan sekali lagi untuk memastikan sality udah ilang dari komputer kamu

Gimana????? Jangan lupa ucapkan terima kasih dan tinggalkan komentar jika berhasil atau kurang jelas.


LINK DOWNLOAD
password : about-chaironi.blogspot.com

Read More..

[+/-] Selengkapnya...

[+/-] Ringkasan saja...