Home > Virus > Analisa Lengkap Tentang Virus Baru DeadLock

Analisa Lengkap Tentang Virus Baru DeadLock

Bebaskan Negeri kami Indonesia dari Terorisme, Anarkis, dan KKN (Kolusi, Korupsi & Nepotisme) pada Kubu Pemerintahan Republik Indonesia (Sipil, TNI & Polisi) serta Tangkap, Berantas dan Penjarakan – Tanpa Kecuali. Bersihkan Negeri kami dari Portitusi, Perjudian dan Kejahatan Sosial. Merdekakan diri kami dari Kemiskinan, Kesengsaraan dan Ketidakadilan! Bersama Partai Demokrat – SBY & BOEDIONO, Bersama Membangun Indonesia Adil, Makmur & Sejahtera

Atas Nama Bangsa Indonesia

Pangeran DEADLOCK

I’m Everyone, but NoOne

I’m Everything, but NoThing

I’m Everywhere, but NoWhere

Maka Vaksincom menyarankan anda untuk berhati-hati dan ingat selalu untuk membackup data anda karena pada tanggal 12 dan 13 nanti Deadlock akan membuat komputer anda “deadlock” alias di hancurkan semua datanya, baik data di seluruh harddisk, Flashdisk dan O/S Windows sehingga menampilkan pesan NTLDR is Missing.

Dengan mengesampingkan kesalahan ejaan seperti kata “prostitusi” yang ditulis “portitusi” (sudah terbalik menaruh huruf “r” dan “o”, ehh huruf “s” juga ketinggalan, kayanya pembuat virus ini pelajaran Bahasa Indonesianya jeblok). Dari sisi penyampaian pesan patut diacungi jempol bahwa pembuat virus ini masih memiliki kepedulian sosial dan rasa kebangsaan yang tinggi. Tetapi tingkah virus ini merusak data dengan mendelete semua data di harddisk ini yang membuat pesan yang disampaikan kontra produktif. Wong pesannya suruh jadi orang baik, pembela kebenaran, jangan korupsi, berantas prostitusi …. eeh dirinya sendiri malah menghancurkan data orang lain. Mungkin jika pembuat virus ini menyampaikan dengan cara yang lebih simpatik dan tidak menghancurkan data (EG menghidden data) akan lebih relevan dengan pesan yang disampaikan. Tetapi terlepas dari itu semua PT. Vaksincom ingin mengucapkan Dirgahayu Kemerdekaan RI ke 64, mari kita bangun Indonesia. MERDEKAAAA !!! …….

Salah satu virus yang akan mencoba untuk menghapus data adalah Deadlock, kenapa dikatakan demikian hal ini tentunya mempunyai makna tersendiri dan semoga saja virus ini tidak membawa unsur politis sesuai dengan pesan yang akan ditampilkan dalam gambar 1. Virus ini sebenarnya masih masuk ke dalam keluarga Visual Basic yang di kompresi dengan menggunakan program Petite 2.x dengan ukuran sekitar 80 KB. Icon yang digunakan juga tidak disamarkan tetap menggunakan icon aplikasi (lihat gambar 2) dan kemunginan berasal dari salah satu kota di Kalimantan (Samarinda).

Jika virus ini aktif di komputer ia akan membuat beberapa file yang aka dijalankan pada saat komputer di nyalakan.

*

C:\Windows\system32\apache.exe
*

C:\Windows\system32\mysql.exe

Pemilihan nama apache dan mysql kemungkinan bertujuan menyamarkan dirinya sebagai program populer Apache dan Mysql.

Agar file tersebut dapat aktif secara otomatis pada saat komputer dinyalakan, ia akan membuat beberapa string pada registry berikut:

*

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o

mysql = C:\Windows\system32\mysql.exe
*

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o

apache = C:\Windows\system32\apache.exe

Virus ini cukup cerdik dalam mengelabui user, user tidak akan curiga jika sebenarnya komputer tersebut telah terinfeksi karena tidak ada tanda-tanda yang biasa dilakukan oleh virus lokal lainnya seperti disable Task Manager / MSConfig / Regedit atau Folder Options, selain itu file yang dibuat juga tidak mencurigakan karena seolah-olah merupakan program Apache dan MySql. User baru sadar bahwa komputer telah terinfeksi virus pada saat telah terlambat dimana muncul pesan dari pembuat virus yang kemudian diikuti dengan munculnya pesan error “Windows file Protection” yang menandakan ada suatu program yang berusaha untuk menghapus file system windows.

Seperti peribahasa “air tenang menghanyutkan”, rupanya di dalam bisunya Virus ini menyimpan Bom waktu di komputer korbannya yang akan di aktifkan sesuai dengan waktu yang telah ditentukan.

