Jumat, 24 Februari 2012

BASMI TUNTAS VIRUS SALITY & RANMIT

BASMI TUNTAS VIRUS SALITY

Ternyata Virus Sality masih ada juga di Tahun 2012. Berbagai cara bisa dilakukan untuk menuntaskan virus ini yang kerap mengganggu kita. Berikut adalah caranya seperti di lansirkan oleh VirusLokal.com

Sality merupakan virus berjenis PE Infector (Polymorphic) yang menginfeksi file-file Executabe “exe”. Virus yang memiliki nama asli w32.Hllp.KukuJoker ini banyak dikeluhkan pengguna computer diseluruh dunia, terutama di indonesia banyak sekali pengguna komputer yang melaporkan telah terinfeksi oleh virus ini.

Virus ini masih belum jelas asal usulnya, dugaan sementara virus ini berasal dari cina, selain mempunyai kemampuan untuk menginfeksi file-file executable virus ini juga memilki kemampuan rootkit, sehingga selain sulit untuk dibersihkan dari system, file-file yang terinfeksi juga cukup sulit untuk diperbaiki,  menggunakan  beberapa tools  remover  dan antivirus  juga terkadang  malah  bisa  menimbulkan kerusakan pada file yang terinfeksi bahkan  bisa menghapusnya.


Beberapa Antivirus Luar mendeteksi Virus ini sebagai :
  • Malware.Sality [PCTools]
  • W32.Sality!dr [Symantec]
  • Virus.Win32.Sality.bh [Kaspersky Lab]
  • W32/Sality.dr [McAfee]
  • Troj/SalLoad-C [Sophos]
  • Virus:Win32/Sality.AT [Microsoft]
  • Win32.SuspectCrc [Ikarus]
  • Win32/Kashu.E [AhnLab]


Karakteristik Virus 

Jika kita lihat memang tidak terlalu banyak perbedaan antara file yang terinfeksi dengan file yang belum terinfeksi, yang membedakan hanyalah ukuran yang bertambah lebih besar dari ukuran sebelum terinfeksi, biasanya ukuran yang bertambah hanya beberapa KB saja.

Jika file terinfeksi tersebut dijalankan, maka file tersebut dapat berjalan seperti biasanya, sehingga user tidak mengira bahwa file yang ia jalankan tersebut telah terinfeksi virus, padahal dibalik itu virus sudah menetap di system.

Teknik yang digunakan virus sality adalah dengan membelokan EntryPoint asli file ke EntryPoint-nya virus, maka saat dijalankan virus yang terlebih dahulu aktif, baru kemudian virus meneruskan nya ke EntryPoint asli file yang terinfeksi, sehingga file yang dijalankan akan aktif seperti biasa nya.


Saat aktif virus akan membuat beberapa file induknya di system :
  • %Windir%\system32\drivers\.sys

Virus akan mengektrak file driver dari dalam tubuhnya dan menaruhnya disystem dengan nama acak, driver ini digunakan untuk bersembunyi di system. Contoh :amsint32.sys dan  iirktn.sys

  • %Windir%\System.ini

[MCIDRV_VER]

DEVICEMB=
  • HKCU\Software\
Virus akan menambahkan key baru direg
istry dengan nama acak contoh “HKCU\Software\Avcgr”, key yang dibuat ini juga mempunyai rutin-rutin tertentu.
  • Mutext

Virus akan membuat mutext pada setiap proses yang berjalan ini digunakan untuk menandakan bahwa thread virus sudah aktif pada setiap proses yang berjalan, mutext yang akan dibuatnya menyerupai nama proses yang di tumpangi nya :

M__

contoh nya : svchost.exeM_2168_
  • Firewall

Pada komputer terinfeksi virus menambahkan rule baru dalam daftar port yang di ijinkan, ini digunakan virus agar firewall windows tidak memblok koneksi yang akan dibuat oleh virus
  • Download Komponent virus lainya

Jika komputer korban terhubung dengan koenksi internet, virus akan berusaha mendownload komponen-komponen virus lainya, di beberapa situs yang sudah ditentukan oleh pembuatnya


Infeksi file Executable & Screen Saver

Virus akan mencari semua file berektensi ”.exe” & ”.scr” yang ada di seluruh drive computer korban  nya, jika virus menemukanya virus akan menginfeksinya dengan membelokan EntryPoint asli ke EntryPoint nya virus.

Sality mempunyai kemampuan untuk mengecek apakah file yang akan diinfeksi dilindungi oleh system atau tidak, jika file tersebut dilindungi oleh system maka sality tidak akan menginfeksinya,  seperti file-file yang dilindungi oleh Windows File Protection (WFP) atau System File Checker (SFC).


Infeksi Removeable Drive & Jaringan

Berbeda dengan teknik infeksi variant sebelumnya, variant sality kali ini memanfaatkan fitur Autorun untuk mempercepat penyebaranya. File Autorun yang digunakan virus memiliki nama dan ektensi acak (exe dan pif) . Seperti : xvftea.exe atau xvftea.pif, dan ukuranya sekitar 100 – 101 KB

Di jaringan virus juga akan menginfeksi setiap folder yang memiliki FULL ACCESS Read & Write, dengan membuat sebuah shortcut exploit yang akan langsung aktif apabila user memasuki folder yang sudah terdapat shortcut exploit tersebut.


