Membersihkan virus Yahoo Messenger ShitLady

Posted on 21 January 2010. Filed under: Komputer, virus | Tags: , , |

Kita pasti sudah tidak asing lagi dengan aplikasi untuk chating seperti Yahoo Messenger dan Skype. Dan bahkan mungkin buat beberapa orang yang namanya berinternet ria tanpa chating ibaratnya seperti sayur tanpa garam.

Tapi buat anda pengguna Windows dan rutin chating menggunakan Yahoo Messenger dan Skype harus berhati-hati karena para pembuat virus komputer pun sekarang mengincar korban dari media chating itu. Penggunaan Yahoo Messenger (YM) dan Skype yang cukup ramai sepertinya memang menjadi mangsa empuk buat para pembuat virus untuk menyebarkan virusnya.

Beberapa waktu lalu pun beredar virus lewat media YM yaitu virus Sohanad (pesan berbahasa Vietnam) menyebarkan virus dengan cara mengirimkan dirinya ke semua kontak yang ada dalam alamat aplikasi tersebut dengan menyertakan alamat link untuk mendownload sesuatu. http://vaksin.com/2008/0508/sohanad-vietnam/Sohanad-Dloader.html

Dan saat ini beredar satu virus baru lagi yang menyebar lewat media YM yang ‘mempromosikan’ dirinya dengan mengirimkan pesan disertai linkhttp://studyguide102.com/Organic/YouTube/ShitLady. Jika menemukan salah satu kontak di YM atau aplikasi chating lainnya seperti ICQ / Skype maka jangan sekali-kali tergoda untuk mengkliknya karena sekali saja kita mengklik link tersebut maka berarti kita sudah mendownload virus ke komputer kita. Virus yang didownload itu berpura-pura menyamar sebagai video dari Youtube dengan nama file Lady_Eats_Her_Shit-_www.youtube.com yang sebenarnya ketika nanti anda download, file video itu bukan berasal dari Youtube tapi dari Rapidshare.

Sebut saja virus itu bernama Lady_Eats_Her_Shit. Dan berikut ini 5 poin penting yang diungkapkan oleh Vaksin tentang virus yang satu ini:

1. YM dan Skype, pengirim pesan dengan link bervirus adalah kontak pada YM / Skype anda. Tentunya penerimanya tidak menduga temannya akan sengaja mencelakakan dirinya dengan mengiriminya virus. Tetapi karena virus ini yang mengirimkan dirinya ke semua kontak, hal ini juga dapat merusak nama baik korban virus ini.
2. You tube, supaya penerima link percaya dan tidak waspada, maka link yang dikirimkan seolah-olah video You Tube yang sampai saat ini file video aman dari file eksekusi / virus. Dan resiko tertinggi hanyalah tidak mendapatkan video saja.
3. Menggunakan pemalsuan link, dimana link yang tercantum pada pesan YM tidak sesuai dengan link yang dituju yang mengarahkan pada situs download gratis Rapidshare yang digunakan untuk menyimpan file virus.
4. Menggunakan file sharing gratis Rapidshare untuk menyebarkan dirinya, hal ini sangat efektif dan efisien karena tidak membutuhkan usaha tinggi dan infrastruktur / bandwidth Rapidshare sangat baik untuk menyebarkan file virus.
5. Menggunakan situs penyimpanan file gratis sehingga mudah diakses oleh calon korbannya dan mudah di update oleh pembuat virus, baik dari sisi biaya dan usaha. Sekaligus relatif aman bagi pembuat virus karena agak sulit baik secara waktu dan tenaga untuk mengetahui siapa yang bertanggungjawab atas file yang di upload, dibandingkan dengan melakukan hosting di website tertentu.

Jika file yang berhasil di download tersebut dijalankan, secara otomatis ia akan membuat nama file acak dengan ekstensi *.tmp dan *.exe yang akan di simpan di direktori [C:\Documents and Settings\%user%\Local Settings\Temp] dengan nama yang berbeda-beda, contohnya : A415.tmp atau 034.exe serta drop file dengan nama Lady_Eats_Her_Shit–www.youtube.com, kemudian virus ini akan mengeksekusi salah satu file .tmp dan .exe yang telah di drop tersebut. Pada saat file yang mempunyai ekstensi .tmp di jalankan maka ia akan mengkopi file tersebut menjadi nama file lain yakni vshost.exe yang mempunyai ukuran 122 KB, file ini akan di simpan di setiap root drive [c:\ atau d:\]

