Kejadian ini terjadi 3 hari yg lalu, saat bersih-bersih folder sharing yg ada di jaringan LAN. Ada satu file dengan nama "New Folder" yg tidak bisa dihapus, saya berpikir "ah mungkin ada client yg lagi mengakses file ini". setelah beberapa kali dicoba tetep saja file ini tidak bisa dihapus, karena penasaran dg isi yg ada di dalamnya saya akhirnya membuka file tsb. Tiba-tiba terjadi kejadian aneh, yahoo messenger yg aktif saat itu mengirimkan message secara masal ke semua contact yg ada di ym. kira2 isi pesannya seperti ini "E may, vao day coi co con nho nay ngon lam http://nhatquanglan1.0catch.com". status ym juga berubah menjadi tulisan2 aneh.
Karena curiga ini adalah virus, saya coba search di google dan ketemu dengan artikel dibawah ini. walau ada beberapa perbedaan, akhirnya dengan mengikuti langkah2 yg ada virus tsb bisa disingkirkan
--------------------
Virus Vietnam Yang Paling Sexy, tidak pakai Santet
Pengantar
Jika tahun-tahun lalu Vaksincom banyak menerima permintaan dari Vietnam karena penyebaran virus lokal sudah sampai ke pengguna komputer Vietnam. Tahun ini gantian para pengguna komputer Indonesia yang blingsatan karena serangan virus Vietnam yang merupakan varian Sohanad. Virus ini juga memiliki “hobi” yang mirip dengan virus lokal Indonesia, dimana ia akan melakukan blok atas beberapa fungsi utility windows seperti TaskManager, Registry Editor, Folder Options, MS Config dan Command Prompt sehingga cukup sulit untuk dibersihkan. Virus ini menggunakan YM (Yahoo Messenger) dalam menyebarkan dirinya dimana komputer yang terinfeksi secara otomatis akan mengaktifkan YM dan mengirimkan pesan-pesan dalam Bahasa Vietnam dengan link untuk mendownload dan menjalankan virus ke situs hosting gratis 0catch.com dengan alamat http://nhatquanglan1.0catch.com. Link tersebut sudah cukup lama dinonaktifkan oleh 0catch sehingga seharusnya virus ini sudah tamat riwayatnya dan tidak mungkin menyebar lagi. Tetapi lucunya (ini hanya kiasan, bukan beneran lucu ... yang ada bete) dalam beberapa minggu terakhir Vaksincom menerima konfirmasi ribuan insiden virus ini di Indonesia. Sebagai gambaran perwakilan Vaksincom di Manado terpaksa bergadang membantu membersihkan komputer yang terinfeksi virus ini.
Apakah yang menyebabkan virus Vietnam ini malah marak menyebar di Indonesia padahal website penyebaran dirinya sudah dimatikan ? Santet ? Radiasi Infra Merah ? Silahkan baca artikel ini untuk mengetahui apa sebenarnya yang terjadi.
-------
Jika anda membaca kembali artikel kilas balik penyebaran virus menjelang akhir tahun 2007 hingga memasuki awal tahun 2008 ini. http://vaksin.com/2008/0208/malware0108/Malware0108.html. Dimana anda bisa melihat bahwa salah satu virus asing yaitu “Sohanad” menggunakan Yahoo Messenger sebagai media penyebaran virus. Varian awal Sohanad sebenarnya sudah muncul sejak tahun 2006, tetapi karena kelihaiannya bermetamorfosis, sampai hari ini varian-varian Sohanad anyar yang berbasiskan Sohanad awal tersebut masih terus bermunculan dan merepotkan para vendor antivirus karena sulit terdeteksi.
Salah satu varian terbaru dari virus ini terdeteksi oleh Norman Security Suite sebagai Dloader.HDZD.
Ciri File Virus
Ciri ciri file virus ini diantaranya sebagai berikut :
Gejala / Efek Virus
Jika anda sudah terinfeksi oleh virus Dloader.HDZD, maka akan menimbulkan efek sebagai berikut :
-
Melakukan blok beberapa fungsi windows seperti Task Manager, Registry Editor, Folder Options.
-
Menutup/mematikan fungsi windows seperti System Configuration Utility / MSConfig, dan Command Prompt jika dijalankan.
-
Membuat Schedule tasks pada Windows, dengan membuat 2 file job (at1.job & at2.job), yang kemudian akan mengeksekusi file virus pada setiap jam 9 pagi setiap hari.
Berikut beberapa bentuk pesan yang dikirim (dalam bahasa vietnam).