Pesan Pembuat virus

Deadlock juga akan meningggal kan pesan sosial kepada semua orang, agar pesan ini selalu di ingat terutama bagi pengguna komputer yang terinfeksi, ia akan mengganti desktop windows seperti yang terlihat pada gambar dibawah ini. Kalau ingin meninggalkan pesan moral boleh-boleh saja. Tetapi kalau meninggalkan pesan moral dan menghancurkan data komputer korbannya, bukannya simpati yang di dapat tetapi kejengkelan atau bahkan kebencian sehingga mengakibatkan pesan yang dikirimkan malah kontra produktif. Wong, katanya mau memberantas korupsi dan perjudian, tapi diri sendiri menghancurkan data orang lain.

Menyebar secara otomatis

Virus ini akan aktif secara otomatis setiap kali user mengakses suatu drive / flash disk dengan memanfaatkan “autorun windows” dengan membuat 3 buah file yakni :

o [Desktop.ini] yang berisi script untuk menjalankan file [folder.htt]

o [Folder.htt], berisi script untuk menjalankan file utama yakni [flashguard.exe]

o [Flashguard.exe] merupakan file induk yang akan di jalankan

Media penyebaran

Flash Disk merupakan salah satu media yang paling banyak digunakan oleh user, hal inilah yang akan dimanfaatkan oleh sebagian bahkan boleh dibilang semua virus untuk menyebarkan dirinya, hal ini juga akan dilakukan oleh virus Deadlock dengan cara membuat beberapa file berikut :

o Desktop.ini

o Folder.htt

o Flashguard.exe

BOM Waktu

Virus Deadlock laksana bom waktu yang akan menghancurkan komputer target pada waktu yang telah ditentukan, virus ini akan menjalankan aksinya setiap tanggal 12 – 13 sekitar jam 08.00 – 09.00 setiap bulan dengan cara MENGHAPUS SEMUA FILE/DATA TERMASUK FILE SYSTEM WINDOWS yang ada di semua drive termasuk di media Flash Disk dengan menggunakan perintah cmd.exe /c del /f /s /q /a dan cmd.exe /c rd /s /q, sehingga jika komputer tersebut di restart maka akan muncul pesan error.

Cara menangani Deadlock secara manual :

1. Disable [System Restore] selama proses pembersihan
2. Matikan proses virus yang aktif di memori, gunakan tools pengganti Task Manager seperti “Process Explorer” kemudian matikan proses yang mempunyai nama “mysql.exe dan apache.exe”

Silahkan download tools tersebut di url berikut:

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

3. Agar virus ini tidak dapat aktif kembali sebaiknya blok file tersebut agar tidak dapat di eksekusi dengan mendaftarkan pada “Software Restriction Policies”. Fitur ini hanya ada pada komputer dengan sistem operasi “Windows XP Professional/Windows Server 2003/Windows Vista dan Windows Server 2008”, dengan cara :

* Klik menu [Start]
* Klik menu [Run]
* Pada kotak dialog RUN, ketik perintah SECPOL.MSC kemudian klik tombol [OK]
* Setelah muncul layar “Local Security Settings”, klik kanan pada menu “Software Restriction Policies” lalu klik “Create New Policies”
*Pada menu “Software Restriction Policies”, klik “Additional Rules”

# Klik kanan pada “Additional Rules”, kemudian pilih “New Hash Rule…”, kemudian akan muncul layar “New Hash Rule”
# Pada kolom “File hash” klik tombol “Browse” kemudian arahkan ke direktori [C:\Windows\system32\apache.exe]

# Kemudian klik tombol [Open]
# Pada kolom “Security level” pilih [Disallowed]

* Pada kolom “description” boleh di isi atau dikosongkan saja
* Klik tombol [Apply]
*Klik tombol [Ok]

Catatan:

Jika komputer Anda tidak terinstall Windows XP Professional/2003 Server/Vista/2008 lewati langkah ini.

4. Hapus string registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara :

1. Klik kanan file repair.inf
2. Klik [Install]

[Version]

Signature=”$Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, apache

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, mysql

5. Hapus file induk virus yang ada di direktori

1. C:\Windows\system32\apache.exe
2. C:\Windows\system32\mysql.exe

6. Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan dengan menggunakan antivirus yang up-to-date.

Sumber : www.vaksin.com

Categories: Virus
  1. 22 August 2009 at 06:19

    halo,
    posting yang bagus, sorry numpang thread komentar ini sbg salam perkenalan… saya Agus Suhanto

  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: