Rabu, 13 November 2013

Virus w32 mariaeva brontok

Setelah beberapa kali mencoba mengcrack virus maria eva ini, akhirnya terbuka berkat jan ”virus cracker” kristanto … umh sekarang kita liat aja dalamannya maria eva, maksudnya daleman virus maria eva ini, okay … thanks to jan …

Nama virus : w32.mariaeva@brontok
Ukuran : 119 kb
Virus maria eva memang varian brontok yang diprogram oleh seorang VX Bokeph_Memendez, umh tanda – tandanya sama dengan virus brontok lainnya, tapi ada tanda tanda atau manipulasi lainnya, yaitu:

MANIPULASI REGEDIT
Registry yang telah dimanipulasi oleh virus ini:
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLDefaultValue
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENDefaultValue
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoFolderOptions
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableTaskMgr

FILE PEMICU
File pemicu virus ini ada di :
New Folder.exe ada di drive C:
Empty.pif ada di C:Documents and SettingsAll UsersStart MenuProgramsStartup atau di C:Documents and SettingsUserStart MenuProgramsStartup
LSASS.exe
WINLOGON.exe
SERVICES.exe

PENANGGULANGAN
1. Seperti biasa, donlot WAV 2005, atau pengontrol virus buatan anak – anak syntax-mania di:Sintax mania Tools (develop by jan kristanto)
2. Jalankan file jan_mod.exe untuk menghentikan proses virus.
3. Hentikan proses yang bernama :
New Folder.exe
Empty.pif
LSASS.exe
WINLOGON.exe
SERVICES.exe
4. Hapus Registry dengan nilai:
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLDefaultValue
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENDefaultValue
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoFolderOptions
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableTaskMgr
5. Scan dengan WAV 2005 update terbaru
6. Cari file berekstensi .pif, .exe atau .scr dengan besar 119 kb, kemudian hapus

Diposting oleh di
Label: , , ,

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)