Selain membuat file di atas, ia juga akan membuat beberapa file lain diantaranya:

* C:\autorun.inf [all drive]
* C:\RECYCLER\S-1-5-21-9949614401-9544371273-983011715-7040\winservices.exe
* C:\WINDOWS\system32\sysmgr.exe
* C:\WINDOWS\TEMP\5755.tmp
* c:\windows\system32\crypts.dll
* c:\windows\system32\msvcrt2.dll

Cara mengatasi virus YM ShitLady

Virus ini dideteksi oleh Norman Security Suite sebagai Worm: Coutsonif.A. Dan berikut cara untuk membersihkan virus YM ShitLady atau Coutsonif.A seperti dirangkum dari situs Vaksin:

1. Disable “System Restore” selama proses pembersihan.

2. Disable autorun windows, agar virus tidak dapat aktif secara otomatis saat akses ke drive /flash disk.
* Klik tombol “start”
* Klik “run”
* Ketik “GPEDIT.MSC”, tanpa tanda kutip. Kemudian akan muncul layar “Group Policy”
* Pada menu “Computer Configuration dan User Configuration”, klik “Administrative templates”
* Klik “System”
* Klik kanan pada “Turn On Autoplay”, pilih “Properties”. Kemudian akan muncul layar “Turn on Autoplay propeties”
* Pada tabulasi “Setting”, pilih “Enabled”
* Pada kolom “Tun off Autoplay on” pilih “All drives”
* Klik “Ok”

3. Matikan proses virus, gunakan tools “security task manager” kemudian hapus file [sysmgr.exe, vshost.exe, winservices.exe, *.tmp]

Catatan:

#.tmp menunjukan file yang mempunyai ekstensi TMP [contoh: 5755.tmp]
* Klik kanan pada file tersebut dan pilih “Remove”
* Pilih opsi “Move File to Quarantine”
* Klik “OK”

4. Repair registry yang sudah diubah oleh virus. Untuk mempercepat proses penghapusan silahkan salin script dibawah ini pada program notepad kemudian simppan dengan nama repair.inf. Jalankan file tersebut dengan cara:

* Klik kanan repair.inf
* Klik Instal

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKCU, SessionInformation, ProgramCount, 0x00010001,3

HKCU, AppEvents\Schemes\Apps\Explorer\BlockedPopup\.current,,,”C:\WINDOWS\media\Windows XP Pop-up Blocked.wav”

HKCU, AppEvents\Schemes\Apps\Explorer\EmptyRecycleBin\.Current,,,”C:\Windows\media\Windows XP Recycle.wav”

HKCU, AppEvents\Schemes\Apps\Explorer\Navigating\.Current,,,”C:\Windows\media\Windows XP Start.wav”

HKCU, AppEvents\Schemes\Apps\Explorer\SecurityBand\.current,,,”C:\WINDOWS\media\Windows XP Information Bar.wav”

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Microsoft(R) System Manager

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, bMaxUserPortWindows Service help

HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, MaxUserPort

5. Hapus file virus berikut:

* C:\vshost.exe [all drive]
* C:\autorun.inf [all drive]
* C:\RECYCLER\S-1-5-21-9949614401-9544371273-983011715-7040\winservices.exe
* C:\Documents and Settings\%user%\Local Settings\Temp
– A415.tmp [acak]
– 034.exe [acak]
– Lady_Eats_Her_Shit–www.youtube.com
* C:\WINDOWS\system32\sysmgr.exe
* C:\WINDOWS\TEMP\5755.tmp
* C:\windows\system32\crypts.dll
* C:\windows\system32\msvcrt2.dll

6. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan gunakan antivirus yang dapat mendeteksi dan membasmi virus ini. up-to-date. Anda juga dapat download tools Norman Malware Cleaner di :

http://download.norman.no/public/Norman_Malware_Cleaner.exe

Referensi: Vaksin.com

Make a Comment

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

  • Siapa sih ini ?

  • Kategori

  • Masa Lalu

  • Follow me…

  • Apaan nih ?

  • Yang tersesat

    • 99,128 orang
  • Paling menyesatkan

    • Almanak

      January 2010
      M T W T F S S
      « Dec   Mar »
       123
      45678910
      11121314151617
      18192021222324
      25262728293031

    Liked it here?
    Why not try sites on the blogroll...

    %d bloggers like this: