Anti Virus, Virus, worm

Virus Worm W32.Chir.B@mm
In Anti Virus, Tips&Triks, 05 Februari 2010

W32.Chir.B @ mm adalah Virus email massal yang mengirim dirinya sendiri ke semua alamat email yang ada dalam alamat Microsoft Outlook.Biasanya tiba(datang) sebagai sebuah pesan email dengan sifatnya sebagai berikut:

From:
Salah satu berikut ini
[USER NAME]@yahoo.com
imissyou@btamail.net.cn

Subject: [USER NAME] is coming!
Attachments: PP.exe

Sekali dieksekusi, worm akan menyalin dirinya sebagai file berattribut Tersembunyi, Sistem, read only :
C:\WINDOWS\SYSTEM\runouce.exe

kemudian menciptakan entri registry berikut sehingga dijalankan setiap kali Windows dijalankan:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”Runonce” = “C:\WINDOWS\SYSTEM\runouce.exe”

Worm ini juga memanfaatkan sumber daya jaringan dan upaya untuk mengakses dan memodifikasi file.

Worm juga mencari di semua drive dan jaringan lokal serta menginfeksi file dengan ekstensi berikut:
. htm
.html
.exe
.scr

Worm juga membuat file yang bernama readme.eml ( default extension file outlook) hampir ke semua directory ( folder )

menciptakan Readme.eml dalam folder yang sama di mana file HTML tersebut berada. File HTML ini dimodifikasi untuk membuka Readme.eml ketika file HTML dilihat, jika eksekusi JavaScript diaktifkan.

Peringatan!!!

Karena Virus ini adalah jenis infektor file ( .htm , .html , .exe , scr ) , jika komputer anda ada tanda-tanda terinfeksi Virus ini ( ada file readme.eml yang ber-icon amplop ber ukuran 15 kb ) harap jangan membuka file dokumen seperti Word dokumen ataupun excel . Karena bila anda membuka , maka file dokumen anda akan terinfeksi dan menjadi rusak…. dan yang pasti anda akan kehilangan data anda..

Cara membersihkannya…
Karena Virus ini meng-infeksi segala lini.. harap melepas kabel LAN dari komputer , bila komputer adalah komputer jaringan.Sehingga tidak tertular lagi dari komputer lain.
Matikan System RESTORE , karena system restore bisa dimanfaatkan Virus untuk kembali meng-infeksi komputer.
Hapus atau rename file yang bernama “runouce.exe” yang berada di “C:\WINDOWS\SYSTEM\runouce.exe”
Masuk registry dengan cara ketik regedit di menu Run , lalu cari registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”Runonce” = “C:\WINDOWS\SYSTEM\runouce.exe” bila sudah ketemu silakan dihapus registry ini. atau bisa gunakan msconfig ataupun tool seperti hijack this.
Karena saat ini ( 15 November 2009 ) anti Virus seperti smadav dan ansav belum deteksi silakan gunakan cleaner NOD32 stand alone yang terbaru silakan cari >disini<
Sample telah saya kirim ke smadav dan ansav…
Untuk membersihkan dengan cara yang aman dan sukses .. anda harus booting dari Operating system yang belum terinfeksi. Misalnya menggunakan Mini Windows XP ( windows XP live CD ) yang ada di Hiren boot CD Bila belum punya silakan download di http://www.hirensbootcd.net/
Setelah Masuk ke Mini Windows Xp Gunakan Cleaner NOD32 stand alone yang sudah di RAR dan silakan di scan semua drive dengan pilihan options clean bila tidak bisa diclean rename atau delete.
Setelah bersih bila ada file program yang rusak misalnya Winamp . Untuk mengatasinya silakan uninstall lalu install program tsb lagi.
Atau bisa juga menggunakan cara seperti http://mpu4elcom.wordpress.com/2009/01/01/virus/
Tapi sebelumnya blok file runonce.exe dan runouce.exe lewat gpedit.msc ataupun policies regedit