11.29.2008

Pengalaman Baru

11.29.2008
Minggu lalu, saya mendapat pengalaman baru yang lumayan mengasikkan.
Saat itu, saya mendapat tugas baru dari teman saya untuk membasmi virus yang ada di laptopnya. Pekerjaan menantang setidaknya untuk mengetahui bagaimana karakteristik virus yang ada pada laptop tersebut.
Meskipun saya tidak terlalu banyak bergaul dengan yang namanya virus dari pembuatan sampai pembasmian. Tapi ga ada salahnya saya coba selain untuk membantu juga untuk menambah pengetahuan saya tentang virus.

Pada saat laptop sudah ada di saya, saya langsung mencoba semua gejala yang dikeluhkan oleh teman saya tersebut.
Langkah pertama karena drive tidak bisa dibuka langsung melainkan harus di explorer, maka saya langsung berpikir untuk menghilangkan autorun.inf yang ada. Ternyata diluar dugaan saya, virus ini juga mengeblok commandprompt dan regedit dengan dalih bahwa akses tersebut ditutup ole administrator.

Setelah 1 hari saya biarkan aja tuh laptop, di hari kedua saya buka komputer tersebut, dan saya curiga dengan beberapa file yang selalu ada di setiap drive dan folder, sehingga muncul ide baru untuk membasmi virus tersebut.
Berikut akan saya berikan langkah-langkah untuk mengatasi virus tersebut. Tapi sebelumnya akan saya berikan karakteristik dari virus yang dikenal dengan nama virus jembatan kahayan.

1. Membuat file-file jpg tetapi dengan extension sesungguhnya adalah .exe
2. Menutup show tipe dari folder option (sehingga kita tidak akan tau bahwa file tersebut adalah file exe meskipun kita buat folder tersebut show tipe extension)
3. File-file yang dibuat dalam setiap drive adalah :
-. Fotoku tgl-bln-tahun (contoh : Fotoku 29-11-2008) tanggal yang ada menunjukkan kapan file virus tersebut dijalankan, virus akan dijalankan hanya dengan kita men-double klik folder / drive tersebut.
-. Folder image (dengan extension .exe)

Isi dari folder tersebut :
*. Ce_Pen9God4
*. MalAM MinGGuan
*. Nongkrong d jembatan kahayan
*. Photo bersama
*. Piknik di t4ngkiling
*. Raja nge5ex
*. Tren 9aya ram8ut 2008
-. File Friendster Community.exe
-. J3mbatan k4hayan.exe
-. P4lma.exe
-. Autorun.inf

4. Kalau kita coba masuk windows dari safe mode, maka akan yang tampil adalah layar biru.
5. Mendisable regedit (dengan alasan regedit ditutup oleh administrator)
6. Mendisable command prompt (tidak keluar apa2)
7. Dikarenakan autorun, maka pada saat kita men-double klik drive berarti kita menjalankan virus tersebut dan akan muncul image kosong, dan error yang cukup banyak.
8. Virus akan membuat file image tanpa nama di setiap folder yang ada dalam drive.

Langkah-langkah untuk menghilangkan virus :
1. Copy command prompt dari %System root%\System32\cmd.exe ke drive lain (misal d:\)
2.Jalankan command prompt dari folder tersebut (misal d:\)
3. Pindah drive yang aktif ke d:\ atau c:\
4. Ketikkan attrib –s –h –r untuk menampilkan semua file yang di hidden untuk virus.
5. Open autorun.inf dengan notepad dan lihat file apa yang dijalankan.
6. Kemungkinan besar, virus akan menjalankan shell32.dll waktu drive di double klik.
7. Hapus shell32.exe, csrcc.exe, smss.exe, Isass.exe, services.exe,winlogon.exe, Paraysutki_VM_Community.sys, msvbvm60,dll dari %System root\System32
8. Hapus semua file yang telah dibentuk oleh virus tersebut (seperti yang sudah dikatakan pada karakteristik virus)