Pesan link yang dibuat virus, akan memancing user untuk mengklik link sebuah website. (Saat ini website tersebut sudah tidak bisa diakses / di banned oleh penyedia jasa web hosting gratis tersebut). Jika sudah masuk pada website tersebut dan masih aktif, maka secara otomatis akan mendownload file virus.
Efektivitas Ban Website
Apakah ban website penyebar virus merupakan akhir dari penyebaran virus Sohanad ? Ban pada link download virus secara efektif akan mematikan varian virus yang bersangkutan, tetapi pembuat virus tinggal mengupload varian virus baru ke website lain dan mengarahkan korbannya untuk mendownload ke link tersebut. Karena itu pengguna YM harus berhati-hati, JANGAN pernah mengklik link apapun yang dikirimkan oleh teman anda sekalipun jika anda tidak benar-benar yakin bahwa link tersebut aman karena sebenarnya bukan teman / kontak YM anda yang mengirimkan link tersebut, tetapi virus yang menginfeksi komputernya yang melakukan hal tersebut.
File file virus
Virus Dloader.HDZD dibuat dengan menggunakan script bahasa BASIC dengan menggunakan software AutoIt versi 3. Jika virus berhasil menginfeksi, maka ia akan membuat beberapa file virus diantaranya :
-
C:\WINDOWS\SSCVIIHOST.exe
-
C:\WINDOWS\system32\autorun.ini
-
C:\WINDOWS\system32\setting.ini
-
C:\WINDOWS\system32\blastclnnn.exe
-
C:\WINDOWS\system32\SSCVIIHOST.exe
-
\autorun.inf (pada usb/removable drive)
-
\New Folder.exe (pada usb/removable drive)
Registry Windows
Agar dapat aktif saat komputer dijalankan, virus akan membuat string registry sebagai berikut :
Yahoo Messengger = C:\WINDOWS\system32\ SSCVIIHOST.exe
Shell = Explorer.exe SSCVIIHOST.exe
Yahoo Messengger = C:\WINDOWS\system32\ SSCVIIHOST.exe
Untuk melakukan blok terhadap fungsi windows, virus membuat string sebagai berikut :
NoFolderOptions = 1
DisableTaskMgr = 1
DisableRegistryTools = 1
Agar dapat aktif dan memanfaatkan schedule task, virus membuat string berikut :
AtTaskMaxHour = 0
Untuk mempermudah proses penyebaran dalam jaringan, virus membuat string berikut :
Shares = \New Folder.exe
Menyebar melalui Flashdisk dan File Sharing
Selain mengandalkan YM, Dloader.HDZD juga memanfaatkan media “Flashdisk” ataupun “Disket”. Dan tidak kalah dengan virus lokal buatan Indonesia, ia juga memanfaatkan system autoplay windows agar dirinya dapat aktif secara otomatis setiap kali Flash Disk tersebut di colokkan ke komputer. File yang di buat yaitu : (lihat gambar 8)
-
autorun.inf
-
New Folder.exe
Selain itu, dalam jaringan intranet virus ini memanfaatkan file sharing (terutama folder yang di share full), virus juga menyebarkan diri dengan membuat file virus “New Folder.exe”. Rupanya dua hal ini yang menyebabkan virus yang harusnya sudah almarhum ini malahan sibuk mengamuk di Indonesia, karena penggunaan Flash Disk di Indonesia termasuk paling tinggi di dunia.
Virus ini juga akan menyebar melalui Yahoo Messenger. Dengan mengirim link pesan ke semua contact address, yang di arahkan ke sebuah website dan akan mendownload file virus.
Cara pembersihan virus Dloader.HDZD
-
Sebaiknya lakukan pembersihan melalui mode safe mode.
-
Matikan proses virus. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager
Lakukan kill process, pada beberapa file virus yang aktif yaitu :
-
C:\WINDOWS\system32\SSCVIIHOST.exe
-
C:\WINDOWS\SSCVIIHOST.exe (jika aktif)
-
C:\WINDOWS\system32\blastclnnn.exe (jika aktif)
-
New Folder.exe (jika aktif)
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares, Shared
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, SYSTEM\CurrentControlSet\Services\Schedule, AtTaskMaskHour
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger
Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
Berikut link “Repair.inf” untuk Dloader.HDZD :
http://www.4shared.com/file/47525698/d650cf29/Repair_Dloader-HDZD.html?dirPwdVerified=90ad42df
Sumber: vaksin.com
---------------------
Untuk memastikan semua file virus sudah bersih di komputer anda ada baiknya melalukan search file dengan extensi .exe yg memiliki icon folder. karena dari pengalaman saya pernah terkena virus ini lagi karena tidak tuntas membersih kan file virus yg ada.