Menghapus File

Sality akan mencari file berektensi “.VDB” dan “.AVC” jika ditemukan akan langsung dihapus. Ektensi file ini biasanya digunakan oleh beberapa antivirus untuk menyimpan database virus.


Block Website

Sality akan memblock website atau domain yang mengandung kata seperti :

upload_virus , sality-remov, virusinfo.  cureit. drweb. onlinescan. spywareinfo. ewido. virusscan. windowsecurity.  spywareguide. bitdefender. pandasoftware. agnmitum.  virustotal.sophos.  trendmicro.  etrust.com symantec.  mcafee. f-secure. eset.com, kaspersky. dll


Menghapus Registry Key

Untuk mempertahankan dirinya virus menghapus beberapa key di registry yang dianggap mebahayakan kehidupan virus.
  • HKCU\System\CurrentControlSet\Control\SafeBoot
  • HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
  • HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Effek dari beberapa key yang dihapus diatas membuat user tidak dapat memasuki modus SAFE MODE


Blue Screen saat mengakses SAFE MODE

Mensetting registry agar tidak menampilkan file yang dihidden
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2

Selain itu sality mengunci akses ke Task Manager & Registry Tools
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr =dword:00000001

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools =dword:00000001

Cara Pembersihan

1. Untuk membersihkan virus ini secara tuntas, download tool removal sality dari kaspersky dibawah ini :


Isi dari file download Sality Killer

 2. Kemudian ektrak lah semua file yang ada didalam ZIP tersebut ke dalam folder baru, kemudian jalankan file SalityCure.bat



3. Setelah dijalankan proses scanning akan langsung tampil, harap diperhatikanSELAMA PROSES PEMBERSIHAN SEDANG BERLANGSUNG, JANGAN PERNAH MENJALANKAN APLIKASI SEBELUM PROSES PEMBERSIHAN SELESAI, untuk mencegah virus kembali aktif, saat menjalankan file terinfeksi yang belum sempat dibersihkan.

Proses pembersihan sedang berjalan

4. Terakhir gunakan Smadav Revisi terbaru untuk memperbaiki Registry yang telah dirusak oleh virus sality.



Centang folder dan drive yang akan di scan, dan juga jangan lupa berikan centang pada bagian Syatem Area Deep (Over 1500 registry value), untuk memperbaiki registry yang telah rusak oleh virus, selanjutnya tekan tombol SCAN


Tunggu hingga proses perbaikan selesai, jika dialog pesan seperti diatas muncul tekan tombol OK dan terakhir tekan tombol Bersihkan


Kemudian Restart komputer


Kalau cara diatas ga mempan, pake cara yang ini


1. Matikan Autorun Windows.
caranya masuk klik run-gpedit.msc-computer compiguration-Aadministrative template-All Setting-Turn off Autoplay

2. Matikan System Restore Windows. Caranya: klik kanan icon My Computer, pilih Properties | Tab System Restore | ceklist Turn Off System Restore on All Drives | OK
atau menggunakan software win xp//vista/7 manager Klik security-other security-centang box disable system restore

3. Matikan Pembuangan file ke recycle bin
Klik kanan pada icon recycle bin-klik properties-Klik Don't move file's to recycle bin. remove files immediately when deleted.-klik Apply-Klik Ok

4. Aktifkan Task Manager dengan menekan Ctrl+Alt+Del.
Pada tab Processes, cari proses alg.exe, klik kanan pilih End process tree | Yes

5. Pastikan kamu bisa melihat hidden file.
Caranya di Explorer, klik menu Tool> Folder Option> View> Pilih “Show hidden files and folders” dan hilangkan ceklist pada “Hide protected operating system files (Recommended)”, pilih yes

6.Membuang folder recycler, recycled, recycle-bin, dan sistem volume information.
cara pertama Klik kanan pada folder RECYCLER, pilih Properties. Pada tab Security, pastikan username-mu ada disana (username system dapat kamu lihat di Properties My Computer | General | Registered to: ). Klik username dan ceklist semua permissions dibawah Allow. | OK- kemudian delete folder yg sudah diubah acces permissionsnya.
Jika kamu tidak dapat melihat tab Security dan kamu memakai XP Profesional, klik menu Tool>Folder Option>hilangkan ceklist pada “Use simple File sharing”/ | Apply.
Lakukan hal serupa pada folder System Volume Information. Kalau username belum ada, klik Add | ketik System
Pada desktop, klik kanan icon Recycle Bin, pilih Properties | Ceklist “Do not move files to the recycle bin. Remove files immediately when deleted.” | Apply | OK.
Hapus folder RECYCLER dan System Volume Information

cara kedua lebih mudah cukup copypastekan file security.bat pada semua drive kecuali drive c-double klik pada file security.bat tunggu sampai selesai-close

7. Buka Registry editor dengan mengetikkan regedit pada Start | Run.
 Tekan Ctrl+F, ketikkan Recycler pada kotak pencari dan klik Find. Hapus entri yang berhasil ditemukan. Kalau tidak menemukan entri berarti sudah tidak ada.
Tutup regedit dan restart kompie. Pastikan setelah restart, folder RECYCLER sudah tidak ada lagi.